Microsoft Windows
Group Policy Guide
Darren Mar-Elia, Derek Melber, William R. Stanek,
Microsoft Group Policy Team
Zasady
skupiny
Microsoft Windows
Zjednodušení správy uživatelů a počítačů
pomocí skupinových zásad (politik) a šablon
Řízení skupinové instalace, spouštění
a aktualizace aplikací
Doporučení pro efektivní
nasazení v organizaci
press
Microsoft
Microsoft Windows Server 2003
O autorech
Microsoft Windows
Group Policy Guide
Zásady
skupiny
Microsoft Windows
Rozšiřte své možnosti správy počítačů, uživatelů a soft-
waru pomocí Zásad skupiny (Group Policy). Zpřehledně-
te si správu svěřené sítě a automatizujte rutinní úlohy.
-	Návrh, implementace, správa a propojování objektů zásad sku-
piny (GPO)
-	Nastavení zásad, správa a údržba zásad skupiny
-	Scénáře a optimální postupy pro zavádění zásad v praxi - s ohle-
dem na strukturu Active Directory. návrh sítě, replikaci a další
faktory
-Zpřísňování režimu klientů a serverů, použití bezpečnostních
šablon
-	Správa a údržba základních komponent Windows, uživatelských
nastavení a dat, konfigurace Internet Exploreru, Microsoft Office
a jiných aplikací, bezpečné síťové komunikace
-	Přizpůsobení šablon pro správu a šablon zabezpečení, tvorba
vlastních prostředí
-	Správa služby IPSec, veřejné klíče a nastaveni zásad brány fire-
wall systému Windows
-	Řešení problému se zásadami skupiny: obecné postupy (výsled-
né sady zásad, protokolování) i řešení konkrétních častých pro-
blému (od běžných po velmi složité)
-	Skriptování operací pro Group Policy Management Console a vy-
užití předpřipravených skriptů
-	Systematický přehled informací o uzlech Computer Configurati-
on (Konfigurace počítače) a User Configuration (Konfigurace uži-
vatele)
Přehled nejdúležitějších šablon pro správu všech aplikací sady
Microsoft Office 2003
Srozumitelné vysvětlení složitých principů pro všechny,
kdo chtějí aktivně spravovat Své servery i klientské počíta-
če svých uživatelů a předcházet tak pozdějším problémům.
I
I
k
I
I
fl
i
I
Darren Mar-Elia je CTO
pro správu Windows ve
společnosti Quest Soft-
ware, je přispívajícím re-
daktorem časopisu
Windows IT Pro a držitel
titulu Microsoft MVP pro
Windows Server-Group Policy. Má 18-
leté zkušenosti ze správy, návrhu a ar-
chitektury systému a síti.
Dárek Melber MCSE,
CISM, MVP, má za sebou
15 let praxe školitele,
konzultanta, autora a vý-
vojáře řešeni. Napsal ně-
kolik knih o Active
Directory, Zásaaach sku-
piny, zabezpečení a audítování systému
Windows a pro certifikaci.
William R. Stanek má
20 let zkušeností se sprá-
vou systému a pokročilým
programováním. Napsal
více než 50 knih, mj. Mic-
rosoft Windows Server
2003 Inside Outr a řadu
oblíbených titulu Administrátorů Pocket
Consultant, z nichž většina vyšla v češti-
ně pod titulem Kapesní rádce administ-
rátora u nakladatelství Computer P»ess.
Microsoft Group Policy Team provádí
návrh, vývoj a zajišťuje dokumentaci a pod-
poru Zasad skupiny systému Windows.
Zařazení publikace:

IT manažer
administrátor
návrhář síti
programátor
Computer Press, a.s.
nám. 28. dubna 48
635 00 Brno
Objednávejte na:
http://knihy.cpress.cz
distnbuce@cpress.cz
Bezplatná linka
800 555 513
press /g
Windows Server 2003
Svět chytrých knih
Computer Press

ISBN 80 251-1262-4
Prodejní kód: K 1190c
Zásady skupiny Microsoft Windows
Darren Mar-Elia, Derek Melber, William R. Stanek, Microsoft Group Policy Team
Copyright © Computer Press, a.s. 2006. Vydání první. Všechna práva vyhrazena.
Vydalo nakladatelství Computer Press, a.s. jako svou 2355. publikaci.
Vydavatelství a nakladatelství Computer Press, a.s.,
nam. 28. dubna 48, 635 00 Brno, knihy.cpress.cz
ISBN 80-251-1262-4
Prodejní kód: K1190c
Překlad: Milan Daněk, Jan Pupík
Odborná korektura: Bohdan Cafourek
Lokalizace: Bohdan Cafourek
Jazyková korektura: Josef Novák, Alena Láníčková
Vnitřní úprava: Computer Press
Sazba: Ďogdan Kiszka
Rejstřík: Bogdan Kiszka
Obálka: Martin Sodomka
Komentár na zadní straně obálky: Ivo Magera
Technická spolupráce: Jiří Matoušek
Odpovědný redaktor: Ivo Magera
Technický redaktor: Jiří Matoušek
Produkce: Petr Baláš
Copyright 2005 by Microsoft Corporation. Originál English language edition Copyright © 2005
by Microsoft MVPs and Partners with the Microsoft Windows Server Team. All rights published
by arrangement with the originál publisher, Microsoft Press, a division of Microsoft Corporation,
Redmond, Washington, U.S.A.
Žádná část této publikace nesmí být publikována a šířena žádným způsobem
a v žádné podobě bez výslovného svolení vydavatele.
Computer Press, a.s., nám. 28. dubna 48, 635 00 Brno
tel.: 546 122 111, fax: 546 122 112
Objednávejte na: knihy.cpress.cz
distr ibuce@cpress.cz
Bezplatná telefonní linka: 800 555 513
Dotazy k vydavatelské činnosti směřujte na: knihy@cpress.cz
Máte-li zájem o pravidelné zasílání informací o knižních novinkách do Vaší e-mailové schránky,
zašlete nám zprávu, obsahující váš souhlas se zasíláním knižních novinek, na adresu
novinky@cpress.cz.
Novinky k dispozici ve dni vydaní, slevy, recenze,
zajímavé programy pro firmy i koncové zákazníky.
Stručný obsah
Úvod	21
Část 1: Začínáme se zásadami skupiny
Kapitola 1: Úvod do zásad skupiny	27
Kapitola 2: Práce se zásadami skupiny	43
Kapitola 3: Pokročilá správa zásad skupiny	73
Část 2: implementace a scénáře zásad skupiny
Kapitola 4: Implementace zásady skupiny	115
Kapitola 5: Zpřísňování režimu klientů a serverů	147
Kapitola 6: Správa a údržba základních komponent systému Windows	225
Kapitola 7: Správa uživatelských nastaveni a dat	263
Kapitola 8: Správa konfigurací aplikace Internet Explorer	299
Kapitola 9: Zavadění a správa softwaru prostřednictvím zásad skupiny	327
Kapitola 10: Správa konfigurací sady Microsoft Office	377
Kapitola 11: Správa bezpečné síťové komunikace	405
Kapitola 12: Tvorba vlastních prostředí	445
4
Stručný obsah
Část 3: Úpravy zásad skupiny
Kapitola 13: Struktura a zpracováni zásad skupiny	479
Kapitola 14: Úpravy šablon pro správu	521
Kapitola 15: Šablony zabezpečení	559
Část 4: Řešení problémů se zásadami skupin
Kapitola 16: Řešení problémů se zásadami skupin	587
Kapitola 17: Časté problémy se zásadami skupin a jejich řešení	633
Část 5: Přílohy
Příloha A: Přehled zásad skupiny	671
Příloha B: Nové funkce v systému Windows Server 2003 Service Pack 1	681
Příloha C: Práce se skripty v Group Policy Management Console	703
Příloha D: Základní informace o šablonách pro správu sady Office 2003	723
Rejstřík	745
Obsah
Předmluva	19
úvod	21
O knize	21
Konvence použité v této knize	23
Přiložené CD	23
Zásady podpory	24
Systémové požadavky	24
Část 1: Začínáme se zásadami skupiny
Kapitola 1
Úvod do zásad skupiny	27
1.1	Základy zásad skupiny	28
Co to dělá	28
Jak to funguje	29
1.2	Použití a implementace zásad skupiny	30
Použiti zasad skupiny v doménách a pracovních skupinách	30
Práce s objekty zásad skupiny	30
1.3	Začínáme se zásadami skupiny	31
Nastavení a možnosti skupinových zásad	32
6
Obsah
Využití zásad skupiny při správě	32
1.4	Struktura zásad skupiny	34
Systém DNS a služba Active Directory	34
Struktura služby Active Directory a dědičnost	35
1.5	Pohled na vazby objektů CPO a výchozí objekty CPO	36
Úvod do vazeb objekt ú CPO	36
Práce s propojenými objekty CPO a výchozí zásadou	37
1.6	Shrnutí	42
Kapitola 2
Práce se zásadami skupiny	43
2.1	Objekty a nastavení zásad skupiny	44
Práce s objekty CPO a připojování se k nim	45
Aplikace zásad skupiny a použití množiny RSoP	45
Představení množiny RSoP	48
2.2	Správa objektů zásad skupiny	50
Správa místních zásad skupiny	51
Správa zásad skupiny služby Active Directory	53
2.3	Vytváření a propojování objektů CPO	59
V	ytváření a propojování objektů CPO v rámci sítě	60
V	ytvářeni a propojovaní objektů CPO v rámci domény	62
V	ytváření a propojování objektů CPO organizačních jednotek	63
2.4	Delegování pravomocí pro správu zásad skupiny	65
Určování a přiřazování práv pro vytváření objektů CPO	66
Určování práv pro správu zásad skupiny	67
Delegování řízení pro práci s objekty CPO	69
Delegování autorit pro správu propojení a množiny RsoP	70
2.5	Odstraňování propojení a mazání objektů CPO	71
Odstranění propojení s objektem CPO	71
Permanentní odstranění objektu CPO	71
2.6	Shrnutí	71
Kapitola 3
Pokročilá správa zásad skupiny	73
3.1	Prohledávání a filtrování zásad skupiny	74
Filtrování nastavení zásady	74
Hledání objektů, spojení a nastavení zásad	77
Filtrování podle bezpečnostní skupiny, uživatele či počítače	79
3.2	Správa dědičnosti zásad skupiny	31
Změna priority a pořadí spojení	82
Přetížení dědičnosti	83
Blokování dědičnosti	84
Vynucování dědičnosti	85
3.3	Správa zpracovaní a aktualizace zásad	skupiny	88
Obsah
Změna aktualizačního intervalu	89
Povolování a blokování zpracování objektu CPO	91
Změna parametrů pro zpracování zásady	92
Konfigurujeme detekci pomalého připojení	93
Manuální aktualizace zásad skupiny	98
3.4	Modelování a údržba zásad skupiny	99
Modelování zásad skupiny pro účely plánování	99
Kopírovaní a import objektů zásad	103
Zálohování objektů CPO	106
Obnova objektů zásad	108
3.5	Zjišťování nastavení zásad a doby poslední aktualizace	110
3.6	Shrnutí	112
Část 2: implementace a scénáře zásad skupiny
Kapitola 4
implementace zásady skupiny	115
4.1 Problematika návrhu zásady skupiny	116
Problematika návrhu služby Active Directory	116
Problematika fyzického návrhu	120
Problematika návrhu připojení pro vzdálený přístup	121
Problematika návrhu použití objektů CPO	122
Další hlediska návrhu objektů CPO	128
4.2	Řízení výkonnosti zpracování objektů CPO	129
Běžné příčiny výkonnostních problémů	130
Jak vylepšit výkon	131
4.3	Doporučení pro nasazováni objektů CPO	135
Volba úrovně pro připojení objektů CPO	135
Zdroje používané organizačními jednotkami	137
Instalace softwaru	138
Návrh objektů CPO podle kategorií objektů CPO	138
Omezte vynucování a blokování zásad	139
Použití bezpečnostních filtrů	139
Použití filtrů rozhraní WMI	140
Hlediska sítové topologie	140
Potlačení správcovských oprávnění	141
Názvy objektů CPO	142
4.4	Testování objektů CPO před jejich nasazením	142
Migrace objektů CPO z testovacího do produkčního prostředí	143
Migrace objektů CPO mezi produkčními prostředími	143
Použití převodních tabulek	143
4.5	Shrnutí	146
8
Obsah
Kapitola 5
Zpřísňování režimu klientů a serverů	147
5.1	Základy bezpečnostních šablon	148
Výchozí bezpečnostní šablony	149
Části bezpečnostní šablony	153
Nástroje pro tvorbu, úpravy a přístup k bezpečnostním šablonám	162
Práce s průvodcem Security Conf iguration Wizard	163
5.2	Zavádění bezpečnostních šablon	171
Import Šablon zabezpečení do objektů CPO	171
Použiti nástroje Konfigurace a analýza zabezpečení	172
Použití nástroje příkazového řádku Secedit.exe	172
Použití průvodce Secunty Configuration Wizard a příkazu scwcmd	172
5.3	Obecno techniky zpřísňování režimu	174
Uzavření nepotřebných portů	174
Zakázaní nepotřebných služeb	175
Nástroje pro zpřísňování režimu počítačů	176
5.4	Zpřísňování režimu na serveru	177
Členské servery	177
Doménové řadiče	196
Souborové a tiskové servery	199
Webové servery	200
5.5	Zpřísňování režimu na klientu	201
Porty potřebné pro klienty	215
Klientské skupiny s omezením	215
Klientské počítače pro správce a zaměstnance oddělení IT	216
Klientské počítače pracovníků odborné pomoci	218
5.6	Řešení problémů	220
Oblasti zabezpečení a potenciální problémy	220
Nástroje	223
5.7	Shrnutí	224
Kapitola 6
Správa a údržba základních komponent
systému Windows	225
6.1	Konfigurace nastaven kompatibility aplikací	226
Optimalizace kompatibility aplikací prostřednictvím zásad skupiny	227
Konfigurace dodatečných nastavení kompatibility aplikací	228
6.2	Konfigurace nastaveni správce příloh	229
Práce se správcem příloh	229
Konfigurace úrovní nebezpečí a vztahů důvěry v zásadách skupiny	230
6.3	Konfigurace požadavků na informace prohlížeče událostí	233
Použití požadavků na informace prohlížeče událostí	233
Přizpůsobení podrobností pro události prostřednictvím zasad skupiny	234
Obsah
9
6.4	Řízení instalace serveru IIS	234
6.5	Konfigurace přístupu do konzoly MMC a její použití	235
Blokování autorského režimu konzoly MMC	236
Určování zakázaných a povolených modulů snap-in	236
Vyžadování explicitních oprávnění pro všechny moduly snap-in	237
6.6	Optimalizace zabezpečení a funkcí programu NetMeeting	238
Konfigurace programu NetMeeting prostřednictvím zásad skupiny	238
6.7	Použití centra zabezpečení v doménách	239
6.8	Správa přístupu k naplánovaným úlohám a do plánovače úloh	240
6.9	Správa možností souborového systému, disku a průzkumníka Windows	241
Skrývání jednotek a souvisejících náhledů Průzkumníka Windows	241
Blokování přístupu k jednotkám a souvisejícím náhledům Průzkumníka Windows 242
Odstranění funkcí pro pálení disků CD a DVD z Průzkumníka Windows a ze souvisejících
náhledů	243
Odstranění karty Zabezpečení z Průzkumníka Windows a souvisejících náhledů 244
Omezení maximální povolené velikosti obsahu koše	245
6.10	Optimalizace konfigurace instalační služby systému Windows	246
Řízení bodů obnovy nástroje Obnovení systému pro instalace software	246
Konfigurace použití souborové mezipaměti	247
Řízení tvorby souboru pro návrat do předchozího stavu	248
Zvýšení uživatelských oprávnění pro instalaci	249
Řízení uživatelské instalace a fungování programů	249
Zablokování instalace z disket, disků CD, disků DVD a dalších přenosných médií 251
Konfigurace protokolování instalační služby systému Windows	251
6.11	Optimalizace automatických aktualizací pomocí Windows Update 253
Zapnuti a konfigurace automatických aktualizací	253
Řízení automatického stahování a upozornění na instalaci	256
Blokování přístupu k automatickým aktualizacím	259
Určení aktualizačního serveru	259
6.12	Shrnutí	261
Kapitola 7
Správa uživatelských nastavení a dat	263
7.1	Základy uživatelských profilů a zásad skupiny	264
7.2	Konfigurace cestovních profilů	268
Konfigurace sítové sdílené složky pro cestovní profily	268
Konfigurace uživatelských účtů pro cestovní profily	269
7.3	Optimalizace konfigurací uživatelských profilů	270
Změna způsobu použití místních a cestovních profilů	271
Změny ve způsobu aktualizace a upravování dat profilu	276
Změny v přístupu k datům uživatelského profilu	277
Omezení velikosti profilu a obsažených složek	279
7.4	Přesměrování složek a dat uživatelských profilů	281
Princip fungování přesměrování složek	282
10
Obsah
Konfigurace přesměrování složek	284
7.5	Správa uživatelských a počítačových skriptů	290
Práce s počítačovými a uživatelskými skripty	291
Konfigurace skriptů vykonávaných při spuštění a vypnutí počítače	292
Konfigurace přihlašovacích skriptů a skriptů vykonávaných při odhlašování	293
Řízení viditelnosti skriptu	295
Řízení časového limitu skriptu	295
Řízeni běhu skriptu a způsobu jeho provádění	296
7.6	Shrnutí	296
Kapitola 8
Správa konfigurací aplikace internet Explorer 299
8.1	Přizpůsobení rozhraní aplikace Internet Explorer	300
Přizpůsobení textu záhlaví	300
Přizpůsobení loga	301
Přizpůsobení tlačítek a panelů nástrojů	303
8.2	Přizpůsobení adres URL, Oblíbených a Odkazů	305
Přizpůsobení odkazů na domovskou stránku, hledání a odbornou pomoc	305
Přizpůsobení oblíbených položek a odkazů	307
8.3	Konfigurace globálních výchozích programu	309
8.4	Optimalizace připojení a nastavení serveru proxy	311
Nastavení připojení pomocí zásad skupin v	311
Zavádění nastavení serveru proxy prostřednictvím zásad skupiny	313
8.5	Zpřísnění zabezpečení aplikace Internet Explorer	316
Práce se zónami zabezpečení a nastaveními	316
Řízení přístupu ke konfiguraci zón zabezpečení	317
Zavádění zón zabezpečeni	319
Import a zavádění nastavení zón zabezpečení	323
8.6	Konfigurace dodatečných zásad možností Internetu	323
8.7	Shrnutí	326
Kapitola 9
zavádění a správa softwaru
prostřednictvím zásad skupiny	327
Související informace	528
9.1	Základy instalace softwaru prostřednictvím zásad skupiny	328
Jak probíhá instalace software	329
Co potřebujete vědět před instalací	330
Jak nastavit zdroj instalace	331
Jaká jsou omezení	331
9.2	Plánování zavaděn softwaru	332
Tvorba objektů CPO pro zavádění softwaru	333
Konfigurace zavádění softwaru	334
Obsah
11
9.5	Zavadění softwaru prostřednictvím zásad skupiny	536
9.4	Konfigurace pokročilých a obecných možností instalace softwaru 543
Prohlížení a nastavování obecných možností zavádění	344
Změna druhu zavádění a instalačních možností	345
Definování kategorií aplikací	348
Přidávání, úprava a odstraňování kategorií aplikací	348
Přiřazení aplikace do kategorie	349
Přizpůsobení instalačního baličku pomocí transformačních souborů	353
Řízení zavádění pomocí bezpečnostní skupiny	353
Nastavení výchozích možností zavádění	355
9.5	Zavádění sady Microsoft Office a aktualizací	357
Zavádění sady Microsoft Office prostřednictvím zásad	357
Zavádění aktualizací systému Windows prostřednictvím zásad	362
9.6	Správa zavedených aplikací	365
Odstraňování zavedených aplikací	363
Opětovné zavádění aplikací	364
Konfigurace zásad Software Restriction Policies	364
Řešení problémů se zásadami Software Installation Policy	373
9.7	Shrnuti	576
Kapitola 10
Správa konfiguraci sady Microsoft Office 377
10.1	Zaklady správy konfigurace sady Microsoft Office	578
10.2	Přizpůsobování konfigurací sady Microsoft Office	579
Stahování a instalování nástrojů	379
Práce s průvodcem Custom Installation Wizard	381
Prače s průvodcem Custom Maintenance Wizard	383
Příprava prostředí pro použiti zásad	385
Zavádění souborů šablon pro správu sady Microsoft Office	386
Tvorba objektů GPO pro konfiguraci sady Microsoft Office	388
Správa více verzí konfigurace sady Microsoft Office	389
10.5	Správa zásad souvisejících se sadou Microsoft Office	591
Práce s zásadami pro správu sady Microsoft Office	392
Nastavení jednotlivých aplikací a obecná nastavení	592
Konfigurace nastavení zásad pro správu sady Microsoft Off-ce	593
Ochrana konfigurací sady Microsoft Office před uživateli	594
Řízení výchozího umístění souborů a složek	598
Konfigurace možnosti zabezpečení aplikace Microsoft Outlook	40C
Řízení jazykových nastavení sady Microsoft Office	401
Řešení problémů se zásadami šablon pro správu sady Microsoft Office	401
10 4 Shrnuti	403
12
Obsah
Kapitola 11
Správa bezpečné síťové komunikace	405
11.1	Úvod do zásad protokolu IPSec	406
Princip fungování protokolu IPSec	406
Zavádění zásad protokolu IPSec	407
Případy použití protokolu IPSec a zásad protokolu IPSec	408
11.2	Správa zasad protokolu IPSec	409
Aktivace a deaktivace zásad protokolu IPSec	409
Tvorba dalších zásad protokolu IPSec	410
Sledování zásad protokolu IPSec	422
11.3	Zaváděni zásad veřejných klíčů	422
Princip fungování certifikátů veřejných klíčů	423
Použití zásad pro správu veřejných klíčů	424
Správa zásad veřejných klíčů	426
11.4	Úvod do zásad pro správu brány firewall systému Windows	428
Princip fungování brány firewall systému Windows	428
Použití zásad pro správu brány firewall systému Windows	429
11.5	Správa zásad brány firewall systému Windows	431
Konfigurace obcházení brány firewall systému Windows	432
Povolování a zakazování brány firewall systému Windows
prostřednictvím zásad skupiny	433
Správa vviimek brány firewall pomocí zásad skupiny	434
Konfigurování upozornění, protokolování a požadavků na odezvu	443
11.6	Shrnut	444
Kapitola 12
Tvorba vlastních prostředí	445
12.1	Zpracovaní ve zpětné smyčce	447
Režim nahrazení	447
Režim sloučení	448
Řešení problémů se zpětnou smyčkou	449
12.2	T erminalová služba	450
Řízení terminálové služby na konkrétním počítači prostřednictvím zásad skupiny 451
Řízení terminálové služby v doméně prostřednictvím zásad skupiny	452
Konfigurování pořadí přednosti	452
Konfigurováni uživatelských nastavení terminálové služby	452
Konfigurování licenčního serveru pomocí nastavení zásad skupiny	453
Konfigurovaní připojení terminálové služby	454
Správa přiřazených jednotek, tiskáren a dalších zařízení	462
Řízení profilů terminálové služby	465
12.3	Zasady skupiny a pomala připojeni	468
Výchozí použiti zásad na pomalých připojeních	468
Chování pro pomalá připojeni služby RAS	469
Nastavení zásad skupiny pro detekci pomalého připojení	470
Obsah
13
Dodatečná nastaveni detekce pomalého př ipojení pro klientská rozšíření	473
12.4	Shrnutí	475
Část 3: Úpravy zásad skupiny
Kapitola 13
Struktura a zpracování zásad skupiny	479
15.1	Procházení logické struktury zásad skupiny	480
Použití kontejnerů zásad skupiny	480
Prohlížení atributů objektů třídy groupPolicyContamer	482
Prohlížení zabezpečení objektů třídy groupPolicyContainer	483
Prohlížení oprávnění pro tvorbu objektů CPO	485
Prohlížení a nastavování výchozího zabezpečení nových objektů CPO	486
15.2	Procházení fyzické struktury zásad skupiny	489
Práce se šablonami zásad skupiny	489
Zaklady verzovám zásad skupiny	492
Zabezpečení šablon zásad skupiny	493
13.3	Procházení struktury propojení zásad skupiny	494
Prohlížení propojení zásad skupiny	494
Blokování dědičnosti na připojeních	497
Princip připojení a zabezpečení zásad skupiny	497
13.4	Princip zpracování zásad skupiny	497
Seznámení se zpracováním klientských rozšíření	497
Seznámení se zpracováním serverových rozšíření	499
Události související se zpracováním zásad	505
Asynchronní vs. synchronní zpracování zásad	507
Sledování aplikace zásad	508
Sledování detekce pomalého připojení	510
Úpravy zpracovaní zásad zabezpečení	511
Historie a stavová data zásad skupiny	512
13.5	Procházení struktury místního objektu CPO	516
Vytváření a použití ob.-ektu LCPO	516
Struktura objektu LCPO	517
Správa a údržba objektů LCPO	517
Řízení ořístupu k objektu LCPO	518
13.6	Shrnutí	519
Kapitola 14
Úpravy šablon pro správu	521
14.1	Co je šablona pro správu?	522
Výchozí soubory .adm	523
Práce se soubory .adm	524
Standardně instalované soubory .adm	524
Tipy pro importování souborů .adm	526
14
Obsah
Přidávání souborů .adm	526
Odstraňování souborů .adm	527
Správa souborů .adm	528
Zásady a předvolby	531
14.2	Vytváření vlastních souborů .adm	532
14.3	Příklad jednoduchého souboru .adm	533
14.4	Jazyk souborů .adm	534
Struktura souboru .adm	534
#if version	536
Syntaxe pro aktualizaci registru	536
Syntaxe pro aktualizaci rozhraní modulu Group Policy Object Editor
(Editor objektů Zásady skupiny)	540
Další výrazy používané v souborech .adm	552
Omezení délek řetězců definovaných v souboru adm	555
14.5	Doporučené postupy	555
14.6	Shrnutí	557
Kapitola 15
Šablony zabezpečení	559
15.1	Struktura šablon zabezpečení	560
Zásady účtů	560
Místní zásady	562
Protokol událostí	563
Skupiny s omezeným členstvím	563
Systémové služby	564
Registr	565
Systém souborů	566
15.2	Překrývání šablon zabezpečení s objekty zasad skupin	567
15.3	Práce se šablonami zabezpečeni	568
Modul snap-in Šablony zabezpečení	568
INF soubory šablon zabezpečení	569
15.4	Úpravy šablon zabezpečeni	569
Kopírovaní šablon	570
Vytváření nových šablon zabezpečení	570
15.5	Úpravy možností zabezpečení	571
Struktura souboru Sceregvl.inf	571
Úpravy souboru Sceregvl.inf	577
Zobrazení vlastního záznamu	577
15	6 Nastavovaní služeb v šablonách zabezpečení	578
Nastavení požadovaných služeb tak, aby se zobrazily automaticky	578
Získání syntaxe služeb používané v souborech šablon zabezpečení	579
Ruční úpravy služeb v souboru šablony zabezpečení	580
15.7	Řešení firmy Microsoft pro nastaveni zabezpečeni	580
15	8 Shrnutí	583
Obsah
15
Část 4: Řešení problémů se zásadami skupin
Kapitola 16
Řešení problémů se zásadami skupin	587
Další informace:	588
161 Zaklady řešení problémů se zásadami skupin	588
Kontrola základní konfigurace	589
Kontrola klíčových komponent infrastruktury	592
Kontrola oboru správy	593
16.2	Základní nástroje pro řešení problémů	598
Práce s výslednými sadami zásad skupiny	599
Zobrazení výsledných sad zásad v příkazovém řádku	604
Kontrola stavu objektů zásad skupin na straně serveru	606
Centrální správa protokolů výsledných sad zásad	610
16.3	Protokolování zásad skupin	615
Protokol aplikací	616
Řízení protokolování do souboru Userenv.log	620
Řízení úrovně protokolování jednotlivých rozšíření na straně klienta	624
16.4	Shrnutí	631
Kapitola 17
Časté problémy se zásadami skupin
a jejich řešení	633
17.1	Řešení problémů se správou objektů zásad skupin	634
Řadič domény vykonávající funkci emulátoru PDC není dostupný	635
V editoru zásad skupin nejsou zobrazena všechna nastavení	636
Restrikce oprávnění v Group Policy Management Console	640
17.2	Nastavení zásad skupin nejsou použita kvůli problémům s infrastrukturou647
Řadiče domény nejsou přístupné	648
Databáze služby Active Directory je poškozena	649
Místní přihlášení a přihlášení pomocí Active Directory	650
Příčinou problémů se zpracováním objektů zásad jsou soubory ve složce SYSVOL 651
Problémy s replikací a shodou databáze Active Directory a složky SYSVOL	653
Problémy se službou DNS, jejichž následkem jsou problémy se zpracováním objektů
zásad skupin	655
17.3	Řešení problémů s implementací	656
Vyhledání nesprávných nastavení objektů zásad	656
Propojení objektů zásad vedoucí k problémům s jejich použitím	660
Účty nejsou umístěny ve správné organizační jednotce	661
Snaha o použití zásad skupin pro účty skupin	662
Konfliktní nastavení ve dvou objektech zásad	663
Změna standardního dědění objektů zásad skupin	664
17.4	Shrnutí	667
16
Obsah
Část 5: Přílohy
Příloha A
Přehled zásad skupiny	671
Přehled informací o uzlu Computer Configuration (Konfigurace počítače) 671
Přehled informaci o uzlu User Configuration (Konfigurace uživatele)	676
Příloha B
Nové funkce v systému
Windows Server 2003 Service Pack 1	681
Adprep	683
Nástroje pro správu	683
Nastavení funkcí prohlížeče Internet Explorer	685
Správa nastavení funkcí zabezpečení	685
Konfigurace zásad a předvoleb	686
Sada Internet Explorer Admínistration Kit	686
Zabezpečení akcí odkazů URL v prohlížeč* Internet Explorer	687
Změny v nastavení zabezpečení akcí odkazů URL	687
Výsledná sada zásad	688
Změny v nástroji Resultant Set of Policy (Výsledná sada zásad),
které jsou součástí aktualizace Service Pack 1	689
Správa výsledných sad zásad vzdálených počítačů pomocí
konzoly CPMC (Správa zásad skupiny) s SP1	691
Delegování přístupu k výsledkům zásad skupin	691
Aktualizace zabezpečení po instalaci	692
Průvodce konfiguraci zabezpečení	693
Brána firewall systému Windows	694
Změny ve f irewallu systému Windows	694
Změny v protokolování auditování	695
Změny v nástroji Netsh Helper	696
Nové zásady skupiny podporující firewall systému Windows	696
Příloha C
Práce se skripty
v Group Policy Management Console	703
Rozhraní konzoly Group Policy Management Console pro práci se skripty 704
Objektový model skriptování konzoly Group Policy Management Console	704
Vytvoření počátečního objektu GPM	705
Vytvoření reference na spravovanou doménu	706
Vytváření a propojování objektů zásad skupin	706
Automatizace správy zabezpečení objektů zásad skupin	710
Využití standardních skriptů Group Policy Management Console	712
Vytváření objektů zásad skupin	713
Obsah
17
Výmaz objektů zásad skupin	713
Vyhledání zakázaných objektů zásad skupin	713
Vyhledání objektů zásad skupin podle skupiny zabezpečení	714
Vyhledání objektů zásad skupin bez aktivních propojení	714
Nastavení oprávnění pro vytváření objektů zásad skupin	714
Nastavení dalších oprávněni k objektům zasad skupin	715
Zálohování všech objektů zasad skupin	715
Zálohovaní jednotlivých objektů zasad skupin	715
Kopírování objektů zásad skupin	716
Importování objektů zásad skupin	717
Generování reportů výsledných sad zásad	717
Zrcadlení produktivního prostředí	718
Další standardní skripty Group Policy Management Console	719
Příloha D
Základní informace o šablonách
pro správu sady Office 2003	723
Microsoft Access 2003	724
Microsoft Excel 2003	725
Microsoft FrontPage 2003	727
Microsoft Clip Organizer 2003	727
Microsoft InfoPath 2003	728
Microsoft Office 2003	728
Microsoft OneNote 2003	733
Microsoft Outlook 2003	734
Microsoft PowerPoint 2003	738
Microsoft Project 2003	739
Microsoft Publisher 2003	740
Microsoft Visio 2003	741
Microsoft Word 2003	743
Rejstřík	745
Předmluva
Všichni autoři, kteří se podíleli na tvorbě této knihy, mají za sebou léta zkušeností
s používáním zásad skupiny a při tvorbě tohoto díla úzce spolupracovali s těmi,
kteří jsou za integraci zásad skupiny do operačního systému Microsoft Windows zod-
povědní. Jejich zkušenosti spolu s jejich schopností jasně vysvětlit složité koncepty či-
ní tuto publikaci cenným zdrojem pro všechny, kteří chtějí aktivně spravovat své
servery7 a koncové počítače. Kniha začíná přístupem založeným na scénářích, předsta-
vuje koncepty správy vycházející ze zásad skupiny a jejich propojení se službou Active
Directory. Dále se věnuje různým oblastem operačního systému Windows, které lze
řídit prostřednictvím zasad skupiny. Jsou to např. zabezpečení, konfigurace počítače
určeného pro běžné uživatele, aplikace Microsoft Internet Fxplorer. síťové pn ky (na-
příklad brána Firewall operačního systému Windows) a balík Microsoft Office. Tím to
ale nekončí. Kniha představí pokročilé možnosti zásad skupiny (například využití
zásad skupiny pro instalaci softwaru nebo rozšíření funkčnosti zásad skupiny).
Implementovat zásady skupiny je vcelku snadná práce a tato kniha vám ji usnadní
ještě více. Zásady skupiny jsou také velmi flexibilní a v komplexních prostiedích je
můžete používat k řešení komplexních problému. Tato kniha je strukturována způ-
sobem. který vám pomůže tyto problémy lépe pochopil. Pozornost je věnována ta-
ké jasně a podrobně popsaným postupům, které se používají při řešení problémů
různých úrovní (od běžných až po hodně složité). V závěru knihy vam autoři po-
skytují odkazy na místa, kde můžete kdykoliv získat aktuální informace o proble-
matice zásad skupiny.
V dnešní době, kdy si všichni uvědomujeme potřebu dostatečného zabezpečení a re-
gulačního dohledu, musíme při spiavě serverů a koncových stanic dbát odpovídají-
cím způsobem na prevenci. Zásady skupiny jsou v tomto ohledu silným nástrojem
a tato kniha vám práci s nimi velmi usnadni. Proto, ať už službu Microsoft Active
Directory zavádíte, nebo o tom teprve uvažujete, tato kniha je pro vás tou správnou
volbou!
Michael Dennis, Hlavní programový manager Zásad skupiny ve firmě Microsoft.

Úvod
Vítáme všechny čtenáře příručky Zasady skupiny Microsoft U indous. Tato pii ručka se
zabývá problematikou zásad skupiny, které jsou mezi produkty firmy Microsoft pro
uživatele možná um nejméně průhledným produktem. Mnozí systémoví správci, síťoví
návrháři a manažeři v oblasti IT považují zásady skupiny za velmi komplexní část
služby Active Directory®, které nikdy nedokážou porozumět. I přesto jsou zásady
skupiny značně rozšířeny a implementovány, neboť jejich přínos v oblasti zabezpeče-
ní, distribuce softwaru a ochrany koncových stanic je dobře známý. Jestliže plošně
implementujete produkt, kterému nerozumíte, znamená to pro vás skutečný problém
a značně frustrující zkušenost pro všechny zainteresované osoby. Tomu se ale můžete
vyhnout. Zásady skupiny jsou méně složité, více konfigurovatelné a snáze správo va-
telné, než si dokážete představil - krok po kroku, kapitolu po kapitole zjistíte, proč je
tomu právě tak.
O knize
Příručka Zásady skupiny Microsoft Windows popisuje správu zásad skupiny pro ope-
rační systémy Microsoft Windows Server™ 2003, Windows XP Professional a Windows
2000. Kniha je určena systémovým správcům, síťovým návrhářům a všem těm. kteří se
chtějí dozvědět něco o zásadách skupiny. Jestliže jste zodpovědní za podporu služby
Active Directory nebo se jen chcete naučit více o zásadách skupmy, je tato kniha prá-
vě pro vás.

Úvod
Vítáme všechny čtenáře příručky Zásady skupiny Microsoft Windows, lato příručka se
zabývá problematikou zásad skupiny, které jsou mezi produkty firmy Microsoft pro
uživatele možná tím nejméně průhledným produktem. Mnozí systémoví správci, síťoví
návrháři a manažeři v oblasti IT považují zásady skupiny za velmi komplexní část
služby Active Directory®, které nikdy nedokážou porozumět. I přesto jsou zásady
skupiny značně rozšířeny a implementovány, neboť jejich přínos v oblasti zabezpeče-
ní, distribuce softwaru a ochrany koncových stanic je dobře známý. Jestliže plošně
implementujete produkt, kterému nerozumíte, znamená to pro vás skutečný problém
a značně frustrující zkušenost pro všechny zainteresované osoby. Tomu se ale můžete
vyhnout. Zásady skupiny jsou méně složité, více konfigurovatelné a snáze spravova-
telné, než si dokážete představit - krok po kroku, kapitolu po kapitole zjistíte, proč ie
tomu právě tak.
O knize
Příručka Zásady skupiny MicrosoJi Windows popisuje správu zásad skupiny pro ope-
rační systémy Microsoft Windows Server™ 2003, Windows XP Professional a Windows
2000. Kniha je určena systémovým správcům, síťovým návrhářům a všem těm, kteří se
chtějí dozvědět něco o zásadách skupiny. Jestliže jste zodpovědní za podporu služby
Active Directory nebo se jen chcete naučit více o zásadách skupiny, je tato kniha prá-
vě pro vás.
Kapitola 1 - Úvod do zásad skupiny
 Local Policy (Místní zásady):
	Audit Policy (Zásady auditu) Un uje výchozí monitorovací zásady pro domé-
nové řadiče. Např. zaznamenávání úspěšných události, selháni nebo obojího.
	User Rights Assignment (Piiřazení uživatelských práv) Určuje přirazeni
výchozích uživatelských práv pro doménové řadiče. Např. práva pro místní
pi ihlášení nebo přihlášení přes službu.
	Security Ophons (Možnosti zabezpečení) Sem spadá nastavení: Domain
Controller: Allow Server Operators To Schedule Tasks (Řadič domény: Povo-
lit operátorům serveru (Server Operators) plánovat úlohy).
 Parametry zaznamenávání událostí jako např.
	Maximální velikost záznamu pro doménové řadiče
	Zablokování anonymního přístupu k záznamům z doménového řadiče.
	Rozhodnutí o uchovávání záznamu do protokolu a použitá metoda.
Poznámka Firma Microsoft doporučuje upravovat objekt Default Domain Controllers Policy
pouze za účelem nastavení uživatelských práv a zásad pro auditovaní. Jestliže se vyskytnou
problémy s fungováním tohoto objektu, můžete použ.t nástroj DCGPOFIX pro obnovení je-
ho výchozí podoby.
1.6 Shrnutí
Zásady skupiny představují účelný a účinný způsob jak spravovat počítačová a uži-
vatelská nastavení. Jejich skutečna síla tkví v tom, že nastavení stovek nebo tisíců
počítačů či uživatelů můžete spravovat stejně snadno jako nastaveni jednoho uživa-
tele či počítače. Zásady skupiny to umožňují prostřednictvím nezbytných struktur
sloužících pro bezproblémovou správu nastavení uživatelů a počítačů kdekoliv
v podniku.
Pro práci se zásadami skupiny je důležité pochopit, jak modul zásady skupiny fun-
guje v nižných prostředích. Bez ohledu na to, zda máte na starost počítače uspo-
řádané do pracovních skupin, domén nebo jejich kombinace, vždy můžete pro
jejich účinnou správu použít skupinovou zásadu. Nicméně existují jisté výhody po-
užití zásad skupiny v doménové konfiguraci. Konkrétně v doménách se službou
Active Directory jsou zásady skupiny rozšířené pro lepší správu bezpečnosti počíta-
čů, bezdrátových sítí, instalace programu a služeb vzdálené instalace.
Práce
se zásadami
skupiny
Obsah kapitoly:
2.1	Objekty a nastavení zásad skupiny......................................44
2.2	Správa objektů zásad skupiny...........................................50
2.3	Vytváření a propojování objektů GPO....................................59
2.4	Delegování pravomocí pro správu zásad skupiny..........................65
2.5	Odstraňování spojení a mazáni objektů GPO..............................71
2.6	Shrnutí................................................................71
Kapitola 2 - Práce se zásadami skupiny
PDC nedostupný, můžete si vybrat, ke kterému doménovému řadiči se chcete při-
pojit. Připojení k určitému doménovému řadiči si můžete vynutit i manuálně.
Obecné lze říci, že Group Policy mohou spravovat pouze členové skupin Domain
Admins a Enterprise Admins. Nicméně sítě lze spravovat pouze členy skupiny En-
terprise Admins a kořenovou strukturu pouze skupinou Domain Admins. Domény
a organizační jednotky lze spravovat pouze skupinami Enterprise Admins, Domain
Admins a uživateli, na které byly delegovány odpovídající pravomoci. Pravomoci
pro správu zásad skupiny je možné delegovat několika způsoby. Zaprvé, uživate-
lům či skupinám můžete přiřadit práva pro tvorbu objektu GPO. Tito uživatelé
a skupiny mohou také spravovat jimi vytvořené objekty GPO. Zadruhé, můžete de-
legovat pravomoci pro připojování objektu GPO a pro práci s množinou RSoP (Re-
sultant Set of Policy). Poslední možnosti je delegování práv pro čtení, úpravy
nastavení, mazání a úpravy bezpečnostních nastavení objektů GPO.
kapitola
Pokročilá správa
zásad skupiny
Obsah kapitoly:
3.1	Prohledávání a filtrování zásad skupiny..................................74
3.2	Správa dědičnosti zásad skupiny..........................................81
3.3	Správa zpracování a aktualizace zásad skupiny............................88
3.4	Modelování a údržba zásad skupiny........................................99
3.5	Zjišťování nastaveni zásad a doby poslední aktualizace..................110
3.6	Shrnutí.................................................................112
Funkce, které pokročilá správa Group Policy (Zásady skupiny) nabízí, vám mohou
pomoci ušetřit značné množství času a také dosáhnout větší efektivity. Hledáte-li
například určitý objekt zásady nebo konkrétní skupinu nastavení zásady, můžete
využít prohledávání a filtrování. Také se muže stát, že budete potřebovat změnil
způsob, jakým se dědí nebo zpracovávají nastavení zásady, obzvlášť pracujete-li ve
Kapitola 3 - Pokročilá správa zásad skupiny
Poznámka Položky nacházející se pod složkou Denied GPOs reprezentují všechny objekty,
které měly být aplikovány, ale nestalo se tak. K tomu obvykle dojde v případě, když jsou ob-
jekty prázdné nebo neobsahují žádná nastavení počítačových či uživatelských zásad. Objekt
GPO může být také zamítnut z důvodu zablokování dědičnosti. Jestliže je tomu tak, pak je
jako důvod zamítnutí (Reason Denied) uvedeno „Blocked SOM".
OBRÁZEK 3.30: Změna názvu zprávy a následné prohlížení jedho obsahu
6 Shrnutí
V této kapitole jste se naučili, že existuje mnoho způsobů jak pozměnit a zoptimali-
zovat způsob fungování zásad skupiny. Jestliže v zásadě skupiny hledáte určitá na-
stavení zásad nebo konkrétní hodnoty, můžete pro usnadnění práce použít filtry.
Jiný typ filtru (bezpečnostní filtr), který je možné aplikovat na skupinovou zásadu,
slouží ke změně způsobu zpracování zásad skupiny s ohledem na bezpečnostní
skupiny, jednotlivé počítače a uživatele. Jestliže například nechcete, aby došlo
k aplikaci nějakého objektu na uživatele, jehož účet se nachází v určité organizační
jednotce, můžete toho dosáhnout prostřednictvím filtrováni zásad.
/působ, jakým se aplikují nastavení zásad, je také možné ovlivnit různými faktory
včetně dědičnosti, pořadí zpracování a aktualizace. Fungovaní dědičnosti můžete
změnit tím, že upravíte pořadí a priority spojení, přetížíte dědičnost (pokud není
v platnosti vynucovánO, zablokujete dědičnost nebo si dědičnost naopak vynutíte.
Na způsob aplikace nastaveni zásad má také podstatný vliv zpracování zásad
a jejich aktualizace. Nejenže můžete změnit interval aktualizace, zablokovat nebo
povolit zpracování objektů GPO a konfigurovat detekci pomalého připojení, ale
můžete si také vynutit aktualizaci na praní.
V rámci údržby zásady a její dlouhodobé správy můžete provádět různé operace. Mů-
žete modelovat zásadu pro účely plánování a zjišťování množiny RSoP. Můžete kopí-
rovat objekty zasad uvnitř domény či mezi doménami a objekty vašich zásad můžete
také podle potřeby zálohovat a obnovovat v případě, že nastanou nějaké problémy.
implementace
a scénáře
zásad skupiny
V této části:
4.	kapitola: Implementace zásady skupiny..................................115
5.	kapitola: Zpřísňování režimu klientů a serverů.........................147
6.	kapitola: Správa a údržba základních komponent systému Windows.........225
7.	kapitola: Správa uživatelských nastavení a dat.........................263
8.	kapitola: Správa konfigurací aplikace Internet Explorer................299
9.	kapitola: Zavádění a správa softwaru prostřednictvím zásad skupiny.....327
10.	kapitola: Správa konfigurací sady Microsoft Office....................377
11.	kapitola: Správa bezpečné síťové komunikace...........................405
12.	kapitola: Tvorba vlastních prostředí..................................445

Implementace
zásady skupiny
Obsah kapitoly:
4.1	Problematika návrhu zásady skupiny...................................116
4.2	Řízeni výkonnosti zpracování objektů GPO.............................129
4.3	Doporučení pro nasazování objektů GPO................................135
4.4	Testování objektů GPO před jejich nasazením..........................142
4.5	Shrnutí..............................................................146
Kapitola 4 - Implementace zásady skupiny
Cílový název Tento název je poslední položkou převodní tabulky. Určuje jak se má
název počítače, uživatele, skupiny či cesta UNC zdrojového objektu GPO zpracovat
po přesunu do cílového objektu GPO. Tabulka 4.2 popisuje některé cílové názvy.
TABULKA 4.2: Cílové názvy
Cílový název	Popis
Shodný se zdrojem Kopírování proběhne beze změn. Stejný efekt jako byste do převodní ta-
bulky nezadali zdrojovou hodnotu.
Žádný	Uživatel, počítač či skupina se z objektu GPO odstraní. Tuto možnost ne-
lze použít pro cesty konvence UNC.
Přiřazení podle Například napřiřazení názvu SourceDomain\Groupl na
relativního názvu TargetDomain\Groupl.Tuto možnost nelze použít pro cesty konvence
___________________ UNC___________________________________________________________
Explicitní určení V cílovém objektu GPO nahradíte zdrojovou hodnotu určitou hodnotou,
hodnoty
Poznámka Pro cílové názvy můžete pomocí některého z výše popsaných formátů určit objek-
ty zabezpečení, s výjimkou identifikátoru SID. Pro cílový název nemůžete nikdy použít iden
tifikátor SID.
Další informace Podrobnější informace o postupu pn migraci objektů GPO pomocí konzoly
GPMC a převodních tabulek najdete v oddíle „Testování objektů GPO před jejich nasaze-
ním" této kapitoly.
Shrnutí
Zavádění objektů GPO není jednoduchou záležitostí. Efektivní zaváděni zahrnuje fak-
tory, které sahají daleko za nastavení, která se konfigurují v objektech GPO. Tylo
faktory zahrnují návrh služby Active Directory, delegováni, replikaci a konvergenci
služby Active Directory na všechny doménové řadiče.
Abyste zajistili, že zavádění produkčních objektů GPO bude stabilní, bezpečné a efek-
tivní, musíte vzít v potaz také dědičnost skupinových zásad a řízeni aplikací. Pokud je
to možné, měli byste používat výchozí dědičnost. Měnit byste ji měli jen v případě, že
nutně potřebujete aplikovat filtrování, vynucování nebo chcete zakázat přepisování.
Vyhnout byste se měli také filtrům služby WMI, protože mohou prodloužit dobu po-
třebnou pro aplikaci objektů GPO.
Závěrem řekněme, že všechna nastavení objektů GPO by měla být, předtím než jsou
zavedena do produkce, otestována v neprodukčním prostředí.
Zpřísňování
režimu klientů
a serverů
Obsah kapitoly:
5.1	Základy bezpečnostních šablon.........................................148
5.2	Zavádění bezpečnostních šablon........................................171
5.3	Obecné techniky zpřísňování režimu....................................174
5.4	Zpřísňování režimu na serveru.........................................177
5.5	Zpřísňování režimu na klientovi.......................................201
5.6	Řešení problémů.......................................................220
5.7	Shrnutí...............................................................224
Kapitola 5 - Zpřísňování režimu klientů a serverů
10.	Po vytvoření databáze klepněte pravým tlačítkem na uzel Security Configuration
and Analysis (Konfigurace a analýza zabezpečení) a zvolte položku Analyse Com-
puter (Analyzovat počítač).
11.	Zadejte cestu k souboru protokolu chyb a klepněte na tlačítko OK.
12.	Po skončení analýzy si v jednotlivých uzlech projděte výsledky.
Gpresult
Gpresult je již starším nástrojem, ale stále je velmi užitečný při hledání a řešení pro-
blému s nastaveními objektu GPO. Nástroj není zaměřen pouze na zabezpečení, ale
může vám poskytnout informace o tom, které objekty GPO se vztahuji na určitý
počítač a která nastavení (včetně bezpečnostních nastavení) na něm existují.
Další informace Další informace o použití příkazu Gpresul t najdete v 16. kapitole.
Množina RSoP
Někdy budete potřebovat zjistit nastaveni objektu GPO pro počítač, který není při-
pojen k síti nebo k němuž nemáte přístup. Sada zásad RSoP vám s tím může po-
moci. Včetně poskytnutí podrobností o bezpečnostních nastaveních, která budou
na počítač aplikována prostřednictvím objektů GPO.
Další informace Další informace o použití nástroje sady zásad RSoP najdete v 16. kapitole.
Shrnutí
Zpřísňování režimu klientů a serverů vyžaduje porozumění dostupným metodám
pro tvorbu bezpečnostních nastavení efektivním a konzistentním způsobem. Ke
zpřísňování režimu klientů a serveru jsou určeny dva nástroje: Security Templates
(Šablony zabezpečení) a zásady zabezpečeni. Security Templates mohou konfigu-
rovat většinu bezpečnostních nastavení pro zpřísňování režimu klientů a serverů.
Zásady zabezpečení se tvoří prostřednictvím nástroje Security Configuration Wizard
(Průvodce konfigurací zabezpečení), jehož použití je intuitivnější a je založeno na
rolích serveru, administrativních funkcích a dalších aspektech serverů.
Ať už používáte Security Templates (Šablony zabezpečení), zásady zabezpečení nebo
obojí, měli byste se pokud možno při zaváděni těchto nastavení snažit používat zásady
skupiny. Jak jsme se jíž dříve v této knize dozvěděli, klíčovým aspektem zpřísňováni'
zabezpečení je způsob jakým ve službě Active Directory navrhnete vaše organizační
jednotky a připojíte vaše objekty GPO. Při existenci stovek bezpečnostních nastavení
dostupných v jedné šabloně zabezpečení nebo v zásadách se musíte při tvorbě zá-
kladní úrovně zabezpečení spoléhat na bezpečnostní doporučení popsaná v této kapi-
tole. Jakmile nastavení zabezpečení zavedete, potřebujte již jen monitorovat ovlivněné
počítače, zda na nich nedochází k nežádoucímu chování či chybám.
Správa a údržba
základních
komponent
systému
Windows

kapitola
Správa
uživatelských
nastavení a dat
Obsah kapitoly:
7.1	Základy uživatelských profilů a zásad skupiny.............................264
7.2	Konfigurace cestovních profilů............................................268
7.3	Optimalizace konfigurací uživatelských profilů............................270
7.4	Přesměrování složek a dat uživatelských profilů...........................281
7.5	Správa uživatelských a počítačových skriptů...............................290
7.6	Shrnutí...................................................................296

Správa
konfigurací
aplikace
Internet
Explorer
Kapitola 8 - Správa konfigurací aplikace Internet Explorer
Složka	Název	Popis
User Configuration\ Administrativě Templates\ Windows Components\ Internet Explorer	Turn Off Crash Detection	Slouží k vypnutí detekce havárií. De- tekce havárií umožňuje prohlížeči vysledovat které doplňky narušují stabilitu prohlížeče. Uživatel pak
	může nestabilní doplňky vypnout.
User Configuration\ Administrativě Templates\ Windows Components\ Internet Explorer	Turn Off Pop-Up Management Zabrání uživatelům v konfiguraci možností místních oken a skryje související dialogová okna. To zna- mená, že když zapnete toto nasta- vení, přestanou se zobrazovat ovládací prvky pro správu oken, upozornění a dialogová okna.
Shrnutí
Základní zásady skupiny pro práci s aplikací Internet Explorer se nacházejí ve složce
User Configuration\Internet Explorer Maintenance. Tyto zásady jsou uspořádány
do pěti hlavních kategorií: uživatelské rozhraní prohlížeče, adresy URL, programy,
připojení a zabezpečení. Tyto zásady mají také největší vliv na konfiguraci aplikace In-
ternet Explorer a její zabezpečení, proto se současně jedná o zásady, s nimiž budete
nejčastěji pracovat. Ve složce User Conf i guration\Admi n i strati ve Templates\Wi ndows
ComponentsMnternet Explorer najdete mnoho dalších zásad, které jsou určeny pře-
devším pro dolaďováni nabídek, nástrojových lišt a souvisejících možností aplikace In-
ternet Explorer. Pro počítače s operačním systémem Windows XP Professional SP2
nebo novějším lze použít (pro konfiguraci zabezpečení a uzamykání internetových
zón zabezpečeno i zásady nacházející se ve složce User Configuration\Administra-
tive Templates\Wi ndows ComponentsMnternet Explorer\Internet Control Panel.
Zavádění
a správa
softwaru
prostřednictvím
zásad skupiny
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
který obsahuje zaváděcí informace. Najděte odpovídající klíč, který obsahuje
odinstalovanou aplikaci, a smažte jej.
Shrnutí
Zásady Software Installation vám v rámci oddělení umožňují pro uživatele a počítače
snadno zavádět software. Aplikace můžete publikovat nebo přiřazovat uživatelům
a počítačům. Když zásady Software Installation použijete spolu s Instalační službou
systému Windows, můžete ve svém prostředí spravovat celý životní cyklus aplikací -
instalaci, opravy, aktualizace, záplatování a odstraňování. S pomocí zásad Software
Restriction můžete spravovat nejenom software nainstalovaný na uživatelských stani-
cích, ale můžete také zajistit, že se ve vašem prostředí bude spouštět pouze autori-
zovaný software. Tyto zásady dohromady poskytují velmi silný nástroj pro
zajišťování bezpečného a řízeného prostředí, v němž mohou být vaši uživatelé ma-
ximálně produktivní.
Správa
konfigurací sady
Microsoft Office
Obsah kapitoly:
10.1	Základy správy konfigurace sady Microsoft Office.....................378
10.2	Přizpůsobování konfigurací sady Microsoft Office..........................379
10.3	Správa zásad souvisejících se sadou Microsoft Office......................391
10.4	Shrnutí...................................................................403

Správa
bezpečné síťové
komunikace
Obsah kapitoly:
11.1	Úvod do zásad protokolu IPSec...........................................406
11.2	Správa zásad protokolu IPSec............................................409
11.3	Zavádění zásad veřejných klíčů..........................................422
11.4	Úvod do zásad pro správu brány firewall systému Windows.................428
11.5	Správa zásad brány firewall systému Windows.............................431
11.6	Shrnutí.................................................................444
tapitola 11 - Správa bezpečné síťové komunikace
’ip Určit můžete jinou cestu a název souboru, včetně vzdálené cesty formátu UNC (pokud
ná počítač zaznamenávající data v tomto umístění dostatečná oprávnění). Jestliže provádíte
áznam do umístění daného cestou UNC, měli byste v cestě při určování názvu počítače pou-
ít proměnnou prostředí %ComputerName%, aby měl každý počítač svůj vlastní protokol. Ne-
apomínejte, že tento postup může vygenerovat na vzdáleném počítači velký síťový provoz.
 Size Limit (Omezení velikosti) l ato možnost slouží k určení maximální veli-
kosti protokolu (v kilobajtech). Když protokol dosáhne této maximální velikos-
ti- začnou se přepisovat nejstarší záznamy. Proto musíte velikost navrhnout
v závislosti na tom, jak silný provoz je na vašich počítačích a jaké informace za-
znamenáváte. Příliš malá velikost protokolu muže na vytíženém serveru způ-
sobit. že informace se přepíší dříve, než budete mít možnost si je prohlédnout.
. Klepněte na tlačítko OK.
otlačení odpovědí typu Unicast na požadavky
ypu Multicast či Broadcast
ásaciy Windows 1 irewall: Prohibit Unicast Response To Multicast Or Broadcast
equests (Brána firewall systému Windows: Zakázat odpovědi jednosmčrového vy-
laní na požadavky vícesměrového a všesměrového vysílání) slouží k zabránění ur-
itým druhům síťových útoku, při nichž infikovaný počítač odešle zprávu typu
roadcast nebo multicast a čeká na odpovědi typu unicast od cílových počítačů.
íou-Ií tyto zásady na infikovaném počítači zapnuty, jsou odpovědi typu unicast na
orávy typu broadcast nebo multicast jednoduše zahozeny. Jsou-li tyto zásady vy-
nuty, počítač během prvních 3 vteřin akceptuje všechny odpovědi typu unicast
poté je začne blokovat.
^známka Jestliže zapnete zásady Windows Firewall: Prohibit Unicast Response To Multicast
r Broadcast Requests, nebudou ovlivněny požadavky protokolu DHCP z daného počítače,
.eré mají obvykle podobu požadavku typu broadcast následovaného odpovědí typu unicast
1 serveru protokolu DHCP.
Shrnutí
□mocí zásad skupiny můžete spravovat zabezpečení síťové komunikace pro pro-
•kol IPSec, šifrováni veřejného klíče a bránu firewall systému Windows. Protokol
* Security vám přináší bezpečnou, ověřenou a šifrovanou komunikaci pro sítě pro-
kolu TCP IP. Protokol IPSec se ideální hodí pro speciální servery, které vyžadují
xlatečnou vrstvu síťové ochrany. Tento protokol také poskytuje základní filtrování
>rtu, ačkoliv s příchodem brány firewall systému Windows již není v tomto směru
)užití protokolu IPSec nejlepší volbou. Šifrování s veřejným klíčem vám umožňuje
lit použití certifikátu veřejných klíčů a přináší užitečné funkce pro koncové uživa-
le, jakými je systém F.FS (Encrypting Filé System) nebo šifrování elektronické poš-
. Brána firewall systému Windows poskytuje stavové filtrování protokolu TCP/IP,
eré slouží k ochraně počítačů před neautorizovaným přístupem. Pomocí zásad
upiny můžete konfigurovat výjimky brány firewall systému Windows a zakázat
'.ivatelům a místním správcům prováděni místních uprav konfiguraci brány fi-
wall systému Windows.
Tvorba vlastních
prostředí
Obsah kapitoly:
12.1	Zpracování ve zpětné smyčce (Loopback processing)......................447
12.2	Terminálová služba.....................................................450
12.3	Zásady skupiny a pomalá připojení......................................468
12.4	Shrnutí................................................................475

kapitola
Struktura
a zpracování
zásad skupiny
Obsah kapitoly:
13.1	Procházení logické struktury zásad skupiny............................480
13.2	Procházení fyzické struktury zásad skupiny............................489
13.3	Procházení struktury propojení zásad skupiny..........................494
13.4	Princip zpracování zásad skupiny......................................497
13.5	Procházení struktury místního objektu GPO.............................516
13.6	Shrnutí...............................................................519

kapitola
Úpravy šablon
pro správu
Obsah kapitoly:
14.1	Co je šablona pro správu?.........................................522
14.2	Vytváření vlastních souborů	.adm..................................532
14.3	Příklad jednoduchého souboru .adm.................................533
14.4	Jazyk souborů .adm................................................534
14.5	Doporučené postupy................................................555
14.6	Shrnutí...........................................................557

Šablony
zabezpečení
Obsah kapitoly:
15.1	Struktura šablon zabezpečení........................................560
15.2	Překrývání šablon zabezpečení s objekty zásad skupin................567
15.3	Práce se šablonami zabezpečení......................................568
15.4	Úpravy šablon zabezpečení...........................................569
15.5	Úpravy možností zabezpečení.........................................571
15.6	Nastavování služeb v šablonách zabezpečení..........................578
15.7	Řešení firmy Microsoft pro nastavení zabezpečení....................580
15.8	Shrnutí.............................................................583

Řešení problémů
se zásadami
skupin
Obsah kapitoly:
16.1	Základy řešení problémů se zásadami skupin
16.2	Základní nástroje pro řešení problémů
16.3	Protokolování zásad skupin
16.4	Shrnutí
588
598
615
631
Časté problémy
se zásadami
skupin
a jejich řešení
Obsah kapitoly:
17.1	Řešení problémů se správou objektů zásad skupin.......................634
17.2	Nastavení zásad skupin nejsou použita kvůli problémům s infrastrukturou.. 647
17.3	Řešení problémů s implementací........................................656
17.4	Shrnutí...............................................................667

Část 5
Přílohy
V této části:
Příloha A: Přehled zásad skupiny........................................671
Příloha B: Nové funkce v systému Windows Server 2003 Service Pack 1.....681
Příloha C: Práce se skripty v Group Polky Management Console............703
Příloha D: Základní informace o šablonách pro správu sady Office 2003...723

Přehled zásad
skupiny
Obsah přílohy:
Přehled informací o uzlu Computer Configuration (Konfigurace počítače)......671
Přehled informací o uzlu User Configuration (Konfigurace uživatele).........676
Přehled informací o uzlu Computer
Configuration (Konfigurace počítače)
V tomto dodatku najdete stručný přehled informací o zásadách skupiny, obsahující
především odkazy na kapitoly teto knihy či další zdroje zabývající se danou oblastí zá-
sad. Celý dodatek tvoří vlastně dvě tabulky. V tabulce A.l najdete přehled jednotlivých
oblastí zásad uzlu Computer Configuration (Konfigurace počítače) spolu s odkazy na
ta místa v knize či na přiloženy disk CD, kde je dana oblast popisována. Tabulka A.2 je
v podstatě shodná, zabývá se však uzlem User Configuration (Konfigurace uživatele).
Nové funkce
v systému
Windows
Server 2003
Service Pack 1

Práce se skripty
v Group Policy
Management
Console
Obsah přílohy:
Rozhraní konzoly Group Policy Management Console pro práci se skripty.704
Využití standardních skriptu konzoly Group Policy Management Console..712
dpt i to reA11GPOs.wsf	Účel	Příklad použití Pomocí tohoto SKriptu mů- Cscript RestoreAl1GPOs.wsf žete obnovit všechny ob- c: \gpoback jekty zásad z jejich	/doma i n: cpandl. com nejnovější zálohy umístěné v zadané složce.
toreGPO.wst	Umožňuje obnovenízada- Cscript RestoreGPO.wsf něho objektu zásad do jeho c:\gpoback "Desktop původního stavu ze zálohy Conf i guration Policy" umístěné v dané složce. /domain: cpandl .com
GPOPermi ssionsBy- .wsf	Umožňuje změnu oprávnění Cscript SetGPOPermi ssionsBy- ke všem objektům zásad	SOM.wsf "Marketing" "GPO skupin propojeným se za- Admins" Permission: Ful 1 Edi t daným oborem správy.	/Recursive Skript přidá či upraví opráv- (Zadáte-li parametr Recursive, budou není pro zadanou skupinu, změněna oprávněni ke všem objek- pnčemž oprávnění nastaví tQm 2áSad skupin propojeným se na zadanou úroveň.	všemi organizačními jednotkami, které jsou členy dané organizační jednotky - v tomto případě organi- zační jednotky Marketing.)
SOMPermi ssi ons.wsf	Slouží k úpravě těch	Cscript oprávnění k oboru správy, SetSOMPermissions .wsf která se týkají práce	"Marketing" "GPO Admins" s objekty zásad skupin. /Permission: Li nkGPOs Pomocí tohoto skriptu lze /inherit nastavit oprávnění k propojování objektů zá- sad se zadaným oborem správy, protokolování vý- sledných sad zásad či je- jich plánování.
Základní
informace
šablonách pro
správu sady
Office 2003
ílohy
zobrazováni návrhu na opravy při psaní: Tools IOptions... iSpelling & Gram-
mar (Nástroje I Možnosti... I Pravopis)
 Nastavení výchozího umístění dokumentu otevíraných při spouštění, doku-
mentů, nástrojů, klipartů a souboru pro automatické obnovení: Tools I Op-
tions. .. I Filé Localions (Nástroje I Možnosti... 1 Umístěni souboru)
Možnosti konfigurace funkce automatických oprav, jako na příklad nahrazování
textu při psaní, opravy chyb způsobených nechtěným stisknutím klávesy Caps
Lock či používání velkých písmen na začátku názvů dnů: Tools I AutoCorrect... I
AutoCorrect (Nástroje lMožn< >sti automatických oprav I Automatické opravy).
Možnosti konfigurace výchozí úrovně zabezpečení maker: Tools iMacrolSecuri-
ty... (Nástroje I Makro I Zabezpečení...)
Dále zde najdete možnosti konfigurace jazykových nastavení, mezi něž patří
i povolení automatické detekce jazyka: Tools I Language I Set Language (Nástro-
je IJazyk I Nastavit jazyk)
Součásti Šablony pro správu aplikace Word 2003 jsou i volby pro nastavení růz-
ných dalších možností, jejichž příkladem muže být třeba automatický převod
písmene síťové jednotky na cestu UNC a naopak, či automatické vytvářeni do-
kumentu právního porovnání při použití funkce Tools, Compare and Merge Do-
cuments (Nástroje, Porovnat a sloučit dokumenty): Miscellaneous (Různé)
Rejstřík
A
aktualizace
automatické
blokování
přístup, 259
registru
syntaxe, 536
systému Windows
zavádění
prostřednictvím zásad, 362
zabezpečeni
po instalaci, 692
aktualizační server
určení, 259
aplikace
Internet Explorer
přizpůsobeni rozhraní, 300
správa konfigurací, 300
zpřísnění zabezpečení, 316
Microsoft Access 2003
umístění databází
výchozí složka, 399
Microsoft Excel 2003
umístěni souboru
výchozí složka, 399
Microsoft OneNote 2003
výchozí složky, 400
Microsoft Outlook
možnosti zabezpečení
konfigurace, 400
Microsoft Publisher 2003
výchozí složky, 400
Microsoft Word 2003
výchozí složky, 400
nová verze
zaváděni, 351
přiřaděm do kategorie, 349
atributy
defaultSecurityDescriptor
prohlížení, 487
upravovaní, 488
gPLink, 496
Úvod
Vítáme všechny čtenáře příručky Zasady skupiny Microsoft Windows. Tato příručka se
zabývá problematikou zásad skupiny, které jsou mezi produkty firmy Microsoft pro
uživatele možná tím nejméně průhledným produktem. Mnozí systémoví správci, síťoví
návrháři a manažeři v oblasti IT považují zásady skupiny za velmi komplexní část
služby Active Directory®, které nikdy nedokážou porozumět. I přesto jsou zásady
skupiny značně rozšířeny a implementovány, neboť jejich přinos v oblasti zabezpeče-
ní, distribuce softwaru a ochrany koncových stanic je dobře známý. Jestliže plošně
implementujete produkt, kteremu nerozumíte, znamená to pro vás skutečný problém
a značně frustrující zkušenost pro všechny zainteresované osoby. Tomu se ale můžete
vyhnout. Zásady skupiny jsou méně složité, více konfigurovatelné a snáze spravova-
telné, než si dokážete představit - krok po kroku, kapitolu po kapitole zjistíte, proč je
tomu právě tak.
O knize
Příručka Zásady skupiny Microsoft Windows popisuje správu zásad skupiny pro ope-
rační systémy Microsoft Windows Server™ 2003, Windows XP Professional a Windows
2000. Kniha je určena systémovým správcům, síťovým návrhářům a všem těm, kteří se
chtějí dozvědět něco o zásadách skupiny. Jestliže jste zodpovědní za podporu služby
Active Directory nebo se jen chcete naučit více o zásadách skupiny, je tato kniha prá-
vě pro vás.
22
Úvod
Tato publikace se zaměřuje na základní informace, které potřebujete, abyste mohli
zasady skupiny efektivně nasadit, spravovat a řešit s nimi související problémy. Od
čtenáře se očekává, že má základní znalosti v oblasti správy systémů a prostředí sítě
počítačů a zkušenosti s operačním systémem Windows Server 2003. Na zakladě to-
hoto předpokladu se nebudeme podrobně zabývat popisem služby Active Direkto-
ry, systému DNS či operačního systému Windows Server 2003. Těmto tématům se
detailně věnují jiné knihy, napr. Microsoft Windows Server 2003 Inside Ont (Micro-
soft Press, 200a), Microsoft Windows Server 2003 Velký průvodce administrátora
(Computer Press, 2005) a Microsoft Windows Server 2003 Kapesní rádce adminis-
trátora (Computer Press, 2003). Co tedy očekávat od této knihy? Je to příručka pro
práci se zásadami skupiny, která vysvětluje vše, co potřebujete vědět k tomu, abys-
te mohli zásady skupiny úspěšně zavádět, spravovat a udržovat je v chodu.
	Část 1, „Začínáme se zásadami skupin“, se zabývá základními úlohámi potřeb-
nými pro správu zásad skupiny. Kapitola 1 nabízí přehled zásad skupiny, popisuje
jejich fungování, jejich roli v rámci sítě počítačů s operačním systémem Windows
a způsob, jak zásady můžete používat. Kapitoly 3 a 4 jsou zaměřené na techniky
pro správu zásad skupiny.
	Část 2, „Scénáře a implementace zásad skupiny“, vysvětluje základní úlohy
pro zavádění a používání zásad skupiny. Kapitola 4 přináší informace o tom, jak
můžete nasadit zásady skupiny podle různých scénářů. Kapitola 5 se zaměřuje na
to, iak prostřednicím zásad skupin vylepšit zabezpečení. Kapitola 6 ukazuje, jak
pomocí zásad skupiny přizpůsobit plochu systému Windows a uživatelské rozhra
ní. V kapitole 7 se dozvíte, jak spravovat uživatelská nastavení a data. Dále se do-
čtete o přesměrování složek, skriptech a profilech a jejich vztahu k zásadám
skupiny. Kapitola 8 vám přiblíží způsob, jak udržovat konfigurace aplikace Micro-
soft Internet Explorer a jak pomocí zásad skupiny upravit zabezpečení prohlížeče.
Kapitola 9 přináší informace o zavádění aplikací za použití zásad skupiny. Kapitola
10 je věnovaná správě konfigurací balíku Microsoft Office pomocí zásad skupiny.
Kapitola 11 je plná podrobností o tom, jak používat zasady skupiny při správě na-
stavení síťového zabezpečení a síťové komunikace. Kapitola 12 zkoumá techni-
ky tvorby vlastních prostředí pro počítačové laboratoře, kiosky, speciálně
využívané počítače a další.
	Část 3, „Přizpůsobení zásad skupiny“, vás zavede do oblasti pokročilého při-
způsobovaní zásad skupiny. Kapitola 13 představí strukturu zásad skupiny, naučí-
te se něco nového o architektuře zásad skupiny včetně toho, jak jsou zásady
skupiny uchovávány a zpracovávány. Ve 14. kapitole se dozvíte jak si přizpůsobit
šablony pro správu. Kapitola 15 popisuje, jak si přizpůsobit šablony zabezpečeni.
V těchto kapitolách objevíte, že zásady skupiny jsou vysoce konfigurovatelné a že
s nimi můžete udělat mnoho pro optimalizaci vašeho prostředí služby Active Di-
rectory.
	Část 4, „Řešení problémů se zásadami skupiny“, je části, která popisuje, co
dělat, když se věci začnou ubírat nesprávným směrem. Kapitola 16 představuje
nástroje a techniky užitečné při řešení problémů. Kapitola 17 přináší řešení běž-
ných problémů se zásadami skupiny.
	Část 5, „Přílohy“, poskytuje důležité odkazy a zdroje. Příloha A nabízí zdroj pro
rychle hledaní, který lze použít jako rozšíření obsahu a rejstříku knihy. Příloha B
Úvod
23
popisuje nové funkce operačního systému Windows Server 2003 s balíčkem Servi-
ce Pack 1, Příloha C se zabývá technikami pro skriptování zásad skup ny. Příloha D
poskytuje manuál pro šablony pro splavu baličku Microsoft Office 2003-
Konvence použité v této knize
Pro upozornění na užitečné informace se v této knize používají tyto grafické prvky:
Prvek	Význam
Tip	Poskytuje užitečné informace o konkrétní úloze či funkci.
Další informace	Odkazuje na další zdroje informací pro dané téma.
<3> <&
Poznámka	Přináší doplňující informace.
Upozornění	Obsahuje důležité informace o možných ztrátách dat, prolomení za-
bezpečení a dalších závažných problémech.
Na CD	Zmiňuje nástroje či dodatečné informace, které jsou dostupné na
přiloženém CD.
Při dokumentaci úloh příkazového řádku se v této příručce používají tyto konvence:
Prvek	Význam
Tučné písmo	Znaky, které se píší přesně tak, jak je uvedeno (např. příkazy a pa-
rametry). Tučně jsou uvedeny také prvky uživatelského rozhraní.
Písmo s pevnou Ukázky kódu a Proměnné, za které je třeba dosadit odpovídající
ší řkou znaku	hodnoty. Například Soubor.xxx může vyjadřovat libovolný platný
název souboru.
%SystémovýAadresář% Proměnné prostředí.
Přiložené CD
Přiložené CD obsahuje množství nástrojů a skriptů, které vám pomohou zefektivnit
vaši práci se zasadami skupiny na počítačích s operačními systémy Windows 2000,
Windows XP Professional a Windows Server 2003. Některé z těchto nástrojů jsou
v knize popisovány, většina ale ne. Dokumentace jednotlivých nástrojů můžete najít
ve složce GroupPolicyGuideTools. Některé nástroje patří k sadě Microsoft W indows
Server 2003 Resource Kit, proto jsou navrženy pro použití s operačními systémy Win-
dows Server 2003-
Poznámka Nástroje, které jsou k dispozici na přiloženém CD, jsou navrženy tak, aby se pou-
žívaly na operačním systému Windows Server 2003 nebo Windows XP (nebo tak, jak je urče-
no v dokumentaci daného nástroje).
24
Úvod
Zásady podpory
Firma Microsoft nepodporuje nástroje nacházející se na CD příručky Zásady skupi-
ny Microsoft Windows. Firma Microsoft také neručí za funkčnost nástrojů ani nepo-
skytuje jejich opravy. Nicméně nakladatelství Microsoft Press nabízí zákazníkům,
kteří si zakoupí příručku Zasady skupiny Microsoft Windows, možnost kontaktu
a poskytnuti informací v případě problémů se softwarem. Chcete-li nahlásit případ-
né komplikace či problémy, zašlete zprávu na emailovou adresu
rkinput@microsoft.coni. Tato emailová adresa slouží pouze pro oznamování pro-
blémů souvisejících s publikací Zásady skupiny Microsoft Windows.
Nakladatelství Microsoft Press prostřednictvím webových stránek na adrese http: //
www.microsoft.com/learning/support/ poskytuje také opravy knih a přiložených
disků CD. Chcete-li se přímo připojit k databázi Knowledge Base finny Microsoft a za-
dat dotaz ohledně nějakého problému, jděte na internetovou adresu http:/ /support
.microsoft.com. Při problémech souvisejících se samotným operačním systémem
Microsoft Windows Server 2003 se obraťte na informace o podpoře, které jsou součástí
dokumentace vašeho produktu.
Systémové požadavky
V případě, že chcete používat nástroje, elektronické knihy a další materiály na při-
loženém CD, musí váš počítač splňovat následující požadavky:
	Operační systém Microsoft Windows Server 2003 nebo Windows XP
	Počítač s procesorem 233MHz nebo vyšším; doporučuje se procesor na frekven-
ci 550MHz nebo vyšší
	128 MB paměti RAM; doporučuje se 256 MB nebo více
	1,5 až 2 GB volného diskového prostoru
	Grafické karta s rozlišením 800 x 600 nebo vyšším a monitor
	Mechanika CD nebo DVD
	Klávesnice a myš nebo jiné zařízení kompatibilní s myší Microsoft
	Aplikace Adobe Acrobat nebo Adobe Reader
	Pro nástroje, které je potřeba stáhnout, také přístup na internet
Poznámka Konkrétní požadavky, včetně přístupu na internet či do sítě a související náklady
se budou lišit vzhledem ke konfiguraci vašeho počítače a aplikacím a funkcím, které se roz-
hodnete nainstalovat. Při síťové instalaci může být vyžadován dodatečný diskový prostor.
Část 1
Začínáme
se zásadami
skupiny
V této části:
1. kapitola: Úvod do zásad skupiny.27
2. kapitola: Práce se zásadami skupiny......43
3. kapitola: Pokročilá správa zásad skupiny.73
kapitola
lívod do zásad
skupiny
Obsah kapitoly:
1.1	Základy zásad skupiny.................................................28
1.2	Použití a implementace zásad skupiny..................................30
1.3	Začínáme se zásadami skupiny..........................................31
1.4	Porozumění struktuře zásad............................................34
1.5	Pohled na vazby objektů GPO a výchozí objekty GPO.....................36
1.6	Shrnutí...............................................................42
28
Kapitola 1 - Úvod do zásad skupiny
V této kapitole vam představíme Group Policy (Zásady skupiny). Zjistíte, k čemu
zásady skupiny slouží, jak je použít při konfiguraci domén či pracovních skupin
a jaké jsou infrastrukturní požadavky pro jejich implementaci. Používáte-li sítové
prostředí se službou Active Directory®, pak bez jakékoliv diskuse Group Policy
(Zasady skupiny) potřebujete. O tom není pochyb. Jedinou otázkou je jakým způ-
sobem získat ze zasad skupiny co nejvíce užitku. Ptáte se proč? Protože zásady
skupiny byly stvořeny proto, aby usnadnily život především správcům podnikových
sílí. Zásady skupiny umožňují sdružovat nastavení do samostatných množin a pote
je takto aplikovat. Zásady skupiny jsou v podstatě sadit nastavení, která usnadňuje
správu běžných a často opakovaných úkonů, ktere by se sice těžko realizovaly ruč-
ně, ale je možné je zautomatizovat (například nasazení noveno softwaru nebo na-
staveni programových omezení).
Související informace
	Informace o architektuře DNS naleznete v kapitole 26 knihy Microsoft Windows
Server 2003 Inside Out, (Microsoft Press 2004).
	Informace o službě Actr c Directory naleznete v kapitole 32 knihy Microsoft
Windows Server 2003 Inside Out (Microsoft Piess 2004).
	Informace o nasazení zasad skupiny (Group Policy) naleznete ve 4. kapitole té-
to knihy.
1.1	Základy zásad skupiny
Zásady skupiny je snadný a efektivní způsob jak spravovat počítače a uživatelská
nastaveni.
Co to dělá
Se zásadami skupiny můžete spravovat nastavení tisíců uživatelů či jeden počítačů
stejně snadno jako by se jednalo o jednoho uživatele či počítač. A to bez nutnosti
zvednout se ze židle či dokonce odejit od stolu. Stačí jen použít jeden z mnoha ná-
strojů a změnit nastavení na požadovanou hodnotu. Změna se poté aplikuje napříč
sítí na požadovanou podskupinu uživatelů či počítačů nebo na libovolného jednot-
livého uživatele či počítač.
Jeden ze způsobu jak chápat Group Policy (Zásady skupiny) je představit si je jako sa-
du pravidel, kterou můžete aplikovat pro usnadnění správy uživatelů a počítačů.
I když se to nemusí každému tak jevit, fungují zásady skupiny dnes mnohem intuitiv-
něji, než bylo kdykoli pre- llim možné. Stále ještě nevěřte? Uvědomte si. že pred pří-
chodem zásad skupiny bylo prováděni mnohých správcovských akcí možné jen
s pomocí zásahu do systémových registru a každou změnu bylo nutné dělat odděleně,
přímo fyzicky na cílovém počítači. Ni n příliš těžké si domyslet, že šlo o poměrně
složitou, časově náročnou a ze systémového hlediska ne příliš bezpečnou činnost.
Za pomoci zásad skupiny můžete jednoduše upravit hodnoty uložené v registrech ne-
bo jiná nastaveni a daná změna se při další aktualizaci zásad skupiny automaticky pro-
vede na Všech určených počítačích. Díky tomu, že změny lze dále upravovat ještě
předtím než jsou aplikovány (pomocí správcovské konzoly zásad skupiny), nejste vy-
Základy zásad skupiny
29
staveni pochybnostem o dopadu prováděných 7měn. Když se vam výsledky prove-
dené akce nelibí, můžete ji vrátit zpět tak, ze nastavíte zásadu do původního stavu.
Uvažujme ještě o něco dále. Představ te si situaci, kdy jste v registrech několika po-
čítačů ručně upravili ruzna nastavení systému Microsoft Windows a dostavily se
problémy. Uživatelé se nemohou přihlásit, nemohou provádět důležité operace ne-
bo se počítače chovají nestandardně. V případě, že jste všechny změny zdokumen-
tovali, muže se vam obnova původního stavu podařit - mate-li dostatek štěstí
a navíc jste si dobře zaznamenali původní nastavení a všechny změny. Zásady’ sku-
piny vám oproti tomu umožňují zazálohovat si („uložit4) stav zásad skupiny ještě
před provedením změn. Pokazí li se pak něco, můžete Gioup Policy (Zásady sku-
piny) snadno zrekonstruovat. V tomto případě si můžete být opravdu jisti, že po
aktualizaci zásad skupiny budou všechny změny vráceny zpět do náležitého stavu.
Jak to funguje
Když tu mluvíme o aktualizaci zásad skupiny, tak si možná říkáte, co tento pojem
vlastně vyjadřuje. Podrobnosti najdete až ve druhé kapitole, ale základy' aplikace
zásad skupiny (počáteční implementace) a její aktualizace (následné opětovné apli-
kace) vam nastíníme již zde. V rámci služby Active Directory jsou definovány' dvě
množiny zásad:
	Počítačové zásady \ /tahuji se na počítače a spadají do oddílu Computer Confi-
guration.
	UživateEké zásady Vztáhl ijí se na i iživatele a spadají do oddílu User Configtiration.
Počáteční implementace odpovídajících zásad je spuštěna dvěma jednoznačnými
událostmi:
	Zpracování počítačových zásad je spuštěno při nastartováni' počítače.
Jakmile je spuštěn počítač a dojde k inicializaci síťového spojení, aplikují se na-
stavení počítačové zásady a do souboru %AllUsersProfile%\Ntuser.pol se napí-
še historie změněných registrových nastavenu
	Zpracováni uživatelských zásad je spuštěno po přihlášení uživatele do
počítače. Jakmile se uživatel přihlásí do počítače, aplikují se uživatelské zásady
a do souboru XUserProf i 1 e%\Ntuser. pol se zapíše historie změněných registro-
vých nastavení.
Po nasazení skupinových zásad jsou jejich nastaveni pravidelně automaticky aktuali-
zována, aby byla zachována jejich aktuálnost a případné změny mohly vstupovat
v platnost. Implicitně je na doménovém řadiči sada Group Policy aktualizována kaž-
dých 5 minut. U ostatních serveru a pracovních stanic je implicitně aktualizována po
90 až 120 minutách. Kromě toho je zásada skupiny aktualizovaná každých 16 hodin
a to bez ohledu na to, zda mezitím došlo ke změně v nastavení zásad nebo ne.
Poznámka Oficiálně se uvádí, že pio pracovní stanicí a člensky server je výchozí interval ak-
tualizace zásad skupiny 90 minut, ale přidává se k n-m ještě odstup 30 minut, aby nedochá-
zelo k zahlcování doménových řadičů několikanásobnými požadavky na aktualizaci Proto je
ve skutečnosti velikost aktualizační periody 90 až 120 minut
Začínáme
se zásadami
skuninv
30 Kapitola 1 - Úvod do zásad skupiny
Tip Aktualizaci zásad skupiny mohou ovlivnit i další faktory, včetně toho jak je definována
detekce pomalého spojení (viz položka Slow Link Detection v oddíle Computer
Confi gurati on\Admini strati ve Templates\System\Group Poli cy) a nastavení zpraco-
vání zásad vztahující se na zásady, které se nacházejí v oddílu Computer Configuration\
Administrativě Templ ates\System\Group Pol i cy. Poslední aktualizaci zásad skupiny
zjistíte pomocí nástroje Group Policy Management Console (GPMC). (Viz oddíl s názvem
„Zjišťování nastavení zásad a doby poslední aktualizace" 3. kapitoly.)
1.2	Použiti a implementace zásad skupiny
Pro úspěšnou implementaci služby Active Directory je modul Group Policy natolik dů-
ležitý, že jej většina správců v nímá jako nedílnou součást teto služby. To je sice z velké
částí pravda - a na takovém uvažování není v podstatě nic závadného - ale je dobré si
uvědomit, že pro použití zásad skupiny službu Active Directory nepotřebujete.
Použití zásad skupiny v doménách
a pracovních skupinách
Group Policy (Zásady skupiny) můžete používal pro správu pracovních stanic s ope-
račním systémem Microsoft Windows 2000 a Windows XP Profěssional nebo severu se
systémy Windows 2000 a Windows Server™ 2003. Zatímco pro správu počítačů s ope-
račním systémem Windows NT, Windows 95, WindcAvs 98, Windows Millennium
EcLtion (Me) nebo Windows XP Home Fxlition Group Policy (Zasady skupiny) použil
nelze, v rámci podnikových (v doméně) a místních prostředí (v pracovních skupi-
nách) to možné je.
V podnikových prostředích, kde se používá služba Active Directory, je k dispozici
kompletní sada nastaveni zásad. Tato sada zásad se také označuje jako „domenove1 zá-
sady skupin“, „zásadyr skupiny služby Active Directory” nebo jen prostě „skupinová
zásada '. Dvěma důležitými prvky služby Active Directory jsou sítě (site) a organizační
jednotky (OU). Pracoviště sítě (site) reprezentuje fyzickou architekturu vaší sítě. Jedná
se o skupinu podsítí typu TCP IP, které jsou navrženy tak, aby řídily replikaci složek
a izolovaly provoz souv isející s ověřováním přihlašovacích údajů v jednotlivých fyzic-
kých síťových oblastech. Organizační jednotky slouží k seskupování doménových
objektu. OU je logická administrativní jednotka uvnitř domény, která muže repre-
zentovat samotnou strukturu organizace nebo její procesní toky.
Práce s objekty zásad skupiny
Zásady skupiny jsou aplikovaný v samostatných sadách, které se označují jako GPO
(Group Policy Objects). GPO obsahuje nastavení, která je možné různými způsoby’
aplikovat na počítače a uživatele domény Active Directory / pracoviště organizační
jednotky. Vzhledem k objektové hierarc hii služby Activ e Directory muže být nastaveni
nejvýše postaveného objektu GPO děděno jinými, níže postavenými, objekty GPO.
Například organizační jednotka Vývoj muže uvnitř domény zdědit nastavení domény
cpandl .com, čímž dojde k aplikaci doménových nastavení na uživatele a počítače or-
ganizační jednotky Vývoj. Jestliže nastavení zásad dědit nechcete, můžete je zabloko-
val tak, aby byla nastaveni < rPO aplikovaná pouze pro mže postavené obiekty GPO.
Začínáme se zásadami skupiny
31
Tip Doménová sada zásad skupiny může svádět k dojmu, že funkční úroveň domény či do-
ménové struktury ovlivňuje způsob použití zásad skupiny, ale to není pravda. Pro použití zá-
sad skupiny nemusí být doména ani doménová struktura domén v žádném konkrétním
funkčním režimu. Úroveň funkčnosti doménové struktury domén může být nastavena na:
systém Windows 2000, provizorní režim systému Windows Server 2003 nebo systém Win-
dows Server 2003. Úroveň funkčnosti domény může být nastavena na: kombinovaný režim
systému Windows 2000, nativní režim systému Windows 2000, provizorní režim systému
Windows Server 2003 nebo systém Windows Server 2003.
Pro místní prostředí ie dostupná podmnožina zásad skupiny s názvem Local Group
Policy (Místní zásady skupiny). Jak již název napovídá, místní zasady skupiny vám
umožňují spravovat nastavení, která ovlivní každého, kdo se přihlásí na místní počí-
tač. To znamená, že místní zásady skupiny se vztahuji jak na všechny uživatele
a administrátory, kteří se přihlásí na počítač spadající do pracovní skupiny, tak i na
všechny uživatele a administrátory, kteří se lokálně přihlásí na počítač, jenž je čle-
nem domény. Jelikož jsou mistra zásady skupiny podmnožinou zásad skupiny,
existují určité věci, které lze provádět prostřednictvím doménového nastavení, ale
nikoliv lokálně. Obecně lze konstatovat, že oblasti zásady, které nelze spravovat
lokálně, souvisí s funkcemi služby Active Directory, které můžete spravovat pro-
střednictvím zásad skupiny (napi. instalace softwaru). Ale stejně |ako zásady skupi-
ny založené na službě Active Directory, tak i mistr zásady skupiny jsou
spravovány pomocí objektu GPO. Tento objekt se nazývá LGPO - Local Group
Policy Object (Místní objekt zásad skupiny).
Začínáme
se zásadami
skuDinv
Kromě výše uvedených základních rozdílů mezi místními zásadami skupiny a zása-
dami skupiny založenými na službě Active Directory jsou oba druhy zásady spra-
vovány víceméně stejným způsobem. Dokonce se pro jejich správu používán
i stejne nástroje. Klíčový rozdíl je v objektu GPO, s nímž se pracuje. Na místním
počítači se používá výhradně místní objekt zasad skupiny. Nicméně jestliže použí-
váte službu Active Directory, pak kromě objektů LGPO můžete pracovat i s objekty
GPO reprezentujícími doménu, síť či organizační jednotku.
Tip Ať už se jedná o klientské pracovní stanice, členské servery nebo doménové řadiče,
všechny počítače se systémy Windows 2000, Windows XP Professional a Windows Server
2003 mají místní objekt zásad skupiny (LGPO). Objekt LPGO se zpracovává vždy, ale má nej-
nižší prioritu. Může tak snadno dojít k tomu, že jeho nastavení bude přetíženo nastaveními
pracoviště, domény či organizační jednotky Přestože mají doménové řadiče objekty místních
zásad skupiny, spravují se zásady skupiny doménových řadičů nejlépe pomoci implicitního
objektu GPO s názvem „výchozí zásada doménových řadičů" (Default Domam Controllers Po-
licy). Existuje také výchozí objekt GPO s názvem Default Domain Policy („výchozí doménová zá-
sada"). Snadno si můžete domyslet, že tyto výchozí objekty GPO mají speciální vyznám
a používají se značně specifickými způsoby. V:ce o výchozích objektech GPO se dozvíte dále
v této kapitole v oddíle s názvem „Práce s propojenými objekty GPO a výchozí zásadou".
1.3	Začínáme se zásadami skupiny
Dosud jsme se zabývali um. co modul zasady skupiny dělá, jak funguje a jak jej použit,
ale k tomu, jak vam může pomovi lépe spravoval vaši síť, jsme se zatím nedostali.
32
Kapitola 1 - Úvod do zásad skupiny
Nastavení a možností skupinových zásad
Pro začátek je třeba upozornit na to, že zásady skupiny nemusí byt zcela přesně tím,
co si pod nimi představujete. Přechazíte-li z prostředí systému Windows NT 4.0 na
prostředí systému Windows Server 2003, měli byste vědět, že zásady skupiny nejsou
zcela tím, čím je systémová zásada (System Policy) ve Windows NT. Systémová zásada
ve Windows NT je značně omezená a upřímně řečeno i její podstata se od zásad sku-
piny značné liší. Jestliže jste pracovali se systémem Windows 2000 nebo novějšími
verzemi operačního systému Windows, možná jste se již setkali s tím, co zásady
skupiny dokáží a ani iste si to neuvědomili. Nebo jste možná zaslechli někoho, kdo
neprávem vinil Group Policy (Zásady skupiny) ze svých problému.
Realita je taková, že zásady skupiny dělají prostě to, co jim přikážete. Zásady sku-
piny se spravují prostřednictvím konfigurace jejich nastavení. Položka nastavení zá-
sady je samostatně aplikovatelná vlastnost jako například zamezení přístupu
do dialogového okna „Spustit“. Většina nastavení zásad má tři základní stavy:
	Enabled (Povoleno) Položka nastavení zásady je odblokována a její parametry
jsou aktivní. Nastavení odblokujete obvykle proto, abyste si vynutili jeho použiti
Některá nastavení vám po odblokovaní umožní přístup k dodatečným možnostem,
které slouží k upřesnění způsobu, jakým bude dané nastavení aplikováno.
	Disabled (Zakázáno) Položka nastavení zásady je zablokována a její parametry
nejsou aplikovaný. Nastaven’ zablokujete obvykle proto, abyste se ujistili, že
nebude provedeno.
	Not Configured (Není nakonfigurováno) Položka nastaveni zásady se nepou-
žívá. Žádné z nastavení dané zásady nen aktivní ani neaktivní a v konfiguraci na-
stavení nebyly provedeny žádné změny.
Logika těchto stavů je poměrně jednoduchá. Nicméně, někteří lidé povazují Group
Policy (Zásady skupiny) za složitou komponentu, nebol na uvedené základní stavy
se vztahuje dědičnost a možnost blokování (to jsme výše již stručně zmínili a bu-
deme se jím dále zabývat ve 3- kapitole). Pro úspěšnou práci se zásadami skupiny
vám doporučujeme si zapamatovat tato dvě pravidla:
	Jsou-li zděděná nastavení zásady striktně vynucena, nemůžete je přetížit - zděděné
nastavení zásady se aplikuje bez ohledu na stav zásady nastavený v aktuálním ob-
jektu GPO.
	Jsou-li zděděná nastavení zásady v aktuálním objektu GPO blokována, a nikoliv
striktně vynucena, jsou zděděna nastavení zásady přetížena - zděděná nastavení
zásady se nepoužijí. Aplikují se pouze nastavení z aktuálního objektu GPO.
Využití zásad skupiny při správě
Když už teď přesně víte jak aplikovat individuáln nastavení zásady, podívejme se na
administrativní oblasti, v nichž můžete Group Policy (Zásady skupiny) použít. Ať už je
řeč o místní zásadě skupiny nebo doménové zásadě skupiny, oblasti správy se příliš
neliší. Nicméně, s doménovou zásadou skup»ny je možné dělat mnohem více. Jak
jsme ale uvedli již dříve, Local Group Policy (Místní zásady skupiny) nelze použit pro
správu žádných funkcí, které jsou závislé na službě Active Directory. Toto omezení je
primárním hlediskem pro rozlišení toho, co lze a co nelze ovlivnit místními zásadami
Začínáme se zásadami skupiny
33
skupiny. S použitím zásad skupiny můžete spravovat tyto klíčové administrativní ob-
lasti:
	Počítačové a uživatelské skripty Konfigurace přihlašovacích / odhlašovacích
skr ptů a skriptů pro běh pí zapnutí / vypnuti počítače.
	Přesměrování složek Přesun důležitých uživatelských složek do síťových sdí-
lených oblastí, kde je lze lépe spravovat a pravidelně zálohoval (platí pouze pro
doménovou skupinovou zásadu).
Začínáme
se zasadami
	Obecná bezpečnost počítače Zavedeni bezpečnostních nastavení pro účty,
historii událostí, skupiny, systémové služby, registry a souborové systémy. (S
místními zasadami skupiny můžete spravovat pouze obecná bezpečnostní na-
stavení počítače pro zásady účtů.)
	Místní bezpečnostní zásady Nastavení zásady pro audit, přiřazování uživatel-
ských práv a uživatelských privilegií.
	Údržba aplikace Internet Explorer Konfigurace rozhraní prohlížeče, bezpeč-
nosti, důležitých adres URL, výchozích programů, proxy-serveru atd.
	Bezpečnost protokolu IP Bezpečnostní nastavení protokolu IP pro klienty,
servery a bezpečné servery.
Bezpečnost veřejného klíče Nastavení zásad veřejného klíče pro automatické
přihlášení, EFS (Encrypting Pile System) atd.
Instalace softwaru Automatizovaná instalace nových programu a programo-
vých aktualizaci (platí pouze pro doménovou skupinovou zásadu).
Služby vzdálené instalace Nastavení parametrů klientské instalace.
Bezdrátová síť(IEEE 802.11) Nastavení zásad přístupových bodu, klientu a prefe-
rovaných síti (platí pouze pro doménovou skupinovou zásadu) pro bezdrátové sítě.
Softwarová omezení Určení omezení používaného softwaru. Místní zásady
skupiny nepodporují zásady omezení softwaru definované pro uživatele. Pod-
poruje pouze zásady omezení softwaru definované pro počítač.
Pomocí speciální sady zásad nazývané „šablony pro správu“ (Administrativě
Templates) můžete spravovat téměř jakoukoli část gra áckého rozhraní systému Win-
dows - nabídky, plochu, hlavni panel atd. šablony pro správu pracuji přímo s hodno-
tami registrů, proto jsou dostupné téměř identické zásady, ať pracujete s místní,
skupinovou nebo doménovou zásadou skupiny. Šablony pro správu muže použít
pro přizpůsobení následujících prvků:
	Ovládací panely Nastaveni přístupu do panelů a možností ovládacích panelů.
Můžete také konfigurovat nastavení pro přidáváni nebo odebíraní programu,
zobrazení, tiskárny a místní a jazyková nastavení.
	Plocha Konfigurace plochy systému Windows, dostupnosti a nastaveni aktivní
plochy a vyhledávacích možností služby Active Directory.
	Síť Konfigurace síti a nastavení síťových klientu, offline-souborů, klientu DNS
a síťových spojení.
	Tiskárny Konfigurace sdíleni a dostupnosti tiskáren, tisku na pozadí a možností
složek.
34
Kapitola 1 - Úvod do zásad skupiny
	Sdílené složky Povolení uveřejnění sdílených složek a kořenů DFS (Distributed
Filé System).
	Nabídka Start a hlavní panel Konfigurace nabídky Start a hlavního panelu,
která spočívá především v odstranění nebo skrytí položek a vlastností.
	Systém Konfigurace zásad souvisejících s obecnými systémovými nastaveními,
diskovými kvótami, uživatelskými profily, přihlašováním, řízením spotřeby, ob-
novou systému, hlášením chyb atd.
	Komponenty systému Windows Konfigurace toho zda a jak používat různé
komponenty systému Windows, jako jsou například Prohlížeč událostí, Plánovač
úloh a Aktualizace systému Windows.
1.4 Struktura zásad skupiny
Místní zásady skupiny jsou dostupné na všech počítačích se systémy Windows
2000, Windows XP Professional a Windows Server 2003. Doménová zásady skup.ny
je přístupná pouze tehdy, když na vaší síti běží služba Active Directory. A protože
služba Active Directory je závislá na protokolu TCP/IP a systému DNS, musíte pro
použití doménových zásad skupiny implementovat síť založenou na TCP/IP, DNS
a službu Active Directory.
Systém DNS a služba Active Directory
Služba DNS poskytuje jmenný kontext, který počítačům umožňuje, aby se navzájem
mohly najít. Jedná se o název standardu služby definované organizací IETF (Internet
Engineering Task Force) detailně popsaný v dokumentech RFC 1034 a RFC 1035. Sys-
tém DNS se na pracovní stanice a servery nainstaluje automaticky a nabízí několik
druhu dotazů dopredného vyhledávání (foiward lookup), které dávají počítači
schopnost rozeznat na základě hostitelského jména adresu IP a zpětné vyhledávání
(reverse lookup), které umožňuje zjistit hostitelské jméno na základě adresy IP.
Služba Active Directory nabízí pro doménu základní adresářové služby a mnoho
vlastností, které umožňují pokročilé řízení pomocí zásad skupiny. Primární komu-
nikační protokol služby Active Directory je LDAP (Lightweight Directory Access
Protocol). Protokol LDAP je průmyslový standard pro adresářový přístup běžící na
protokolu TCP/IP. Klienti mohou protokol LDAP používat pro řízení a dotazování
se na adresářové informace. Vždy samozřejmě pouze v souladu s úrovní nastave-
ných přístupových práv. Podporovány jsou také další komunikační protokoly, včet
ně replikačního rozhraní REPL; rozhraní pro starší poštovní klienty - MAPI
(Messaging Application Programming Interface); a také rozhraní SAM (Sucurity
Accounts Manager), které klientům se systémem Windows NT 4.0 umožňuje ome-
zený přístup do služby Active Directory. Celkově tato rozhraní umožňují:
	Pro účely ověřování, řízení přístupu, adresářového dotazováni a správy adresářů
umožňují komunikaci s protokolem LDAP, rozhraním xWSI (Active Directory7
Services Interface) a novějšími klienty aplikace Microsoft Outlook.
	Replikovaní mezi různými adresářovými servery za účelem distribuce adresářo-
vých změn na ostatní doménové řadiče.
Struktura zásad skupiny
35
	Komunikace se staršími klienty aplikace Microsoft Outlook (rozhraní MAPI),
především pro vyhledávání v adresářích.
	Komunikace s klienty se systémem Windows NT 4.0 pro účely ověřovaní a říze-
ní přístupu.
Pomocí systému DNS a ílužby Active Directory můžete vytvoří* adresářové struktu-
ry s velice specifickými jmennými kontexty. Objekty v rámci adresáře jsou logicky
seskupovány podle domény. Tím se doména stává jedním ze základních stavebních
bloků služby Active Directory. Dalšími dvěma stavebními bloky jsou pracoviště
a organizační jednotky (OU), o kterých jsme mluvili již dříve.
Co se týče domén, sítí a organizačních jednotek, má služba Active Directory velice
specifická pravidla. Kazda síťová pracovní stanice nebo server musí být členem
domény a musí se nacházet v nějaké síti. Každá pracovní stanice / server může
spadat pouze do jedné domény a pod jedno pracoviště sítě. Na druhou stranu, or-
ganizační jednotky (OU) jsou definovány v rámci domén a lze je chápat jako kon-
tejnery podmnožin uvnitř domény. Uvnitř vaší domény byste mohli mít například
tyto organizační jednotky: Marketing, Prodej, Podpora a Vývoj. Stejně jako domény,
tak i organizační jednotky mohou byt uspořádány v určité hierarchii. Uvnitř organi-
zační jednotky Prodej byste mohli mít například jednotky Prodej tiskáren a Prodej
počítačů.
Začínáme
se zásadami
Poznámka V operačním systému Windows NT jsou kvůli vytvoření jasných hranic mezi uživa-
teli, počítači a zdroji (nebo pro delegování správcovských práv při současném omezení správ-
covského přístupu) často vytvářeny přídavné domény. Pro podobné účely lze použít
organizační jednotky služby Active Directory, aniž byste museli vytvářet další (a často složité)
doménové struktury. Dalším důvodem pro tvorbu přídavných domén v systému Windows NT
byla snaha snížit provoz mezi síťovými segmenty - zde přicházejí ke slovu sítě (site) služby
Active Directory. Tyto sítě můžete použít, abyste získali lepši kontrolu nad komunikací mezi
jednotlivými síťovými segmenty.
Struktura služby Active Directory a dědičnost
Zahrneme-li místní počítač mezi základní struktury, o nichž jsme zatím mluvili, do-
jdeme k závěru, že typická síť se službou Active Directory má čtyři úrovně:
	Místní počítač
	Síť
 Doména
	Organizační jednotka
Je-li zásada skupiny nastavena na úrovni místního počítače, je tím ovlivněn každý, kdo
se na tento místní počítač přihlásí (místní skupinová zásada). Doménová zásada sku-
piny se nastavuje uvniti adresářové struktury a nastavení založená na službě Active
Directory se aplikují v tomto poradí: síť. doména, organizační jednotka.
Tato struktura se chápe jako čtyřvrstvá. Vrchní vrstvou je místní skupinová zásada,
druhou vrstvou je síť, třetí je doména a čtvrtou vrstvou je organizační jednotka. Or-
ganizační jednotky lze vzájemně zanořovat a tak v hierarchii můžete podle potřeby
vytvářet dodatečné* úrovně. Když zásadu nastavíme na určitou úroveň, nastaveni se
36
Kapitola 1 - Úvod do zásad skupiny
implicitně použijí na všechny objekty dané úrovně a všechny objekty nižších úrovní
(to obstará dědičnost).
Dědičnost nastaven zasad funguje následujícím způsobem (pokud není dědičnost
zablokována):
	Jestliže aplikujeme nastavení zásady na úrovni sně, ovlivníme tak všechny uži-
vatele a počítače, kteří jsou definovaní v rámci domén a organizačních jednotek
spadajících pod danou síť. Kdyby hlavní sít obsahovala například domény
těch.cpandl .com a sales.cpandl .com, pak by jakékoli nastavení použité pro tu-
to síť ovin nilo objekty obou domén.
	Jestliže aplikujeme nastavení zásady na úrovni domény, ovlivníme tak všechny
uživatele a počítače, kteří jsou definovaní v rámci organizačních jednotek spada-
jících pod danou doménu. Kdyby například doména tech.cpandl.com obsaho-
vala organizační jednotky Vývoj a IT, pak by jakékoli nastavení použité pro
doménu těch.cpandl .com ovlivnilo objekty obou organizačních jednotek,
	Jestliže aplikujeme nastavení zásady na úrovni organizační jednotky, ovlivníme
tak všechny uživatele a počítače, kteří jsou definovaní v rámci dané organizační
jednotky a v jednotkách pod ní (dceřiné organizační jednotky). Kdyby například
jednotka Vývoj obsahovala dceřiné jednotky Web a Windows, pak by jakékoli
nastaveni použité pro organizační jednotku Vývoj ovlivnilo organizační jednotky
Web i Windows.
1.5 Pohled na vazby objektů GPO
a výchozí objekty GPO
Ještc předtím než přejdeme k pokročilejším tématům zásad skupiny, vysvětlíme si
dva základní koncepty: vazby objektu GPO a výchozí objekty GPO. Vazby objektu
GPO ovlivňují způsob jakým je zásada aplikována Výchozí objekty GPO jsou spe-
ciální objekty, na nichž je založena schopnost služby Active Directory7 vytvořit zá-
kladní bezpečnostní předpisy pro doménové řadiče a domény.
Úvod do vazeb objektů GPO
Jak víte, dva druhy zásad skupiny jsou lokaní zásady skupiny a zásady skupiny za-
ložené na službě Active Directory. Místní zásady skupiny se vztahuji pouze na
místní počítače, pro které existuje vždy pouze jeden místní objekt GPO (tzv. LG-
PO). Na druhou stranu, zásady skupiny založené na službě Active Directory můžou
byl implementovány na úrovni sítě, domény nebo organizační jednotky a každá síť,
doména nebo organizační jednotka muže mít přiřazen jeden či více objektu GPO.
Spojení mezi objektem GPO a sítí, doménou nebo organizační jednotkou se nazývá
vazba. Přiřadíme-li například doméně nějaký objekt GPO. říká se, že objekt GPO je
na tuto doménu napojen (je s ní svázán).
Všechny objekty GPO. ktere v rámci služby Active Directory vytvoříte, jsou uloženy
v kontejneru služby Group Policy. Tento kontejner se replikuje clo všech doméno-
vých řadičů v doméně, čímž jsou do všech doménových řadičů dané domény im-
plicitně replikovány i všechny objekty GPO. Vazba (přiřazení) s doménou, sítí nebo
Pohled na vazby objektů GPO a výchozí objekty GPO
37
organizační jednotkou činí objekt GPO aktivním a aplikovatelným pro danou do-
ménu, síť či organizační jednotku.
Vazby lze vytvářet dvěma způsoby:
	Objekty GPO lze spojit s několika úrovněmi služby Active Directory. Objekt
GPO lze spojit například se sítí, doménou a několika organizačními jednotkami.
\ tomto případě se nastav ení objektu GPO vztahují na všechny uvedené úrovně
služby Active Directory.
	Objekty GPO lze spojit s konkrétní sítí, doménou nebo organizační jednotkou.
Když je objekt GPO napojen na doménu, vztahuji se pak nastavení tohoto ob-
jektu GPO na všechny uživatele a počítače této domény.
Tip Při práci s objekty GPO nikdy nezapomínejte na dědičnost. Ve dvou uvedených příkladech by
byl napojený objekt GPO zděděn objekty nižších úrovní. Nastavení objektu GPO napojeného na
doménu by bylo zděděno například organizačními jednotkami dané domény. Důvodem
k propojování objektů GPO s několika úrovněmi služby Active Directory je snaha o vytvoření
přímých přiřazení mezi objektem GPO a několika pracovišti, doménami, organizačními jed-
notkami nebo libovolnou kombinací sítí, domén a organizačních jednotek.
Začínáme
se zásadami
skupiny
Tip Další informace o navazování objektů GPO a dědičnosti naleznete ve 3. kapitole.
Spojení mezi objektem GPO a sítí, doménou či organizační jednotkou můžete sa-
mozřejmě také zrušit. Tím dojde k odstraněn přímého přiřazení mezi objektem
GPO a odpovídající úrovní služby Aclive Directory, pro kterou bylo spojení zruše-
no. Kdyby byl objekt GPO napojen například na síť s názvem První síť a současno
na doménu cpandl.com, pak není problém spojení s doménou zrušit. Odpojením
objektu GPO od domény dojde ke zrušení přiřazen mezi tímto objektem GPO
a doménou. Objekt GPO tak zůstane napojen pouze na síť. Jestliže později zrušíte
spojení mezi síti a objektem GPO, zůstane objekt GPO zcela bez jakýchkoli vazeb.
Objekt GPO, který byl odpojen od všech úrovní služby Active Directory, nadále
existuje uvnitř kontejneru, ale je neaktivní.
Práce s propojenými objekty GPO
a výchozí zásadou
Pro práci se zásadami skupiny existute několik nástrojů a jejich rozhraní jsou velice
podobná. Chcete-li pracovat s bezpečnostními nastaveními místních zásad skupiny
(například s částí Computer Configuration\Security Settings), pak můžete použít
nástroj Local Secunty Policy (Místní Zásady zabezpečení) (otevřete nabídku Start,
Všechny programy a následně složku Administrativě Tools (Nástroje pro správu).
Jestliže chcete mít plný přistup do lokáních zásad skupiny nebo chcete-li pracovat
se zásadami skupiny ve službě Active Directory, můžete použit nástroj Group
Policy Object Editor (Editor objektů zasad skupiny), který je součástí standardní in-
stalace operačního systému Windows Server 2003- Také je možné použit konzolu
GPMC (Group Policy Management Console). Ta je volné stažitelná z adresy
http://www.microsoft.com/downloads a pouze v US verzi.
Když vytvoříte nějakou doménu, vzniknou implicitně i dva objekty GPO:
38
Kapitola 1 - Úvod do zásad skupiny
	Objekt GPO pro výchozí zasadu doménových řadičů (Default Domain
Controllers Policy GPO) Výchozí objekt GPO vytvořený pro (a napojený na)
organizační jednotku Domain Controllers (doménové řadiče), který je použitel-
ný pro všechny doménové řadiče v doméně (pokud nejsou z teto organizační
jednotky vyjmuty), Tento objekt GPO se používá pro správu bezpečnostních
nastavení doménových řadičů v doméně.
	Objekt GPO pro výchozí doménovou zásadu (Default Domain Policy
GPO) Výchozí objekt GPO vytvořený pro (a napojený na) doménu služby
Active Directory. Tento objekt GPO se používá jako zaklad pro nastavení růz-
ných zásad vztahujících se na všechny uživatele a počítáče v doménc.
At už budete používat nástroj Group Policy Object Editor (Editor objektů zásad skupi-
ny) nebo konzolu GPMC, přístup k napojenému objektu Default Domain Policy bude-
te mít vždy k dispozici. U konzoly GPMC stačí v kořenové nabídce vybrat uzel Default
Domain Policy. Na druhou stranu, k objektu Default Domain Controllers Policy se při-
stupuje odděleně. X doménovém řadiči můžete k bezpečnostním nastavením objektu
Default Domain Controllers PoPcy přistupovat pomocí konzoly Domain Controller
Security Policy (napi oddíl Computer Configuration\Security Settings). (Otevřete
nabídku Start, Všechny Programy, Nástroje pro správu a poté klepněte na položku
Domain Controller Security Policy (Zásady zabezpečení doménových řadičů ) Chce-
te-li mít do objektu Default Domain Controllers Policy plný přístup, pak mí lžete pou-
žít) nastroj Group Policy Object Editor (Editor objektu zásad skupiny) nebo konzolu
GPMC.
Výchoz* objekty GPO jsou základem pro správné fungování zásad skupiny. Implicitně
má objekt Default Domain Controllers Policy mezi objekty GPO napojenými na orga-
nizační jednotku Domain Controller absolutní přednost a objekt Default Domain
Policy má absolutní přednost mezi objekty napojenými do domény. V následujících
oddílech se dozvíte, že význam a použiti jednotlivých výchozích objektů GPO se
do jisté míry liší.
Tip Výchozí objekty GPO jsou pro správné fungování zásad skupiny natolik duležite. že firma
Microsoft vytvořila obnovovací nástroj s názvem DCGPOFIX, který umožňuje snadné obno-
vení objektu Default Domain Policy (Výchozí zásady domény), objektu Default Domain Con-
trollers Policy (Výchozí zásady doménových řadičů) nebo obou. Program DCGPOFIX se
spouští z příkazové řádky a má následující parametry:
	/Target: Doma i n Obnovení objektu Default Domain Policy
	/Ta rget: DC Obnovení objektu Default Domain Controllers Policy
	/Iarget:Both Současné obnovení objektu Default Domain Policy a obiektu Default
Domain Controllers Policy
Další informace Podrobnější informace o nástroji DCGPOFIX najdete v kapitolách 16 a 17.
Práce s objektem Default Domain Policy
V systému Windows 2000 a jeho novějších verzích vznikne doména současně s vy
tvořením prvního doménového iadiče dané domény. To obvykle znamená přihlásit
se na vyčleněný server jako místní administrátor, spustit DCPROMO a určit, zda chcete
vytvořit novou doménu nebo novou doménovou strukturu. Vytvořite-li doménu
Pohled na vazby objektů GPO a výchozí objekty GPO
39
a doménový řadič, vzniknou současně i objekty Default Domain Controllers Policy
a Default Domain Policy. Objekt Default Domain Controllers Policy je napojen na
organizační jednotku Domain Controllers, která je pro novou doménu vytvořena
také automaticky. Objekt Default Domain Policy je napojen na doménu.
Objekt Default Domain Policy je kompletní sada, která obsahuje nastavení pro
správu mnolia drive zmiňovaných oblastí zásad, ale pro obecnou správu zásad
skupiny tento objekt není určen. Je dobré si zapamatovat, že objekt Default Doma-
in Policy byste měli měnit pouze za účelem správy výchozích nastavení Account
Policies (Zásad účtu) a jejich následujících oblastí:
Začínáme
se zásadami
skupiny
	Password Policy (Zásady hesla) Určuje výchozí zasady hesel pro doménové
řadiče, jako je nastavení historie hesel a minimální délky hesla.
	Account Lockout Policy (Zásady uzamčení účtu) Určuje výchozí zásady blo-
kovaní učtú pro doménové řadiče, jako je trváni blokace účtu a předpoklady
nutné pro zablokováni účtu.
	Kerberos Policy (Zásady modulu Kerberos) Určuje zásady systému kerberos
aplikované pro doménové řadiče, kterými jsou například maximáln tolerance
pro synchronizaci systémových hodin.
Pro správu dalších oblastí zásady byste měli vytvořit nový objekt GPO a spojit jej
s doménou nebo odpovídající organizační jednotkou dané domény.
Poznámka Divíte se, proč vám doporučujeme, abyste konfigurovali zásadu právě tímto způ-
sobem? Existují dva důvody. Zaprvé, jestliže dojde k narušení a selhání zásad skupiny, může-
te pomocí nástroje DCGPOFIX obnovit původní stav objektu Default Domain Policy (což
znamená ztrátu všech nastavení aplikovaných vámi na tento objekt). Zadruhé, určitá nasta-
vení zásad lze definovat pouze na úrovni domény a proto je nejlepší, použít je pro objekt
Default Domain Policy. Nicméně, neexistují žádná konkrétní omezení, kterým- by se výše
uvedená doporučení vynucovala.
Přístup k objektu Default Domain Policy je možnv několika způsoby. Používáte-li
konzolu GPMC, dostanete se k objektu Default Domain Policy po klepnuti na do-
ménový název ve stromu uvnitř konzoly. Poté klepněte pravým tlačítkem na uzel
Default Domain Policy a příkazem Edit získáte plný přístup do objektu Default
Domain Policy. Chcete-li pracovat pouze s bezpečnostními nastaveními objektu De-
fault Domain Policy, můžete použít konzolu Domain Security Policy. V tomto pří-
padě postupujte následovně:
1.	Přihlaste sc na doménový řadič jako dome ‘nový správce (Domain Administrátor).
2.	Otevřete nabídku Start, All Programs, Administrativě Tools, Domain Security Po-
licy (Všechny programy, Nástroje pro správu, Zásady zabezpečen:' domény).
3.	Jakékoli změny nastavení zde učiníte, ovlivní celou doménu.
Poznámka Account Policies (Zásady účtů) by vždy měly být definovány v objektu GPO, který má
mezi objekty napojenými na doménu nejvyšší prioritu. Nejvýše hierarchicky postaveným objek-
tem GPO napojeným na doménu je implicitně objekt Default Domain Policy. To je také důvod,
proč vám většina příruček bude radit, abyste zásady účtů nastavili právě v objektu Default Do-
main Policy. Ačkoliv se v podstatě jedná o dobrý přístup, má jednu nevýhodu: Nadefinujete-li
40
Kapitola 1 - Úvod do zásad skupiny
zásady účtů v několika objektech G PO napojených na stejnou doménu, nastavení se sloučí podle
pořadí spojení. Nejvyšší prioritu bude mít vždy objekt GPO s pořadím 1.
Výjimkou z pravidla, že objekt Default Domain Policy (nebo objekt GPO s nejvyšší
prioritou z objektů napojených na danou doménu) se používá pouze pro správu zasad
účtů, jsou čtyři zásady. Těmito zásadami (nacházejí se v sekci Computer Configuration
\Windows Settings\Security Set ti ngs\ Local Pol icies\Security Options - Konfigu-
race počítače\Nastavení systému Windows\Nastavení zabezpečení\M1stni zásady\
Možnosti zabezpečeni)jsou:
	Accounts: Renaine Administrátor Account (Účty: Přejmenovat účet správce).
Na všech počítačích v doméně přejmenuje přednastavený účet Administrátor
a nastaví pro něj nový název, aby byl účet lépe chráněn před napadením. Tato zá-
sada ovlivní pouze přihlašovací jméno účtu, mkoliv jméno uživatele. Jméno uži-
vatele zůstane i nadále stejné (zpravidla tedy Administrátor). Jestliže správce
změní přihlašovací jméno tohoto účtu pomocí nástroje Active Directory Users
And Computers (Uživatelé a počítače služby Active Directory), vstoup změny’
v platnost během příští aktualizace zásad skupiny).
	Accounts: Rename Guest Account (Účty: Přejmenovat účet hosta) Na všech
počítačích v doméně přejmenuje přednastaveny' účet Guest a nastaví pro něj
nový název, aby byl učet lépe chráněn před napadením. Tato zásada ovlivni
pouze přihlašovací jméno účtu, nikoliv jméno uživatele. Jméno uživatele zůsta-
ne i nadale stejné (zpravidla tedy Guest). Jestliže správce změní přihlašovací
jméno tohoto účtu pomocí nástroje Uživatelé a počítače službyr Active Directory,
vstoupí změny v platnost během příští aktualizace zásad skupiny.
	Network Security: Force Logoff When Logon Hours Expire (Zabezpečení
sítě: Vynutit odhlášeni pokud vyprší časový limit pro přihlášení) Vynutí
odhlášeni uživatele z domény poté, co vyprší povolený časový interval. Jestliže
pro uživatele nastavíte povolenou pracovní dobu například od 8:00 do 18:00, je
v 18:00 donucen se odhlásit.
	Network Access: Allow Anonymous SID/Name Translation (Přístup do sítě:
povolil anonymní překlad SID/názvu) Určuje, zda bude povoleno, aby mohl
anonymní uživatel vyžadovat atributy bezpečnostního identifikátoru (SID) re-
prezentujícího jiného uživatele. Je-li tato volba zapnuta, muže nekterý z uživate-
lů použít dobře známé SID správce systému k tomu, aby získal skutečné jméno
přednastaveného správcovského účtu (Administrátor) i v případě, že byl tento
účet přejmenován. Je-li tato volba vypnuta, může se stát, že počítače a aplikace
běžící v doménách systémů starších než je Windows 2000 budou mít problémy
s komunikací s doménami systému Windows Scner 20003. Tento problém se
vztahuje především na RAS-servery se systémem Windows NT 4.0, servery
Microsoft SQL se systémem Windows NT 3 X nebo systémem Windows NT 4.0,
služby RAS běžící na počítačích se systémem Windows 2000 umístěných
v doménách systému Windows NT 3 X nebo doménách systému Windows NT
4.0, servery SQL se systémem Windows 2000 umístěné v doménách systému
Windows NT 3.X nebo doménách systému Windows NT 4.0 a také na uživatele
ve zdrojové doméně systému Windows NT 4.0, kteří poskytují přístupová práva
na soubory, sdílené složky či objekty registru uživatelům z domén obsahujících
doménové řadiče Windows Server 2003.
Pohled na vazby objektů GPO a výchozí objekty GPO 41
Nastavení těchto čtyř zásad se obvykle spravuje přes objekt GPO, který je napojen
na doménovou úroveň a má nejvyšší prioritu. Stejne jako u zásad uživatelských
účtů (Account Policies), i zde je jím implicitně objekt Default Domain Policy.
Práce s objektem Default Domain Controllers Policy
V systému Windows 2000 a jeho novějších verzích vytvoříte doménový radk tak, že
spustíte nástroj DCPROMO a některý ze členských serverů povýšíte do stavu doméno-
vého řadiče. Po teto akci doje k přesunu objektu reprezentu.icího server do organi-
zační jednotky Domain Controllers. Dokud jsou doménové řadiče v uvedené
organizační jednotce Doma.n Controllers, spadají do vlivu zásady Výchozí zásada
řadičů domény — Default Domain Controllers Policy.
Začínáme
se zásadami
skupiny
Objekt Default Domain Controllers Policy je navržen tak, aby měly všechny domé-
nové řadiče dané domény stejná bezpečnostní nastavení. To je poměrné důležité,
neboť všechny doménové řadiče domény se službou Active Directory jsou si rovny
a v případě, kdy by měly různá bezpečnostní nastavení, by se jejich chování mohlo
lišit. A to by bylo velmi nežádoucí. Jestliže ma jeden z doménových řadičů určitá
bezpečnostní nastavení, měla by být tato nastavení použita pio všechny doménové
řadiče. Tak bude zajištěno konzistentní chování napříč celou doménou.
Upozornění Vyjmutí doménového řadiče z organizační jednotky Domain Controllers může
 nepříznivě ovlivn.t správu domény a může také vést k nekonzistentnímu chování během
přihlašování a ověřování. Vyjmete-li doménový řadič z organizační jednotky Domain Con-
troilers měli byste jeho bezpečnostní nastavení poté spravovat s maximální opatrností.
Jestliže provedete změny například v bezpečnostních nastaveních objektu Default Domain
Controllers Policy, měli byste se ujistit, že budou tyto změny aplikovány i na doménové řadi-
če, které se nenacházející v organizační jednotce Domain Controllers.
K objektu Výchozí zásada řadičů domény - Default Domain Controllers Policy je
možné přistupovat několika způsoby. Používáte-li konzolu GPMC, k objektu De-
fault Domain Controllers Policy se dostanete, když v konzolovém stromu klepnete
na uzel s názvem Domain Controllers. Poté klepněte pravým tlačítkem na položku
Default Domain Controllers Policy a vyberte příkaz Edit. Získáte tak plný přístup
k objektu Default Domain Controllers Policy. Jestliže chcete pracovat pouze s bez-
pečnostními nastaveními objektu Default Domain Policy, můžete použít konzolu
Domain Security Policy. V takovém případě použijte následující postup:
1.	Přihlaste se na doménový řadič jako doménový správce (Doma in Administrátor).
2.	Oteviete nabídku Start a ve složce Start, All Programs, Administrativě Tools klepně-
te na položku Domain Controller Security Policy (Všechny programy, Nástroje pro
spr ávu, Zasady zabezpečení řadiče domény).
3.	Nyní již můžete začít se správou bezpečnostních nastavení doménových řadičů.
Změny, které v nastaveních provedete, ovlivní všechny doménové řadiče dané
domény.
Protože se všechny doménové řadiče implicitně nacházejí v organizační jednotce
Domain Controllers, jakékoliv změny v bezpečnostních nastaveních budou mít im-
plicitně vliv na všechny doménové řadiče. Důležité bezpečnostní oblasti, které je
potieba spravovat konzistentně jsou:
42
Kapitola 1 - Úvod do zásad skupiny
 Local Policy (Místn. zásady):
	Audit Policy (Zásady auditu) Určuje výchozí monitorovací zásady pro domé-
nové řadiče. Např. zaznamenávání úspěšných událostí, selhání nebo obojího.
	User Rights Assignment ( Přirazení uživatelských prav) Určuje přiřazení
výchozích uživatelských prav pro doménové řadiče. Např. práva pro místní
přihlášení nebo přihlášení přes službu.
	Security Options (Možnosti zabezpečení) Sem spadá nastavení: Domain
Controller: Allow Server Operators To Schedule Tasks (Řadič domény: Povo-
lit operátorům serveru (Server Operators) plánovat úlohy).
	Parametry zaznamenávaní událostí jako např.
	Maximální velikost záznamu pro doménové řadiče
	Zablokování anonymního přístupu k záznamům z doménového řadiče.
	Rozhodnutí o uchovávání záznamu do protokolu a použitá metoda.
Poznámka Firma Microsoft doporučuje upravovat objekt Default Domain Controllers Policy
pouze za účelem nastavení uživatelských práv a zásad pro auditování. Jestliže se vyskytnou
problémy s fungováním tohoto objektu, můžete použít nástroj DCGPOFIX pro obnovení je-
ho výchozí podoby.
1.6 Shrnutí
Zasady skupiny představují účelný a účinný způsob jak spravovat počítačová a uži-
vatelská nastavení. Jejich skutečná síla tkví v tom, že nastavení stovek nebo tisíců
počítačů či uživatelů můžete spravovat stejně snadno jako nastavení jednoho uživa-
tele či počítače. Zásady skupiny to umožňují prostřednictvím nezbytných struktur
sloužících pro bezproblémovou správu nastavení uživatelů a počítačů kdekoliv
v podniku.
Pro práci se zásadami skupiny je důležité pochopit, jak modul zásady skupiny fun-
guje v různých prostředích. Bez ohledu na to, zda máte na starosti počítače uspo-
řádá né do pracovních skupin, domén nebo jejich kombinace, vždy můžete pro
jejich účinnou správu použít skupinovou zásadu. Nicméně existují jisté výhody po-
užiti zásad skupiny v doménové konfiguraci. Konkrétně v doménách se službou
Active Directory jsou zásady skupiny rozšířené pro lepší spraví] bezpečnosti počíta-
čů, bezdrátových sítí, instalace programů a služeb vzdálené instalace.
Práce
se zásadami
skupiny
Obsah kapitoly:
2.1	Objekty a nastavení zásad skupiny.....................................44
2.2	Správa objektů zásad skupiny..........................................50
2.3	Vytváření a propojování objektů GPO...................................59
2.4	Delegování pravomocí pro správu zásad skupiny.........................65
2.5	Odstraňování spojení a mazání objektů GPO.............................71
2.6	Shrnutí...............................................................71
44
Kapitola 2 - Práce se zásadami skupiny
Jak jste si již jistě stačili všimnout v minulé kapitole, Group Policy - Zásady skupiny
je poměrně komplexní soubor struktur, které vzájemně spolupracuji v zájmu správ-
né funkčnosti. Nejenže Group Policy fyzicky existují na disku, ale jsou také logicky
reprezentovány v adresářové službě Active Oirectory. Ať implementujete Group Po-
licy poprvé, nebo plánujete úpravu existujících zásad skupiny, použité techniky se
nebudou lišit. Začněte shromážděním informací o nastaveních a existující zásadě
a poté určete kroky nezbytné pro uvedení zásad skupiny do chodu. To obvykle
obnáší určení nastaveni, která chcete změnit, a poté provedení změn. Někdy to ta-
ké znamená úpravu chovaní zásad skupiny. Může se stát, že budete potřebovat
změnit například způsob, jakým bude modul zásady skupiny vyhodnocován nebo
způsob aplikace dědičnosti.
Související informace
	Další informace o zpracování zásad skupiny na klientech a fyzické struktuře zá-
sad skupiny najdete ve 13- kapitole.
	Další informace o správě zásad skupiny najdete ve 3. kapitole.
	Další informace o automatizaci a skriptovaní zásad skupiny najdete v příloze C.
2.1 Objekty a nastavení zásad skupiny
Chcete -Li pracovat s objekty (Group Policy Objects) a nastaveními zásad skupiny, je
potřeba použít jeden ze dvou dostupných nástrojů pro správu zásad skupiny: Group
Policy Object Editor (Editor objektů zásad skupiny) nebo konzolu Group Policy Ma-
nagement Console (GPMC). Nástroj Group Policy Object Editor (Editor objektů zásad
skupiny) je součástí standardní instalace systému Microsoft Windows Server™ 2003.
Konzola GPMC je volně dostupný doplněk, který si můžete stáhnout ze stránek finny
Microsoft na adrese www.mi crosoft. com/downl oads/. Bez ohledu na to jaký nástroj na-
konec použijete, základní úlohy správy zásad skupiny - prohlížení, tvorba, úpravy
a spojování objektů GPO - jsou v podstatě stejné. Ale oba nástroje se diametrálně liší
ve funkcích, které sahají mimo tuto základní množinu. Konzola GPMC má mnoho po-
kročilých možností a funkcí, které v nástroji Group Policy7 Object Editor (Editor objek-
tů zásad skupiny) dostupné nejsou. Tyto pokročilé funkce staví konzolu GPMC do
pozice nástroje vhodnějšího pro práci se zásadami skupiny.
/Poznámka Naše diskuse o správě zásad skupiny se zaměří více na konzolu GPMC než na ná-
stroj Group Policy Object Editor. Tato kapitola se bude zabývat obecnými technikami správy
zásad skupiny a chováním zásad skupiny. Ve 3. kapitole bude diskuse o konzole GPMC po-
kračovat se zaměřením na pokročilé techniky, včetně zálohování a obnovy objektů GPO, ko-
pírování objektů GPO a jejich modelováni.
\ Tip Poté co konzolu GPMC nainstalujete do počítače, dojde ke konfiguraci nastavení správy
zásad skupiny pomocí standardního rozhraní systému Microsoft Windows tak, aby se namís-
to nr stroje Group Policy Object Editor (Editor objektů zásad skupiny) využívala konzola
GPMC. I přesto ale konzola GPMC i nadále používá pro úpravy objektů GPO nástroj Group
Policy Object Editor.
Objekty a nastavení zásad skupiny
Práce s objekty GPO a připojování se k nim
Použijete-li pro práci s objekty GPO nástroj Group Policy Object Editor (Fditor
objektů zásad skupiny) nebo konzolu GPMC, odpovídající změny se implicitně
aplikují na doménový řadič sloužící jako emulátor primárního doménového řadiče
(PDC emulátor). Tím pádem je primární doménový řadič centrálním kontaktním
bodem pro tvorbu objektů GPO, jejich úpravy a mazáni. Služba Active Directory
spravuje nastavení zásady právě tímto způsobem, aby bylo zajištěno, že změny
struktury objektu GPO mohou byt implementovány pouze na jeden autorititivní
doménový řadič a že ten jeden správce může v daný moment přistupovat
k danému objektu GPO. Protože role emulátoru primárního doménového řadiče je
specifikována na úrovni domény, existuje v doméně pouze jeden emulátor PDC
a tím pádem jen jedno místo, kde se implicitně mění nastaveni zásady. Je-li emulá-
tor primárního doménového řadiče nedostupný7 právě v době, kdy se snažíte pra-
covat s nastaveními zásady, je vam umožněno pracovat s nimi na doménovém
řadiči, k němuž jste připojeni nebo na libovolném dostupném doménovém řadiči.
Jakýkoliv’ uživatel, který je členem skupiny Domain Admins nebo Enterprise
Admins může prohlížet a pracovat se zásadami skupiny založených na službě Acti-
ve Directory. Na rozdíl od Místních zásad skupiny, které používají jeden objekt LG-
PO pro jeden počítač, Group Policy založená na službě Active Directory může
používat v rámci sítě, domény nebo organizační jednotky několik objektů GPO. Pro
Group Policy založené na službě Active Directory je tvorba objektů GPO a jejich
spojování dvěma oddělenými operacemi. Pro dosažení požadovaných výsledků
nejprve vytvořte objekt GPO, a poté nadefinujte nastavení zásad skupiny. Následně
objekt GPO aplikujte a „oživte“ jej napojením na kontejner nebo kontejnery služby
Active Directory, kde se pak aplikuje.
Ačkoliv je vytváření a propojování obiektů GPO dvěma odlišnými operacemi, nástroje
správy zásad skupiny vám umožňují vytvářel objekty GPO a současně je i spojovat
s určitou adresářovou úrovní. To znamená, že při tvorbě a propojování objektu GPO
máte dvě možnosti:
	Vytvořit objekt GPO a později jej v rámci adresáře napojit na kontejnery’.
	Vytvořit objekt GPO a napojit jej na adresářový kontejner nebo kontejnery.
Zapamatujte si, že spojení je tím prvkem, který službě Active Ditectory říká, aby použi-
la nastavení určená objektem GPO. Můžete například vytvořit objekt GPO s názvem
Výchozí zasady domény a poté jej napojit na kontejner domény cpandl . com. Abyste
pochopili, jaka nastavení budou aplikována kdy a na jaké uživatele / počítače dané
domény, potřebujete dobře chápat princip dědičnosti a pravidel zpracování zásad.
Podle výchozích (standardních) pravidel dědičnosti a zpracování zásad platí, že
jakmile napojíte objekt GPO na nějaký kontejner, aplikují se na něj odpovídající na-
stavení zásady. Kontejnery nižších úrovní adresáře mohou nastavení zdědit. To
znamená, že připojený objekt GPO může ovlivnit všechny uživatele a počítače ce-
lého podniku - nebo určité podmnožiny uživatelů či počítačů v podniku.
Aplikace zásad skupiny a použití množiny RSoP
Když je na uživatele a počítače aplikováno několik objektů GPO, jejích účinek se sčita.
Tento kumulativní efekt (konečný výsledek dědičnosti a zpracování) se nazývá Vy-
46
Kapitola 2 - Práce se zásadami skupiny
sledna sada zásad - RSoP (Resultant Set of Policy). Když pracujete se zasadami skupi-
ny, tak v rámci řešeni problémů musíte často pro problematického uživatele nebo
skupinu určit jejich RSoP. Konzola GPMC vam umožňuje modelováni vlivu objektu
GPO ještě předtím, nuž jej nasadíte do systému. Můžete Lik určit množinu RSoP urči-
tého počítače či uživatele ještě předtím, než se rozhodnete, zda daný objekt GPO pou-
žijete nebo ne. Další informace o modelovaní objektů GPO najdete ve 3. kapitole
s názvem „Modelovaní a správa zasad skupiny".
V rámci služby Active Directory jsou objekty uspořádány pomocí hierarchické stro-
mové stru) tury, která se označuje jako adresářový strom. Strujktura stromu je odvoze-
na ze schématu a používá se pro definování vttahu rodič-potomek mezi objekty
uloženými v adresáři. Obrázek 2.1 ukazuje doménové vyjádření adresářového stromu.
Doménový objekt je rodičov $kýn) objektem všech objektů doményr a jako lakový je
kořenem adresářového stromu. Doménový objekt obsahuje další objekty, včetně dal-
ších kontejnerů, jakými jsou poddomény nebo organizační jednotky a standardní ob-
jekty jako uživatelé, počítače a tiskárny. Na obrázku je us.adatum.com poddoménou
domény adatum.com a tato poddoména má na nejvyšší úrovni dvě organizační jednot-
ky: Prodej a Služby.
OBRÁZEK 2.1: Doména adatum.com a s ní související adresářový strom
Služba Active Directory používá pro dotazováni a správu objekt i adresáře protokol
LDAP (Lightv eight Directory Access Protocob. Libqyolný objekt adresáře můžete lo-
kalizovat podle jeho cesty protokolu LDAP. Cesta protokolu LDAP pro organizační
jednotku Prodej domény us.adatum.com je LDAP://OU=Prodej. DC=us, DC=Adatum,
DC=COM. Část LDAP:// vyjadřuje skutečnost, že používáte protokol LDAP Sekvence
OU=Prodej, DC=us, DC=Adatum, DC=COM je přesným umístěním organizační jednotky Pro-
dej v adresáři. Kazda komponenta názv u objektu se dělí na komponentní části (zkrat-
ka OU je organizační jednotka a DC znamená doménová komponenta). Přesná
cesta k určitému objektu, bez časti vyjadřující použitý protokol, se nazýva Identifi-
kační jméno (Distinguished Name - DN).
Objekty v adresáři mají také tzv. lelativm rozlišující název (Relativu Distinguished
Name - RDN). RDN obsahuje pouze názvy komponent objektu. Tak například RDN
organizačn jednotky Prodej je OU=Prodej. V organizační jednotce Prodej by mohl být
uživatel Jan a počítač Jano voPC. Názvy RDN těchto objektu by tedy byly CN=Jan a CN=
Objekty a nastavení zásad skupiny
47
JanovoPC. (Zde zkratka CN znamená Common Name, čili něco jako „běžný název“.
Názvy DN těchto objektu by byly CN=Jan, 0U=Prodej, DC=us, DC=Adatum, DC=C0M
a CN=JanovoPC, 0U=Prodej, DC=us, DC=Adatum, DC=C0M.)	|
Jak vidíte, DN určuje umístění objektu v adresáři. Nejenom, že vám tento absolutní
název objektu přesně říká, ve kterých kontejnerech je objekt uložen, ale také nese
informaci o vzájemných vztazích mezi těmito kontejnery. Pro aplikaci zásad skupi-
ny je vztah mezi kontejnery extrémně důležitý. Jestliže víte, v jakém místě adresá-
řového stromu a v iakém kontejneru se objekt nachází, můžete určit (ve většině
případů) ktere objekty GPO se na daný objekt vztahují. Například JanovoPC by by-
lo ovlivněno následujícími objekty GPO (v následujícím pořadí):
1.	Lokální objekt GPO Janova počítače
2.	Objekt GPO domény adatum.com (je-li povolena dědičnost do dceřiných domén)
3.	Objekt GPO poddomény us.adatum.com
4.	Objekt GPO organizační jednotky Prodej
Poznámka Když pracujete s doménami a organizačními jednotkami, je důležité si pamato-
vat, že dědičnost uvnitř a mezi doménami funguje odlišně. Uvnitř domény dědí níže posta-
vené objekty GPO automaticky od výše postavených objektů GPO. Od doménového objektu
GPO dědí organizační jednotky automaticky. Organizační jednotky druhé úrovně dědí od
doménových objektů GPO a organizačních jednotek první (nejvyšší) úrovně atd. Mezi domé-
nami není dědičnost automatická, a to ani pro objekty ve vztahu rodič-potomek. To zname-
ná, že dceřiná doména automaticky nezdědí vlastnosti objektu GPO rodičovské domény.
Upozornění Firma Microsoft doporučuje vyvarovat se přiřazování objektů zásad skupiny na-
příč doménami. Jestliže je zásada skupiny přejata z jiné domény, zpomalí zpracování objek-
tů zásad skupiny zavádění systému a přihlašování. Málokdy se stává, že by byla povolena
dědičnost do domén potomků.
Adresářová cesta vás informuje o většině kontejnerů (ne o všech), které by mohly mít
objekty GPO, jež ovlivní uživatele či počítač. Chybí jedna podstatná část a ta souvisí
se síti. Na obrázku 2.2 je znázorněn hlubší pohled na doménu us.adatum.com a ob-
jekty uvnitř ní. Jak vidíte, tato doména má přiřazeny dvě sítě (anglicky site):
	Síť Seattle Tato síť má dvě organizační jednotky (Prodej a Podporu), které fy-
zicky obsahují několik zdrojů. Organizační jednotka nejvyšší úrovně (Prodej)
obsahuje objekty reprezentující dva počítače a jednoho uživatele. Podpora, dce-
řiná organizační jednotka Prodeje, má přirazen jeden objekt reprezentující počí-
tač a jeden reprezentující uživatele. Objekt CorpSrvOl je doménovým řadičem.
Položky JanovoPC a EdovoPC jsou pracovní stanice.
	SíťNY má jednu organizační jednotku (Služby) a dále fyzicky obsahuje několik
zdrojů. Služby, organizační jednotka nejvyšší úrovně, má tři objekty reprezentu-
jící počítače a dva reprezentující uživatele. Objekt CorpSrv02 je doménovým řa-
dičem. Položky JaninoPC a PavlovoPC jsou pracovní stanice.
Kapitola 2 - Práce se zásadami skupiny
Pracoviště Seattle
OJ Prodej
Pracoviště New York
OJ Služby
Janino PC Jana
Janovo PC Jan
Pavel
CorpSrv02
Edovo PC Eda
us.adatum.com
OBRÁZEK 2.2: Příklad uspořádání objektů uvnitř domény us.adatum.com
Podle tohoto diagramu přesně poznáte, které objekty jsou v adresái i uloženy a ve
kterých kontejnerech. Také se dozvíte, jaká existují propojení mezi sítěmi a objekty,
což vám dává možnost vytvořit si představu o tom, kde budou aplikovány jaké ob-
jekty GPO. V tomto příkladu (i v těch následujících) není povolena dědičnost
z rodičovské domény adatum.com na dceřinou doménu us.adatum.com. Jelikož víte,
že počítače a uživatelé jsou ovlivňovány i objektem GPO místního počítače (LG-
PO), je zřejmé, že JanovoPC bude ovlivněno ternito objekty GPO (v následujícím
pořadí):
1.	Objekt GPO místního počítače
2.	Objekt GPO sítě Seattle
3-	Objekt GPO poddomény us.adatum.com
4.	Objekt organizační jednotky Prodej
Práva a omezení pro uživatele Jan budou nastavena prostřednictvím stejných objek-
tů GPO, které budou aplikovaný ve stejném pořadí.
Představení množiny RSoP
Jak jste již viděli, ucelenou představu o množině objektů GPO, které budou apliko-
vány na libovolný počítač či uživatele v doméně, si můžete udělat při procházení
adresářového stromu. Můžete se tak podívat které domény, organizační jednotky
a sítě (site) budou aplikovány a určit tak množinu RSoP daného uživatele či počíta-
če. Vrátůne-li se k předchozímu příkladu a vyloučíme objekt LGPO, zjistíme, že ob-
jekty GPO budou mít na počítače a uživatele následující vliv:
Objekty a nastavení zásad skupiny
49
 Na úrovni sítě (anglicky site):
	Síť Seattle bude mít vliv na JanovoPC, Jana, doménový řadič CorpSrvOl, Edo-
voPC a na Edu.
	Síť NY bude mít vliv na JaninoPC, Janu, PavlovoPC, Pavla a na doménový řadič
CorpSrv02.
	Na úrovni domény:
 Doména us. adatum. com ovlivňuje JanovoPC, Jana, doménový řadič CorpSrvOl,
EdovoPC, Edu, JaninoPC, Janu, PavlovoPC, Pavla a doménový řadič CorpSrv02.
 Na úrovni organizačních jednotek:
	Organizační jednotka Prodej má vliv na JanovoPC, Jana a doménový řadič
CorpSrvOl.
	Organizační jednotka Podpora má vliv na EdovoPC a Edu.
	Organizační jednotka Služby má vliv na JaninoPC, Janu, PavlovoPC, Pavla
a doménový řadič CorpSrv02.
Dalším způsobem, jak lze toto vyjádřit, je říci, že množina RSoP těchto objektů je ná-
sledující (kromě objektu LGPO):
Začínáme
	Jan Množina RSoP tohoto uživatele vychází ze sítě Seattle přes doménu
us. adatum.com až do organizační jednotky Prodej.
	JanovoPC Množina RSoP tohoto počítače vychází ze sítě Seattle přes doménu
us.adatum.com až do organizační jednotky Prodej.
	Doménový řadič CorpSrvOl Množina RSoP tohoto doménového řadiče vychází
ze sítě Seattle přes doménu us.adatum.com až do organizační jednotky Prodej.
	Jana Množina RSoP tohoto uživatele vychází ze sítě NY přes doménu
us.adatum.com až do organizační jednotky Služby.
	JaninoPC Množina RSoP tohoto počítače vychází ze sítě NY přes doménu
us. a dat um. com až do organizační jednotky Služby.
	Pavel Množina RSoP tohoto uživatele vychází ze sítě NY přes doménu
us.adatum,com až do organizační jednotky Služby.
	PavlovoPC Množina RSoP tohoto počítače vychází ze sítě NY přes doménu
us.adatum.com až do organizační jednotky Služby.
	Doménový řadič CorpSrv02 Množina RSoP tohoto doménového řadiče vychází
ze sítě NY přes doménu us .adatum.com až do organizační jednotky Služby.
	Eda Množina RSoP tohoto uživatele vychází ze sítě Seattle přes doménu
us. a dat um. com a organizační jednotku Prodej az do organizační jednotky Podpora.
	EdovoPC Množina RSoP tohoto počítače vychází ze sítě Seattle pres doménu
us. ada tum. com a organizační jednotku Prodej až do organizační' jednotky Podpora.
Díváte-lise na množinu RSop, je také důležité zvážit, co se stane v případě, že věci
přeuspořádáte. Tak například, když Jana navštíví kancelar v Seattlu a přihlásí se na
JanovoPC nebo když Eda z oddělení pro podporu přijede do New Yorku a přihlásí
se na PavlovoPC. Z hlediska zásad skupiny dojde k následujícímu:
O Kapitola 2 - Práce se zásadami skupiny
	Jana se v Seattlu přihlásí na JanovoPC JanovoPC spadá pod počítačová na-
staveni (Computer Configuration) objektů GPO sítě Seattle, doménu
us.adatum.com a organizační jednotku Prodej. Jana (v době, kdy je v Seattlu na
JanovoPC) spadá do uživatelských nastaven1 (User Configuration) objektů GPO
sítě NY, doménu us.adatum.com a organizační jednotku Služby. Implicitně mají
přednost uživatelská nastavení objektů GPO vztahujících se na Janu.
	Eda se v New Yorku hlásí na PavlovoPC PavlovoPC spadá pod počítačová
nastaven- (Computer Configuration) objektů GPO sítě NY4, doménu
us.adatum.com a organizační jednotku Služby. Eda (v době, kdy je v New Yor-
ku na PavlovoPC) spadá do uživatelských nastavení (User Configuration) objek
tú GPO sítě Seattle, doménu us.adatum.com, organizační jednotku Prodej
a organizační jednotku Podpora Implicitně mail přednost uživatelská nastavení
objektů GPO vztahujících se na Edu.
	Přesun doménového řadiče CorpSrvOl do organizační jednotky Podpora
CorpSrvOl (když dojde k jeho přesunu do organizační jednotky Podpora) spadá
pod nastavení objektů GPO sítě Seattle, doménu us.adatum.com, organizační
jednotku Prodej a organizační jednotku Podpora. Implicitně mají přednost na-
stavení zásady organizační jednotky Podpora.
2.2 Správa objektů zásad skupiny
Zasady se vztahují pouze na uživatele a počítače. Nastavení zásad skupiny se dek
do dvou kategorií: počítačová nastavení (Computer Configuration) obsahující nasta-
vení pro počítače a uživatelská nastavení (User Configuration) s nastaveními pro
uživatelské účty. Obě kategorie lze dále rozdělit do ti. hlavních tříd, které dále ob-
sahují několik podtřid:
	Programová nastavení Slouží pro automatizaci nasazení nového softwaru
a aktualizací. Používá se také pro deinstalaci programu.
	Nastavení systému Windows Slouží ke správě klíčových systémových nasta-
vení počítačů a uživatelů, včetně skriptů a bezpečnosti. Pro uživatele můžete ta-
ké spravovat služby vzdálené instalace (Remote Installation Services),
přesměrování složek (Fokler Redirection) a údržbu aplikace Internet Explorer
(Microsoft Internet Explorer Maintenance).
	Šablony pro správu Slouží pro správu nastaveni registrů, kterými konfigurujete
operační systém, komponenty systému Windows a aplikace. Šablony pro správu
jsou implementovaný v závislosti na konkrétní verzi operačního systému.
Nástroje pro správu Group Policy vám k těmto třem třídám nastaveni poskytuj, přístup
a využívají různá rozšíření, která zprostředkovávají funkce nezbytné pro konfiguraci
nastavení Group Policy. Jak jsme jiz dříve zmiňovali, existují dva druhy Group Policy:
Local Policy (místní zásady) a Domain Polic y - zásady založené na službě Active Di-
rectory. Místní zásady skupiny se vztahují pouze na místní počítač a na jeden počítač
připadá právě jeden místní objekt GPO. Na druhé straně. Group Policy založené na
službě Active Directory mohou byt aplikovány odděleně pro sítě (site), domény a or-
ganizační jednotky. Chcete-li pracovat se zásadami, můžete tak učinil na úrovni míst-
ního počítače pomocí nástroje Local Security Policy (Místní zásady zabezpečeni*) nebo
Správa objektů zásad skupiny	5^
v rámci služby Active Directory pomocí konzoly GPMC. Následující oddíly se budou
zabývat klíčovými technikami, které se používají při přístupu k objektům GPO pro-
střednictvím těchto nástrojů a technikami správy nastavení zásad.
5 Poznámka Nastavení Group Policy dominových řadičů můžete spravovat nástrojem Domain
Controller Security Policy (Zásady zabezpečení doménových řadičů) (pokud doménové řadiče
spadají pod organizační jednotku Domain Controllers). Další informace o správě Group Po-
licy doménových řadičů a o nástroji Domain Controller Security Policy naleznete v kapitole 1
v oddíle „Pr ice s propojenými objekty GPO a výchoz.mi zasadami".
Začínáme
Správa místních zásad skupiny
Pro práci s místními zásadami potiebujele správcovský účet. V doméně je možné
použít účet patřící do skupiny Enterprise Admins, Domain Admins nebo do místní
doménové skupiny Administrators. V pracovní skupině musíte použil účet, který
patří do místní skupiny Administrátora.
Přístup k zásadám na místním počítači
1 místním zásadám lze přistupovat několika různými způsoby. Tím nejrychlejším je
napsat do příkazového řádku následující výraz:
gpedi t .msc /gpcomputer:"^computernameX"
Uvedený příkaz spustí v konzole Microsoft Management Console nástroj Group
Policy Objeti Editor (Editor obiektu zásad skupiny) a oznámí mu, že chceme pra-
covat s místním počítačem. V příkazu vyjadřuje XComputername% proměnnou pro-
středí, která nese název místního počítače a při použití je nutné ji uzavřít do
uvozovek, f místním zásadám můžete pomocí nástroje Group Policy Object Fditor
(Editor objektů zásad skupiny) přistoupit také následujícím způsobem:
1.	Otevřete nabídku Start a klepněte na položku Run (Spustit). Do dialogového okna
napište mmc a klepněte na tlačítko OK.
2.	V nabídce Hle (Soubor) hlavního okna zvolte položku Add Romové Snap-In
(Přidat nebo odebrat modul snap-in). V dialogu klepnete na tlačítko Add (Přidat).
3.	V dialogovém okně Add Standalone Snap-In (Samostatné moduly snap-in) klepně-
te na položku Group Policy Object Editor ( Editor objektu zásad skupiny) a poté
klepněte na tlačítko Add (Přidat). Spustí se následující průvodce.
í. Zobrazí se stránka vy boru objektu zásad, kde je jako cílový objekt zásad označen
Local Computer (Místní počítač), ř Jepněte na tlačítko 1'inish (Dokončit).
5.	V dialogu klepněte na tlačítko Close (Zavřít) a v dialogovém okně Add/Romové
Snap-In (Pi idat nebo odebrat modul snap-in) klepněte znovu na tlačítko OK.
Jestliže chcete pracovat pouze s bezpečnostními nastaveními místních zásad, můžete
použit konzolu Local Security Policy (Mistři zásady zabezpečení) zachycenou na
obrázku 2.3. Stačí otevřít nabídku Start, A11 Programs, Administrativě Tools (Start,
Všechny programy, Nástroje pro správu) a poté zvolit položku Local Security Policy
(Místní zásady zabezpečení).
2
Kapitola 2 - Práce se zásadami skupiny
OBRÁZEK 2.3: Přistup do lokační Group Policy pomoci nástroje Local Security Policy (Místní
zásady zabezpečení)
V nástrojích Group Policy Object Editor (Editor objektů zásad skupiny) a Local
Security Policy (Místní zásady zabezpečení) můžete konfigurovat bezpečnostní na-
stavení, která se týkají uživatelů a samotného místního počítače. Provedené změny
v nastavení zásad jsou pro počítač aplikovány během následující aktualizace Group
Policy. Množství nastavení, která lze spravovat lokálně, závisí na tom, zda je počítač
členem domény nebo pracovní skupiny a zda obsahují následující:
	Zásady pro hesla účtu, uzamykán: úctu a protokol Kerberos.
	Místní zásady pro audit, přiřazování uživatelských práv a bezpečnostní parametry.
	Možnosti zaznamenáváni událostí týkající se konfigurace velikosti žurnálu, přístu-
pu a retenčních možností aplikací, systému a bezpečnostních žurnálů.
	Nastavení bezpečnostních omezení pro skupiny, systémové služby, klíče registrů
a souborový systém.
	Bezpečnostní nastavení pro bezdrátovou komunikaci, veřejné klíče a standard IP-
Sec (Internet Protocol Security).
	Programová omezení, která určují,pkémohou na počítači běžet aplikace.
Konfigurace místních zásad probíhá stejným způsobem jako konfigurace zásad za-
ložená na službě Active Directory. Chcete-li zásadu aplikovat, je nutné ji odbloko-
vat a následně podle potřeby nakonfigurovat zbývající hodnoty. Odblokované
nastavení zásad je zapnuté a aktivní. Jestliže nechcete, aby byla zásada aplikována,
musíte ji zablokovat. Zablokované nastaveni zásad je vypnuté a neaktivní. Povolení
nebo zablokovaní dědičnosti může toto chování změnit (dále viz oddíl s názvem
„Správa dědičnosti zásad skupiny“ 3- kapitoly).
Přístup k místním zásadám na vzdáleném počítači
V praxi se vam často stane, že budete potřebovat přístup také k místním zásadám vzdá-
leného počítače. Představte si, že jste přihlášen- na EdovoPC a rádi byste zjistili jak je
nakonfigurována místní zásady naJanovoPC. Pro přístup k místním zásadám jiného
počítače se používá nástroj Group Policy Object Editor (Editor objektu zasad skupiny).
Jedním způsobem realizace je zadat do příkazového řádku následující příkaz:
gpedít.msc /gpcomputer:"RemoteComputer’
Správa objektů zásad skupiny
53
kcle řetězec RemoteComputer je název hostitelského počítače nebo plný DNS-název
vzdáleného počítače. Název vzdáleného počítače musí byt uzavřen do uvozovek:
gpedit.msc	/gpcomputer: ,,corpsvr04"	a
nebo	c
gpedit.msc	/gpcomputer:”corpsvr04.adatum.com"	*
K místním zásadám vzdáleného počítače můžete přistoupit také prostřednictvím ná-
sledujících kroku:
1.	Otevřete nabídku Start a klepněte na položku Spustit (Run). E)o dialogového okm
napište mmc a klepněte na tlačítko OK.
2.	V nabídce Soubor hla* ního okna zvolte položku Add/Remove Snap-ln (Přidat
nebo odebrat modul snap-in). V dialogovém okně Add/Remove Snap-ln (Přidat
nebo odebrat modul snap-in) klepnete na tlačítko Add (Přidat).
3-	V dialogovém okně Samostatné moduly snap-in klepněte na položku Group Policy
Object Editor (Fditor objektů zasad skupiny) a pole klepněte na tlačítko Add
(Přidat). Spustí se průvodce zasadou skupiny.
4.	Zobrazí se stránka Group Policy Object (Objekt zasady skupiny). Klepněte na tla-
čítko Browse (Procházet).
5.	V dialogovém okně Výhledání objektu klepněte na kartu Computer^ (Počítače)
a vyberte položku Another Computer (Jiný počítač). Poté klepněte znovu na tlačít-
ko Browse (Procházet).
6.	Do dialogového okna Selecí Computer (Název objektu) zadejte název počítače,
jehož místní zásady skupiny vás zajímají a klepněte na tlačítko Check Names (Kont-
rola názvů). Jakmile najdete ten správný počítač, dvakrát klepněte na tlačítko OK
a poté na tlačítko Finish (Dokončit).
7.	V dialogovém okně Add Standalone Snap-ln (Přidat Samostatné moduly snap-in
klepněte na tlačítko Close (Zavřít). Pak klepněte na tlačítko OK.
8.	Podle potřeby opakujte kroky 2 až 7 a přidejte tak všechny počítače, jejichž zásady
chcete vzdáleně spravovat. Až budete hotovi, příkazem Filé, Savé As (Soubor, Ulo-
žit jako) si vaši práci uložte.
Na obrázku 2.4 je vidět, že při práci s místními zásadami skupiny v nástroji Group
Policy Object Editor (Editor objektu zásad skupiny) odpovídán jednotlivé větve
konzoly počítačům, k nimž jste připojeni. V uv edene ukázce je konzola MMC při-
pojena ke vzdálenému počítači CORPSVR04 a k lokálnímu počítači.
Správa zásad skupiny služby Active Directory
Nejlepší způsob, jak spravovat Group Policy založenou na službě Active Directory,
je prostřednictvím konzoly GPMC, kterou je třeba stáhnout a nainstalovat. Konzolu
GPMC můžete (s ohledem na vaše administrátorská privilegia) používat ke správě
nastavení zásad. Účet, který pro tyto účely používáte, musí spadlí do skupiny
Enterprise Admins či do skupiny Domain Admins nebo musí mít přidělena opráv-
něn k práci s určitými hledisky Group Policy. Při práci v rámci skupin Enterprise
Admins a Domain Admins mějte na mysli následující:
54
Kapitola 2 - Práce se zásadami skupiny
	Členové skupiny Enterprise Admins mohou spravovat nastavení zásad doméno-
vé struktury, kde jsou členem. Kdyby byl například uživatelský ucel s názvem
Williams členem skupiny Enterprise Admins doménové struktury lesa
cpandl .com, mohl by Williams spravovat nastavení domény cpandl .com a všech
jejích dceřiných domén. To znamená, že by mohl spravovat nastaveni zásad pro
domény těch.cpandl .com, cs.cpandl .com a cpandl .com.
	Členové skupiny Doma in Admins mohou spravovat nastavení zásad konkrétní
domény, jejíž jsou členem. Kdyby byl například uživatelský účet s názvem Wil-
liams členem skupiny Domain Admins domény těch.cpandl .com, mohl by Wil-
liams spravovat nastavení domény tech.cpandl.com. Naopak by nemohl
spravovat nastavení zásad pro domc-ny cs.cpandl .com a cpandl .com. Nastavení
ostatních domén by mohl spravovat pouze v případě, že by pro tylo domény
mel prava skupiny Domain Admins (nebo privilegia skupiny Enterprise Admins
pro danou strukturu).
Při práci s delegovanými správcovskými právy mějte na mysli, že účet ma pouze ta
oprávnění, která na něj byla delegována. Mezi delegované pravomoci Group Policy
patří oprávnění spravovat spojení skupinových zásad, generovat RSoP pro účely
auditování a vytvářet RSoP pro potřeby plánovaní. V následujících oddílech se bu-
deme zabývat tím jak nainstalovat a používat konzolu GPMC. V oddíle Delegováni
pravomocí pro správu Group Policy“ se seznámíte s technikami pro delegování
správcovských oprávněni.
OBRÁZEK 2.4: Přístup do lokáních zasad skupiny pomoci nástroje Group Policy Object Editor
Instalace konzoly GPMC
Konzola GPA1C poskytuji integrované rozhraní pro práci s nastaveními zásad. Tuto
konzolu můžete nainstalovat na počítače s operačním systémem Windows Server
2003 nebo systémem Windows XP Professional s balíčkem Service Pack 1 a zápla-
tou QFE 326469 nebo s novějším operačním systémem Windows (v případě, že je
nainstalována také platforma .NET Framework). A protože instalace balíku .NET
Framevvork vyžaduje pro změnu aplikaci Internet Explorer verze 5.01 nebo novější,
jsou minimální komponenty požadované pro práci s konzolou GPMC následující:
	Aplikace Internet Explorer verze 5.01 nebo novější. Doporučena je aplikace In-
ternet Explorer verze 6.0 SPI nebo novější. Počítače s operačním systémem

Správa objektů zásad skupiny
Windows XP Profession.il SPI nebo systémem Windows Server 2003 mají apli-
kaci Internet Explorer verze 6.0 (nebo novější} implicitně nainstalovánu.
	Platforma .NET Framework. Počítače s operačním systémem Windows XP plat-
formu .NET Framework implicitně nainstalovánu nemají. Naopak, počítače
s operačním systémem Windows Server 2003 platformu .NET Framework impli-
citně nainstalovánu mají.
	Konzola GPMC s balíkem SPI nebo novější Počítače s operačním systémem
Windows XP Professional nebo systémem Windows Server 2003 nástroj GPMC
implicitně nainstalován nemají. Konzola GPMC je dostupná ke stižení v US ver-
zi, ze které vychází i anglické názvy voleb v našich postupech.
Poznámka Ačkoli můžete konzolu GPMC použít pro správu Group Policy v systémech Win-
dows Server 2003 a Windows XP, na počítače s operačním systémem Windows 2000 ji nain-
stalovat nelze. Pouze systémy Windows XP Professional a Windows Server 2003 ,sou
kompatibilní s rozšířeními, která tato konzola používá.
Postup stažení a instalace platformy .NET Framework a konzoly GPMC je následující:
1.	Zadresywww.microsoft.com/downloads/ stáhněte balík .NETFramework verze 1.1
nebo novější. Název souboru s instalátorem je Dotnetfx.exe. Stáhnete soubor
Dotnetfx.exea poklepáním zahajte instalační proces.
2.	Vzhledem k tomu, že instalace nástroje GPMC aktualizuje konzolu MMC, před za-
početím instalace GPMC je potřeba zavřít všechny nástroje běžící v konzolu MMC.
Jestliže to neuděláte, objeví se po spuštěni instalace varování oznamující vám, že
nástroj GPMC nebude možné nainstalovat, dokud nezavřete otevřenu konzoly.
3.	Ze stránek Microsoft Download Center na adrese www.mi crosoft .com/dcwnloads/
Stáhněte konzolu GPMC SPI nebo novější. Instalační balíček je v souboru
Gpmc. msi. Spusťte instalaci poklepáním na tento soubor.
Upozornění Ještě před nainstalováním konzoly GPMC byste si měli dobře promyslet, jakým
způsobem budete Group Policy služby Active Directory spravovat. Po instalaci konzoly GPMC
se změní způsob, jakým počítač pracuje se zásadami skup-ny a od dokončení instalace je
možné Group Policy služby Active Directory spravovat pouze prostřednictvím konzoly GPMC.
Tato skutečnost se samozřejmě vztahuje na konkrétní počítač Pro ostatní počítače máte
možnost používat existující nástroje pro práci se zásadami skupiny nebo na ně také nainsta-
lovat konzolu GPMC.
Práce s konzolou GPMC
Konzolu GPMC můžete spustit v Nástrojích pro správu. Otevřete nabídku Start, pak
složku All Programs (Všechny programy), Administrativě Tools (Nástroje pro sprá-
vu) a zvolte položku Group Policy Management Console. Jak je vidět na obrázku
2.5, levé podokno konzoly GPMC implicitně obsahuje na nejvyšší úrovni dvě větve:
« s
Kořenovou položku Group Policy Management a větev Forest (větev reprezentující
doménovou strukturu, ke které jste momentálně připojeni; její název je odvozen od
hlavní domény dané struktury). Otevřete-li tuto větev, uvidíte následující uzly:
 Domains Umožňuje přístup k nastavením doménových zásad aktuálně spravo-
vané doménové struktury. Implicitně jste připojeni k doméně, do které se hlásí-
56
Kapitola 2 - Práce se zásadami skupiny
te, ale není problém přidat připojení do dalších domén. Rozbal íte-li uzel některé
z domén, získáte přístup k položkám Default Domain Policy, organizační jed-
notce Domain Controllers (a k odpovídající zásadě Default Domain Controllers
Policy) a objektům GPO definovaným pro dmou doménu.
	Sites Poskytuje přístup k nastavením zásad pro sítě odpovídající doménové
struktury. Sítě jsou implicitně skryty.
	Group Policy Modeling Poskytuje přístup k průvodci Group Policy Modejjng
Wizard, který pomáhá při plánování nasazení zásady a pro testovací íičely slou-
ží také k simulování různých nastavení. Dostupné jsou také všechny uložené
modely zásad.
	Group Policy Results Poskytuje přistup k průvodci Group Policy Results Wi-
zard. Pro všechny domény, k nimž jste připojeni, jsou dostupné všechny souvi-
sející organizační jednotky a objekty GPO.
Poznámka V konzole GPMC jsou objekty GPO nacházející se v doméně, síti a kontejnerech
organizačních jednotek pouze spojeními, nikoliv samotnými objekty GPO. Skutečné objekty
GPO se nacházejí v kontejneru Group Policy Objects vybrané domény. Je taktéž dobré si
uvědomit, že ikony znázorňující spojení objektů GPO obsahují v levé dolní části malou šipku,
která se podobá šipce u ikon zástupců programů.
OBRÁZEK 2.5: Konzola GPMC umožňuje přístup k nastavením zásad pro domény, sítě
i organizační jednotky
Připojení k dalším doménovým strukturám
Konzola GPMC je navržena pro práci s několika doménovými strukturami, doménami
a sítěmi. Když spustíte GPMC poprvé, jste připojeni k vaší domovské doméně (domé-
na. do které se hlásíte) a doménové struktuře. K dalším strukturám se připojíte takto:
Správa objektu zásad skupiny
57
1.	Otevřete nabídku Stan poté složku AU Prugams (Všechny programy), Adninkrative
'[bok (Nástroje pro správu) a zvolte položku Group Policy Management Console.
Nebo zadejte do příkazového řádku výraz gpmc. msc.
2.	Ve stromu konzoly klepnete pravým tlačítkem na větev Group Policy Management
a poté zvolte položku Add Forest.
3.	Do dialogov eho okna Add Forest (viz obrázek 2.6) zadejte název domény ke které
se chcete připojit a klepnete na tlačítko OK. Jestliže se jedná o důvěryhodnou do-
ménu, můžete založit spojeni a získat infonnace o doménové struktuře -
i v případě, že nemate povolenou důvěryhodnost pro celou doménovou strukturu.
Začínáme
Kdykoliv od tecf spustíte konzolu Group Policy Management Console, bude přidaná
doménová struktura vždy k dispozici.
OBRÁZEK 2.6: Okno pro vložení názvu domény, ke které se chcete připojit
Zobrazení sítí v připojených doménových strukturách
Konzola GPMC implicitně dostupné sítě nezobrazuje. Chcete-li získat přístup k sítím
určité doménové struktury, postupujte podle těchto kroků:
1.	Otevřete nabídku Start, pak složku AD Pípgams (Všechny programy), Adnmvsirjtive
Tools (Nástroje pro správu) a zvolte položku Group Policy Management Console.
Nebo zadejte do příkazového řádku příkaz gpmc .msc.
2.	Rozbalte položku doménové struktury, kde chcete pracovat, klepněte pravým
tlačítkem na větev odpovídající sítě, a poté zvolte položku Show Sites.
3.	V dialogovém okně Show Sites (viz obrázek 2.7) označte zaškrtávací pole u sítí,
s nimiž chcete pracovat, a zrušte zaškrtnutí u těch, které vás nezajímají. Poté
klepněte na tlačítko OK
Kdykoliv od teď spustíte konzolu Group Policy Management Console, bude přidaná
struktura vždy k dispozici.
\ konzole GPMC můžete sledovat domény (rozděleno podle doménových struktur),
ke kterým jste připojeni. Konzola vás implicitně připojí k vaší domovské doméně
a doménové struktuře. Chcete-li pracovat s doménami určité struktury, postupujte
podle následujících kroků:
1. Otevřete nabídku Start, pak složku AD Rograim (Všechny programy), AdiiinenativeTcxJs
(Nástroje pro správu) a zvolte položku Group Policy Management Console. Nebo
zadejte do příkazového radku příkaz gpmc.msc.
2. Rozbalte položku doménové struktury, se kterou chcete pracovat, a poklepáním
rozbalte větev Domains.
V případě, že v seznamu doménu, s níž chcete pracovat, nenajdete, klepněte pra-
vým tlačítkem na větev Domains odpovídajíc struktury domén a zvolte položku
58
Kapitola 2 - Práce se zásadami skupiny
Show Domains. V dialogovém okně Show Domains poté zaškrtněte pole u do-
mén. s nimiž chcete pracovat a zrušte zaškrtnutí u těch, kieré vás nezajímají. Poté
klepněte na tlačítko OK. Kdykoliv od teď spustíte konzolu Group Policy Ma-
nagement Console, budou přidané domény vždy k dispozici.
OBRÁZEK 2.7: Výběr sítí, ktere chcete zobrazit
Konfigurace doménového e adice
Když spustíte konzolu GPMC, připojí se ke službě Active Directory běžící na doméno-
vém řadiči, který ve vaší domovské doméně vystupuje v roli emulátoru PDC, a obdrží
seznam všech objektů GPO a organizačních jednotek dané domény. Tento proces
proběhne za použití protokolu LDAP pro přístup do adresářového úložiště a protoko-
lu SMB (Server Message Block) pro přístup ke svazku Sysvol (Windows Server 2003
System Volume). Jestliže není emulátor PDC z nějakého důvodu dostupný (server ne-
běží nebo je nedostupný z jiného důvodu), nabídne vám konzola GPMC možnost pra-
covat s nastaveními zásad doménového řadiče, k němuž jste momentálně připojeni
nebo jiného dostupného doménového řadiče. Chcete-li konzolu GPMC přinutit k prá-
ci s jiným doménovým řadičem než je PDC, můžete jej manuálně překonfigurovat.
Tento proces se nazývá nastavení zamořeni doménového řadiče.
Doménový řadič, se kterým chcete pracovat, si můžete zvolit následujícím způsobem:
1.	Otevřete nabídku Start, pak složku AU ftugrams (Všechny programy), Admirii-tntivc
Tools (Nástroje pro správu) a zvolte položku Group Policy Management Console.
Nebo zadejte do příkazového řádku příkaz gpmc.msc.
2.	Rozbalte položku doménové struktury, se kterou chcete pracovat, a poklepáním
rozbalte větev Domains.
3.	Na doménu, s jejímž doménovým řadičem chcete pracovat, klepněte pravým tla-
čítkem a poté vyberte položku Change Domatn Controller. Otevře se dialogové
okno Change Domain Controller, které je zachyceno na obrázku 2.8.
Vytváření a propojování objektů GPO
4.	V části Current Domain Controller je uveden název doménového řadiče
k němuž jste momentálně připojeni. Při změně doménového řadiče můžete po-
užít následující možnosti nacházející se v části „Change to“.
	The Domain Controller With The Operations Master Token For The
PDC Emulátor Tuto možnost zvolte v případě, že z nějakého důvodu nejste
připojeni k emulátoru PDC a chcete se pokusit o navázání spojení s tímto
serverem pravě teď. Příklad použití: Emulátor PDC byl z důvodu údržby ne-
dostupný, nyní je opět Online a vy se k němu chcete znovu připojit.
	Any Availahle Domain Controller Tuto možnost zvolte pro připojení k libo-
volnému dostupnému doménovému řadiči s operačním systémem Windows
2000 nebo novějším. Příkladem použití muže být situace, kdy nepotřebujete
pracovat s doménovým řadičem, který má určitou verzi serverového operační-
ho systému Windows.
	Any Availahle Domain Controller Running Windows Server 2003 Or Lá-
teř Tuto možnost zvolte, když potřebujete pracovat s doménovým řadičem, na
kterém běží operační systém Windows Server 2003 nebo novější.
	This Domain Controller Zvolte tuto možnost a v panelu Domain Controllers
poté vyberte, zda chcete pracovat s konkrétním doménovým řadičem. Zobra-
zeny jsou i sítě, ve kterých jednotlivé doménové řadiče sídlí. Tak můžete podle
potřeby pracovat s doménovým řadičem konkrétní sítě.
2.3 Vytváření a propojování objektů GPO
Jak jsme již dříve zmiňovali, konzola GPMC vam umožňuje na vybrané doméně, síti
nebo organizační jednotce najednou či postupně vytvářet a připojovat objekty
GPO. Objekty GPO můžete vytvářet, aniž byste se připojili k nějaké doméně, síti
nebo organizační jednotce. Objekt GPO lze také vytvořit speciálně pro vybranou
doménu nebo organizačn* jednotku a automaticky jej nechat k dané doméně či or-
ganizační jednotce připojit. Jediným způsobem jak vytvořit a připojit objekt GPO
u sítě je udělat tyto operace odděleně.
Způsob jakým objekty GPO budete vytvářet je otázkou osobních preferencí. Není
žádný špatný nebo správný způsob. Někteří správci nejprve vytvoří objekt GPO, a po-
té jej připojí k doméně, síti či organizační jednotce. Jiní správci vytvoří objekt GPO
a nechají jej automaticky připojit k doméně, síti či organizační jednotce. Nicméně bys-
te si měli pamatovat, že objekt GPO je možné připojit k několika úrovním a k několika
kontejnerům (doménám, sítím a organizačním jednotkám ).
Poznámka Když objekt GPO vytvoříte a připojíte jej k doméně, síti či organizační jednotce,
aplikuje se tento objekt GPO na objekty reprezentující uz vatele a počítače dané domény, sí-
tě či organizační jednotky v souladu s nastaveném dědičnosti ve službě Active Directory, po-
řadí priorit objektů GPO a dalších nastavení. Jinými slovy, tyto parametry mohou ovlivnit
způsob, jakým budou aplikována nastavení zásady. Další in+ormace naleznete ve 3. kapitole
v oddíle „Správa dědičnosti zásad skupiny".
60
Kapitola 2 - Práce se zásadami skupiny
OBRÁZEK 2.8: Nastavte doménový řadič, se kterým chcete pracovat
Vytváření a propojování objektů GPO v rámci sítě
V doménové struktuře služby Active Directory mohou upravovat či vytvářet sítě
a jejich spojení pouze uživatelé skupiny Enterprise Admins a uživatelé kořenové
skupiny Domain Admins doménové struktury’. Stejně tak tvorbu a splavu objektu
GPO sítě mohou provádět pouze uživatelé skupiny Enterprise Admins a uživatele
kořenové skupiny Domain Admins doménové struktury’. Objekty GPO na úrovni sí-
tě. nejsou používány zas až tak často a když jsou implementovaný’, používají se
především pro správu síťových nastavení zásad. To spolu se síti slouží k lepší sprá-
vě fyzické struktury sítě (vašich podsítí). Objekty GPO pro sítě můžete použít na-
příklad pro správu bezpečnosti v rámci komunikace po protokolu IP, nastavení
aplikace Internet Explorer pro spolupráci s proxy-servery, bezdrátových sítí nebo
pro správu bezpečnosti veřejného klíče v rámci podsítí.
V konzole GPMC můžete vytvořit a připojit novy objekt GPO sítě prostřednictvím
následujícího postupu:
1.	Otevřete nabídku Start, pak složku MJ Rpgrams (Všechny’ programy’), AvHriitfriiAV
Tods (Nástroje pro správu) a zvolte položku Group Policy7 Management Console.
Nebo zadejte do příkazového řádku příkaz gpmc.msc.
2.	Rozbalte položku doménové struktury, se kterou chcete pracovat, a poklepáním
rozbalte větev Domains.
3.	Pravým tlačítkem klepněte na větev Group Policy Objects a pak zvolte položku New.
4.	Do dialogového okna New GPO (viz obr. 2.9) zadejte popisný název nového ob-
jektu GPO a klepněte na tlačítko OK. Nový objekt GPO se záhy objeví
v7 kontejneru Group Polky Objects
Vytváření a propojování objektů GPO
New GPO	X
Name:	IchicagoSite GPO	’	’
u । Cancel
OBRÁZEK 2-9: Vkládání popisného názvu nového objektu GPO
5.	Klepněte pravým tlačítkem na nový objekt GPO, a pote zvolte příkaz Edit. Ote-
vře se okno Group Policy Object Editor (Editor objektů zásad skupiny).
6.	Nakonfigurujte potřebná nastavení, a poté zavřete editor.
7.	V konzole GPMC rozbalte větev bites a vyberte sítě, se kterými chcete pracovat.
V pravém podokně zobrazuje karta Group Policy Objects objekty GPO, které
jsou momentálně připojeny k vybrané síti.
8.	Klepněte pravým tlačítkem na síť, ke které chcete objekt GPO připojit a zvolte
položku Link An Existing GPO. V dialogovém okně Select GPO (viz obrázek
2.10) vyberte objekt GPO, ke kterému chcete připojení navázat a klepněte na
tlačítko OK.
Poznámka Sítě ale nejsou vypsány automaticky. Jestliže sítě, se kterými chcete pracovat, ne-
vidíte, klepněte pravým tlačítkem na větev Sites a vyberte možnost Show Sites. Pak si již bu-
dete moci z dostupných sítí vybrat ty, které chcete zobrazit.
OBRÁZEK 2-10: Vybírání objektu CPO, ke kteremu se chcete připojit
Objekt GPO je nyní připojen k dané síti. Karta Linked Group Policy Objects nachá-
zející se v pravém podokně by měla obsahovat připojený objekt GPO. Jakmile do-
jde k aktualizaci zásad skupiny pro uživatele a počítače dané sítě, dojde k aplikaci
nastaveni objektu GPO. Jestliže se chcete dovědět iak provést manuální aktualizaci
Group Policy, nalistujte oddíl „Manuální aktualizace zásad skupiny" ve 3 kapitole.
62
Kapitola 2 - Práce se z« sadami skupiny
Počítačová zásada se aktualizuje během spouštění, v době kdy se počítač připojuje
do sítě. Uživatelská zásada se aktualizuje během přihlašování, v době kdy se uživa-
tel přihlašuje do sítě. Tím pádem se restartováním pracovní stanice či serveru dané
sítě můžete ujistit o tom, že počítačová zásada byla aplikována podle očekávání.
Chcete-li ověřit uživatelská nastavení, je potřeba uživatele dané sítě odhlásit a při-
hlásit. Po přihlášení můžete zkontrolovat, že vše funguje tak jak má.
Vytváření a propojování
objektů GPO v rámci domény
V doménové struktuře služby Active Directory mohou spravovat doménové objekty
pouze uživatelé skupiny Enterprise Admins, uživatelé skupiny Domain Admins
a uživatelé, na které byla delegována oprávnění. Abyste tedy mohli pracovat
s doménovými objekty GPO, musíte být členem skupiny Enterprise Admins,
Domain Admins nebo mít delegovaná odpovídající oprávnění. Vzhledem k zásadě
skupiny jsou delegovaná práva omezena především na správu spojení skupinových
zásad a množin RSoP za účelem plánování a tvorby žurnálu.
Na rozdíl od objektů GPO sítí, které se příliš často nepoužívají, jsou doménové objek-
ty GPO velmi rozšířené. V konzole GPMC můžete provádět tvorbu a propojovaní
nových objektů GPO jedné domény jako dvě samostatné operace nebo jako jednu
operaci.
Vytvoření a následné připojení doménového objektu GPO
Chcete-li vytvořit objekt GPO a poté jej připojit k doméně, postupujte podle násle-
dujících kroků:
1.	Otevřete nabídku Start, pak složku AU Rugpams (Všechny programy), XdmrasiKitive
Tools (Nástroje pro správu) a zvolte položku Group Policy Management Console.
Nebo zadejte do příkazového řádku příkaz gpmc.msc.
2.	Rozbalte položku doménové struktury, se kterou chcete pracovat a poklepáním
rozbalte odpovídající větev Domains.
3-	Pravým tlačítkem klepněte na větev Group Policy Objects a poté zvolte položku
New. Do dialogového okna New GPO zadejte popisný název nového objektu
GPO a klepněte na tlačítko OK.
4.	Nový objekt GPO se záhy objeví v kontejneru Group Policy Objects. Klepněte
pravým tlačítkem na nový objekt GPO a poté zvolte příkaz Edit.
5.	V okně Group Policy Object Editor (Editor objektů zásad skupiny) nakonfigurujte
potřebná nastavení, poté editor zavřete.
6.	V konzole GPMC rozbalte větev Domains a vyberte doménu, se kterou chcete
pracovat. V pravém podokně zobrazuje karta Linked Group Policy Objects ob-
jekty GPO, které jsou momentálně připojeny k vybrané doméně.
Poznámka Jestliže doménu, se kterou chcete pracovat, nevidíte, klepněte pravým tlačítkem
na větev Domains a vyberte možnost Show Domains. Pak si již budete moci z dostupných
pracovišť vybrat ta, která chcete zobrazit.
Vytváření a propojování objektů GPO
7-	Klepněte pravým tlačítkem na doménu, ke které chcete objekt GPO připojit, a poté
zvolte položku Link An Existing GPO. V dialogovém okně Select GPO vyberte
objekt GPO, ke kteremu chcete připojení navázat a klepněte na tlačítko OK.
Objekt GPO je nyní připojen k doméně. Připojený objekt GPO byste měli vidět ta-
ké v pravém podokně v kartě Linked Group Policy Objects.
Jakmile dojde k aktualizaci zásad skupiny uživatelů a počítačů dané domény, dojde
k aplikaci nastaven objektu GPO. Restartováním pracovní stanice či serveru dané
domény se můžete ujistit o tom, že počítačová zásada byla aplikována podle oče-
kávání. Chcete-li ověřit uživatelská nastavení, je potřeba uživatele dané domény
odhlásit a přihlásit. Po přihlášení můžete zkontrolovat, že vše funguje tak, jak má.
Vytvoření a současné připojení doménového objektu GPO
V konzole GPMC současně vytvoříte a připojíte objekt následujícím způsobem:
1.	Otevřete nabídku Start, pak složku All Programs, Administrativě Tools (Všechny
programy, Nástroje pro správu) a zvolte položku Group Policy Management
Console. Nebo zadejte do příkazového řádku příkaz gpmc.msc.
2.	Rozbalte položku doménové struktury, se kterou chcete pracovat, a poklepáním
rozbalte odpovídající větev Domains.
3.	Pravým tlačítkem klepněte na doménu, se kterou chcete pracovat, a poté zvolte
položku Create And Link A GPO Here.
4.	Do dialogového okna New GPO zadejte popisný název nového objektu GPO
a klepněte na tlačítko OK.
5.	Objekt GPO se vytvoří a připojí k doméně. Klepněte pravým tlačítkem nu objekt
GPO a zvolte příkaz Edit.
6.	V okně Group Policy Object Editor (Editor objektů zásad skupiny) nakonfigurujte
potřebná nastavení, a poté editor zavřete.
Jakmile dojde k aktualizaci zásad skupiny uživatelů a počítačů dané domény, dojde
k aplikaci nastavení objektu GPO. Restartováním pracovní stanice či serveru dané
domény se můžete ujistit o tom, že počítačová zásada byla aplikována podle oče-
kávání. Chcete-li ověřit uživatelská nastavení, je potřeba uživatele dané domény
odhlásit a přihlásit. Po přihlášení můžete zkontrolovat, že vše funguje tak, jak má.
Vytváření a propojování
objektů GPO organizačních jednotek
V doménové struktuře služby Active Directory mohou organizační jednotky spravo-
vat pouze uživatelé skupiny Enterprise Admins, uživatelé skupiny Domain Admins
a uživatelé, na které byla delegovaná oprávnění. Abyste tedy mohli pracovat
s objekty GPO organizačních jednotek, musíte být členem skupiny Enterprise
Admins, Domain Admins nebo mít delegovaná odpovídající oprávnění. Vzhleden
k zásadě skupiny jsou delegovaná oprávněni omezena především na správu spojeni
skupinových zásad a množin RSoP za účelem plánování a tvorby žurnálu.
Na rozdíl od objektů GPO sítí, které nejsou příliš často používaný, jsou objekty GPO
organizačních jednotek velmi rozšířené. Konzola GPMC je ohledně organizačních
jednotek značně univerzální. Nejenom že ji můžete používat pro vytváření a připojo-
64
Kapitola 2 - Práce se zásadami skupiny
vání nových objektů GPO k organizačním jednotkám, ale podle potřeby můžete také
vytvořit libovolnou organizační jednotku, aniž byste museli použít nástroj Uživatelé
a počítače služby Active Directory.
Vytváření organizačních jednotek v konzole GPMC
Chcete-li v konzole GPMC vytvořil organizační jednotku, postupujte podle následu-
jících instrukcí:
1.	Otevřete nabídku Start, pak složku AU Itograms (Všechny programy), Achimisti:atívv
T<xi> (Nástroje pro správu) a zvolte položku Group Policy Management Console.
Nebo zadejte do příkazového řádku příkaz gpmc.msc.
2.	Rozbalte položku doménové struktury, se kterou chcete pracovat, a poklepáním
rozbalte odpovídající větev Domains.
3.	Pravým tlačítkem klepněte na doménu, ve které chcete organizační jednotku vy-
tvořit, a poté zvolte položku New Organizational Unit.
4.	Do dialogového okna New Organizational Unii zadejte popisný název organi-
zační jednotky, a poté klepněte na tlačítko OK.
Vytvoření a následné připojení objektu GPO organizační iednotky
Chcete-li vytvořit objekt GPO organizační jednotky a poté jej připojit, postupujte
podle následujících kroků:
1.	Otevřete nabídku Start, pak složku All Bugjams (Všechny programy), Adnmisuam
Ta Js (Nástroje pro správu) a zvolte položku Group Policy Management Console.
Nebo zadejte do příkazového řádku příkaz gpmc.msc.
2.	Rozbalte položku doménové struktury, se kterou chcete pracovat, a poklepáním
rozbalte odpovídající vetev Domains.
3-	Pravým tlačítkem klepněte na větev Group Policy Objects, a pote zvolte polož-
ku New. Do dialogového okna New GPO zadejte popisný název nového objek-
tu GPO a klepněte na tlačítko OK.
4.	Nový objekt GPO se záhy objeví v kontejneru Group Policy' Obiects. Klepněte
pravým tlačítkem na nový objekt GPO, a poté zvolte příkaz Edit.
5-	V okně Group Policy Object Editor (Editor objektů zásad skupiny) nakonfiguruj-
te potřebná nastavení, a poté editor zavřete.
6.	V konzole GPMC rozbalte větev Domains a vy berte organizační jednotku, se kte-
rou chcete pracovat. V pravém podokně zobrazuje karta Linked Group Policy
Objects objekty GPO, které jsou momentálně připojeny k vybrané organizační
jednotce.
7.	Klepněte pravým tlačítkem na organizační jednotku, ke které chcete obiekt GPO
připojit, a pak zvolte položku Link An Existing GPO. V dialogu Selecí GPO vyberte
objekt GPO, ke kterému chcete připojení navázat, a klepněte na tlačítko OK.
8.	Objekt GPO je nyní připojen k organizační jednotce. Připojený objekt GPO bys-
te měli vidět také v pravém podokně v kartě Linked Group Policy Objects.
Jakmile dojde k aktualizaci zásad skupiny uživatelů a počítačů dané domény, dojde
k aplikaci nastavení objektu GPO. Restartováním pracovní stanice či serveru dané
organizační jednotky se můžete ujistit o tom, že počítačová zásada byla aplikována
Delegování pravomocí pro správu zásad skupiny
65
podle očekávání. Chcete-li ověřit uživatelská nastavení, je potřeba uživatele dané
organizační jednotky odhlásit a přihlásit. Po přihlášeni můžete zkontrolovat, že vše
funguje tak, jak má.
Vytvoření a současně připojení objektu GPO organizační jednotky
V konzole GPMC současně vytvoříte a připojíte objekt GPO organizační jednotky
následujícím způsobem
1.	Otevřete nabídku Stárl, pak složku All Programs, Administrativě Tools (Všechny
programy, Nástroje pro správu) a zvolte položku Group Policy Management
Console. Nebo zadejte do příkazového řádku příkaz gpmc.msc.
2.	Rozbalte položku doménové struktury, se kterou chcete pracovat, a poklepáním
rozbalte odpovídající větev Domains.
3.	Pravým tlačítkem klepněte na organizační jednotku, se kterou chcete pracoval,
a poté zvolte položku Create And Link A GPO Here.
4	Do dialogového okna New GPO zadejte popisný název nového objektu GPO
a klepněte na tlačítko OK.
5.	Objekt GPO se Vytvoří a připojí k doméně. Klepněte pravým tlačítkem na objekt
GPO a zvolte příkaz Edit.
6.	V okně Group Policy Object Editor (.Editor objektu zásad skupiny) nakonfigurujte
potřebná nastaveni, a poté editor zavřete.
Jakmile dojde k aktualizaci zásad skupiny uživatelů a počítačů dané organizační jed-
notky, dojde k aplikaci nastaveni objektu GPO. Restartováním pracovní stanice či ser-
veru dítné organizační jednotky se můžete ujistit o tom, že počítačová zásada byla
aplikovária podle očekávání. Chcete-li ověřit uživatelská nastaveni, je potřeba uživate-
le dané organizační jednotky odhlásit a přihlásit. Po přihlášeni můžete zkontrolovat,
že vše funguje tak, iak má.
2.4 Delegování pravomocí
pro správu zásad skupiny
Ve službě Active Directory mají správci automaticky přidělena oprávnění na provádě
ní operací souvisejících se správou zásad skupiny. Zbývající uživatelé mohou tato
oprávnění získat prostřednictvím delegování pravomocí. Ve službě Active Directory
dochází k delegování pravomocí ke správě zásad skupiny obvykle z velmi konkrét-
ních důvodu. Pravomoci se poskytují pro uživatele, který není členem skupiny
Enterprise Admins nebo Domain Admins proto, aby mohl provádět všechny nebo ně-
které / následujících operací:
	Procházení nastavení, změna nastavení, mazání objektů GPO a upravování
úrovně bezpečnosti.
	Správa připojení k existujícím objektům GPO nebo generovaní množiny RSoP.
	Vytváření objektu GPO (tím pádem také možnost spravovat objekty GPO, ktere
daný uživatel vytvořil).
66
Kapitola 2 - Práce se zásadami skupiny
Následující oddíly se budou zabývat tím, iak je možné rozlišit kdo tato oprávnění
vlastní a jak je přidělit dalším uživatelům a skupinám.
Určování a přiřazováni
práv pro vytváření objektů GPO
Ve službě Actjve Directory mají správci možnost vytvářet doménové objekty GPO
a ti, kteří vytvořili nějaký dojnénový objekt GPO, mají právo jej spravovat. Potřebu-
jete-li zjistit kdo může v doméně vytvářet objekty GPO, postupujte takto:
1.	Otevřete nabídku Start, pak složku AD Ftogjams (Všechny programy), Adrnnitsnutae
Tools (Nástroje pro správu) a zvolte položku Group Policy Management Console.
Nebo zadejte do příkazového řádku příkaz gpmc.msc.
2.	Rozbalte položku doménové struktury, se kterou chcete pracovat, rozbalte od-
povídající větev Domains, a poté označte větev Group Policy Objects.
3-	Jak vidíte na obrázku 2.11, uživatelé a skupiny, kteří mohou ve vybrané domé-
ně vytvářet objekty GPO, jsou obsazeny na kartě Delegation.
OBRÁZEK 2.11: Zjišťováni oprávnění k vytvářeni objektů CPO
Tvorbu objektů GPO (také možnost spravovat vlastní objekty GPO) můžete povolit
uživatelům a skupinám nespadajícím mezi správce (včetně uživatelů a skupin
z jiných domén). Oprávnění k tvorbě objektu GPO předáte uživateli či skupině tak-
to:
1.	Otevřete nabídku Start, pak složku AU Ho^ams (Všechny programy), A tunkstraiM
fods (Nástroje pro správu) a zvolte položku Group Policy Management Console.
Nebo zadejte do příkazového řádku příkaz gpmc.msc.
2.	Rozbalte položku doménové struktury, se ktenou chcete pracovat, rozbalte od-
povídající vetev Domains, a pote označte větev Group Policy Objects.
Delegování pravomocí pro správu zásad skupiny
3.	V pravém podokně vyberte kartu Delegation. Zobrazí se oprávnění k tvorbě ob-
jektů GPO, která aktuálně platí pro jednotlivé uživatele a skupiny. Chcete-li při-
dat oprávnění dalšímu uživateli nebo skupině, klepněte na tlačítko Add.
4	V dialogovém okně Select User, Computer, Or Group vyberte uživatele či sku-
pinu, a poté klepněte na tlačítko OK.
Parametry na kartě Delegation se odpovídajícím způsobem zaktualizují. Chcete-li
oprávnění k tvorbě objektů GPO odstranit, vstupte do karty Delegation, klepněte
na uživatele či skupinu, a poté klepněte na tlačítko Remove.
Určování práv pro správu zásad skupiny
Konzola GPMC nabízí několik způsobu jak určit, kdo má dostatečná práva pro
správu zásad sfeapiny. Chcete-li určit privilegia Group Policy určité sítě, domény
nebo organizační jednotky, postupujte podle následujícího návodu:
1.	Otevřete nabídku Start, pak složku All Itograms (Všechny programy), Administrativě
Tools (Nástroje pro správu) a zvolte položku Group Policy Management Console.
Nebo zadejte do příkazového řádku příkaz gpmc.msc.
2.	Rozbalte položku doménové struktury, se kterou chcete pracovat, a poté podle
potřeby rozbalte odpovídající větev Domains nebo Sites.
3.	Jakmile doménu, sít či organizační jednotku, se kterou chcete pracovat, označíte,
přibude v pravém podokně několik karet. Vyberte kartu Delegation (viz obr. 2.12).
OBRÁZEK 2.12: Kontrola oprávněni v sítích, doménách a organizačních jednotkách
4.	Ze seznamu Permission vyberte položku, jež vás zajímá. Možnosti jsou následující:
	Ltnk GPOs Uživatel či skupina muže vytvářet a spravovat objekty GP<) vy-
brané sítě, domény nebo organizační jednotky.
	Perform Group Policy Modelling Analyses Uživatel či skupina může ur-
čovat množinu RsoP pro účely plánovaní
68
Kapitola 2 - Práce se zásadami skupiny
	Read Group Policy Results Data Uživatel či skupina muže určovat aktuál-
ně platnou množinu RsoP pro účely ověřování a audi (ování.
5.	V seznamu Group* And Users jsou uvedeni jednotliví uživatelé či skupiny
s vybranými pravý.
Jestliže chcete určit, kteří uživatelé či skupiny mají přístup k určitému objektu GPO
a poznat jaká jim byla pi idělena oprav není, postupujte podle tohoto návodu:
1.	Otevřete nabídku Start, pak složku All Rugrams (Všechny programy), .administrativě
Took (Nástroje pro správu) a zvolte položku Group Policy Management Console.
Nebo zadejte do příkazového řádku příkaz gpmc.msc.
2.	Rozbalte položku doménové struktury, se kterou chcete pracovat, rozbalte od-
povídající větev Domains, a poté označte větev Group Policy Objects.
3.	Jakmile označíte objekt GPO, jehož oprávnění chcete ověřit, přibude v pravém
podokně několik karet. Vyberte kartu Delegation (viz Obrázek 2.13).
OBRÁZEK 2.13: Kontrola oprávnění k objektům CPO
4.	Zobrazí se oprávnění jednotlivých uživatelů a skupin. K dispozici jsou tři obec-
né typy přípustných oprávnění:
	Read Uživatel či skupina muže prohlížet objekt GPO a jeho nastavení.
	Fdit Settings Uživatel či skupí na muže prohlížet obiekt GPO a jeho nasta-
vení. Uživatel či skupina muže nastavení také měnit, ale nemůže objekt GPO
smazat nebo měnit bezpečnostní parametry.
	Edit Settings, Delete, Modiíy Security’ Uživatel či skupina múze prohlížel
objekt GPO a jeho nastavení. Tento uživatel či skupina múze také měnit na-
stavení, smazat objekt GPO a upravovat bezpečnostní parametry.

Delegování pravomocí pro správu zásad skupiny
69

Delegování řízení pro práci s objekty GPO
Ncsprávcovskýin uživatelům a skupinám (včetně uživatelů a skupin z jiných do-
mén) můžete povolit práci s obiektem GPO domény, sítě nebo organizační jednot-
ky poskytnutím jednoho z těchto tří oprávnění:
	Read Uživatel či skupina může prohlížet objekt GPO a jeho nastavení.
	Edit Settings Uživatel či skupina může prohlížet objekt GPO a jeho nastavení.
Uživatel či skupina může nastavení také měnit, ale nemůže objekt GPO smazat
nebo měnit bezpečnostní parametry.
	Edit Settings, Delete, Modify Security Uživatel či skupina muže prohlížet ob-
jekt GPO a jeho nastavení. Tento uživatel či skupina může také měnit nastaveni,
smazat objekt GPO a upravovat bezpečnostní parametry.
Jestliže chcete uživateli či skupině poskytnout tato práva, postupujte následovně:
1.	Otevřete nabídku Start, pak složku AU Rugntms (Všechny programy), Administrativ
Tods (Nástroje pro správu) a zvolte položku Group Policy Management Console.
Nebo zadejte do příkazového řádku příkaz gpmc.msc.
Začínáme
2.	Rozbalte položku doménové struktury, kde chcete pracovat, rozbalte odpovída-
jící větev Domains, a poté označte větev Group Policy Objects.
3.	V levém podokně vyberte objekt GPO, se kterým chcete pracovat. V pravém
podokně vyberte kartu Delegation.
4.	Zobrazí se aktuální oprávnění jednotlivých uživatelů a skupin. Když chcete po-
skytnout oprav není dalšímu uživateli či skupině, klepněte na tlačítko Add.
5.	V dialogovém okně Select User, Computer, Or Group vyberte uživatele či sku-
pinu, a pote klepněte na tlačítko OK.
6.	V dialogovém okně Add Group Or User (viz obr. 2.14) vyberte oprávnění, která
chcete poskytnout: Read, Edit Settings nebo Edit Settings a klepněte na tlačítko
OK.
*
OBRÁZEK 2.14: Poskytnutí oprávnění uživateli či skupině
Možnosti karty Delegation se aktualizují tak, aby odpovídaly poskytnutým opráv-
něním. Budete-li chtít tato práva někdy v budoucnosti odstranit, vstupte do karty
Delegation, vyberte uživatele či skupinu a poté klepněte na tlačítko Remove.

Kapitola 2 - Práce se zásadami skupiny
Delegování autorit
pro správu propojeni a množiny RsoP
Neprivilegovaným uživatelům a skupinám (včetně uživatelů a skupin z jiných domén)
můžete povolit práci se spojeními objektů GPO a množinami RSoP. Související
oprávnění mohou byt poskytnuta v libovolné kombinaci a jsou definována násle-
dovně:
	Link GPOs Umožňuje uživateli či skupině vytvořit a spravovat připojení
k objektům GPO vybrané sítě, domény nebo organizační jednotky.
	Perform Group Policy Modeling Analyses Umožňuje uživateli či skupině ur-
čit množinu KSoP pro účely plánování.
	Read Group Policy Results Data Umožňuje uživateli či skupině určit aktuálně
platnou množinu RSoP pro účely ověřování a auditování.
Chcete-li uživateli či skupině poskytnout tato oprávnění, postupujte následovně:
1.	Otevřete nabídku Start, pak složku AD Progjams Všechny programy), Administrativě
Tools (Nástroje pro správu) a zvolte položku Group Policy Management Console.
Nebo zadejte do příkazového řádku příkaz gpmc.msc.
2.	Rozbalte položku doménové struktury, se kterou chcete pracovat, a poté podle
potřeby rozbalte větev Domains nebo Sites.
3.	V levém podokně označte doménu, síť nebo organizační jednotku, s níž chcete
pracovat. V pravém podokně vyberte kartu Delegation.
4.	Ze seznamu Pennission vyberte, jaká oprávněna chcete poskytnout. Možnosti
jsou následující: Link GPOs, Perform Group Policy Modeling Analyses a Read
Group Policy Results Data.
5.	Zobrazí se aktuální práva jednotlivých uživatelů a skupin. Chcete-li poskytnout
oprávnění dalšímu skupině či uživateli, klepněte na tlačítko Add.
6.	V dialogovém okně Select User, Computer, Or Group vyberte uživatele či sku-
pinu a poté klepněte na tlačítko OK
7.	V dialogovém okně Add Group Or User (viz obrázek 2.15) určete, jakým způ-
sobem budou práva aplikována. Chcete-li, aby práva byla aplikována na aktuál-
ní kontejner a všechny dceřiné kontejnery, vyberte položku This Container And
All Child Containers. Jestliže se mají práva aplikovat pouze na aktuální kontej-
ner, vyberte možnost This Container Only a klepněte na tlačítko OK.
OBRÁZEK 2.15: Poskytnutí oprávnění pouze aktuálnímu kontejneru nebo kontejneru a jeho
podřízeným kontejnerům
Shrnutí
Možnosti karty Delegation jsou aktualizovány tak, aby odpovídaly poskytnutým
právům. Budete-1 chtit tato práva v budoucnu odstranit, otevřete kartu Delegation.
vyberte uživatele či skupinu a poté klepnete na tlačítko Remove.
2.5 Odstraňování propojení
a mazání objektů GPO
Začínáme
V konzole GPMC je možné ukončit používáni připojeného objektu GPO dvěma způ-
soby. Odstranit můžete připojení k objektu GPO, ale nikoliv objekt GPO samotný ne-
bo lze objekt GPO smazat permanentně a s ním i všechna na nej navázaná spojení.
Odstranění propojení s objektem GPO
Odstranění spojení s objektem GPO zabrání síti, doméně nebo organizační jednotce
v tom, aby nadále používala odpovídající nastavení zásad. K odstranění objektu GPO
ale nedojde. K ostatním sítím, doménám či organizačním jednotkám zůstává objekt
GPO i nadále připojený. Odstraníte-li ze sítí, domén a organizačních jednotek všechna
připojení, objekt GPO bude i nadále existovat - bude i nadále „žít“ v kontejneru zásad
skupiny - ale jeho nastavení nebudou mít v rámci podnikové sítě žádný vliv.
Jestliže chcete odstranit připojení k nějakému objektu GPO, klepněte v kontejneru
(ke kterému je objekt připojen) pravým tlačítkem na připojení a poté zvolte příkaz
Dolete. Až budete požádáni o potvrzení, že opravdu chcete spojení odstranit, klep-
něte na tlačítko OK.
Permanentní odstranění objektu GPO
Když objekt GPO odstraníte pennanentně, odstraní se i všechna spojeni, která jsou
na něj navázána. Objekt GPO přestane existovat v kontejneru Group Policy Objects
a nebude připojen k žádným pracovištím, doménám či organizačním jednotkám.
Jediným způsobem jak smazaný objekt GPO vrátit zpět je obnovit jej ze zálohy
(jestliže máte nějakou k dispozici).
V případě, že chcete objekt GPO a všechna jeho spojení odstranit, rozbalte doménový
les, větev Domains a poté větev Group Policy Objects. Klepněte pravým tlačítkem na
objekt GPO a poté zvolte položku Delete (Odstranit). Až budete požádáni o potvr-
zení, že objekt GPO a jeho spojení chcete opravdu odstranit, klepněte na tlačítko
OK.
2.6 Shrnutí
Pro práci se zásadami skupiny by mela být vaším primárním nástrojem konzola
GPMC (Group Policy Management Console). Konzola GPMC poskytuje nejen intui-
tivní pracovní rozhraní, ale také pokročilou sadu funkcí, pomocí kterých můžete
dělat se zásadami skupiny více, než když byste použili standardní nástroj Group
Policy Object Editor. Když pracujete s konzolou GPMC, konzola se implicitně při-
pojí k emulátoru PDC vaši domovské domény. Tato konfigurace zajistí, že bude
existovat centrální umístění pro správu změn zásad skupiny. Jestliže je emu átor
Kapitola 2 - Práce se zásadami skupiny
PDC nedostupný, můžete si vybrat, ke kterému doménovému řadiči se chcete při-
pojit. Připojení k určitému doménovému řadiči si můžete vynutit i manuálně.
Obecně lze říci, že Group Policy mohou spravovat pouze členové skupin Domain
Admins a Enterprise Admins. Nicméně sítě lze spravovat pouze členy skupiny En-
terprise Admins a kořenovou strukturu pouze skupinou Domain Admins. Domény
a organizační jednotky lze spravovat pouze skupinami Enterprise Admins, Domain
Admins a uživateli, na které byly delegovaný odpovídající pravomoci. Pravomoci
pro správu zásad skupiny je možno delegovat několika způsoby. Zaprvé, uživate-
lům či skupinám můžete přiřadit práva pro tvorbu objektů GPO. Tito uživatelé
a skupiny mohou také spravovat jimi vytvořeno objekty GPO. Zadruhé, můžete de-
legovat pravomoci pro připojovaní objektů GPO a pro práci s množinou RSoP (Re-
sultant Set of Policy). Poslední možnost) je delegování prav pro čtení, úpravy
nastavení, mazaní a úpravy bezpečnostních nastavení objektů GPO.
kapitola
IIIIMIIej
Pokročilá správa
zásad skupiny
F" 1 1  1  ।     —  ...
Obsah kapitoly:
3.1	Prohledávání a filtrování zásad skupiny.74
3.2	Správa dědičnosti zásad skupiny..........................................81
3.3	Správa zpracováni a aktualizace zásad	skupiny............................88
3.4	Modelování a údržba zásad skupiny........................................99
3.5	Zjišťování nastavení zásad a doby poslední	aktualizace..................110
3.6	Shrnutí.................................................................112
Funkce, které pokročilá správa Group Policy (Zásady skupiny) nabízí, vám mohou
pomoci ušetřit značné množství času a také dosáhnout větší efektivity. Hledáte-li
například určitý objekt zásady nebo konkrétní skupinu nastavení zásady, můžete
využít prohledávání a filtrování. Také se muže stát, že budete potřebovat změnit
způsob, jakým se dědí nebo zpracovávají nastaveni zásady, obzvlášť pracujete-li ve
74
Kapitola 3 - Pokročilá správa zásad skupiny
velké organizaci nebo v organizaci, která niu vzdálená pracoviště. Součásti pravi-
delné údržby může také být kopírování, zálohování nebo obnova objektů zásad.
Tato kapitola se zabývá všemi těmito pokročilými úlohami souvisejícími se správou
Group Policy (Zasady skupiny).
Související informace
	Další informace o přizpůsobování Group Policy (Zásady skupiny) a správě její
struktury na jdete ve třetí části teto knihy.
	Další informace o kopírování nastavení zásad a migrování objektů Zásad skupi-
ny najdete ve 4. kapitole.
	Další informace o řešení problémů najdete v 16. kapitole.
3.1 Prohledávání a filtrování zásad skupiny
Jedním z nejvíce náročných aspektu práce se skupinovou zásadou je nalezení toho,
co opravdu hledáte - ať už se jedn.i o sadu zásad, konkrétní objekt GPO anebo ob-
jekt, který ie skupinovou zásadou ovlivněn. Někteří správci se nám svěřili, že
v takové situaci postupně procházejí všemi objekty GPO a všemi souvisejícími na-
staveními těchto objektu GPO, ale to. co hledají, se jim často stejně najit nepodaří.
Použitím některé z technik filtrování (včetně filtrování nastavení zasad pro zredu-
kování množství položek) a vyhledávání objektu zásad, spojení či nastavení pro
různé podmínky, hodnoty a klíčová slova můžete ušetřit čas a dosáhnout mnohem
větší efektivity práce.
Dalším typem filtru, který můžete na objekty GPO použit, je bezpečnostní filtr pro
řízení bezpečnostních skupin, na které je daný objekt zásady aplikován. Implicitně
se připojený objekt GPO vztahuje na všechny uživatele a počítače v kontejneru, ke
kterému je objekt připojen. Někdy se ale muže stát, že nastavení objektu GPO na
některého uživatele či počítač určitého kontejneru aplikovat nechcete. Dejme tomu,
že budete chtít použít takový filtr, který zajistí, že objekt GPO Sales Policy se apli-
kuje na běžné uživatele organizační jednotky Prodej, ale nikoli na správce organi-
zační jednotky Prodej. Nebo se sune, že budete chtít na objekt GPO Sales Policy1
aplikovat filtr, který zaručí, že PetrP, uživatel z organizační jednotky Prodej, nebude
z dané organizační jednotky přebírat žádná nastavení.
Filtrování nastavení zásady
Všechna nastavení zásad pro sptávcovské šablony jsou implicitně zobrazena
v nástroji Group Policy Object Editor (Editor objekte zásad skupiny). Při prohlížení
nebo upravování nějakého objektu GPO se může z hledání konkrétního parametru
nastavení, se kterým chcete pracovat, stát poměrné velký problém, protože
k dispozici jich fě velké množstva" a mnohé z nich mohou být ve vašem prostředí
nepoužitelné nebo nemusí přesně odpovídat vašim potřebám.
Techniky pro filtrování nastavení zásad
Potřebujete-li zredukovat množinu zásad a usnadnit tak její správu, můžete vyfiltrovat
použitý pohled tak, aby byla zobrazena pouze nastavení, která chcete použít. Podob-
ně, hledáte-li určitou skupinu nastavení zasady (např. pouze ta, která jsou nakonfigu-
Prohledávání a filtrování zásad skupiny
75
rována nebo ta, která lze použít pro počítače s operačním systémem Microsoft Win-
dows XP Professional s balíčkem Service Pack 2 nebo novějším), můžete použít filtr
omezující zobrazený seznam pouze na ta nastavení, která vás zajímají.
Připada vam to jako užitečná funkce? Máte pravdu. Jediným háčkem je Skutečnost,
že tento druh filtrování funguje pouze pro nastavení šablon Administrativě Templa-
tes (Šablony pro správu). Kdvkoliv upravujete nějaký objekt GPO, můžete nastave-
ní šablon Administrativě Templates (Šablony pro správu) profiltrovat několika
základními způsoby:
Začínáme
	Zobrazení pouze těch nastavení zásad, která se vztahují na určitý operač-
ní systém, aplikaci nebo systémovou konfiguraci Slouží k prohlížení pouze
těch nastavení zásad, která splňují určitou sadu požádá' ku. Po použití tohoto
filtru uvidíte pouze ta nastavení zásad, klerá splňují požadavek na vámi určený
operační systém nebo aplikační konfiguraci. Např. pouze nastavení, která jsou
podporovaná operačním systémem Windows XP Professional s balíčkem Service
Pack 2 nebo novějším.
	Zobrazení pouze těch nastavení zásad, která jsou momentálně nakonfigu-
rována Pohled na momentálně nakonfigurovaná nastav ení je užitečný v případě,
že chcete měnit existující nastavení. Vyfiltrujete-li nastavení tímto způsobem, uvi-
díte pouze ta nastaven zásady, která jsou buď odblokovaná, nebo zablokována.
Nastavení, která nejsou nakonfigurována, neuvidíte.
	Zobrazení pouze těch nastavení zásad, která lze plně spravovat 1 ento filtr
je vhodný pro situaci, kdy se chcete ujistit, že nepracujete s historickými nasta-
veními zásad Historická nastavení jsou takova nastavení, která byla vytvořena
ve správcovské šabloně napsané pomoci formátu šablon operačního systému
Microsoft Windows NT 4.0. Správcovské šablony operačního systému Windows
NI 4.0 a jejich nastavení obvykle mění jiné části registru systému Windows než
ty, které mění šablonová nastavem systému Windows 2000 nebo novějšího. Pro-
to se doporučuje, abyste správcovské šablony operačního systému Windows NT
4.0 nepoužívali. Tento způsob filtrování je výchozí volbou. Chcete-li pracovat se
správcovskými Šablonami operačního systému Windows NT 4.0 a jejich nasta-
veními, musíte tento filtr zrušit.
Poznámka Filtr nastavení zásad ovlivňuje pouze jejich zobrazení v nástroji Group Policy Ob-
ject Editor (Editor objektů zásad skupiny). Vyfiltrovaná nastaven1 jsou v rámci pracoviště,
domény či organizační jednotky i nadále aktivní.
Filtrování nastavení zásad podle operačního systému
a konfigurace aplikací
\ konzole GPMC můžete kdykoli prohlížet nebo upravovat objekty GPO a jejich
nastavení tik, že klepnete pravým tlačítkem na požadovaný objekt GPO a zvolíte
položku Edit. Pracujete-li s objektem zásady, můžete Odpovídající nastaveni zásady
vyfiltrovat tímto způsobem:
6
Kapitola 3 - Pokročilá správa zásad skupiny
XTfL Poznámka Filtrování nastavení zásady funguje pouze pro správcovské šablony (Administrati-
/ ve Templates (Šablony pro správu)). Filtrování pro počítače (Computer Conf guration) a uži-
vatele (User Configuration) se provádí odděleně.
1.	V nástroji Group Polity Editor rozbalte podle potřeby bud položku Computer Con-
hguration (Konfigurace počítače) nebo User Configuration (Konfigurace uživatele).
2.	Pravým tlačítkem klepnete na Administrativě Templates (Šablony pro správu)
a přes příkaz Vievv (Zobrazit), 1 iltering (Filtrovaní) otevřete dialogové okno Fil-
tering (Filtrování) (viz obrázek 3.1).
3.	Implicitně jsou v nástroji Group Policy Editor zobrazena všechna nastavení zá-
sady pro všechny operační systémy a všechny aplikační konfigurace, které mají
nainstalovány soubory šablon Administrativě Templates (Šablony pro správu).
Chcete-li položky vyfiltrovat podle operačního systému a aplikační konfigurace,
zaškrtněte pole Filter By Requirements Information (Filtrovat požadavky) a poté
označte položky, které se mají zobrazit.
OBRÁZEK 3.1 : Výběr možností pro filtrování
Poznámka Některé z možností skupiny Items To Be Displayed (Položky zobrazeni) mají příliš
dlouhý, a proto nečitelný popisek. Celý popisek můžete zobrazit tak, že nad něj umístíte
kurzor myši. Celý popisek je následně zobrazen v podobě poznámky.
4.	Chcete-li vidět pouze nastavení, která jsou nakonTgurována, použijte volbu Only
Show Configured Policy Settings (Zobrazení pouze konfigurace nastavení zasad).
5.	( hcete-li použít nastavení zásad, jež mají původ ve správcovských šablonách ope-
račního systému Windows NT 4.0, zrušte zaškrtnutí políčka Only Show Policy Set-
tings That Can Be Fully ManagedtZobrazeni pouze zásad, jež lze plně spravovat).
6.	Klepněte na tlačítko OK.
Prohledávání a filtrování zásad skupiny
77
Hledání objektů, spojení a nastavení zásad
V případě, že máte více objektu s mnoha nakonfigurovanými nastaveními, muže
byt nalezení potřebného nastavení poměrně velkou výzvou. Pomoci vám muže
konzola GPMC a její funkce hledání. Jestliže vám například zásada Add Remove
Programs (Přidat nebo odebrat programy) působí problémy, které brání správcům
v přidávání programů na uživatelské počítače, a vy nevíte, ve kterém objektu je to-
to nastaveni obsaženo, pomůže vám funkce pro hledání. Dalším takovým příkla-
dem je situace, kdy potřebujete /aktualizovat zásady pro bezdrátová šitě Wireless
Networking (Bezdrátové site), ale nevíte, který objekt tato nastavení obsahuje. Ná-
stroj pro hledání váni ušetří práci s procházením všech dostupných objektu. Pro ře-
šení těchto a mnohých dalších problémů slouží funkce hledání nástroje GPMC.
Techniky hledání objektů, spojení a nastavení zásad
Začínáme
Funkce pro hledání v konzole GPMC vám umožňuje prohledávat skupinovou zása-
du aktuálně vybrané domény nebo všech domén vybrané doménové struktury. Vy-
hledávat můžete podle jednoho z následujících kritérií:
	GPO Name (Název objektu GPO) Umožňuje vám hledat objekt podle celého
nebo části názvu. Jestliže například víte, že název objektu obsahuje slovo Pro-
dej“, ale nev íte, do které domény objekt patří, můžete nechat vyhledal všechny
objekty s unito slovem v nazvu.
	GPO Links (Odkazy GPO) Umožňuje vám hledat v určité doméně, ve všech
doménách nebo v aktuální doménové struktuře připojené nebí? nepřipojené ob-
jekty. Chcete-li například v určité doméně najít všechny objekty, které jsou při-
pojené, můžete vyhledat všechna existující spojení existující v dané doméně.
Nebo chcete-li najít všechny objekty, které k určité doméně připojeny nejsou,
lze vyhledat všechna spojení objektů, které do dané domény nepatří.
	Security Groups, Users oř Computers (Bezpečnostní skupiny, uživatelé či
počítače) Umožňuje vám hledat bezpečnostní skupiny, uživatele či počítače
s určitými pravý pro správu Group Policy (Zásady skupiny). Potřebujete-li na-
příklad zjistit, zda má skupina TechManagers povolení měnit nastavení zásad
skupiny nebo zda má uživatel JoeS v určité doméně nebo v libovolné doméně
aktuální doménové struktury dostatečná práva pro čtení nastavení zásad skupi-
ny. (Oprávnění pro správu zásad skupiny, včetně práv pro čtení, úpravu nasta-
vení, mazání a úpravu úrovně zabezpečení, jsou blíže zmíněna ve 2. kapitole
v části „Delegování pravomocí pro správu zásad skupiny“).
	Linked WMI Filter (Připojený filtr WMI) l Imožňuje vám hledat připojené fil-
try WMI. Můžete vyhledávat existující filtry.
User Configuration (Uživatelská konfigurace) l možňuje vám určit, zda jsou
nastavena běžně používaná nastavení uživatelské konfigurace. Vyhledávat mů-
žete tyto oblasti uživatelské konfigurace: Folder Redirection, Internet Explorer
Branding, Internet Explorer Zonemapping, Registry, Scripts a Software Installi-
tion. Jestliže budete například potřebovat najit objekt určité domény, který má
nakonfigurovaný parametr přesměrování složek (Folder Redirection), použijte
pro hledání toto kritérium.
^8	Kapitola 3 - Pokročilá správa zásad skupiny
	Computer Configuration (Počítačová konfigurace) Umožňuje váni určit zda
jsou nastavena běžné používaná nastavení počítačové konfigurace. Vyhledával
můžete tyto oblasti počítačové konfigurace: EFS Recovcry, Internet Explorer Zo-
nemapping, IP Security, Microsoft Disk Quota, QoS Pack Scheduler, Registry,
Scripts, Security, Software Installaúon, a Wireless. Jestliže budete například po-
třebovat najit objekt určité domény, který m. nakonfigurovaný parametr Wire-
less Networking (Bezdrátová síť), použijte pro hledaní toto kritérium.
	GUID Umožňuje vám hledat objekt podle identifikátoru GUID. To je užitečné
v případě, že znáte kompletní GUID nějakého objektu, který nvni potřebujete
najít a začít s ním pracovat. Typickým příkladem, kde znáte GUID, ale nikoliv
umístění objektu, muže být situace, kdy řešíte problém se skupinovou zásadou
a vidíte pouze chyby obsahující informace o identifikátorech GUID.
Hledání objektu GPO, spojení či nastavení zásady
Chcete-li skupinovou zásadu prohledávat podle jednoho z uvedených kriterií, po-
stupujte podle následujících kroků:
1.	Otevřete nabídku Start, pak složku All Programs, Administrativě Tools (Všechny
programy, Nástroje pro správu) a zvolte položku Group Policy Management
Console. Nebo zadejte do příkazového řádku příkaz gpmc.msc.
2.	Jestliže máte v úmyslu prohledávat všechny domény určité doménové struktury,
klepněte pravým tlačítkem na položku, která ji reprezentuje a zvolte příkaz hledání
— Search. Chcete-li hledat v konkrétní doméně, rozbalte větev odpovídající domé-
nové struktury, klepněte pravým tlačítkem na doménu a pote zvolte Search.
3.	V dialogovém akně Search For Group Policy Objects (viz obrázek 3-2) vyberte
ze seznamu Search Item oblast Group Policy, kterou chcete prohledávat, např.
User Configuration.
OBRÁZEK 3.2: Prohledávání zásad skupiny pomocí vyhledávacích podmínek a kritérií
Prohledávání a filtrování zásad skupiny
79
4.	Seznam Condition použijte k nastavení vyhledávací podmínky. V seznamu jsou
tyto položky:
	Contains / Does Not Contain Umožňuje vam vyhledávat podle toho, zda
hledaná položka obsahuje či neobsahuje zadané hodnoty. Jestliže jste si napří-
klad jisti, že název hledaného objektu neobsahuje slovo Current (zatímco vět-
šina ostatních vámi vytvořených objektů je obsahuje), můžete hledal název
objektu GPO, který neobsahuje hodnotu Current.
	Is Exactly / Equals Umožňuje vam hledat přesnou hodnotu přiřazenou hle-
dané položce. Jestliže jste si například jisti, že hledaný objekt se jmenuje En-
gineering Policy, můžete vyhledávat název GPO, který přesně odpovídá
dané hodnotě.
ínáme
	Exists In / Does Nol Exist In Umožňuje vam hledat propojení s objekty
GPO, které ve vybrané doméně či doménové struktuře bud existují, nebo
neexistují. Používá se pro práci se spojením?.
	Has This Explicit Permission/Does Not Háve This Explicit Permission
Umožňuje vám hledat bezpečnostní skupiny, uživatele a počítače, které mají
nebo nemají explicitní oprávnění zásad skupiny. Explicitní práva se přiřazují
přímo. Jestliže byla například na uživatele JohnS delegována oprávnění pro
úpravy nastavení objektu Engineering Policy, má ve vztahu k tomuto objektu
explicitní oprávnění pro úpravy nastavení (Edit Settingsý
	Has This Effective Permission/Does Not Háve This Efíective Permissi-
on Umožňuje vám hledat bezpečnostn1 skupiny, uživatele a počítače, které
mají nebo nemají efektivní oprávnění zásad skupiny. Efektivní prava se při-
řazují nepřímo. Například člen skupiny Domain Administrators má efektivní
oprávnění pio použití nastavení.
5.	Vyberte nebo zadejte do políčka Value hledanou hodnotu.
6.	Podle potřeby opakujte kroky 3 až 5 a přidejte další vyhledávací kriteria. Pama-
tujte si, že přídavná kriteria dále zuzuji výslednou množinu. Aby byl objekt zá-
sady zařazen mezi výsledky hledání, musí splňovat všechna kritéria vyhledávání.
Klepnutím na tlačítko Add přidáte vyhledávací kritérium.
7.	Klepnutím na tlačítko Search zahájíte hledání objektu, které splňují vámi zadaná
kriteria. Libovolný objekt ze seznamu můžete začít přímo upravovat jeho ozna-
čením v seznamu Search Results a klepnutím na tlačítko Edit.
Filtrování podle
bezpečnostní skupiny, uživatele či počítače
Často je potřeba zjistit nebo určit, zda a jak se má skupinová zásada aplikovat na
určitou bezpečnostní skupinu, uživatele či počítač. Implicitně se objekt GPO apli-
kuje na všechny uživatele a počítače v kontejneru, ke kterému je daný objekt GPO
připojen. Připojený obiekt GPO se na uživatele a počítače aplikuje tímto způsobem,
protože je tak určeno v bezpečnostních nastaveních objektu GPO. O tom. zda se
bude objekt vztahovat mi bezpečnostní skupinu, uživatele nebo počítač, rozhoduji
dva parametry:
Kapitola 3 - Pokročilá správa zásad skupiny
	Read Jestliže je poskytnuto toto oprávnění, bezpečnostní skupina, uživatel nebo
počítač mohou číst zásadu pro účely její aplikace na další skupiny, uživatele či
počítače (nikoliv pro účely prohlíženi nastavení zásad; parametr nastavení zob-
razení - View Settings je explicitním oprávněním, které je třeba poskytnout).
	Apply Group Policy Jestliže je poskytnuto toto oprávnění, objekt GPO je apliko-
ván na bezpečnostní skupinu, uživatele či počítač. Nastavení aplikovaného objek-
tu GPO mají vliv na skupinu, uživatele či počítač.
Aby mohla byt zásada aplikována, musí mít bezpečnostní skupina, uživatel či počítač
obě oprávnění. Pro všechny nové objekty GPO mají všichni uživatelé a počítače ta-
to oprávnění implicitně. Dědí je na základě členství v implicitní skupině Authentica-
ted UserS. Ověřený uživatel (Authenticated User) je libovolný uživatel nebo počítač,
který se přihlásil do domény a byl ověřen.
Poznámka Další oprávnění se přiřazují také správcům a operačnímu systému. Všichni členové
skupin Enterprise Admins, Domain Admins a účet LocalSystem ma oprávnění pro úpravu či
mazání objektů GPO a správu jejich bezpečnostních parametrů.
Jestliže jste delegovali oprávnění pro správu zásad skupiny na uživatele nebo máte
správce, jejichž účty jsou definovány na úrovni domény či organizační jednotky,
múze se stát, že nebudete chtít, aby se objekt zásady aplikoval. Uvažujme následu-
jící situaci: Správcovská oprávnění a oprávnění pro správu zásad skupiny jste dele-
govali na Karla. Chcete, aby Karel mohl instalovat aplikace a provádět další
operace, které běžní uživatelé kvůli omezením zásad skupiny dělat nemohou.
V tomto případě musíte provést speciální opatření, abyste se ujistili, že skupinová
zásada nebude; na Karla aplikována. Oprávnění musíte nakonfigurovat tak, aby pro
Karla byla možnost Apply Group Policy vypnuta. Tak bude zajištěno, že objekt se
na Karlův účet neaplikuje. Kdyby měl mít Karel opráx nění pro aplikaci zásad sku-
piny na jiné skupiny, uživatele či počítače, musel by m*t oprávněn* 1 2 * 4 Read.
Jestliže chcete prohlížet nebo měnit oprávnění objektu GPO pro bezpečnostn- sku-
pinu, uživatele či počítač, postupujte podle následujících kroků:
1. Otevřete nabídku Start, pak složku All Programs, Administrativě Tools (Všechny
programy, Nástroje pro správu) a zvolte položku Group Policy Management
Console. Nebo zadejte do příkazového řádku příkaz gpmc.msc.
2. Rozbalte položku doménové struktury, se kterou chcete pracovat, rozbalte od-
povídající větev Domains, rozbalte větev Group Policy Objects a poté vyberte
objekt, se kterým chcete pracovat.
3- Klepnete na kartu Delegation a zobrazí se seznam uživatelů a skupin, které dis-
ponují pro vybraný objekt některou z úrovní oprávnění.
4. Klepněte na tlačítko Advanced a otevře se dialogové okno Security Settings (Na-
stavení zabezpečení) (viz obrázek 3.3).
Správa dědičnosti zásad skupiny
81
OBRÁZEK 3.3: Prohlížení pokročilých oprávnění pro bezpečnostní skupiny,
uživatele a počítače
Začínáme
5.	Vyberte bezpečnostní skupinu, uživatele nebo počítač, s nímž chcete pracovat
nebo klepnete na tlačítko Add a přidejte novou skupinu, uživatele či počítač.
Poté provecfte jednu z následujících akcí:
	Jestliže se má objekt aplikoval na bezpečnostní skupinu, uživatele či počítač,
je potřeba nastavit minimální oprávněn- Read a Apply Group Policy.
Upozornění Pokud si nejste přesně jisti následky, neměňte žádná jiná oprávnění. Lepším
1 způsobem správy ostatních oprávnění je technika zmiňovaná ve 2. kapitole v oddíle „Dele-
gování pravomocí pro správu zásad skupiny".
	Jestliže se objekt na bezpečnostní skupinu, uživatele či počítač aplikovat
nemá, měla by být minimální oprávnění nastavena tak, aby bylo povoleno
Read a zakázáno Apply Group Policy.
6.	Klepnutím na tlačítko OK se vrátíte do konzoly GPMC.
3.2 Správa dědičnosti zásad skupiny
Dědičnost zajišťuje, že skupinová zásada ovlivňuje všechny objekty reprezentující
počítače a uživatele určité domény <bez ohledu na to, v jakém kontejneru jsou u o-
ženi). Většina zásad má tři konfigurační možnosti: Not configured, Enabled, Disa-
bled (Není nakonfigurováno, Povoleno a Zakázáno). Možnost Not configured -
Není nakonfigurováno je pro Ýětšinu nastavení zásad výchozím stavem. Jestliže je
zásada povolena, aplikuje se na všechny uživatele a počítače, kteří pod danou za-
sadil spadají přímo nebo prostřednictvím dědičnosti. Jestliže je zásada zakázána,
není na počítače a uživatele aplikována.
Existují čtyři způsoby, jak změnit způsob fungování dědičnosti. Můžete:
82
Kapitola 3 - Pokročilá správa zásad skupiny
	Změnit prioritu a pořadí spojení
	Přetížil dědičnost (pokud není v platnosti žádné vynucování)
	Zablokovat dědičnost (za účelem úplného odstínění dědičnosti)
	Vynutit dědičnost (slouží k prevenci proti přetížení nebo zákazu )
V následujících oddílech se budeme zabývat správou Group Policy (Zasady skupiny)
s použitím těchto technik.
Změna priority a pořadí spojení
Posloupnost dědění zásad skupiny vychází z úrovně pracoviště přes doménovou
úroveň až do jednotlivých vnořených úrovní organizačních jednotek. Je-li k určité
úrovni připojeno několik objektů, o posloupnosti, ve které se budou nastavení zá-
sad použít, rozhoduje pořadí spojení. Připojené objekty jsou vždy aplikovány
podle pořadí spojení. Zásady, které jsou v pořadí níže, se zpracují jako první a po
nich přicházejí na řadu objekty nacházející se výše.
Abychom si ukázali, jak tento princip funguje, použijeme pro ilustraci obrázek 3.4.
Uvedené zásady budou zpracovány od spojení s nejnižším pořadím až k tomu nej-
vyššímu. Zásada Sales Desktop Policy (její pořadí je 2) bude zpracována před zása-
dou Sales Network ing Policy (jejíž pořadí je 1).
OBRÁZEK 3.4; Pořadí zpracování zásad
Jaký je tedy dopad výše uvedeného na nastavení zásad? Protože nastavení zásady
Sales Networking Policy se zpracuji až po nastaveních zásady Sales Desktop Policy,
mají nastavení zásady Sales Networking Policy přednost. Ověřit si to můžete
klepnutím na kartu Group Policy Inheritance (obrázek 3-5).
Posloupnost zásad přesně ukazuje, jak dochází ke zpracování objektů pro pracoviště,
domény nebo organizační jednotku. Stejně jako je tomu u pořadí spojení, zpracovány
jsou nejprve objekty s nižším pořadovým číslem a poté objekty s vyšším. Zásada LA Ši-
té Policy (pořadí 7) bude zpracována jako první, poté přijde na řadu Cusi Support Po-
Správa dědičnosti zásad skupiny
83
licy (pořadí 6) atd. Jako poslední bude zpracovaná Default Domain Policy ( Výchozí
zásada domény) a tím pádem v ní nakonfigurovaná nastavení přetíží dříve nastave-
né hodnoty (pokud není použito blokováni dědičnosti nebo vynucovánD.
ináme
OBRÁZEK 3.5: Posloupnost zásad
Je-li na určité úrovni připojeno několik zásad, můžete snadno změnit pořadí (a tak
i prioritu ) objektu připojených k této úrovni. Stačí postupovat takto:
1.	V konzole GPMC vyberte kontejner pracoviště, domény nebo organizační jed
notky, se kterou chcete pracovat.
2.	V pravém podokně by měla být implicitně vybrána karta Linked Group Policy
Objects. Klepnutím vyberte objekt, se ktervm chcete pracovat.
3.	Podle potřeby změňte pořadí spojení vybraného objektu klepnutím na tlačítko
Move Link Up nebo Move Link Down.
4.	Až budete s prací hotovi, v kartě Group Policy Inheritance se ujistěte, že objekty
budou zpracovány v zamýšleném pořadí.
Přetížení dědičnosti
Jak již víte, nastavení zásad skupiny jsou děděna kontejnery nižší úrovně od kon-
tejnerů úrovně vyšší. Jestliže jsou stejná nastavení určována několika objekty, pak je
pro konečný efekt rozhodující pořadí, ve kterém se jednotlivé objekty aplikují. Zá-
kladním principem je, že pořadí dědičnosti jde od úrovně pracoviště, přes úroveň
domény až do úrovně organizační jednotky. To znamená, že nastavení zásad sku-
piny pracoviště jsou předana doménám, a nastavení domén jsou dále předána or-
ganizačním jednotkám.
Dědičnost zásad lze přetížit dvěma základními způsoby:
 Zablokovat aktivní (a děděnou) zásadu Jestliže je v objektu vyšší úrovně ak-
tivní zásada, můžete zablokováním teto zásady v objektu nižší úrovně přetížit
Kapitola 3 - Pokročilá správa zásad skupiny
dědičnost. Přetížíte tak zásadu, která je aktivní v kontejneru vyšší úrovně. Je-li
pro pracoviště například zapnuta uživatelská zásada Prohibit Use Of Internet
Connection Sharing On Your DNS Domain (Potlačení přístupu ke sdílenému
připojení Internetu), uživatelé daného pracoviště by neměli být schopni použí-
vat službu pro sdíleni internetového připojení (Internet Connection Sharing).
Nicméně v7 případě, že doménová zásada tuto uživatelskou zásadu blokuje, bu-
dou moci její uživatelé službu Internet Connection Sharing používat. Na druhou
stranu, jestliže není doménová zásada nakonfigurována, uvedené nastavení zů-
stane nezmencno a dojde k jeho zdědění od kontejneru vyšší úrovně.
	Odblokovat zablokovanou (a děděnou) zásadu Jestliže je nějaká zásada
v objektu vyšší úrovně zablokována, můžete dědičnost přetížit odblokováním
teto zásady v7 objektu nižší úrovně. Odblokováním zásady v objektu nižší úrov-
ně dojde k přetížení zásady zablokované v kontejneru vyšší úrovně. Jestliže je
pro nějakou doménu zablokována například uživatelská zásada Allow Shared
Folders To Be Published (Povolit publikování sdílených složek), uživatelé dané
domény by neměli být schopni publikovat sdílené složky ve službě Active Di-
rectory. Ovšem v případě, že zásada organizační jednotky Support Team má tu-
to uživatelskou zásadu zapnutou, uživatelé organizační jednotky Support Team
sdílené složky ve službě Active Directory publikovat mohou. Když ale není zá-
sada organizační jednotky nakonfigurována, nastavení zásady se nezmění a ob-
vyklým způsobem se zdědí od kontejneru vyšší úrovně.
Poznámka Přetížení dědičnosti je základní technikou pro změnu způsobu fungování dědičnos-
ti. Tatotechnika bude mít očekávaný efekt, pokud není zásada blokována nebo vynucována.
Blokování dědičnosti
Někdy se můžete dostat do situace, kdy budete potřebovat zablokovat dědičnost
tak, aby na uživatele a počítače určitého kontejneru nebyla aplikována žádná na-
stavení kontejneru vyšších úrovní. Když je dědičnost zablokována, jsou aplikována
pouze nakonfigurovaná nastaveni objektu připojených na dané úrovni. To zname-
ná, že všechny objekty GPO všech kontejnerů vyšších úrovní jsou zablokovány
(pokud není v platnosti vynucování zásady).
Doménoví správci mohou blokování dědičnosti použít pro blokování nastavení dě-
děných od úrovně pracoviště. Správci organizační jednotky mohou blokování dě-
dičnosti použít pro blokování nastavení děděných jak od domény, tak od
pracoviště. Následuje několik příkladu použití blokování dědičnosti:
	1 rotože chcete, aby byla určitá doména autonomní, nepřejete si, aby od praco-
viště dědila jakékoli zásady. Nakonfigurujete doménu tak. že bude blokovat dě-
dičnost od kontejnerů vyšších úrovní. Vzhledem k tomu, že je zablokována
dědičnost, aplikují se pouze nastavení objektů připojených k doméně. Bloková-
ni dědičnosti zásady pracovišť nemá vliv na dědění doménových objektu do or-
ganizačních jednotek, ale způsobí, že organizační jednotky dané domény
nezdědí zásady nadřazeného pracoviště.
	Protože chcete, aby byla určitá organizační jednotka autonomní, nepřejete si,
aby tato organizační jednotka dědila od pracoviště jakékoli zásady. Organizační
jednotku nakonfigurujete tak, že bude blokovat dědičnost od kontejneru vyšších
Správa dědičnosti zásad skupiny
85
úrovní. \ zhledem k tomu, že je zablokována dědičnost, aplikují se pouze nasta-
vení objektu připojených k organizační jednotce. Jestliže organizační jednotka
obsahuje vnořené organizační jednotky, nebude mít blokovaní dědičnosti vliv
na dědičnost objektu připojených k teto organizační jednotce, ale doménové zá-
sady ani zásady pracoviště dceřiné organizační jednotky dědit nebudou.
Poznámka Tím, že pro zajištění autonomie domény či organizační jednotky použijete bloko-
vání, můžete zajistit, že správci domény či organizační jednotky mají plnou kontrolu nad zá-
sadami vztahujícími se na uživatele a počítače spadající pod jejich správu. Také si
zapamatujte, že způsob použití blokování či vynucování z velké části závisí na vaší organi-
zační struktuře a na tom, kohk kontrolní moci je delegováno. Některé organizace se mohou
rozhodnout pro centrální správu zásad skupiny, jiné dají přednost delegování řízení do divi-
zí, poboček nebo oddělení. Univerzální řešení neexistuje. Pravděpodobně nejiepším řešením
je kompromis mezi centrální správou a delegováním pravomocí.
V konzole GPMC lze dědičnost zablokovat klepnutím pravým tlačítkem na doménu
nebo organizační jednotku, která by neměla dědit nastavení z kontejneru vyšších
úrovní a zvolením položky Block Inheritance. Jestliže je volba Block Inheritance
vybrána, její opětovné označení způsobí vypnutí tohoto nastavení. Když dědičnost
blokujete v konzole GPMC, piida se ve stromu konzole do uzlu kontejneru modrý
kroužek s vykřičníkem (viz obrázek 3.6). Tato ikona poskytuje okamžité upozorně-
ní, že dome na nebo organizační jednotka má zapnuté nastaven Block Inheritance.
OBRÁZEK 3.6: Ikona informující, že je zapnuto blokováni dědičnosti
Vynucování dědičnosti
K tomu, abyste správcům s odpovídající autoritou nad kontejnery zabránili v přetíženi
nebo zablokování děděných nastavení Group Policy (Zásady skupiny), můžete si dě-
dičnost vynutit. V takovém případě dochází k dědění a následné aplikaci všech nakon-
figurovaných nastavení zasad objektu vyšší úrovně, bez ohledu na nastaveni objektu
6
Kapitola 3 - Pokročilá správa zásad skupiny
nižší úrovně. Vynucováni dědičnosti se tedy používá pro dosažení „násilné1' aplika-
ce nastavení bez ohledu na snahy o jejich přetěžování a blokování.
Správci doménové struktury mohou použít vynucování dědičnosti, aby zajistili, že bu-
dou aplikována nastavení nakonfigurovaná na úrovni sítě (site) a aby zabránili přetí-
žení či zablokován těchto nastaveni ze strany správců domény a organizačn.
jednotky. Doménoví administrátoři mohou vynucováni dědičnosti používat k zajištění
toho, že nakonfigurovaná nastavení zásad z doménové úrovně budou aplikována
a k zabránění přetěžováni či blokovaní nastavení zásad ze strany správců organizač-
ních jednotek. Zde je několik ukázek použití vynucování dědičnosti:
	Jste v roli doménového správce a chcete zajistit, že domény zdědí od sítě určitou
zásadu. Nakonfigurujete tedy zásadu sítě tak, aby byla vynucovaná dědičnost. Tím
pádem budou všechna nakonfigurovaná nastavení zásady dané sítě aplikována
bez ohledu na to, zda se doménoví správci pokusili nastavení zásad síti zablokovat
nebo přetížit. Vynucování zásady pracoviště ovlivňuje také dědičnost organizač-
ních jednotek dotčených domén. I ony zásadu sítě zdědí bez ohledu na to, zda by-
lo použito blokování či přetížení.
	Jste v roli doménového správce a chcete zajistit, že organizační jednotky uvnitř
domény zdědí určitou doménovou zásadu. Nakonfigurujete tedy zásadu domé-
ny tak, aby byla vynucována dědičnost. Tím pádem budou všechna nakonfigu-
rovaná nastavení zásady dané domény aplikována bez ohledu na to, zda se
správci organizačních jednotek pokusili nastavení zásad domény zablokovat ne-
bo přetížit. Vynucovaní doménové zasady ovlivňuje takt dědičnost vnořených
organizačních jednotek dotčené organizační jednotky.
V konzole GPMC lze dědičnost vynutit tak, že rozbalíte kontejner, ke kterému je
zásada připojena, klepnete pravým tlačítkem na spojení s objektem GPO a zvolíte
položku Enforced. Jestliže je volba Enforced již vybrána, její opětovné označení
způsobí vypnutí tohoto nastavení. Chcete-li v konzole GPMC zjistit, které zasady
jsou děděné a které jsou vynucované, máte následující možnosti jak na to:
	Kdekoliv7 v konzole GPMC označte nějaký objekt zásady a v pravém podokně si
prohlédněte kartu Scope (viz obrázek 3.7). Jestliže je zásada vynucována, pak
bude ve sloupci Enforced hodnota Yes.
X Tip Poté co vyberete nějaký objekt, můžete klepnutím pravým tlačítkem myši na některý ze
záznamů v kartě Scope zobrazit místní nabídku. Tato místní nabídka vám dává možnost
spravovat spojení a vynucovat si zásady.
	V konzole GPMC označte kontemer domény nebo organizační jednotky a v pra-
vém podokně si prohlédněte kartu Group Policy Inheritance (viz obrázek 3.8).
Jestliže je zásada vynucována, uvidíte ve sloupci Precedence hodnotu (Enforced).

Správa dědičnosti zásad skupiny
OBRÁZEK 3.7: Rozpoznání vynucovaných zásad pomocí karty Scope
Upozornění Vynucování dědičnost' zásad skupiny má velký dopad na to, jakým způsobem se
skupinová zásada zpracovává a používá. Implicitně má zásada pracoviště nejnižší pořadí a jako
taková je první zpracovávanou zasadou. Protože všechny ostatní objekty jsou zpracovávány
později, může jakýkoliv z nich přetížit nebo zablokovat její nastavení. Na druhou stranu, vy-
nucená zásada pracoviště má nejvyšší prioritu, čímž se vždy stává poslední zpracovávanou
zásadou. To v konečném efektu znamená, že žádné jiné objekty nemohou přetížit ani za-
blokovat její nastavení.
* Group Policy Management		
Fk Attxm >«w Wdow Het)		- e xj
		
.y .pard čóřň tí Corporate Poky 5? Curt Stpport Poky Def adt Don sr> “oky -npnmnngl oky ITPoky -M LA Ste Poky	— ”	^andl uim Laked1 iroup Poky Ubrcts1 G’<M> Poky inhertance ('etegabon
		Thr. fat doee not rrlude ary GPO« ktad tc Met ror more detak eee Heiř
		Precedence A	GPO	t-ocebun	GPO Statut	WM1 F®ei
Jí SaietPoky		1 Ír**cr4l LA$r«Pcfcy	fenaÉAki	koně S9
•	& Customer Serw* » Domafri Controiert ^Enqnr-rng •	di Saief ► dl Sccport ► fed> - .4) GrmpPoky 3b)c^t* R Ovygo JtePoky J Corporate Poky CurtStpportPoky DefaJt Domam Contrderf DefaJt Domén Poky En^mertng OU Poky > Eignee-ing Poky /General Ste* Poky y ITPoky tf LAStePdcy JÍ Saie* OU Poky JÍ Saki Poky if Suooort Pokv <	M	>	*	2	DeiaiA Domam F-okv í>ancl com	Fnabted	Hone f	3	Corporate Poky	cpandcom	Enabied	None 4	Engnermg Fofcy	cpandcom	Enabied	None Jí	5	SakrPoky	cparxlcon	Enabied	None Jí	6	IT Pofc •	cpard.com	Enabied	None jp	7	Curt Sipport Poky	cpard com	Enabied	None < >
		
—  - -   .		
OBRÁZEK 3.8: Určeni vynucených zásad prostřednictvím karty Group Policy Inheritance
8
Kapitola 3 - Pokročilá správa zásad skupiny
3.3 Správa zpracování
a aktualizace zásad skupiny
Nastavení Group Policy (Zásady skupiny) se dělí do dvou kategorií: konfigurace
počítače (Computer Configuration) a konfigurace uživatele (User Configuration).
Počítačová nastavení se aplikují během zavadění operačního systému. Uživatelská
nastaveni se zavádějí během přihlašování uživatele na počítač. Vzhledem k tomu,
že se uživatelská nastavení aplikují až po počítačových nastaveních, mají uživatel-
ská nastaveni implicitně před počítačovými nastaveními přednost. To znamená, že
v případě, kdy dojde mezi uživatelskými a počítačovými nastaveními ke konfliktu,
zůstanou v platnosti uživatelská nastavení.
Jakmile jsou uživatelská nastavení aplikována, dochází automaticky k jejich aktualiza-
ci, aby byla zajištěna jejich aktuálnost. Během aktualizace zásad skupiny se klientský
počítač spojí s dostupným doménovým řadičem lokální sítě. Jestliže dojde ke změ-
ně jednoho nebo více objekt i definovaných v doméně, poskytne doménový řadič
podle potřeby seznam všech objektu, které se vztahují na daný počítač a aktuálně
přihlášeného uživatele. Doménový řadič prox ede tuto akci bez ohledu na to, zda se
u odpovídajících objektů změnila čísla verzí. Implicitně počítač zpracuje zásady
pouze tehdy, když došlo ke změně čísla verze alespoň u jednoho objektu. Došlo-li
ke změně jakékoliv ze souvisejících zásad, musí být kvůli dědičnosti a vzájemnému
propojení mezi zásadami všechny zásady znovu zpracovány.
Bezpečnostní nastavení jsou v rámci pravidel pro zpracování významnou výjimkou.
Tato nastaveni jsou implicitně aktualizována každých 16 hodin (960 minut), a to
bez ohledu na to, zda objekty zásad obsahují nějaké změny. V zájmu snížení dopa-
du na doménové řadiče a síť během aktualizace, je aplikován náhodný časový (až
30minutový) posun (tím pádem se perioda aktualizace pohybuje mezi 960 až 990
minutami). Jestliže klientský počítač zjistí, že je připojen pomocí pomalého síťového
spojení, podá o tom informaci doménovému řadiči a dojde pouze k přenosu bez-
pečnostních nastavení (Security Settings) a šablon pro správu (Administrativě Tem-
plates). To znamená, že na počítač s pomalým připojením jsou implicitně
aplikována pouze bezpečnostní nastavení a správcovské šablony. Způsob fungová-
ní detekce pomalého připojení lze nastavit prostřednictvím zásady.
Poznámka Hlavním faktorem, který ovlivňuje způsob fungování aktualizace je rychlost při-
pojení. V případě, že počítač zjistí, že je připojen přes pomalé připojení (přesná definice to-
ho jak toto provést je konfigurovatelná pomocí zásad skupiny), upraví počítač způsob
zpracování změn v zásadách. Konkrétně to znamená, že v případě, kdy klientský počítač zjis-
tí, že používá pomalé síťové spojení, zpracují se pouze bezpečnostní nastavení a správcovské
šablony. Ačkoliv neexistuje způsob jak zpracování bezpečnostních nastavení a správcovských
šablon vypnout, můžete nakonfigurovat jiné oblasti tak, aby odpovídající nastavení byla
zpracována i na pomalém připojení.
Existuje mnoho možností jak upravit nebo zoptimalizovat zpracování a aktualizaci
zásad skupiny vašeho síťového prostředí. Základní operace, které byste mohli chtít
provést, jsou následující:
 Změna výchozího intervalu aktualizace
Správa zpracování a aktualizace zásad skupiny
89
	Úplné nebo částečné povolení či zablokování zpracování zásad
	Změna pořadí zpracování uživatelských a počítačových nastavení
	Nastaveni detekce pomalého připojení a následného zpracování
	Manuální aktualizace zásad skupiny"
Těmto technikám se budeme věnovat v následujícím oddíle.
Začínáme
Tip Při práci se zpracováním a aktualizací Group Policy (Zásady skupiny) je někdy dobré vě-
dět, kdy na určitém počítači proběhla poslední aktualizace zásad skupiny a které objekty by-
ly aplikovány. Podrobnosti naleznete dále v této kapitole v oddíle s názvem „Zjišťování
nastaven* zásad a doby poslední aktualizace".
Změna aktualizačního intervalu
Jakmile je skupinová zásada jednou aplikována, je pro zajištění aktuálnosti průběžně
obnovována. Výchozí aktualizační interval je u doménových řadičů 5 minut. Pro
všechny ostatní počítače je výchozí interval 90 minut, s pohyblivým (maximálně 30mi-
nutovym) posunem, který má zabránit zahlcení doménového řadiče velkým počtem
současně vznesených požadavků. To znamená, že aktualizační okno pro počítače,
které nejsou doménovými řadiči, je 60 až 120 minut.
Možná vás zajímá, proč byste měli chtít měnit aktualizační interval. Ve velkých organi-
zacích s velkým počtem počítačů to můžete udělat, abyste snížili využití zdrojů na va-
šich doménových řadičích nebo proto, abyste snížili provoz ve vaší síti. Mezi frekvencí
aktualizaci a množstvím změn v zásadách je potřeba najít ideální rovnováhu. Není-li
zásada měněna příliš často, bude pravděpodobně lepši zvětšit aktualizační interval.
Dejme tomu, že na doménových řadičích budete chtít využívat 15minutový aktuali-
zační interval a na dalších počítačích to bude 120 minut.
Aktualizační interval zásad skupiny lze změnit pro každou zásadu zvlášť. Jestliže
chcete změnit aktualizační interval na doménovém řadiči, postupujte následovně:
1.	V konzole GPMC klepněte pravým tlačítkem na objekt GPO, který chcete upravit,
a poté zvolte položku Edit. Mělo by se jednat o objekt GPO připojený ke kontejne-
ru, který obsahuje doménové objekty řadiče.
2.	Ve složce Computer Configuration\Administrative Templates\System\Group Policy
poklepejte na zásadu Group Policy Refresh Interval For Doftiain Controllers. Obje-
ví se dialogové okno vlastností - Properties zachycené na obrázku 3-9-
3.	Vyberte možnost Enabled.
4.	Do prvního pole Minutes zadejte základní aktualizační interval. Obvykle se po-
užívá hodnota mezi 5 a 59 minutami.
Tip Menší hodnota sníží pravděpodobnost toho, že doménový řadič nebude mít aktuální
konfiguraci zásady. Větší hodnota zmenší frekvenci aktualizací (tím můžete piedejit pře-
hnaným nárokům na systémové zdroje), ale zvýší se pravděpodobnost toho, že doménový
řadič nebude m-t aktuální konfiguraci zásady.
5.	Druhé pole Minutes slouží k určení minimální a maximální časové odchylky ak-
tualizačního intervalu. Odchylka slouží pro nastaveni aktualizačního okna tak,
Kapitola 3 - Pokročilá správa zásad skupiny
aby nedošlo k zahlcení systému z důvodu velkého množsjyí současných klient-
ských požadavků na aktualizaci zásad skupiny.
6.	Klepnete na tlačítko OK.
OBRÁZEK 3.9: Nastavení aktualizačního intervalu doménového řadiče
Aktualizační interval počítačů, které nejsou doménovými řadiči (členské servery
a pracovn- stanice) nastavíte takto:
1.	V konzole GPMC klepněte pravým tlačítkem na objekt GPO, který chcete upravit,
a poté zvolte položku Edit. Mělo by se jednat o objekt GPO připojený ke kon-
tejneru, který obsahuje objekty počítače.
2.	Ve složce Computer Configuration\Administrative Templates\System\Group
Policy poklepejte na zásadu Group Policy Refresh Interval For Computers. Ob-
jeví se dialogové okno Properties Zachycené na obrázku 3.10.
3.	Vyberte možnost Enabled.
4.	Do prvního pole Minutes zadejte zakladni aktualizační interval. Obvykle se po-
užívá hodnota mezi 60 a 180 minutami.
Tip Menší hodnota sníží pravděpodobnost toho, že počítač nebuoe mít aktuální konfiguraci
zásady. Větší hodnota zmenší frekvenci aktualizací (tím můžete předejít přehnaným náro-
kům na systémové zdroje), ale zvýší se pravděpodobnost toho, že počítač nebude mít aktu-
ální konfiguraci zásady.
5.	Druhé pole Minutes slouží k určení minimální a maximální časové odchylky ak-
tualizačního intervalu. Odchylka slouží pro nastavení aktualizačního okna tak,
aby nedošlo k zahlcení systému z důvodů velkého množství současných klient-
ských požadavků na aktualizaci zásad skupiny.
6.	Klepněte nj tlačítko OK.
Správa zpracování a aktualizace zásad skupiny
91
Group Potky refresh interval for Computer* Propertie* X
Settng Explan
Group Pofcy leíteth ri^rvj let computm
O Not Configuied
(• Enabtod
j OOtíbted
1 í hw ceKing alow* you to custuoaže how cílen Group Poícy r appfed
to computors T he range b 0 to 64800 rmuit [45 dajrcl
Mnut* 30	3
Thu o a landom trne added to the rehesh rtetval to pteveri
al ebents from tequrtng Group Pofcy at the ume r ne
ThetangeisOto 1440mnuto |24hours)
Mnut“' 30 Z
11 lic
Supported ort At leart McrounA Wndowt 2000
| Ptevxxň SNtng | [ Next Settng
| OK | ( Parcel [ Apply j
OBRÁZEK 3.10: Nastaveni aktualizačního intervalu členských serverů a pracovních stanic
Povolování a blokování zpracováni objektů GPO
Zpracování objektu zásad můžete povolit či zablokovat úplně nebo jen částečně. Úpl-
né zablokován objektů je užitečné v případě, že určitou zásadu již nadále nepotiebu-
jete, ale v budoucnu ji možná budete chtít ještě použit nebo v případě, že řešíte
problémy související se zpracováním zasady. Částečné zablokování objektu zasady je
užitečné tehdy, když chcete, aby byla nastavení zásady aplikovaná bud’ pouze na
uživatele, nebo pouze na pqčítače, ale nikoliv na obě skupiny současně.
Tip Částečným zablokováním zásady můžete zajistit, aby byla aplikována jen uživatelská ne-
bo jen počítačová nastaveni. Uživatelská či počítačová nastavení můžete také zablokovat
v případě, že vam jde o to zrychlit zpracování zásady. Nicméně, toto byste měli dělat pouze,
když jste si plně vědomi dopadu takové změny na vaše prostředí.
Částečné a úplné blokování zásad se provádí následovně:
1.	V konzole GPMC vyberte kontejner pracoviště, domény nebo organizační jed-
notky, se kterou chcete pracovat.
2.	Vyberte objekt, se kterým chcete pracovat a v pravém podokně (viz obrázek 31D
poté klepněte na kartu Details.
3.	V seznamu GPO Status vyberte jednu z následujících možnosti:
	Enabled Povoluje zpracovaní objektu a všech jeho nastavení.
	AU Settings Disabled Zakazuje zpracování objektu a všech jeho nastavení.
	Computer Configuration Settings Disabled Blokuje zpracovaní počítačo-
vých nastavení Computer Configuration, což znamená, že jsou zpracována
pouze User Configuration (Konfigurace uživatele).
	User Configuration Settings Disabled Blokuje zpracování User Configu-
ration (Konfigurace uživatele), což znamená, že jsou zpracována pouze
Computer Configuration (Konfigurace počítače).
4.	Až budete vyzváni k potvrzeni, že opravdu chcete změnit stav daného objektu
GPO, klepnete na tlačítko OK.
2
Kapitola 3 - Pokročilá sprava zásad skupiny
* Group Policy Management			
fiís Fte Action Vtew Wndjw He(p	- fa jJ			
* * m sa (?) dř			
3 Group Poky Management	* t\ Forest: cpandl.com	Sales NetworKing Poliny		
	Scope Detail Settngs Detegatnn		
- cpand com .y Corporate Poky Gust Support Poky jjv DefaJt Domain Poky En jneering Poky p ITPoky LASltePoky V Sale«	Puky Customer Service -	Domain Contrders Def auft Domafri Controlers 1 - 4) Enpieemg Engheerhg OU Poky - Saies gt Sales Desttop Poky Sales Networtang Poky ♦	jd Support Tech ♦	J Group Poky * Ibjects ♦	. WMIFters - 4]S<e$ -	Zhfcago-Fřst 9te Ovcago Ste Poky * jj LA-Fěst Ste ♦	1 Mtam-Fr" iře	Domar	cpandcom Ownei	Domem Adnm(CPANDL\LomamAclmrisj Creatod	12/1^2004 ’20&52 PM Morftirl	12/14/2004 2 45 38 PM User ven on	0 (AD). 0 (tytvol) Comp1 Jtr- věrnou	0 (AD). 0 (tytvoi) Uroque ID	{E8E47CFE-86434503-9E13GA392COA3E8B)		
	GPO Statui	Computer coríiguabon settmgs rfeabled v AI ethngi drabicd	
		ConnLtM eoniiOLaation tettmm dtabled	
		Enabied Urer coníigieatKy. lethngs dsabled	
< >			
	. .	। lil		 .	i -			1 i ni • i ni ni	1	1		ni	•——. ....	,.±. umw i	... .	m		
OBRÁZEK 3.11: Informace o aktuálním stavu objektu GPO najdete v kartě Details
Změna parametrů pro zpracování zásady
V zásadě skupiny jsou Computer Configuration ( Konfigurace počítače) zpracovávána
v době, kdy sc spouští počítač a začíná přistupovat do sně. User Configuration (Konii
gurace uživatele) se zpracovávají v době, kdy se uživatel přihlašuje do sítě. Když mezi
uživatelskými a počítačovými rb stavením i dojde ke konfliktu, vyhrají počítačová na-
stavení. Dále je důležité upozornit na to, že počítačová nastavení se aplikují z objektu
GPO daného počítače a uživatelská nastavení z objektu GPO daného uživatele.
V jistých specifických situacích se múze stát’, že toto chovám pro vás bude nežádou-
cí. Ve vysoce zabezpečeném pracovním prostředí můžete požadovat, aby byla uži
vatelská nastavení aplikována z objektu GPO daného počítače a byla tak dodržena
lokální přísná bezpečnostní opatření. Na sdíleném počítači muže být váš požadavek
na zpracování takový, že uživatelská nastavení je třeba aplikovat z obiekru GPO
počítače, ale současně mají byt uživatelská nastavení aplikována také z obiektu
GPO reprezenluiicího uživatele. Tyto výjimky lze realizovat pomocí uzavřeného
zpracování v e smyčce (tzv. „loopback processing“).
Konkrétní scénáře a další podrobnosti najdete ve 12. kapitole. Způsob fungování
uzavřeného zpracovaní lze nastavit níže uvedeným postupem:
1.	V konzole GPMC klepněte pravým tlačítkem na skupinovou zásadu, kterou
chcete upravit, a poté zvolte položku Edit.
2.	Ve složce Computer Configuration\Administrative Templates\System\Group
Policy poklepejte na zásadu User Group Policy loopback Processing Mode.
Objeví sc dialogové okno Pfoperties zachycené na obrázku 3.12.
Správa zpracování a aktualizace zásad skupiny
Začínáme
OBRÁZEK 3.12: Odblokování zásady a nastavení módu pro sloučení nebo nahrazení
(Merge/Replace)
3.	Vyberte položku Enabled a v seznamu Mode poté vyberte jeden z následujících
módu pro zpracování:
	Replace (Nahradit) Když zvolíte možnost Replace, zpracují se uživatelská
nastavení z objektu GPO reprezentujicího počítač a uživatelská nastaveni ob-
jektu GPO uživatele se nezpracuji. Uživatelská nastaveni objektu GPO počí-
tače nahradí obvyklá uživatelská nastavení.
	Merge (Sloučit) Když zvolíte možnost Merge, zpracují se nejprve uživatel-
ská nastavení z objektu GPO reprezentujícího počítač, poté dojde ke zpra-
covaní uživatelských nastavení v objektu GPO uživatele a následně se znovu
zpracují uživatelská nastavení počítačového objektu GPO. Tato technika
slouží ke zkombinování uživatelských nastavení obou objektu GPO. Jestliže
dojde k nějakým konfliktům, mají přednost uživatelská nastavení objektu
GPO reprezentujícího počítač.
4.	Klepněte na tlačítko OK.
xX yk Tip Při práci se skupinovou zásadou je důležité mft na paměti úroveň podpory zásad, se kte-
rými pracujete. Zásadu User Group Policy Loopback Processing Mode podporují všechny po-
čítače s operačním systémem Windows 2000 a novějším. To znamená, že tuto zásadu
podporují počítače s operačními systémy Windows 2000, Windows XP Professional, Microsoft
Windows Server 2003 a novějšími verzemi operačního systému Windows.
Konfigurujeme detekci pomalého připojení
Služba Active Directory používá detekci pomalého připojení pro účely omezení
provozu v případě špatné síťové odezvy. Funkci detekce používají klienti Group
Policy (Zasady skupiny) v případě zhoršené síťové komunikace a pro účely sníženi
nároků na síťové zdroje, které by mohly při zpracovaní zásad skupiny zahlcení sítě
ještě zhoršit. Jakmile dojde k detekci pomalého připojeni omezí klienti zásad sku-
piny sítovou komunikaci.
94
Kapitola 3 - Pokročilá správa zásad skupiny
Detekce pomalého připojení
Klientské počítače používají pro určení pomalého připojení speciální techniku. Ve
většině případů odešle počítač , ping“ na doménový řadič, ke kterému je připojen.
Další postup je určen dobou odezvy doménového řadiče. Jestliže ie doba odezvy
kteréhokoliv ..pmgu“ 10 milisekund nebo méně, pokračuje klient v normálním (pl-
ném) zpracováni zásad skupiny. Jestliže je doba odezvy z doménového řadiče větší
než 10 milisekund, provede počítač následující akce:
1. Třikrát po sobě zkusí ,.ping“ na doménový řadič s paketem o velikosti 2 KB.
2. Pomoci průměrné doby odezvy určí rychlost sítě.
V případě, že je rychlost připojení stanovena pod hodnotou 500 kilobitu za vteřinu
(což lze na rychlé síti interpretovat jako nedostačující reakení dobu), klientský počítač
implicitně interpretuje tento fakt jako znak pomalého síťového připojení a oznámí to
doménovému řadiči. Výsledkem je, že doménový řadič pošle počítači během aktuali-
zace zásady pouze bezpečnostní nastavení a správcovské šablony.
Detekci pomalého připojení můžete konfigurovat prostřednictvím zásady Group Po-
licy Slow Link Detection, která se nachází ve složce Computer Conf i gurati on\Admi ni -
strative Templ ates\System\Group Pol icy. Jestliže tuto zásadu zablokujete nebo
nenakonfigurujete, budou klienti pro určeni pomalého připojeni ppužívat výchozí
hodnotu S00 kilobitu za sekundu. V případě, že tuto zásadu povolíte, můžete nastavit
konkrétní hodnotu pro určeni pomalého připojení, nap:. 256 kilobitu za sekundu.
\ Tip Jediným způsobem jak kompletně zablokovat detekci pomalého připojení, je povolit zá-
sadu Group Policy Slow Link Detection (Rozpoznání pomalého připojení zásad skupiny)
a nastavit možnost Connection Speed (Rychlost připojení) na hodnotu 0. Toto nastavení na-
řídí klientům, aby se pomalé připojení nesnažili detekovat a automaticky považovali všechna
připojení za rychlá.
Chování v případě pomalého připojení lze optimalizovat pro různé oblasti Group
Policy (Zásady skupiny). K tomu slouží následující zasady nacházející se ve složce
Computer ConfiguratiorAAdministrative Templates\System\Group Policy:
	Disk Quota Policy Processing (Zpracování zásady diskových kvót) Změny
v nastaveních tykaiících se diskových kvót nejsou implicitně na pomalých spo-
jeních zpracovávány. To ale nijak nemění význam vynucováni jakýchkoli aktu-
álních diskových kvót definovaných v této zásadě. Dříve získaná nastavení
zásad pro diskové kvóty jsou stale v platnosti.
	EFS obnovení (EFS Recovery) Policy Processing (Zpracování zásady zota-
vení systému EFS) Změny v nastaveních týkajících se zotavování systému EFS
nejsou implicitně na pomalých spojeních zpracovávány. To ale nijak nemění vý-
znam vynucování jakýchkoli aktuálních nastavení pro zotavení systému EFS de-
finovaných v této zásadě. Dříve získaná nastavení zásad pro /otavení systému
FFS jsou stále v platnosti Některé dokumentace uvádějí, že jediným případem,
kdy zásada obnovy systému FFS není aktualizována je situace, kdy si explicitně
vyžádáte, aby během aktualizace nebyla tato zásada aplikována? Na základě tes-
tu se toto tvrzení jeví být pravdivé, ale budoucí servisní balíčky a změny v zása-
dě skupiny mohou způsobit změny tohoto chovaní.
Správa zpracování a aktualizace zásad skupiny
95
	Folder Redircction Policy Processing (Zpracování zásady adresářového
přesměrování) Změny v nastaveních týkajících se přesměrování adresářů
nejsou implicitně na pomalých spojeních zptacovávány. Nastaveni adresářového
přesměrování se načítají a aplikují pouze během přihlašování. Proto v případě,
kdy se uživatel přihlašuje prostřednictvím pomalého připojení, nastavení adresá-
řového přesměrováni se implicitně neaplikuji a uživatelské adresáře se proto
nepřesměrují. To je obvykle žádoucí chování, obzvláště v situacích, kdy se uži-
vatel přihlašuje přes vytáčené připojení nebo jiný druh pomalého připojení.
	Internet Explorer Maintenance Policy Processing (Zpracování zásady
správy aplikace Internet Explorer) Změny v nastaveních týkajících se správy
aplikace Internet Explorer nejsou implicitně na pomalých spojeních zpracová-
vaný. Je-li v zájmu ochrany a bezpečnosti sítě důležité mít nastavení správy
aplikace Internet Fxplorer neustále aktuální, pak si můžete jeho zpracování
i přes pomalé připojení vyžádat. Tak zajistíte, že nastavení odpovídají poslední
uskutečněné aktualizaci zásad skupiny.
Začínáme
	IP Security Policy Processing (Zpracování zásady zabezpečeni protokolu IP)
Změny v nastaveních týkajících se zabezpečení protokolu IP nejsou implicitně
na pomalých spojeních zpracovávaný. To ale nijak nemění význam vynucováni
jakýchkoli aktuálních zásad zabezpečen! protokolu IP. Diíve získaná nastavení
zásad pro zabezpečení protokolu IP jsou stale v platnosti. Některé dokumentace
uvádějí, ze jediným případem, kdy zásada zabezpečení protokolu li není aktua-
lizovaná, je situace, kdy si explicitně vyžádáte, aby během aktualizace nebyla
tato zásada aplikována. Na zakladě testu se toto tvrzení jeví byt prav dne, ale
budoucí servisní balíčky a změny v zásadě skupiny mohou způsobit změny to-
hoto chováni.
	Script Policy Processing (Zpracovaní zásady skriptu) Změny v nastaveních
týkajících se skriptů nejsou implicitně na pomalých spojeních zpracovávány.
Skripty definované v zásadách jsou spouštěny pouze při výskytu specifických
událostí, jako jsou: přihlášení, odhlášení, vypnutí či zapnutí.
	Security Policy Processing (Zpracování bezpečnostní zasady) Změny
v nastaveních týkajících se bezpečnostní zasady jsou zpracovány vždy a bez
ohledu na druh připojení. Bezpečnostní zásada je implicitně aktualizována kaž-
dých 16 hodin a to i tehdy, když v ni nebyly provedeny žádné změny. Jediným
způsobem jak její aktualizaci zabránit je nakonfiguroval zpracováni zásady tak,
aby během periodické obnovy nebyla aplikovaná. Jestliže toto chcete učinit,
použijte nastavení Do Not Apply During Periodic Background Processing. Ale
protože je bezpečnostní zásada velmi důležitá, znamená nastaveni Don t Apply
pouze to, ze zpracovaní bezpečnostní zásady je pozastaveno jen když je na po-
čítači přihlášen uživatel a pracuje. Jeden z mála důvodů proč byste měli chtít
pozastavit aktualizaci bezpečnostní zásady je situace, kdy během aktualizace
doc hází k selháním běžících aplikací.
	Softwarová instalace (Software Ins tallation) Policy Process i ng (Zpracovám
zasady instalace aplikací) Změny v nastaveních týkajících se zasady instalace
aplikací nejsou implicitně na pomalých spojeních zpracovávaný. To znamená, ze
nově dostupné aktualizace nebo verze softwaru nejsou pro uživatele s pomalým
96
Kapitola 3 - Pokročilá správa zásad skupiny
připojením k dispozici, což je obvykle žádoucí, neboť aktualizace programů na
pomalé lince může být dosti zdlouhavý proces.
	Wireless Policy Processing (Zpracování zásady bezdrátové komunikace)
Změny v nastaveních týkajících se zásady bezdrátové komunikace nejsou impli-
citně na pomalých spojeních zpracovávány. To ale nijak nemění význam vynu-
cování jakýchkoli aktuálních zásad bezdrátové komunikace. Dříve získaná
nastavení zasad bezdrátové komunikace jsou stále v platnosti.
H Poznámka Pro některé z těchto oblastí zásad lze řídit také periodickou aktualizaci. Další in-
formace naleznete v oddíle „Správa zpracování a aktualizace zásad skupiny" této kapitoly.
Konfigurujeme detekci
pomalého připojení a zpracování zásady pomalého připojení
Konfiguraci detekce pomalého připojen a zpracování odpovídající zásady můžete
provést následujícím způsobem:
1.	V konzole GPMC klepněte pravým tlačítkem na zásadu, kterou chcete upravit,
a poté zvolte položku Edit.
2.	Ve složce Computer ConfiguratiorAAdministrative Templates\System\Group Policy
poklepejte na zásadu Group Policy Slow Link Detection. Objeví se dialogové
okno Propcrties zachycené na obrázku 3.13-
3.	Stejně jako na obrázku 3.13 vyberte položku Enabied a do pole Connection
Speed zadejte rychlost, která bude určovat, zda je počítat na pomalém připoje-
ní. Jestliže například chcete, aby všechna připojení pomalejší než 256 kilobitů za
sekundu byla považována za pomalá, zadejte hodnotu 256. Jestliže pro daný ob-
jekt chcete detekci pomalého připojení vypnout, zadejte hodnotu 0.
4.	Klepněte na tlačítko OK.
Konfigurujeme zpracování zásady aktualizace a pomalého připojení
Procesy probíhající během aktualizace („background processing“) a pomalého při-
pojení můžete optimalizovat pro klíčové oblasti zásad skupiny prostřednictvím zá-
sad ve složce Conf i gurati orAAdmi ni strati ve Templates\System\Group Policy.
Mezi základní dostupné možnosti patří:
	Allow Processing Across A Slow Network Connection (Povolit zpracovaní
v případě pomalého síťového připojení) Zajistí, že nastavení jsou zpracována
i v případě pomalého připojení.
	Do Not Apply Dtiring Periodic Background Processing (Neaplikovat bě-
hem periodické aktualizace) Potlačí aktualizaci, když dojde ke změně nastavení
po spuštění počítače nebo po přihlášení,
	Process Fven If The Group Policy Objects Háve Not Changed (Zpracovat
J když se objekty zásad skupiny nezměnily) Klient je během aktualizace do-
nucen zpracovat nastavení, i když se nastavení nezměnila.
Správa zpracování a aktualizace zásad skupiny
Tip Ačkoli k aktualizaci bezpečnostních nastavení dochází implicitně každých 16 hodin, pro
y ostatní oblasti zásad skupiny to neplatí. U těchto oblastí se aktualizují pouze nastavení, která
byla změněna. Proto je někdy třeba přinutit klienty k opětovnému zpracováni nastavení zásad
i v případě, že na serveru nedošlo k jejich změně. Představte si situaci, kdy lokální správce něja-
ké organizační jednotky provede na lokálním počítači změny, ktere mohou ovlivnit jeho
chování. Jestliže lokální správce přímo změnil registry (Registry) nebo jinou část operačního
systému, nebudou tyto změny považovány za změny v zásadě skupiny. Abyste tento druh
změn přepsali a opravili, bude potřeba z doménového řadiče znovu aplikovat skupinovou
zásadu (viz příští oddíl). Pokud dojde k zápisu Group Policy (Zásady skupiny) do odpovídající
oblasti registrů nebo konfigurace operačního sytému, problém bude vyřešen.
Začínáme
OBRÁZEK 3.13: Odblokování a konfigurace zásady Group Policy Slow Link Detection
Konfigurace zpracování zásad aktualizace a pomalého připojení klíčových oblastí
zásad skupiny se provádí následovně:
1.	V konzole GPMC klepněte pravým tlačítkem na objekt, který chcete upravovat,
a poté zvolte položku Edit.
2.	Rozbalte položku Computer ConfiguratiorAAdministrative Templates\System\Group
Poli cy.
3.	Poklepejte na zásadu, kterou chcete konfigurovat. Klíčové zásady pro řízení zá-
sad aktualizace a pomalého připojeni zahrnují.
	Disk Quota Policy Processing
	EFS Recovery Policy Processing
	Folder Redirection Policy Processing
	Internet Explorer Maintenance Policy Processing
	IP Security Policy Processing
	Scripts Policy Processing
	Security Policy Processing
"	Software Installation Policy Processing
	ireless Policy Processing
Kapitola 3 - Pokročila správa zásad skupiny
4.	V dialogovém okně vyberte možnost Enabled (viz obrázek 3-14) a poté proveď-
te konfiguraci. Dostupná nastavení se mohou lišit s ohledem na zásadu, se kte-
rou v dané chvíli pracujete, a mohou obsahovat následující položky:
	Allow Processing Across A Slow Network Connection
	Do Not Apply During Periodic Background Processing
	Process Even If The Group Policy Objects Háve Not Changed
5-	klepnete na tlačítko Ol C
OBRÁZEK 3.14: Odblokování a následné konfigurování zasady
Manuální aktualizace zásad skupiny
Jako správce můžete často potřebovat provést aktualizaci Group Policy (Zásady sku-
piny) manuálně. Například když nechcete čekat na aktualizaci v automatickém perio-
dickém intervalu nebo když se pomocí aktualizace snažíte vyřešit nějaký problém
a aktualizaci zásad skupiny si chcete vynutit. Manuální aktualizaci zásad skupiny
můžete provést pomocí nástroje Gpupdate (pracuje se s ním v příkazovém řádku).
Poznámka Jestliže jste dosud používali nástroj SECEDIT /refreshpolicy operačního systému W«n-
dows 2000, měli byste nyní přejít na Gpupdate, který je náhradou zmiňovaného nástroje.
Aktualizaci můžete vyvolat několika způsoby. Když do příkazového řádku zadáte pří-
kaz gpupdate, provede se na lokálním počítači aktualizace uživatelských (User Confi-
guration) a počítačových (Computer Configuration) nastavení zásad skupiny.
Uživatelská a počítačová nastaveni lze také aktualizovat samostatně. Aktualizaci počí-
tačových nastavení provedete tak, že do příkazového řádku zadáte příkaz gpupdate
/target:Computer. Naopak uživatelská nastaveni se aktualizují příkazem gpupdate
/target:user.
Poznámka Použijete-li nástroj Gpupdate, aplikují se pouze ta nastavení, u kterých došlo ke
změnám. Toto chovaní lze změnit parametrem /Force. Tento parametr vynutí aktualizaci
všech nastavení.
Modelováni a údržba zásad skupiny
Tip Nástroj Gpupdate můžete použít také k odhlášení uživatele nebo restartování počítače
/ po aktualizaci zásad skupiny. To se hodí, neboť některé zásad skupiny se aplikují pouze bě-
hem přihlašovaní uživatele nebo startování počítače. Chcete-li po aktualizaci odhlásit uživa-
tele, použijte parametr /Logoff. Jestliže potřebujete po aktualizaci restartovat počítač,
použijte parametr /Boot.
3.4 Modelování a údržba zásad skupiny
Úlohy spadající do modelováni a údržby Group Policy (Zásady skupiny) spolu
velmi často úzce souv isí. Obvy kle budete provádět toto:
1.	Použijete modelovaní zásad skupiny pro naplánování aktualizace nebo imple-
mentace zasad skupiny.
2.	Provedete úlohy údržby, včetně kopírování a zálohování objektů zásad skupiny
kvůli uchován konfigurace zásad skupiny v podobě, kterou měla před prove-
dením změn.
3.	Naimplementujete váš plán nebo zaktualizujete skupinovou zásadu.
4.	Použijete výsledky zásad skupiny k určení efektivních nastavení zásad skupiny
určitého uživatele přihlašujícího se do sítě z určitého počítače a po dokončení
analýzy provedete nezbytno změny.
5.	Provedete úlohy údržby, včetně kopírovaní a zálohování objektu zasad skupiny
kvůli uchování konfigurace zásad skupiny v podobě, kterou měla před prove-
deném změn.
Pokaždé pravděpodobně nebudete provádět všechny uvedené kroky, ale jejich pora-
dí je dobré zíichovat. Jednoduše řečeno, předtím než změníte skupinovou zásadu, mě-
li byste si udělat model nového návrhu a stávající nastavení Group Policy (Zásady
skupiny) si zazálohovat. Pote co skupinovou zásadu naimplementujete nebo pro-
vedete její aktualizaci, měli byste zaznamenat a zkontrolovat výsledky. po provede-
ní nezbytných změn a dokončeni aktualizace a kontroly výsledku byste měli
provést zálohu konfigurace zásad skupiny.
Modelování zásad skupiny pro účely plánování
Modelovaní Group Policy (Zásady skupiny) pro účely plánování je potřeba
v případě, Že chcete otestovat nižné implementační a konfigurační scénáře. Napří-
klad se můžete rozhodnout, že namodelujete dopad pomalého připojení nebo mó-
du uzavřeného zpracovaní. Modelovat můžete také dopad uživatelů či počítačů
stěhujících se do jiných kontejnerů služby Active Directory" nebo dopad změny
členství v bezpečnostních skupinách.
Všichni doménoví a podnikoví správci mají dostatečná prav a, aby mohli modelovat
skupinovou zásadu pro účely’ plánování. Stejně tak mají tato práva i všichni, kteří
mají delegované oprávnění Perfonn Group Policy Modeling Analyses. Modelování
zásad skupiny a testování implementačních a konfiguračních scénářů se provádí
následovně:
1.	\ konzole GPMC klepněte pravým tlačítkem na uzel Group Policy Modeling
a zvolte položku Group Policy Modeling Wizard.
Kapitola 3 - Pokročilá správa zásad skupiny
2.	Pote co se spustí nástroj Group Policy Modeling Wizard, klepněte na tlačítko
Next. Zobrazí se stránka Domain Controller Selečtion (viz obrázek 3-15).
OBRÁZEK 3.15: Volba doménového řadiče, na kterém proběhne simulace
3.	V seznamu Show Domain Controllers In This Domain vyberte doménu, pro kte-
rou chcete výsledky namodelovat.
4.	V části Process Ihe Simulation On I his Domain Controlier je implicitně vybrána
možnost Any Available Domain Controller. Jestliže chcete použít konkietni do-
ménový řadič, použijte volbu This Domain Controller a vyberte požadovaný
doménový řadič. Klepněte na tlačítko Next.
5.	Na stránce User And Computer Selection (viz obrázek 3-16) nakonfigurujte pro
uživatele a počítače volby pro modelován’ Ve věts ně případu budete chtít zásadu
modelovat pro určitý kontejner s použitím infonnací o uživatelích a počítačích.
V tikovém případě použijte tento postup:
	V části User Infonnation vy berte možnost Container a poté klepněte na tlačítko
Browse. Zobrazí se dialogové okno Choose User Container. Vyberte některý
z dostupných uživatelských kontejneru vybrané domény. Simulovat můžete
například nastavení zásady pro uživatele organizační jednotky Fngineering.
	V části Computer Information vyberte možnost Container a poté klepněte na
tlačítko Browse. Zobrazí se dialogové okno Choose Computer Container.
Vyberte některé z dostupných počítačových kontejnerů vybrané domény.
Simulovat můžete například nastavení zásady pro počítače organizační jed-
notky Fngineering.
6.	Klepněte na tlačítko Next Zobrazí se stránka The Advanced Simulation Options
(obrázek 3d7). Pokročilá nastaveni vam umožní provést úpravy v simulaci sítě
a podsítě, jako například detekci pomalého připojeni, uzavřeného /pracován:
a přístupu do sítě z určitého pracoviště. Podle potřeby nastavte odpovídající
pokročilá nastavení.
Modelování a údržba zásad skupiny
10
OBRÁZEK 3.16: Definice simulačních kritérií pro uživatele a počítače
* Group Policy Modehng WVard
Advanced Swulation Dpbons
You can seteci addtonal optom f a yom nnuiaton
SmJMr pokcy uplnce-taton tor the tolowrtg
O Slow network ;nnnecton (fa example a dal- j. ^nnecton'
p] Loopback ptocesmg
® Replace
O Met je
Síe
C r‘k,P to finál paga oí thr woard wthuut c olectng addtonal dala
< Back || Next> | | Cancel |
OBRÁZEK 3.17: Zadáváni pokročilých simulačních kritérií
7.	Klepněte na tlačítko Next. Jestliže modelujete uživatelské informace, zobrazí se
stránka User Security Groups (viz obrázek 3-18). Pomocí možnosti na teto stran-
ce nasimulujete, co by se stalo, kdybyste přidali uživatele do určité bezpečnost-
ní skfipřny. Simulace se implicitně provede pro uživatele, který je členem
výchozích bezpečnostních skupin Authenticated Users a Everyone. Jestliže chce-
te simulovat členství v jiných skupinách, můžete je přidat. Kdybyste například
chtěli vědět, co by se stalo, kdyby byl uživatel určitého kontejneru členem bez-
pečnostní skupiny Engineering, přidali byste tuto skupinu do seznamu Security
Groups.
8.	Klepněte na tlačítko Next. Jestliže modelujete počítačové informace, zobrazí se
stránka Computer Security Groups (viz obrázek 3-19). Pomocí možnosti na této
strance nasimulujete, co by se stalo, kdybyste přidali počítač do určité bezpečnost-
ní skupiny. Simulace se implicitně provede pro počítač, který je členem výchozích
bezpečnostních skupin Authenticated Users a Fveryone. Jestliže chcete simulovat
členství v jinveh skupinách, můžete je přidat. Kdybyste například chtěli vědět, co
Kapitola 3 - Pokročilá správa zásad skupiny
by se stalo, kdyby byl počítač určitého kontejneru členem bezpečnostní skupiny
Domain Controllers, přidali byste tuto skupinu do seznamu Security Groups.
OBRÁZEK 3.18: Simulace členství uživatele v různých bezpečnostních skupinách
OBRÁZEK 3.19: Simulace členství počítače v různých bezpečnostních skupinách
9.	Filtry rozhraní WMI je možné připojit k objektům zásad. Implicitně se předpo-
kládá, že vybraní uživatele a počítače splňují všechny požadavky filtrů rozhráň
V MI, což je u většiny případů modelování žádoucím jevem. Proto dvakrát klep
něte na tlačítko Next a přeskočte tak stránky WMI Filters For Users a WMI F l-
ters For Computers.
10.	Modelováni dokončíte klepnutím na tlačítka Next a Finish. Průvodce vygeneruje
zprávu, jejíž výsledky se zobrazí v podokně Details.
11.	Jak je vidět z obrázku 3-20. název zprávy se generuje podle vybraných kontej-
neru. Klepnutím název označte a zadejte pro zprávu popisný název. Poté stisk-
něte klávesu Tab. Když ve zprávě klepnete na odkaz Show All, zobrazí sc
všechny namodelované informace o z. Procházením jednotlivých větvi zprávy si
můžete prohlédnout efektivní nastavení uživatelů a počítačů vybraného kontej-
neru a zvolených modelovacích parametru.
Modelování a údržba zásad skupiny
OBRÁZEK 3.20: Změna názvu zprávy a prohlížení výsledků modelováni
Začínáme
Kopírování a import objektů zásad
Mezí funkce konzoly GPMC patří i zabudované operace pro kopírování a import.
Kopírování vam umožňuje kopírovat existující objekty z jedné domény do jiné. Im-
port vám dává možnost obnovit z nějaké domény záložní kop-i objektů zasad a po-
té je importovat do nějaké jiné domény. K fungování importu ani kopírování není
potřeba žádná úroveň důvěryhodnosti To znamená, že cílová doména pro import
muže být jak rodičovskou doménou, tak i dceiinou doménou, doménou v jiném
stromu či jiné doménové struktuře nebo dokonce externí doménou.
fPoznámka Kopírování a import se týkají pouze nastavení zasad uvnitř objektu zasady. Tyto
operace nekopírují spojení objektů ani případně přiřazené filtiy rozhraní WMI.
Kopírován objektů zásad jejich nastavení
Použití kopírování je v konzole GPMC značně intuitivní. V jedné doméně nakopíru-
jete objekt a všechna jeho nastavení, poté se přesunete do cílové domény a kopii
daného objektu do ní vložíte. Zdrojová a cílová doména mohou být jakékoli domé-
ny, ke kterým se v konzole GPMC můžete připojit a ve kterých máte dostatečná
oprávněni pro správu odpovídajících objektu. Potřebná oprávnění jsou následující:
	Abyste mohli ve zdrojové doméně vytvoř;! kopii, potřebujete oprávněni pro
čteni (Read).
	Abyste mohli v cílové doméně kopii zapsat, potřebujete oprávnění pro zápis
(Write). Tímto oprávněním disponují správci a všichni, na které bylo delegová-
no oprávnění pro tvorbu objektu zásad.
Za předpokladu, že máte dostatečná, oprávnění a konektivitu do obou domén, mů-
žete objekt zkopírovat následujícím způsobem:
Kapitola 3 - Pokročilá správa zásad skupiny
1.	V konzole GPMC rozbalte položku reprezentující doménovou strukturu, se kterou
chcete pracovat. Dále rozbalte uzel Domains a pote i odpovídající uzel Group Po-
licy Objects.
2.	Klepněte pravým tlačítkem na objekt, který chcete zkopírovat a zvolte příkaz Copy
3.	Přistupte do cílové domény. Postupně rozbalte záznam reprezentující doménovou
strukturu, uzel Domains a konečně i odpovídající uzel Group Policy Objects.
4.	Klepněte pravým tlačítkem na uzel Group Policy Objects domény, do které chcete
objekt nakopírovat, a v místní nabídce zvolte příkaz Paste.
5.	Jestliže je zdrojová i cílová doména tatáž, objeví se dialogové okno zachycené na
obrázku 3-21. Druhou možnost* je, že se spustí průvodce Cross-Domain Copying
Wizard a po klepnutí na tlačítko Next spatříte okno s podobnými možnostmi.
Copy GPO	X
Cancel
Specify the Dermis íions fa the new GPO:
@ Use the default perrrissions foc new GPOs.
O Preserve the existing permtsstons
I ~~0K I
OBRÁZEK 3.21: Způsob použiti oprávnění
6.	Nyní si můžete vybrat, zda se má vytvořit kopie objektu s implicitními oprávně-
ními vybrané domény nebo zda se mají na nový objekt zkopírovat existující
oprávnění. Ve většině případů budete pro nové objekty GPO používat výchozí
oprávnění, abyste zajistili, že správci v cílové doméně budou moci ke zkopíro-
vanému objektu přistupovat a pracovat s ním.
7.	Klepnete rvi tlačítko OK resp. Next. Zbývající stránky průvodce se týkají pře-
vodních tabulek, které vám umožňují doladit zkopírovaná nastavení tak, aby by-
ly použity správné bezpečnostn skupiny a cesty formátu UNC (adekvátně vůči
lokálnímu prostředí). Muže například nastat situace, kdy budete potřebovat ur-
čit, že oprávnění skupiny EngSec mají být převedena na skupinu EngTeam no-
vého objektu. Jiným příkladem je případ, kdy v nové doméně potřebujete určit
nové umístění pro adresářové přesměrování.
Další informace Podrobnější informace o převodních tabulkách naleznete ve 4 kapitole,
která obsahuje také další ukázky kopírování a importování objektů zásad.
Import objektů zásad a jejích nastavení
Jestliže mate dostatečná oprávnění a konektivitu do obou domén, funguje kopírování
objektů mezi doménami bez problémů. I přestože jste správcem na vzdáleném praco-
višti nebo mále delegované pravomoci, může se stát, že nebudete mít pí ístupová prá-
va do zdrojové domény, abyste mohli vytvořil kopii požadovaného objektu. V tako-
vém případě pro vás může jiný správce vytvořit záložní kopii objektu a poté vám
potřebná dala zaslat. Jakmile data obdržíte, můžete záložní kopii objektu importovat
do vaši domény a vytvořa tak nový objekt se stejnými nastaveními.
Modelování a údržba zásad skupiny
10!
Import může provádět kdokoli se správcovským oprávněním Edit Settings Group
Policy. Chcete-li do domény importoval záložní kopii objektu, postupujte podle ná-
sledujících kroků:
1.	Otevřete nabídku Start, pak složku Všechny programy, Administrativě Tools
a zvolte položku Group Policy Management Console. Nebo zadejte do příkazové-
ho řádku příkaz gpmc.msc.
2.	Rozbalte položku doménové struktury, se kterou chcete pracovat, poklepáním
následně rozbalte uzel Domains.
3.	Pravým tlačítkem klepněte na položku Group Policy Objects a zvolte příkaz
New. Do dialogového okna New GPO zadejte popisný název nového objektu
GPO a poté klepněte na tlačítko O*
4	Do kontejneru Group Policy Objects se přidá nový objekt GPO. Klepněte na objekt
GPO pravým tlačítkem a zvolte příkaz Edit. Otevře se nástroj Group Policy Object
Editor (Editor objektu zásad skupiny).
5.	Plavým tlačítkem klepněte na nový objekt a zvolte položku Import Settings.
Spustí se průvodce Import Settings Wizard.
6.	Klepněte na tlačítko Next. Vzhledem k tomu, že import přepíše všechna nastavení
vybraného objektu, dostanete možnost vytvořit zálohu odpovídajícího objektu
(viz obrázek 3.22).
Začínáme
OBRÁZEK 3.22: V případě potřeby udělejte zálohu objektu, se kterým pracujete
7.	Klepněte na tlačítko Next. Na stránce Backup Location zadejte název složky obsa-
hující záložní kopii objektu, který chcete importovat. To muže být v praxi matoucí,
neboť vám bvla chvíli předtím nabídnuta možnost zálohy stávajícího objektu, ale
umístění, které zde mate určit, se týká adresaie se zálohou objektu pro import.
8.	Klepněte na tlačítko Next. Jestliže určený adresář obsahuje několik záloh, uvidí-
te na stránce Source GPO jejich seznam (viz obrázek 3.23). Klepnutím vyberte
tu, kterou chcete použít.
Kapitola 3 - Pokročilá správa zásad skupiny
OBRÁZEK 3.23: Výběr zálohy objektu, kterou chcete použít
9-	Klepněte na tlačítko Next. Průvodce Import Setrings Wizard zjistí, zda objekt
neobsahuje odkazy na bezpečnostn prvky či cesty formátu UNC, které není po-
třeba migrovat. Nalezne-li nějaké, dostanete možnost vytvořit nové převodní ta-
bulky nebo použit existující. (Podrobné informace o převodních tabulkách
naleznete ve 4. kapitole.)
10.	Klepnutím na tlačítko Next pokračujte a práci ukončete tlačítkem Finfsh. Proces
importu bude zahájen. Po jeho skončení klepněte na tlačítko OK.
Zálohování objektů GPO
Stejně jako zálohujete jiná důležitá data, měli byste zálohovat také objekty GPO. Dá
se říci, že zálohování objektů zásad by mělo být součástí vaší rutinní periodické
údržby. Pro objekty zásad se obvykle vytvářej, dva druhy záloh:
	Zálohy objektů, které jsou uloženy na vybraném doménovém řadiči a následně
zálohovány v rámci rutinní systémové zálohy daného počítače.
	Zálohy objektů, které jsou uloženy na výměnném médiu, CD nebo DVD nebo
na jiné jednotce, kterou lze uschovat do šuplíku a periodicky rotovat v rámci
„off-site“ úschovy.
Stejně jako je tomu u jiných zálohovacích procesů, tak i pro objekty zásad byste si
měli vytvořit určitou strategii zálohování. Zde je příklad:
1.	Pro každou doménu si určete nějaký doménový řadič, který bude sloužit jako pc >čí-
tač pro zálohy objektů zasad. Ve většině případů byste měli zvolit doménový emu-
látor PDC, neboť se z pohledu konzoly GPMC jedná o výchozí doménový řadič.
2.	Předtím než vybraný doménový řadič zazálohujete prostřednictvím standardní
systémové zálohy, vytvořte zálohu doménových objektů zásad. Novou zálohu
byste měli provádět pravidelné (většinou týdně nebo měsíčně). Zálohu byste
měli vytvořit předtím, než změníte nastavení zásad, a také poté, co s prací na
úpravě zásady skončíte.
Modelování a údržba zásad skupiny
10:
3.	Pravidelně byste měl provádět zálohy na media. To znamená ukládat zálohy na
výměnné médium, CD, DVD a podobně. Určete si bezpečné místo pro úschovu
médii v místě pracoviště a pravidelně rotujte záložní sady, které jsou uloženy
mimo pracoviště („off-site“).
Pomocí konzoly’ GPMC můžete následujícím způsobem zazálohovat jednotlivé ob-
jekty za sad určité domény nebo všechny objekty určité domény:
Začínáme
1.	V konzole GPMC nalistujte kontejner Group Policy Objects domény, se kterou
chcete pracovat. Rozbalte doménovou strukturu, uzel Domains a odpovídající
uzel Group Policy Objects.
2.	Jestliže chcete zálohoval všechny objekty dané domény, klepněte pravým tlačít-
kem na uzel Group Policy Objects a poté vyberte položku Back Up All.
3.	Jestliže chcete zálohovat konkrétní doménový objekt zásad, klepněte pravým
tlačítkem na daný objekt a poté zvolte možnost Back Up.
4.	V dialogovém okně Back Up Group Policy Object (viz obrázek 3.24) klepněte
na tlačítko Browse a v dialogovém okně Browse For Folder nastavte umístění
kam se má objekt GPO uložit.
* Back Up Group Policy Object
Enter the name of the folder in which you want to store backup versions of this
Group Policy Object (GPO) You can back up muLpte GPOs to the same folder
Notě Settings thal are external to the GPO. such as WMI filters and IPSec
policies are independent objects in Active Directory and wil nut be backed up.
T o prevent tampering of backed up GPOs. be sure to secure this folder so thal
only authorized admimstrators háve wr ite access to this location
Locaticr
* CAData	v
Browse.
Description:
[ CPANDLCOM Complete Backup Set	|
| Bacl< Up j Cancel
OBRÁZEK 3.24: Specifikace umístěni a popisu zálohy
5.	Do pole Description zadejte smysluplný popis vyjadřující obsah zálohy.
6.	Klepněte na tlačítko Backup a zálohování se rozběhne.
7.	Dialogové okno Backup (viz obrázek 3 25) ukazuje průběh a stav zálohy. Až zá-
loha skončí, klepněte na tlačítko OK.
\	> Tip Provadíte-li plnou zálohu, melo by zálohování všech objektů skončit úspěšně. Jestliže zá-
loha selže, zkontrolujte oprávnění na zásadě a složce, do níž zálohu zapisujete Abyste moh-
li vytvořit zálohu, potřebujete u zásady oprávněni pro čtení (Read) a u adresáře, do kterého
provádíte zálohování, práva pro zápis (Write). Implicitně by tato oprávnění měli mít členove
skupin Domain Adm-ns a Enterprise Admins.
Kapitola 3 - Pokročilá správa zásad skupiny
OBRÁZEK 3.25: Sledování stavu zálohy
Obnova objektů zásad
Pomocí konzoly GPMC můžete objekt zásady obnovit do naprosto steineho stavu, ve
kterém se nacházel před provedením zálohy. Konzoly GPMC sleduje zálohu každého
objektu zvlášť a to i v případě, že zálohujete všechny objekty najednou. Vzhledem
k tomu, že se sledují i informace o verzi (podle času zálohy a popisu), můžete se
rozhodnout, zda chcete obnovit poslední verzi objektu nebo konkrétní verzi.
Abyste mohli nějaký objekt GPO obnovit, potřebujete mít pro objekt oprávnění Edit
Settings, Delete, a Modify Security a pro složku se zálohou oprávnění pro čtení
(Read). Implicitně by tato oprávnění měli mít členové skupin Domain Admins
a Enterprise Admins. Obnovu objektu GPO můžete provést takto:
1.	V konzole GPMC nalistujte kontejner Group Policy Objects domény, se kterou
chcete pracovat. Rozbalte doménovou strukturu a větev Domains.
2.	Klepněte pravým tlačítkem na uzel Group Policy Objects a zvolte položku Ma-
nage Backups. Otevře se dialogové okno Manage Backups (viz obrázek 3.26).
3-	Do pole Backup Location zadejte cestu do adresáře, kde se nachází záloha nebo
klepněte na tlačítko Browse a adresář nalistujte pomocí dialogového okna
Browse For Folder.
4.	Zobrazí se všechny zálohy objektu, které se nacházejí v určené složce. Jestliže
chcete vidět pouze nejnovějsí zálohy, použijte volbu Show Only The Latest Ver-
sion Of Each GPO.
5.	Vyberte objekt GPO, který chcete obnovit. Jestliže chcete jeho nastavení zkont-
rolovat, klepněte na tlačítko View Settings a poté si pomocí aplikace Internet
Explorer ověřte, že nastavení jsou taková, jaká mají být. Až budete připraveni
pokračovat, klepněte na tlačítko Restore.
Modelování a údržba zásad skupiny
10!
OBRÁZEK 3.26: Výběr zálohy, která bude obnovena
Začínáme
6.	Tlačítkem OK potvrďte, že opravdu chcete vybraný objekt obnoyit. Průběh a stav
obnovy se bude zobrazovat v dialogovém okně Restore (viz obrázek 3 27).
OBRÁZEK 3.27: Sledování stavu obnovy
Tip V případě, že obnova skončí neúspěšně, zkontrolujte práva na objektu a složce, ze které
zálohu načítáte. K obnově objektu GPO potřebujete pro objekt oprávnění Edit Settmgs, De-
lete, and Modify Security a pro složku se zálohou oprávnění Read.
7.	Klepnete na tlačítko OK a poté podle potřeby případně obnovte další objekty
zásad nebo tlačítkem Close ukončete práci.
o
Kapitola 3 - Pokročilá správa zásad skupiny
3.5 Zjišťování nastavení zásad a doby
poslední aktualizace
Již dme jsme se zmínili o použití modelování zásad skupiny za účelem zazname-
nání tzv. množiny RSoP (Resultant Set of Policy). V případě, že modelování zásad
skupiny použijete tímto způsobem, můžete získat infonnace o:
	všech objektech zásad, které se vztahují na určitý počítač,
	době posledního zpracování objektu zásad (době posledn aktualizace),
	uživatelích, kteří jsou momentálně přihlášeni k určitému počítači
Všichni doménox í a podnikoví správci a ti, na něž byla delegována oprávnění Read
Group Policy Results Data, mají dostatečná oprávnění pro modelování zásad skupi-
ny za účelem vytváření žurnálu. Chcete-li modelovat skupinovou zásadu pro účely
zaznamenání množiny RSoP, postupujte následovně:
1.	V konzole GPMC klepněte pravým tlačítkem na uzel Group Policy Results a po-
té spusťte průvodce Group Policy Results Wizard.
2.	Jakmile se průvodce Group Policy Results Wizard otevře, klepněte na tlačítko
Next. Jestliže chcete vidět infonnace týkající se lokálního počítače, vyberte na
stránce Computer Selection (viz obrázek 3.28) možnost This Computer. Chcete-li
si prohlédnout informace o vzdáleném počítači, vyberte možnost Anothcr Com-
puter a poté klepněte na tlačítko Browse. Do dialogového okna Sclect Compu-
ter zadejte název počítače a poté klepněte na tlačítko Check Names. Až
Výberete správný záznam, klepněte na tlačítko OK.
OBRÁZEK 3.28: Vyhér počítače, jehož množinu RSoP chcete zaznamenat
3.	Implicitně sc zaznamenávají nastaveni uživatele i počítače, lestliže vás zajímají
pouze výsledky týkající se uživatelských nastavení, vyberte možnost Do Not
Display Policy Settings For The Selected Computer.
4.	V průvodci Group Policy Results Wizard klepněte na tlačítko Next. Na stránce
User Selection1 (viz obrázek 3.29) vyberte uživatele, jehož infonnace vás zajímají.
Zjišťování nastavení zásad a doby poslední aktualizace
Prohlížet si můžete informace o jakémkoliv uživateli, který se na daný počítač
přihlásil.
Jestliže chcete vidět výsledky týkající se pouze nastavení počítačové zásady, vy-
berte možnost Do Not Display User Policy Settings.
5.	Modelování dokončíte tím, že dva krát klepnete na tlačítko Next a poté klepněte
na tlačítko Finish. Průvodce následně vygeneruje zprávu, jejíž výsledky se zob-
razí v podokně Details.
6.	Jak je vidět na obrázku 3.30, název modelové zprávy se generuje podle vybra-
ného uživatele a počítače. Klepněte na název zprávy a zadejte nový popisný
název, poté stiskněte klávesu Tab.
Začínáme
OBRÁZEK 3.29: Výběr už'vatele, jehož množinu RSoP pro daný počítač
si chcete prohlédnout
7.	Když ve zprávě klepnete na odkaz Show All, zobrazí se všechny namodelované
informace. Procházením jednotlivých větví zprávy si můžete prohlédnout efek-
tivní nastavení uživatelů a počítačů. Zapamatujte si následující:
	Jestliže chcete vidět, kdy proběhla poslední aktualizace uživatelské či počíta-
čové zásady, podívejte se do části Computer Configuration Summary, Gene-
ral, kde najdete čas posledního zpracování skupinové zásady pro počítač
nebo do části User Configuration Summary, General, kde se nachází čas po-
sledního zpracování zásad skupiny pro uživatele.
	Chcete-h vidět objekty zásad, které se použiji pro počítač či uživatele, podí-
vejte se do složky Computer Configuration Summary, Group Policy Objects,
Applied GPOs resp. do složky User Configuration Summary, Group Policy
Objects, Applied GPOs.
	Chcete-li vidět objekty GPO, které byly pro počítač či uživatele zamítnuty,
otevřete složku Computer Configuration Summary, Group Policy Objects.
Denied GPOs resp. složku User Configuration Summary, Group Policy Ob-
jects, Demed GPOs.
Kapitola 3 - Pokročilá správa zásad skupiny
Poznámka Položky nacházející se pod složkou Denied GPOs reprezentují všechny objekty,
které měly být aplikovány, ale nestalo se tak. K tomu obvykle dojde v případě, když jsou ob-
jekty prázdné nebo neobsahují žádná nastavení počítačových či uživatelských zásad. Objekt
GPO může být také zamítnut z důvodů zablokování dědičnosti. Jestliže je tomu tak, pak je
jako důvod zamítnutí (Reason Denied) uvedeno „Blocked SOM".
9 Group Polky Maníjgnjncnl
Ho Action Vtoi» Whdow Ha*>
Ei a x tS
5 hkago 5<e Poty
tf CorptxaÍB Poky
rf Cust Support Poky
J Def Doman Contrdters I
DafaJt Don^nkoky
JO v Poky
En^nMmg OUPoky
í Engrr*mg Poky
General Sites Poky
ITPoky
4? LAStePoky
rfSaies Desktop Poky
j Saies NetworknQ Poky
5<4>port Poky
. -IWMlHters
- _J5ftes
z | Ir >go-Fr t "<e
Okago Ste Poky
♦ J LA-First-5*e
s 3 * H rst
* 3 NY'Frst'5*e
 Seattte-fkst-Ste
» g St-Louis-Fvst-Ste
Group Poky Modakrg
En^rennq a  Enanr*ma
J ^rowPTfcyResdts
. - x
wrstanek on CORPSVR04
Sumrrwy Sottnpi Puky I verte
OBRÁZEK 3.30: Změna nazvu zprávy a následné prohlížení jejího obsahu
3.6 Shrnutí
V této kapitole jste se naučili, že existuje mnoho způsobů jak pozměnit a zoptimali-
zovat způsob fungování zasad skupiny. Jestliže v zásadě skupiny hledáte určitá na-
stavení zásad nebo konkretn hodnoty, můžete pro usnadnění práce použít filtry.
Jiný typ filtru (bezpečnostní filtr), který je možné aplikovat na skupinovou zásadu,
slouží ke změně způsobu zpracování zásad skupiny s ohledem na bezpečnostní
skupiny, jednotlivé počítače a uživatele. Jestliže například nechcete, aby došlo
k aplikaci nějakého objektu na uživatele, jehož účet se nachází v určité organizační
jednotce, můžete toho dosáhnout prostřednictvím filtrování zásad.
Způsob, jakým se aplikují nastavení zásad, je také možné ovlivnit různými faktory
včetně dědičnosti, pořadí zpracování a aktualizace. Fungování dědičnosti můžete
změnit tím, že upravíte pořadí a priority spojení, přetížíte dědičnost (pokud není
v platnosti vynucovánO, zablokujete dědičnost nebo si dědičnost naopak vynutíte.
Na způsob aplikace nastaveni zasad má také podstatný vliv zpracování zásad
a jejich aktualizace. Nejenže inuzete změnit interval aktualizace, zablokovat nebo
povolit zpracování objektů GPO a konfigurovat detekci pomalého připojení, ale
můžete si také vymítit aktualizaci na práni.
V rámci údržby zásady a její dlouhodobé správy můžete provádět různé operace. Mů-
žete modelovat zásadu pro účely plánování a zjišťovaní množiny RSoP. Můžete kopí-
rovat objekty zásad uvnitř domény či mezi doménami a objekty vašich zásad můžete
také podle potřeby zálohovat a obnovovat v případě, že nastanou nějaké problémy.
Část 2
implementace
a scénáře
zásad skupiny
V této části:
4.	kapitola: Implementace zásady skupiny..................................115
5.	kapitola: Zpřísňování režimu klientů a serveru.........................147
6.	kapitola: Správa a údržba základních komponent systému Windows.........225
7.	kapitola: Správa uživatelských nastavení a dat.........................263
8.	kapitola: Správa konfigurací aplikace Internet Explorer................299
9.	kapitola: Zavádění a správa softwaru prostřednictvím zásad skupiny.....327
10.	kapitola: Správa konfigurací sady Microsoft Office....................377
11.	kapitola: Správa bezpečné síťové komunikace...........................405
12.	kapitola: Tvorba vlastních prostředí..................................445
kapitola
Implementace
zásady skupiny
Obsah kapitoly:
4.1	Problematika návrhu zásady skupiny...................................116
4.2	Řízení výkonnosti zpracování objektů GPO.............................129
4.3	Doporučení pro nasazování objektů GPO................................135
4.4	Testování objektů GPO před jejich nasazením..........................142
4.5	Shrnutí..............................................................146
6
Kapitola 4 - Implementace zásady skupiny
Před tím, než do vašeho prostředí zavedete zásadu skupiny, mulite zvážit mnoho
aspektů a detailu. Tato kapitola vám pomůže učinit při tomto procesu co nejlepší roz-
hodnutí. Nejprve probereme, kde se principy návrhu služby Active Directory střetávají
se základními principy propojování a implementovaní objektu zásady skupiny (objek-
ty GPO) ve struktuře služby Active Directory. Poté se budeme zabývat tím, kam lze
ve službě Active Directory připojil objekty GPO a také zmíníme výhody a nevýhody
připojování objektu GPO k různým kontejnerům služby Active Directory.
Nevynecháme ani to, kdy a kde použít nastavení F nforce (No Overnde), Block Policy
Inheritance, GPO liltering a WMI Fikering. Tato nastavení jsou extrémně mocná a uži-
tečná, ale často dochází k jejich neadekvátnímu použití.
Hlavním tématem diskuse o implementaci zásady skupiny je otazka výkonnosti.
Jestliže máte na cílový objekt příliš mnoho objektů GPO s mnoha nastaveními apli-
kovanými, bude aplikace zásad trvat neúnosně dlouho. Tato kapitola představí
techniky pro zvýšení efektivnosti návrhu objektů GPO a jejich nasazení.
Nakonec vám nabídneme velkou škálu doporučení, která vám pomohou ve všech
aspektech nasazení objektů GPO - včetně celkového návrhu, testování objektu
GPO, strukturování objektu GPO a připojování objektů GPO.
Související informace
 Informace o databázi služby Active Directory a zásadách skupin najdete ve 13.
kapitole.
4.1 Problematika návrhu zásady skupiny
Dobře zvážený návrh zásady skupiny je základem stabilní a dobře fungující infra-
struktury služby Active Directory. Behem návrhu infrastruktury vaší zásady skupiny
a nasazování objektu GPO musíte brát v úvahu více než jen nastaveni, která objek-
ty GPO ponesou. Vzhledem k tomu, že zásada skupiny je součástí všech domén
služby Active Directory. musíte brat v úvahu také její interakci se všemi sítěmi, po-
čítači a službami, které se službou Active Directory souvisí.
Nejdůležitější je návrh samotné služby Active Directory. Zásadu skupiny ovlivňuje
mnoho součásti návrhu služby Active Directory, proto by návrh vaší zásady skupiny
měl být navázán na všechny kroky procesu nav rhu služby Active Directory. Jestliže
nebudete při implementaci služby Active Directory brát v úvahu zásadu skupiny, mů-
že se vám snadno přihodit, že nakonec budete do jedné nebo druhé dělat dodatečné
změny, abyste dosáhli požadované funkcionality. Následující oddíl poskytuje něko-
lik rad pro návrh, které vam pomohou se takové situaci vyhnout.
Problematika návrhu služby Active Directory
Co se týče fungování zásady skupiny, pak lze říci, že ve všech ohledech závisí na
službě Active Directory. Rozhodně je tedy jednodušší vytvořit seznam aspektů zá-
sady skupiny, které nejsou na službě Active Directory závislé, než vytvořit seznam
aspektu, které na ni závislé jsou. Takový seznam má vlastně jen iednu položku: lo-
kální objekt GPO. Každý počítač v doméně ma svůj objekt GPO. Tento objekt LP-
GO je zodpovědný za řízeni bezpečnosti, prostředí a aplikací na daném počítači.
Problematika návrhu zásady skupiny
Objekt LPGO lokálního počítače je jediným aspektem zásady skupiny, který není
přímo závislý na službě Active Directory, nicméně objekt LPGO má vliv na to jak je
zásada skupmy zpracovaná v prostředí služby Active Directory.
Podívejme se nyní na funkce, možností a služby související se službou Active Direc-
tory, které přímo ovlivňují zásadu skupiny:
Umístění databáze služby Active Directory
Některé komponenty zásady skupiny jsou uložené v databázi služby Active Directo-
ry. Umístění této databáze je pro zásadu skupiny důležité ze dvou důvodů. Zaprvé,
databáze musí být chráněna, aby nemohla být upravena nebo čtena případným
útočníkem nebo neoprávněným uživatelem. Zadruhe, databáze se musí nacházet na
pevném disku s dostatkem prostoru vzhledem k jejímu narůstajícímu obsahu (ně-
které objekty GPO se mohou s přibývajícími šablonami a konfiguracemi značně
zvětšit).
-------------------------------------------------------------------------------------
Další informace Podrobnější informace o tom, které komponenty ovlivňující zásadu skupiny
jsou v databázi služby Active Directory uloženy, najdete ve 13. kapitole.
lementace
Umístění souboru operačního systému služby Active Directory
Některé informace ukládá zásada skuliny také v systém ovcím souboru na doméno-
vých řadičích. Tento systémový soubor zahrnuje složku SYSVOL, která obsahuje po-
dadresář s názvem Policies, kde jsou uloženy konfigurace objektů GPO. Umístění
těchto souboru je důležité pouze tehdy, když správce potřebuje řešit určitý problém
nebo odstranit komplikace, které se týkají souborů uložených ve složce Policies - ná-
stroje pro práci se zásadou skupiny toto umístění automaticky rozpoznají.
Další informace Podrobnější informace o informacích ovlivňujících zasadu skupiny uložených
v systémových souborech služby Active Directory (složka SYSVOL) naleznete ve 12. kapitole.
Replikace
Klíčovým aspektem návrhu služby Active Directory a zásady skupiny je replikace ad-
resářů mezi í loménovými řadiči. Replikace zajišťuje, že celá databáze služby Active Di-
rectory a obsah složky SYSVOL se nakopíruje na všechny doménové řadiče v doméně.
Toto je velm důležité, protože členové domény mohou komunikovat s libovolným
doménovým řadičem uvnitř domény. Jestliže doménový řadič, který komunikuje se
Členem domi ny, nemá nejnovější informace o službě Active Directory nebo nastaveni
zásady skupiny, nemůže předat správné infonnace. Konvergence zajišťuje, že všechny
doménové řadiče obdrží aktuální infonnace o objektech služby Active Directory’
a zásadách skupin. Konvergence závisí na několika věcech, včetně interních a exter-
ních replikačničh topologií. Pokud jste při návrhu implementace služby Active Direc-
tory nebrali v potaz čas na konvergenci, muže dojít k tomu, ze změny, které ve službě
Active Directory a v zásadách skupin uděláte, nikdy nedorazí na všechny doménové
řadiče. Ačkoli pravděpodobnost výskytu tohoto problému je velmi malá, naprosto
vyloučit jej nelze.
8
Kapitola 4 - Implementace zásady skupiny
Tip Další informace o replikaci služby Active Directory, konvergenci a návrhu sire naleznete
C | v dokumentu „What is the Active Directory Replication Model?“ na internetové adrese:
http://www.mlcrosoft.com/technet/prodtechnol/windowsserver2003/li brary/Tech
Ref/13f619dc-caOc-4c63-97be-bdbla67f6f50.mspx.
Návrh organizační jednotky
Jednoznačně nejduležitějším aspektem návrhu služby Active Directory, který ovliv-
ňuje zásadu skupiny je návrh organizačních jednotek ux nitř služby Active Directory.
Protože se služba Active Directory používá především iako nástroj pro organizaci,
Správu a řízení uživatelských, skupinových a počítačových účtů, je návrh organi-
začních jednotek nedílnou součásti návrhu služby Active Directory.
Az budete pracovat na návrhu organizačních jednotek, měli byste se zaměřit na dva
podstatné aspekty: delegování správy a nasazení zásady skupiny.
 Delegování správy Tato důležitá v lastnost služby Active Directory si během fá-
ze návrhu zaslouží největší podíl vaší pozornosti. Delegovaní správy ve službě
Act.ve Directory vyjadřuje proces, kdy správce služby Active Directory deleguje
úlohy řízení objektu služby Active Directory na jiné správce a uživatele. Správ-
covské úlohy, které lze delegoval, by mohly byl například následující:
	Resetov ání hesel pouze uživatelských účtu v odděleni Prodej
	Přidávám uživatelských účtu pouze do bezpečnostních skupin které jsou
přiřazeny k oddělení Marketing
	Řízení toho, zda je do možné domény připojovat počítačové účty či přidávat
určité organizační jednotky
Delegovaní správy lze konfigurovat na libovolné úrovni služby Active Directory .
ale doporučuje se jej používat na úrovni organizační jednotky, což vyžaduje za-
budování následníicích prvků do vašeho návrhu organizační jednotky:
	Nadefinování správcovského modelu řízeni účtu uživatelů, skupin a počítačů.
	Nadefinování toho, kteří správci a uživatelé budou mít kontrolu nad kon-
krétními uživatelskými, skupinovými a počítačovými účty.
	Definování konkrétních úloh, pro které budou správci a uživatelé delegovanou
autoritou nad příslušnými uživatelskými, skupinovými a počítačovým: účty’.
	Nevytvářel organizační jednotky, které nepodporují delegování správyr či na-
sazení zásady skupiny.
 Nasazení zásady skupiny Pro návrh vaši organizační jednotky je nasazení zása-
dy skupiny téměř stejně důležité jako delegování správy, (Nasazení objektu GPO
má o něco nižší prioritu, neboť je více flexibilní než delegování správy.) Při uvažo-
vání o návrhu organizační jednotky a o tom jak implementovat zásadu skupiny
mějte na mysli následující body:
	Zásada skupiny platí pouze pro uživatelské a počítačové účty. (Objekty GPO
se na skupinové účty nevztahují)
Objekty GPO ovlivňují tu úroveň služby Active Directory, v níž jsou apliko-
vány a všechny úrovně pod ni.
Problematika návrhu zásady skupiny
	Objekty GPO ovlivňují všechny objekty úrovně, na níž jsou nasazeny, včetně
doménových řadičů, správcovských skupin a správcovských účtu.
	Objekty GPO lze omezit tak, že správce nakonfiguruje nastavení Block Po-
licy Inheritance, Security filtering a WMI filters.
Jakmile začnete do návrhu vaší organizační jednotky zapojoval koncepty delegová-
ní správy a nasazeni zásady skupiny, můžete dojít ke zjištění, že struktura organi-
zační jednotky OU může byi značně rozsáhlá. Doporučení je takové, že hloubka
struktury organizační jednotky by neměla mít více než deset úrovní. Toto pravidlo
je založeno na předpokladu, že ke každé organizační jednotce bude připojen mi-
nimálně jeden objekt GPO, což v konečném efektu dává dohromady cca 10 objektů
GPO. V případě, že je během přihlašováni na počítačový či uživatelský účet apliko-
váno příliš mnoho objektů GPO, dojde k degradaci výkonnosti.
Další informace Podrobnější informace o dalších faktorech, které mohou ve vztahu ke kon-
figuracím objektů GPO ovlivnit rychlost přihlašování počítače a uživatele, najdete v části „Ří-
zení výkonnosti zpracování objektů GPO” spadající do této kapitoly.
Návrh sítě
Během návrhové fáze musíte vzít v úvahu několik aspektů síti služby Active Direc-
tory. Zaprvé, sítě (anglicky sile, někdy v české literatuře překládáno jako pracoviště
nebo sídlo, v lokalizovaném produktu použit překlad „sítě“ - pozn. odb. korektora)
se vytvářejí proto, aby bylo možno řídit replikaci mezi doménovými řadiči nacháze-
jícími se v různých geografických lokacích. Zadruhé, sítě mohou oddělit doménové
řadiče, které mají,.špatné připojeni“ Cto obvykle znamená použití jakéhokoli síťové-
ho připojení, které je horši než 10 Mb/s). Zatřetí, sítě řídi přistup klientů a serveru
k funkcím a zdrojům spolupracujícím se službou Active Directory. Mezi tyto zdroje
a funkce patří:
	Ověřování počítačových a uživatelských účtů
	Obnova „lístků“ systémů Kerberos
	Distribuovaný souborový systém
	Aplikace zásady skupiny
Dalš^ informace Podrobnější informace o procesu, kterým prochází počítač při aplikaci objek-
tů GPO, naleznete ve 13. kapitole.
Pracoviště řídí další aspekty služby Active Directory a správy a řízeni zásady skupiny.
Při návrhu replikačni topologie a sítě samotné je důležité si pamatovat, že sítě se navr-
hují a implementují za účelem řízení replikace. Replikačni topologie, kterou v rámci sí-
tě nakonfigurujete, určuje, jaká bude konvergenční doba pro všechny změny ve
službě Active Directory a v zásadách skupin, (Oddíl Replikace" této kapitoly se
problematice konvergence věnuje více.)
Pracoviště také nepřímo řídí správu zásady skupiny. Implicitně se při správě zásady
skupiny používá doménový řadič, který figuruje jako hlavní PDC (Primary Domain
Controller). Tím pádem se při vytvářeni úpravách či správě objektů GPO změny
Kapitola 4 - Implementace zásady skupiny
odrážejí na doménovém řadiči zodpovědném za ulohu PDC. Toto chovaní lze ale
v konzole GPMC (Group Policy Management Console) změnit.
Tip Chcete-li změnit doménový řadič, který konzole GPMC při práci používá, klepněte
v konzole GPMC pravým tlačítkem na název domény a vyberte položku Change Domain
Controller. V dialogovém okně, které se objeví, vyberte možnost Any Available Domain Con-
troller. Konzola GPMC se nejprve pokusí vybrat některý z doménových řadičů vaší domény
a poté se zaměří na doménové řadiče dalších sítí.
Další informace Podrobnější informace o konzole GPMC najdete ve 3. kapitole. Další rady souvi-
sející s návrhem služby Active Directory naleznete v článku „Best Practice Active Directory De-
sign for Managing Windows Networks“ na internetové adrese http: / /www.mi crosof t. com/
technet/prodtechnol /windows2000serv/technolog i es/acti vedi rectory/plan/
bpaddsgn.mspx.
Jak je vidět, tak zásada skupiny a služba Active Directory jsou na sobě vzájemně
značně závislé. Během celého návrhového procesu se ujistěte, že jsou zohledněny
všechny aspekty zásady skupiny. Opomenutí nároků a potřeb zasady skupiny může
později způsobit velmi vážné komplikace.
Problematika fyzického návrhu
Při návrhu zásady skupiny je třeba brát v úvahu také několik fyzických aspektů vaší
sítě. Jeden z těchto aspektů, který úzce souvisí se síťovou topologií, jsme již zmínili:
návrh sítě služby Active Directory. Nár rh sítě určuje, se kterými doménovými řadiči
bude cílový počítač komunikovat během procesu ověřovaní. Také když počítač po-
třebuje získal zdroje služby Active Directory, odkazuje jej síť na nejbližší dome nový
řadič a server, který zdroji disponuje.
Dalším důležitým hlediskem je rychlost připojeni mezi cílovým počítačem a doméno-
vým řadičem, který jej obsluhuje. Objekty GPO rozlišují mezi pomalým a ryelilým při-
pojením. Implicitně je zlomovým bodem hodnota 500 Kb/s. To znamená, že jakékoli
připojení s rychlosti nižší než 500 Kb/s je považováno za pomalé a některá nasta-
vení objektů GPO mohou byt vynechána. Pomalé síťové připojení počítače
k doménovému řadiči muže byt zapříčiněno několika věcmi:
	Připojení má sníženou rychlost kvůli Špatné konfiguraci sítě nebo rušení.
	Připojení k doménovému řadiči je realizováno z pobočky, iež má pomalou linku.
	Síť je přetížená, což způsobí, že se připojení zpomal ’.
Pro každý objekt GPO můžete konfigurovat jaká rychlost je považována za znak po-
malého připojení. To znamená, že mate kontrolu také nad tím, zda se nastavení objek
tu GPO aplikuji na počítače, jež nemají příliš dobro připojení k doménovým řadičům.
Poznámka Nastaveni objektu GPO, jež řídí rychlost připojení, se nacházejí jak v části Computer
Configuration, tak i v části User Configuration objektu GPO. Zde je umístění obou nastavení:
	Computer ConfigurationXAdministrative Templates\System\Group PolicyXGroup
Policy slow link detection
	User Configuration\Administrati ve Templates\System\Group Policy\Group Policy
slow 1ink detection
Problematika návrhu zásady skupiny J2‘
Další informace Podrobnější informace o procesu detekce pomalého připojení najdete ve 13.
kapitole.
Kontrolu máte také nad tím, které hlavní komponenty objektu GPO se zpracují na
pomalém připojení. Některé komponenty objektu GPO se zpracovávají vždy, bez
ohledu na rychlost připojení:
	Nastavení správcovských šablon
	Bezpečnostní zásady
Následující nastavení jsou také implicitně zpracovávána i na pomalém připojení, ale
pomocí konfigurace lze jejich zpracovaní zakázat:
	Zásady pro obnovu systému EFS
	Zásady bezpečnosti protokolu IP
	Zásady pro softwarové restrikce
	Zásady bezdrátové komunikace
	Zásady správy aplikace Internet Explorer
Následující komponenty objektu GPO se na pomalém připojen implicitně nezpra-
covávají, ale lze je nakonfigurovat tak, aby zpracovávaný byly:
	Nasazení aplikací
	Přihlašovací a odhlašovací skripty
	Přesměrovaní složek
Implementace
	Diskové kvóty’
Problematika návrhu připojení
pro vzdálený přístup
Jestliže se počítač připojuje do sítě přes př pojení pro vzdálený přístup, zásada sku-
piny se zpracuje odlišně od pomalého prpojení. Hlavním důvodem je skutečnost,
že počítačová zásada se zpracuje předtím, než se objeví okno pro přihlášeni.
Nicméně, v případě vzdáleného přístupu je počítač pri pokusu o komunikaci se
vzdáleným serverem jiz u přihlašovacího okna.
Chování zásady skupiny pro vzdálený přístup lze zapnout tak, že v přihlašovacím ok-
ně zaškrtnete pole Logon Using Diabup Connection (Přihlásit se s využitím vytáčené-
ho telefonického připojení). Tak aktivujete použitelná nastaveni počítačové
a uživatelské zásady skupiny v případě, že počítač je Členem domény, do které patří
(nebo které dúveřuje) server pro ověřeni vzdáleného přístupu. Počítačová nastavení
se aplikují během procesu přihlášení v podobě aktualizace na pozadí. Nicméně, počí-
tačová nastaveni pro instalaci softwaru a startovací skripty se v tomto okamžiku ne-
zpracovávají, neboť se obvykle zpracuji před tím, než se objeví přihlašovací okno.
Nastaveni zásady skupiny se aplikují na popředí během přihlášení.
Nastaveni zásady skupiny obdržíte i v případě, že se rozhodnete pole Logon Using
Dial-up Connection nezaškrtnout a vaše doménové ověření se i nadale provádí
přes server vzdáleného připojení. Nastaven* se aplikují v intervalu aktualizace ni
pozadí pro nastavení uživatelské a počítačové zasady skupiny. To znamená, že na-
TL
Kapitola 4 - Implementace zásady skupiny
stavení pro softwarové instalace jednotlivých počítačů a startovací skripty se
spustí. Dále to znamená že nastavení pro softwarové instalace jednotlivých uživate-
lů, přihlašovací skripty a nastavení pro přesměrování složek neproběhnou též
protože tato uživatelská nastaveni mohou byt spuštěna pouze během přihlašování.
Další komponenty zásady skupiny se chovají způsobem podobným typickému p(>.
malému připojení. To znamená, že nastavení registrů a l^ezpečnostní nastavení se
aplikují vždy, buď během přihlašování, nebo během aktualizace na pozadí. Další
komponenty zásady skupiny lze řídit s ohledem na rychlost připojení (viz oddíl
„Problematika fyzického návrhu“ této kapitoly).
-JK. Další informace Podrobnější informace o doporučeních pro konfiguraci nastavení pomalého
připojení, které se vztahují na klienty vzdáleného přístupu, najdete v 11. kapitole. Další in-
formace o tom, jak klienti vzdáleného přístupu zpracovávají béhem přihlašování zásadu
skupiny, najdete ve 13. kapitole.
Problematika návrhu použití objektů GPO
Kritéria návrhu plánu celkového nasazení vaší zásady skupiny by měkl zahrnovat
i detaily ohledně aplikace objektů GPO - tvorby, připojování, konfigurace, zpracování
a řízení objektu GPO. Mnohé z nich umožňují správci řídit klíčové aspekty cílových
počítačových a uživatelských účtů služby Active Directory. Tato nastavení také umož-
ňují uživatelům přístup ke zdrojům jejich počítače a k síťovým zdrojům, aniž by museli
čekat na to, až jejich počítač načte všechny skripty, aplikace a nastavení. Tato nastave-
ní je možné samozřejmě nakonfigurovat také špatně a piehnaně restriktivně. Je potře-
ba najít rovnováhu, která nedopustí, aby byly počítač či uživatelské prostředí
nedostatečně zabezpečeny, a současně se nestane ani to, že by uživatelé museli před
použitím počítače čekat dlouhou dobu, než se zásada skupiny zpracuje.
Zde jsou čtyři body, které je při návrhu, konfiguraci a implementaci vašich objektu
GPO třeba posoudit:
	Zasada skupiny ovlivňuje pouze počítačové a uživatelské účty.
	Objekty GPO se nevztahují na bezpečnostní skupiny.
	Objekty GPO ie možné připojit k sítím, doménám nebo organizačním jednotkám.
	K jedné síti, doméně či organizační jednotce lze současně připojit několik objektů
GPO.
Další informace Podrobnější informace o základech zásady skupiny, zpracování objektů GPO
a připojování objektů GPO najdete ve 2. kapitole.
Připojování sítě, domény a organizační jednotky
Při posuzovaní připojení sítí, domén a organizačních jednotek hrají roli dva důležité
ohledy. Vytvořením sítě a organizačních jednotek dokončíte návrh služby Active
Directory. Nasazení objektů GPO dokončíte připojením vlastních objektu GPO pro
právě vytvořené a již zmíněné objekty služby Active Directory.
Nicméně předtím, než objekty GPO připojíte k sítím, doménám nebo organizačním
jednotkám, musíte vzít v úvahu objekty, které ovlivm nastavení objektů GPO a také
Problematika návrhu zásady skupin y 123
interakci mezi jednotlivými objekty GPO. S ohledem na připojování objektu GPO
k sítím, doménám a organizačním jednotkám je třeba vzít v potaz dva hlavní aspekty:
	Objekty GPO mají dvě rozdílné části.
	Objekty GPO komunikují se sítěmi, doménami a organizačními jednotkami.
Dvě časti objektů GPO Ačkoli nástroj Group Policy Object Editor zobrazuje
v objektu GPO dvě naprosto odlišné části, správci na tento prosty fakt často zapo-
mínají. Dvě části objektu GPO jsou Computer Configuration (Konfigurace počítače.)
a User Configuration (Konfigurace uživatele) - viz obrázek 4.1. 'luto skutečnost ie
důležité si zapamatovat, protože nastavení zasad umístěná v části Computer Confi-
guration se vztahují pouze na počítačové účty, zaiímco nastavení spadající do části
User Configuration mají vliv pouze na uživatelské účty.
Implementace
a scénáře
skuoinv
OBRÁZEK 4.1 : Dvě části (User Configuration a Computer Configuration)
standardního objektu CPO
Zde je ukázka situace, kdy mohou tyto aspekty pi ijít ke slovu. Uvažujme v naši ukázce
dvě organizační jednotky: Prodej—1 ide a Prodej_pocitáce. Organizační jednotka
Prodej_l ide obsahuje všechny uživatelské účty zaměstnanců oddělení Prodej. Orga-
nizační jednotka Prode j_.poci táce obsahuje všechny počítačové účty oddělen. Prodej.
K organizační jednotce Prodej_poci táce je připojen Objekt GPO s názvem Security
Message. Objekt GPO Security Message má nakonfigurovány zásady Message Title
a Message Text., aby se uživateli při pokusu o přihlášení na počítač zobrazilo bezpeč-
nostní varování. Když se nějaký zaměstnanec oddělení Prodej pokusí přihlásit na li-
bovolný7 počítač zmiňovaného oddělení, uvidí tuto bezpečnostní zprávu.
V naši ukázce figuruji také dvě další organizační jednotky: IT_1 ide a IT_poci táce.
I živatelské účty se nacházejí v organizační jednotce I T_ 1 i de a účty počítačů v organi-
zační jednotce IT_poci táce. K těmto organizačním jednotkám nejsou připojeny žádné
objekty GPO. Vaším úkolem te posoudit, zda se v okamžiku, kdy se zaměstnanec od-
dělení Prodej přihlásí na počítač oddělení IT, zobrazí bezpečnostní varováni. Dále po-
třebujete také zvážit, zda se bezpečnostní zprava objeví v okamžiku, kdy se uživatel
oddělení IT přihlásí na počítač oddělení Prodej.
Abyste mohli určit výsledný efekt obou případu, musíte si zapamatovat, že zásady
Message Title a Message Text jsou „počítačové“, neboť patří do části Computer Con-
figuration. Proto se v situaci, kdyr se jakýkoliv uživatel přihlásí na počítač oddělení
Pfodej, zobrazí bezpečnostní varování. Nicméně protože zásada se nevztahuje na
124
Kapitola 4 - Implementace zásady skupiny
počítače odděleni IT, tuto /právu neuvidí žádný uživatel, který se přihlásí na počp
tač oddělení IT.
Chcete-li zajistit, aby v se fungovalo tak jak má, nabízíme vám několik tipů, které ip
*
dobré mít na mvsk při návrhu organizačních jednotek, umistování účtu do organi-
začních jednotek a připojování objektu GPO k organizačním jednotkám:
	Účty uživatelů umisťujte do jiných organizačních jednotek nez účty počítačů.
	Při tvorbě objektu GPO držte nastavení počítačových účtu v jiných objektech
GPO než nastaveni účtú uživatelů.
	Ujistěte se, že všechny účty, které mají byt cílem objektu GPO, se nacházejí
v organizační jednotce, ke které je objekt GPO připojen
	Při řešení problému se zpracováním určitých nastavení zásad mějte vždy jasno
v tom, zda se nastavení vztahují na účty počítačů či uživatelů.
— Další informace Podrobnější informace o připojování objektů GPO k sítím, doménám
a organizačním jednotkám naleznete ve 2. a 3. kapitole.
Interakce objektů GPO se sítěmi, doménami a organizačními jednotkami
Dalším klíčovým aspektem je to jak se při aplikaci zásady skupiny chovají objekty
GPO připojené k sítím, doménám a organizačním jednotkám. Je dobré si pamatovat,
že podřízené objekty GPO struktury služby Active Directory přebírají pravidla dědič-
nosti. Například jakýkoliv objekt GPO, který je připojen k doméně, implicitně ovlivní
všechny účty léto domény. A to včetně doménových řadičů, serverů, uživatelů, účtu
Administrátor, exekutivy a servisních účtu.
Jestliže jsou k jedno doméně připojeny dva objekty GPO, zpracují se podle pořadí
spojeni specifikovaného v konzole GPMC (viz obrázek í.2).
OBRÁZEK 4.2: Pořadí spojení objektů CPO připojených ke stejné úrovni služby Active Directory
Důležité Přednost obiektů GPO funguje opačným směrem než číslovaní pořadí spojení. Jiný-
mi slovy, objekt GPO s nižším č^lem pořadí spojeni má přednost před objektem GPO s vyšším
číslem pořadí spojení. Výsledek tohoto řazení můžete spatřit, když ve dvou objektech GPO
připojených ke stejné úrovni nakonfigurujete stejná nastavení. V této situaci ma nastaveni
nakonfigurované v objektu GPO s nižším číslem spojení přednost před nastavením nakonfi-
gurovaným v objektu GPO s vyšším číslem spojení.
Problematika návrhu zásady skupiny
Další informace Podrobnější informace o objektech GPO připojených ke stejné úrovni služby
Active Directory najdete ve 2. kapitole.
Chování objektů, které jsou současně připojeny k jedné úrovni služby Active Directo-
ry, se stává komplikovanějším v okamžiku, kdy vezmete do úvahy širší pohled na při-
pojení dalších objektu GPO k sítím (site), doménám a organizačním jednotkám. Jak
jsme již dříve viděli, celkové pořadí objektů GPO je následující ( od nejnižšího po nej-
vyššO:
	Lokální objekt GPO
	Objekt GPO připojený k síti
	Objekt GPO připojený k doméně
	Objekt GPO připojený k organizační jednotce
Při zvažování toho, kam budou ve službě Active Directory připojeny jednotlivé ob-
jekty GPO, musíte zvážit i to, jaka budou nastavení zásad cílového objektu. Stejně
jako objekty GPO připojené ke stejné úrovni, tak i objekty GPO připojené k sílím,
doménám a organizačním jednotkám a lokální objekt GPO musí vyřešit konfliktní
nastavení jednotlivých zasad. V případě výskytu konfliktu nastavení dostane před-
nost vždy objekj GPO s nejvyšší předností nad objektem GPO s nižší přednosu.
Připojování objektů GPO napříč doménami
Jestliže váš návrh služby Active Directory a infrastruktury zahrnuje několik domén,
budete mít více možnosti než jen připojit objekty GPO k sítím (site), doménám
a organizačním jednotkám. Budete mít možnost připojit objekt GPO z jedné domé-
ny do doménového uzlu nebo organizační jednotky spadající do jiné domény. Na
první pohled přináší tato vlastnost cestu pro zredukováni počtu objektů GPO tun.
že jedna doména bude používal objekt GPO existující v jiné doméně, která je
z hlediska návrhu objektu GPO a bezpečnostních požadavků stejná. Nicméně, při-
pojeni objektu GPO napřič doménami má ve třech následujících oblastech jisté ne-
dostatky: výkon, sprava, řešeni problému.
	Výkon Když je objekt GPO připojen z jedné domény do jiné, vzniká při odkazu
na objekt GPO požadavek na komunikaci mezi doménovými řadiči dvou do-
mén - pro počítačovou i pro uživatelskou část objektu GPO. Tato nadbytečná
komunikace souvisí se vzájemnou důvěryhodností mezi doménami, což nutí
doménové řadiče předat informace tam a zpět (kvůli ověřen- učtu počítače
a uživatele). Tato nadbytečná komunikace zpomaluje zpracování objektu GPO
v doméně, která daný objekt GPO neobsahuje.
•	Správa Jestliže má doménová struktura více než jednu doménu, je normální, že za
správu každé domény je zodpovědná jiná skupina lidí. To se tyká i oddělené sprá-
vy objektu GPO připojených k organizačním jednotkám a správy objektu GPO.
1 oto rozčleněni ztěžuje správcům vzdálené domény udržení přehledu o tom, jak
jsou spravovány objekty GPO v původní doméně a jakou obsahují funkcionalitu
Další informace Podrobnější informace o správě objektu GPO najdete ve 2. kapitole.
126
Kapitola 4 - Implementace zásady skupiny
	Řešení problémů Jakmile je objekt GPO připojen napříč doménami, zvyšuje se
komplexnost návrhu GPO a současně i obtížnost řešení potenciálních problémy
se zásadou skupiny. Tento problém, který můžete ještě více zkomplikovat pOlb
žitím oprávnění pro objekty GPO, vynucováním filtry WMI a zablokováním čásJ
tí objektů GPO, múze učinit prostředí s objekt) GPO propojenými mezi
doménami extremně nepřehledným.
Synchronní a asynchronní zpracování
Jedním z klíčových rozhodnutí, která při návrhu musíte učinit je, zda se mají objekty
GPO zpracovávat synchronně nebo asynchronně. Tyto dvě metody zpracování mají
velmi odlišný dopad na to, jak budou objekty GPO zpracovávány. Předtím, než se
rozhodnete pro vytvoření návrhu, je potřeba dobře porozumět vlivu obou metod na
aplikaci nastavení objektu GPO.
	Synchronní Pro každý proces, který aplikuje nějaké zasady, platí, že musí skončit
předtím, než se může rozběhnout další. Aplikace všech nastavení objektu GPO na
cílový objekt může někdy trvat poměrně dlouho. Jestliže se ale rozhodnete pro
tento přístup, pak mate zaručeno, že všechny zásady budou aplikovány ještě před-
tím, než bude uživatel moci vstoupit do sítě. Tak se zvýší bezpečnost a zajistí se. že
pracov ní prostředí uživatele je před použitím počítače nastaveno tak, jak ma.
	Asynchronní V jeden okamžik může běžet několik procesu. S t mlo přístupem
získává uživatel přístup k počítači rychleji než při synchronním zpracování. Nevý-
hodou je však nebezpečí, že uživatel získá přístup k počítači dřív, než se na počítač
aplikují všechna nastavení. To muže vést k nepříjemným důsledkům. Jestliže je
nípříklad povolena zásada, která odstraňuje z nabídky Start příkaz Run (Spustit),
může asynchronní zpracovaní uživateli dovolit, aby se na počítač dostal ješte před-
tím, než tato zásada vstoupí v platnost. Výsledkem je, že uživatel muže po jistou
dobu příkaz Spustit používat (dokud zásada tento příkaz neodstraní).
. Další informace Další informace o tom. jak probíhá zpracováni objektů GPO, najdete ve 13. ka-
pitole. Další informace o síťové komun kaci a bezpečnostních scénářích najdete v 11. kapitole.
Optimalizace rychlého přihlášení
Stejně jako existuje synchronn. a asynchronní zpracováni zásad, tak existuje také
nastavení, které může ovlivnit chování pn spouštění počítače s ohledem na aplikaci
nastavení objektů GPO. Zásada pro Fast Logon Optimization (Optimalizaci ry chlého
přihlášení) se nazývá Alvvays Wájt For The Network At Computer Startup And
Logon. Tato zásada aplikuje nastavení v době startování počítače a přihlašováni
uživatele a aplikuje je asynchronně. Výsledkem je, že uživatel může s počítačem
začít pracovat dříve než v případě synchronního zpracovaní. Funkce Fast Logon
Optimization je v operačním systému Windows XP implicitně povolena pro členy
domény i pracovní skupiny. Funkce Fast Logon Optimization je za následujících
okolnosti během přihlašování vždy vypnuta:
	Když se uživatel přihlásí na počítač poprvé.
	Má h uživatel profil pro roaming nebo domovský adresář pro přihlašovací účely.
	Když ma uživatel synchronní přihlašovací skripty’.
Problematika návrhu zásady skupiny
Funkci Fast Logon Optimization podporuje pouze operační systém Windows XP
professional. Počítače s operačními systémy Windows 2000 a Windows Server 2003
jsou stále řízeny synchronními a asynchronními nastavěními, ačkoli výsledky jsou
podobné. Nastavení zásad pro povolení nebo zablokování funkce F ist Logon Op-
timization můžete najít ve složce:
Computer Configuration\Administrative Templates\System\Logon\Always wait
for the network at Computer startup and logon
jestliže toto nastavení aktivujete, bude počítač zpracovávat zásadu, skupiny během
přihlašovaní, synchronně a na popředí. (Zpracování na pozadí během aktualizace
zasady skupiny je vždy asynchronní.) Počítač pak pracuje pomaleji
a nezprostředkovává uživateli přístup na plochu stejně rychle jako obvykle. Zablo-
kování tohoto nastavení způsobí, že počítač bude zasady zpracovávat asynchronně
i na pozadí. Uživatel pak získá přístup k počítači rychleji, ale všechny zásady ne-
musí být aktivní, dokud pracovaní neskončí.
Další informace Další informace o zpracování objektu GPO najdete ve 13. kapitole.
Modifikace dědičnosti objektů GPO
Ve většině případů vystačíte s výchozím schématem dědičnosti objektů GPO (ob-
jekty GPO vyšší úrovně ovlivňuj nižší úrovně), ale nasunou případy, kdy se muže
dědičnost doslat do konfliktu s konceptem vašeho návrhu služby Active Directory.
Důvodem mohou být administrativní požadavky nebo odlišné pojetí dědičnosti pro
několik účtu určité organizační jednotky (kvůli potřebám uživatelů, aplikačním po-
zadí vkům nebo bezpečnostním ohledům).
Výchozí dědičnost můžete změnit čtyřmi způsoby. Každý z nich vam poskytne pl-
nou kontrolu nad tím, která nastavení mají vliv7 na konkrétní účty, b dispozici máte:
	Vynucovaní (vyhnete se přetížení)
	Blokování dědičnosti
Bezpečnostní filtrováni
	Filtry rozhraní WMI
Tyto možnosti vám umožni velmi přesně specifikovat, které účty uživatelů a počítačů
budou objektem GPO a jeho nastavením ovlivněny. Přehnané použití těchto možností
muže ale vést k problémům v následujících oblastech zavaděni objektu GPO:
®	Určení množiny RSoP (Resultant Set of Policies)
	Rychlost přihlašování
	Řešeni problémů souvisejících s použitím objektu GPO
Z toho vyplývá, že obecně byste se měli změn v dědičnosti vyvarovat- Později
v této kapitole se zmíníme o tom kdy. a jak byste tyto možnosti měli při zaváděni
objektů GPO používat.
informace Podrobnější informace o vynucování, blokování dědičnosti, bezpečnostním
•Itrování a filtrech rozhraní WMI najdete ve 3. kapitole.
28
Kapitola 4 - Implementace zásady skupiny
Další hlediska návrhu objektů GPO
V úvahu musíte vzít otázku, kam mohou být objekty GPO připojeny, a stejně tak i je,
jich nastavení, která souvisí s tím, jak se zpracovávali a používají skupinové zásady
Uvažovat ale musíte také se strukturou objektu GPO s ohledem na množství nastavení
v každém z nich, typem nastavení v jednotlivých objektech GPO a dalšími nastavení-
mi, která lze do objektu GPO umístit. Jestliže na něco zapomenete, můžete ve vý-
sledku čelit pomalému startování počítače a prodlevám během přihlašování.
Jednotný model vs. funkční model
Když zvažujete jaké druhy uživatelů a počítačů budou přebírat nastavení, musíte
rozhodnout, jak tato nastavení uspořádat do objektů GPO. Nevyhnutelně se dosta-
nete do fáze, kdy bude mít každý typ počítače mnoho různých kategorií nastavení.
Zde jsou příklady některých běžně používaných typů počítačů:
	Doménový řadič
	Souborový server
	Server SQL
	Klient z oddělení IT
	Klient z oddělení Vývoj
	Klient z oddělení Exekutiva
Dále v této kapitole odhalíme i další typy. Pro připomenuti zde uvádíme některé
z kategorií nastavení, která mohou v objektu GPO existovat:
	Zabezpečení
	Nasazení aplikaci
	Správa aplikace Internet Explorer
	Skripty
Během fáze návrhu se běžně vytváří matice založena na typech počítačů a seznamu
do kategorii rozdělených nastavení. Jeden z intuitivních přístupu k návrhu spočívá
v umístění všech nastavení zásad jednotlivých typů počítačů do samostatných ob-
jektů GPO. Tento přístup se nazývá jednotný. Jak si můžete představit, výsledkem
je implementace, která vyprodukuje pro každý typ počítače jeden objekt GPO. Jed-
notný přístup je ale obvykle tím nejméně flexibilním řešením návrhu služby Active
Directory. Při tomto přístupu je také obtížnější delegování administrativní moci
a přináší i komplikace při snaze o řešení problémů.
Druhým přístupem, kteiy se pro implementaci zásad objektu GPO používá, je
funkcní přistup. Namísto toho, abyste pro každý typ počítače umístili všechna na-
stavení do jednoho objektu GPO, vytvoříte objekty GPO podle kategorii do nichž
spadají jednotlivé typy počítačů. To bude ve výsledku znamenat více objektu GPO,
ale jejich zabudování do návrhu služby Active Directory bude jednodušší, stejně ja-
ko delegování administrativní moci a řešení případných problémů.
Řízení výkonnosti zpracování objektů GPO 129
Další nastavení objektů GPO
Ačkoli typický objekt GPO obsahuje tisíce možných nastaveni zásad, může se stát,
že některé aplikace budou požadovat další nastavení. Tato přídavná nastavení byste
měli v rámci vaší matice zařadit do samostatné kategorie.
Například sada Microsoft Office sestává z velkého množství aplikací, které je možné
nainstalovat najednou nebo samostatně. Sadí Microsoft Office obsahuje také šablo-
ny pro správu (soubory s příponou .adm), které poskytuji přídavná nastavení pro
objekty GPO sloužící ke konfiguraci chování sady Microsoft Office, lylo šablony
můžete nainstalovat buď pro jednotlivé komponenty sady Microsoft Office, nebo
všechny najednou. Komponenty produktu Microsoft Office zahrnují:
	Access
	Excel
	FrontPage
	Outlook
	Word
Další komponenty a funkce operačního systému Windows mají také speciální sou-
bory s příponou .adm. Patří mezi ně:
	Bezpečnost aplikace Internet Explorer
	Outlook Express
	Windows Media Player
Další informace Podrobnější informace o šablonách pro správu sady Microsoft Office najdete
/ v 10. kapitole.
_____________________________________________________________________________
Existují i další oblasti, kde se můžete setkat s přidávnvmi nastaveními objektů GPO.
Během tvorby matice návrhu miižete každou z těchto oblastí považovat za samo-
statnou kategorii. Mezi tyto oblasti mohou patřit:
	Aplikace (firmy Microsoft nebo i jiné)
	Vlastní nastavení v souborech s příponou . adm (hodnoty registrů)
	Vlastni nastavení bezpečnostních šablon
Další informace Podrobnější 'nformace o tvorbě vlastních souborů s příponou .adm najdete
z ve 14. kapitole. Podrobnější informace o tvorbě vlastních nastavení bezpečnostních šablon
najdete v 15. kapitole.
4-2 Řízení výkonnosti zpracováni
objektů GPO
Klíčovým aspektem návrhu a implementace objektů GPO je výkon - nejde jen o rych-
lost aplikace nastavení objektu GPO na počítače a uživatele, ale také o možný pokles
výkonu sítě, serverů a doménovýc h řadičů, které jsou přiřazeny ke skupinovým zása-
dám. Snížení průchodnosti sítě a pokles výkonu serverů muže byt důsledkem replika-
Implementace
a scénáře
130
Kapitola 4 - Implementace zásady skupiny
ce velkého množství změn v objektech GPO a použiti velkého množství nastavení ob
jektů GPO (především těch, které se týkají instalace softwaru). Rychlost, jakou jsOu
aplikovány objekty GPO, lze také ovlivnil chybami v nastaveních a v implementaci.
Běžné příčiny výkonnostních problémů
Ačkoliv dříve zmiňovaná hlediska návrhu mohou přispět ke snížení výkonu v době
použití objektu GPO, existují i vlivnější faktory - topologie sítě, množství nastavení
objektu GPO, které je třeba aplikovat, složitost skriptů atd. Těchto faktoru si musíte
byt vědomi a pokusit se navrhnout implementaci objektů GPO tak, aby byl jejich
negativní dopad potlačen.
	Příliš mnoho nastavení v jednom objektu GPO Jestliže je v jednom objektu
GPO nakonfigurováno příliš mnoho zásad, může to vést k pomalým odezvám při
startování počítače a přihlašování uživatele. Pomalá odezva je běžným problé-
mem, ale když zvažujete, která nastavení implementujete, měli byste s ní počítat
a měli byste uživatele informovat o možném zpoždění pri přístupu na počítač. Dal-
ší problém nastane, když v obiekiech GPO potřebujete irušit příliš velké množství
nastavení. Lepší je, když při apllikaci nastavení zásad na jakékoli úrovni nerušíte
či nepotlačujete příliš velké množství nastavení objektu GPO.
	Příliš mnoho objektů GPO Jedná se o problém podobný předcházejícímu. Vý-
sledek může byt stejný, jako když mate příliš mnoho nastavení, ale s přehnaně
velkým množstvím objektu GPO se čas pro zpracování ještě násobí, nebol kaž-
dý objekt GPO musí být vyhodnocen pro seznam řízení přístupu (ACL) účtu
počítače či uživatele. Jestliže jsou v objektu GPO filtry rozhraní XXTvlI nebo skrip-
ty, pak se doba nutná pro jeho aplikaci dále zvyšuje.
Další informace Další informace o zpracování objektů GPO najdete ve 13. kapitole.
	Pomalá připojení Během, použití jednoho objektu GPO dochází někdy
k přenosu dat i přes několik fyzických sítí. S počítačem potřebuje komunikovat
nejenom doménový řadič, ale zapojeny mohou být také další servery, do nichž
jsou uloženy aplikace nebo aktualizace. Jestliže má některá ze sítí zapojenvch
do komunikace při aplikaci nastavení objektu GPO pomalé připojení, bude apli-
kace zásad skupiny pomalejší.
	Příliš mnoho skriptů Uživatelské prostředí, aplikace atd. je někdy potřeba
konfigurovat prostřednictvím skriptu. Jestliže jsou tyto skripty rozsáhlé a složité,
muže aplikace nastavení zabrat poměrně dlouhou dobu. V některých případech
se může dokonce zdát, že počítač neodpovídá, což muže uživatele vést k tomu,
aby počítač manuálně restartoval. Protože skript prochází během startování po-
čítače stejným procesem, setká se uživatel s „problémem“ znovu. Řešením je op-
timalizace skriptů a informovanost uživatelů.
	Instalace softwaru Používá-li se obiekt GPO pro instalaci softwaru, může dojít
k dramatickému prodloužení doby potřebné pro spuštění počítače či přihlášení
uživatele. Když dochází k zavedení softwaru na počítačové účty, nainstaluje se
software automaticky při následujícím spuštění počítače. U účtů uživatelů lze to-
to chování usměrnit tak, aby k instalaci aplikace došlo během aplikace nastave-
ni objektu GPO nebo když uživatel projeví potřebu danou aplikaci použít.
Řízení výkonnosti zpracování objektů GPO
131
Spouštěcí událostí může být pokus uživatele o otevření souboru, který má pří-
ponu přiřazenou k dané aplikaci nebo spuštění zástupce aplikace. Dále v této
kapitole nabídneme některá doporučení pro optimalizaci zaváděni aplikací po-
mocí objektů GPO.
Další informace Podrobnější informace o instalaci aplikací pomocí objektů GPO najdete
v 9. kapitole.
	Souborový systém a záznamy registrů jsou u více zanořených úrovní
pomalé Jestliže řídíte oprávnění souborů, složek a klíčů registrů pomoci nasta-
vení v části Security Settings objektu GPO, může během aplikace nastavení na
cílový počítač dojit ke zpomalení. Nastavení, která řídí soubory, složky a klíče
registrů, můžete najít v jednom z následujících uzlů objektu GPO: Filé System
nebo Registry (viz obrázek 4.3).
Jak vylepšit výkon
Implementace
a scénáře
Vaše dobré úmysly při nasazování nastavení skupinových zásad mohou byt snadno
nepochopeny v případě, že uživatel musí čelit při startu počítače nebo přihlašování
příliš velkým prodlevám. Tento oddíl vám přináší některé tipy jak zpracování skupi-
nových zásad urychlit.
Snižte množství objektů GPO
Fáze návrhu objektů GPO je dobrou dobou, kdy začít s optimalizací použití objektů
GPO. Pomoci muže návrhová matice zobrazující, která nastaveni zásad se vztahují
na jednotlivé typy počítačů. Jakmile máte matici, můžete se rozhodnout, kam která
nastavení umístíte. Pamatujte si, že každý obiekt GPO musí být vyhodnocen pro
všechny účty, na které se vztahuje.
Podívejme se na jednoduchou modelovou situaci. Mate pět typu počítačů a nastavení
jste rozdělili do 20 kategorii. Na výběr máte mezi použitím 100 různých objektů
GPO (děleno podle kategorie) nebo pěti různých objektů GPO (děleno podle typu
počítače). Nejlepší řešení je pravděpodobně někde mezi.
t* Group Polky Object Editor

0e Artion yiew Help

A Computer Confraur abon
♦ J Software Settro*.
E- _l Wtodows Settms
Scripts (Startup/Shutdown)
J9 System Services
W Accotrt Potoes
local Poíoes
EventLog
* O He System
Name
V Account 1'okies
r —
Password and acco>jnt lockout pokies
Audfang, user rr/ts and security ofbor
EveritLog
Pestrrted (^oups
System servre sett
Reqrtry secirty setúnor
Fie security settings
_3Pestncted Groups
í 9 System Services
_9Rr »sb,
Je System
Y Wlrdess Network (IEEE 8CL 1... Wfrdess Network Pok v Adn-istraticri
-JP-bfcKeyP^oes
__I Software Restr^bon Poloes
M fP Security kokies on Active - Internet Protocol Security (IPSed Adne
OBRÁZEK 4.3: Umístění uzlů Filé System a Registry v typickém objektu GPO
První možnost se 100 různými objekty GPO by vyžadovala, aby se na každý typ počí-
tače aplikovalo 20 různých objektů GPO. Tento přístup sice přináší největší flexibilitu,
ale je pravděpodobné, že uživatelé budou při spouštění počítačů a přihlašováni vy-
132
Kapitola 4 - Implementace zásady skupiny
staveni extremně dlouhé čekací době. Druha možnost s pěti různými objekty GpQ
znamená, že na každý typ počítače bude aplikován pemze jeden objekt GPO. pfes
lože je tato možnost z hlediska výkonu ideální, přinesla by komplikace při řešení
problémů. K dyž jsou nastavení objektů GPO rozdělena do několika objektu GpQ
je jednodušší je najn a také povolit či zakázat celý objekt GPO při hledaní místa
způsobujícího problémy objevující se při zpracovaní objektu GPO.
Proto byste obecně měli zvažovat řešení, které je někde mezi dvěma zmiňovanými
Způsob jakým nastavení rozdělíte mezi jednotlivé objekty GPO, je čistě na vás, ale
vaše řešení by mělo rozhodně brat v potaz yšechna dříve zmiňovaná hlediska. Vaše
řešení by také mělo pokrývat problematiku související s delegováním správy j
úlohy jako je tvorba, spojování, upravování a prohlížení objektů GPO. Nakonec,
vaše výsledná struktura objektů GPO by měla byl navržena tak, aby usnadňovala
řešení problému.
Připojení objektů GPO k organizačním jednotkám
Abyste snížili celkové množství objektů GPO, můžete se rozhodnout, že vaše ob-
jekty GPO připojíte k doménové úrovni. To ale může v dlouhodobém horizontu
spíše přidělat práci.
Jedním z nejdůležitějších předpokladu pro připojovaní objektů GPO je zajistit, aby na-
stavení objektů GPO vyhodnocovaly pouze ty cílové účty, které nastavení objektů
GPO potřebuji aplikovat. Jestliže k doméně připojíte všechny objekty GPO a použijete
filtrován’ objektů GPO, budou muset objekty GPO vyhodnotil všechny účty
v doméně. Tento proces zpomalí zpracovaní objektu GPO pro všechny účty dané
domény.
Alternativou je připojit objekty GPO k organizačním jednotkám, které jsou co nej-
blíže cílovým účtům. Tím se sníží plošné zatíženi všech účtů a objekty GPO budou
zpracovaný pouze cílovými účty.
Zablokujte nepoužívané části objektů GPO
Ve většině implementací služby Active Directory jsou účty počítačů a uživatelů rozdě-
lené do několika organizačních jednotek. Sice se nejedna o nutný požadavek návrhu
služby Active Directory, ale je běžnou praxí oddělit odlišné typy účtů počítačů (domě'
nové řadiče, souborové servery, webové servery, servery SQL atd.) a účty uživatelů
(zaměstnanci oddělení IT, exekutiva, vývojáři, servisní účty, řadoví zaměstnanci
a další) a umístit jednotlivé typy ičtu do adekvátních organizačních jednotek.
Mate-li účty počítačů a účty uživatelů v odlišných organizačních jednotkách, objet*
ty GPO, které jsou připojené ke každé z těchto organizačních jednotek, budou spe-
cifické pro každý typ účtu. Jestliže je objekt GPO například připojen k organizační
jednotce, která obsahuje jen souborové servery, není třeba konfiguroval žádná uži-
vatelská nastavení (User Connguration). Kdyby uživatelská nastavení byla nakonfi-
gurována, neměla by stejně na žádné uživatele vliv, neboť v organizační jednotce,
která obsahuje pouze souborové servery, žádni uživatelé nejsou.
Protože nastavení objektů GPO přirazené k účtům uživatelů nejsou v tomto případe
třeba, měli byste uživatelskou část objektu GPO zablokovat a snížit tak nároky na
zpracovaní pro danou organizační jednotku. Jestliže to učiníte pro jedem objekt
ř zení výkonnosti zpracování objektů GPO
133
GPO, nebude1 dopad příliš velký, ale jestliže uživatelskou část zablokujete li všech
objektu GPO, které musí účty počítačů zbytečně zpracovávat, můžete dosáhnout
výrazného snížení času nutného pro zpracování objektů.
Další informace Podrobnější informace o tom, jak zablokovat uživatelskou či počítačovou
část objektu GPO, najdete ve 2. kapitole.
Optimalizace intervalu aktualizace na pozadí
Interval aktualizace na pozadí můžete změnil a upravit tak dobu, která je nutná pro
přehodnocen, toho, zda byly v nastaveních objektu GPO provedeny nějaké změny.
Výchozí interval je jiný pro doménové řadiče, doménové členy a uživatelské účty.
Interval může být nastaven kdekoli mezi 7 vteunami a 45 dny. Dlouhý interval snižuje
četnost aktualizací nových nastavení objektů GPO; 45 dni je z hlediska čekaní na aktu-
alizace objektu GPO dlouhá doba. Jestliže ale interval nastavíte příliš malý, zvýší se
síťový provoz a muže dojít k negativnímu dopadu na práci uživatele.
Výchozí aktualizační interval členů domény a uživatelských účtů je 90 minut, což je
pro většinu organizací ideální hodnota. Tato hodnota bv měla byt měněna pouze
v případě, že je vyžadován kratší interval nebo kapacita sítě je příliš malá na to, aby
mohla adekvátně vystačit pro uvedenou výchozí hodnotu 90 minut.
Doménové řadiče implicitně aktualizují nastavení obiektú GPO každých 5 minut.
U doménov ých řadičů je interval kratší, aby na těchto serverech byla zvýšena bez-
pečnost a zajistilo sc, že kritická nastavení jsou distribuovaná co nejrychleji. Toto
nastavení je adekvátní pokud vaše prostředí nutně nevyžaduje kratší interval. Delší
interval se z bezpečnostních důvodů pro doménové řadiče obvykle nedoporučuje.
. Další informace Podrobnější informace o konfiguraci intervalu aktualizace doménových řa-
dičů, členů domény nebo uživatelských účtů najdete ve 3. kapitole.
Implementace
a scénáře
zásad skupiny
Nastavte pro skripty odpovídající časový limit
Protože skripty mohou provádět konfiguraci uživatelského prostředí, často se
v podnikových sítích používají. Běžně sc vyskytují skripty pro přiřazení disku, kon-
figurování tiskových portu, modifikaci služeb a další. V některých případech se mu-
že stát, že skripty narostou do značných rozměň, a na budou na složitosti, což může
v konečném efektu zpomalit proces přihlašování.
Některé startovací a přihlašovací skripty skončí pou/e tehdy, když je dostupná síť
a klíčové servery. V takovém případě dojde při selhání sítě nebo serveru k lomu, že
čas zpracováni skriptu sc prodlouží a může uživatele donutit čekat na spuštění po-
čítače neúnosně dlouhou dobu. V tuto situaci byste měli zvážit možnost nastavení
časového limitu pro skripty (pro spouštěcí i přihlašovací). Jestliže je obvyklá doba
lx*hu vašich skriptu 2 až 3 minuty, mohou byt 1 až 2 minuty akceptovatelnou re-
zervou pro případy zpomalení sítě.
- ----- -------- - ----- - _ _ - - _ — - - - .-- _ —   — — - — "
Další informace Další informace o nastavení časového limitu skriptů najdete v 7. kapitole.
134
Kapitola 4 - Implementace zásady skupiny
Konfigurace asynchronního zpracování
Jestliže je doba zpracování nastaven, objektu GPO příliš dlouhá, muže být příčin^
velké množství bezpečnostních nastavení, nastavení prostředí plochy, nastavení
aplikace Internet Explorer atd. V takové situaci můžete začít uvažovat o použití
asynchronní aplikace objektů GPO. Implicitně se objekty GPO aplikují synchronně
(kromě operačního systému Windows XP, který využívá výše popsané konfigurace
rychlého přihlášení Fast Logon), což znamená, že uživatel se nedostane na plochu
ani ke svým aplikacím, dokud nebyla aplikována nastavení všech objektu GPO.
Asynchronní aplikace objektů GPO urychluje přístup uživatele k jeho počítači, ale
také přináší dočasné snížení zabezpečení počítače v době mezi přihlášením uživa-
tele a dokončením aplikace všech nastavení objektů GPO.
Z Další informace Podrobnější informace o konfiguraci synchronního a asynchronního zpraco-
vání zásad najdete ve 13. kapitole.
Omezení použití zpětné smyčky
Konfigurace použití zpracovaní objektu GPO ve zpětné smyčce může na cílovém
počítači degradoval výkon. Jestliže počítač potřebuje vyhodnocovat nastavení ob-
jektu GPO části User Configuration pro účet počítače i pro účet uživatele, múze to
zabrat více času.
Zpracování te zpětné smyčce má dva režimy. Prvním z nich je režim nahrazování
(Replace), který načte pouze nastavení uživatelské částí objektu GPO pro účet uživate-
le a aplikuje je na účet počítače. Protože se jedna o jednoduché nahrazeni uživatel-
ských nastaveni objektu GPO, čas nutný pro zpracování není příliš velký. Jestliže ale
mate zpracovaní ve zpětné smyčce nakonfigurováno na režim sloučení (Merge), musí
počítač vyhodnotit uživatelské části několika objektů GPO a určit, která nastavení mají
plodnost. Toto dodatečné zpracování způsobuje prodlouženi odezvy při přístupu uži-
vatele na jeho pracovní plochu. Z toho vyj^lýva. že byste měli použití zpracování \e
zpětné smyčce omezil jen na počítače, kten opravdu potřebují tuto funkcionalitu.
jpL Další informace Podrobnější informace o tom, jak konfigurovat zpracování ve zpětné smyčce
najdete ve 12. kapitole.
Filtrování objektů GPO podle členství ve skupinách
Nový objekt GPO je nakonfigurován tak, aby se vztahoval na všechny účty počítačů
a uživatelů tím, že ma na seznamu ACL všech objektu GPO implicitně nakonfiguiO'
vanou skupinu Authenticated Users. Ve většině případu se jedná o nejlepší konfigu-
raci, protože není potřeba spravovat seznam ACL objektu GPO.
Jestliže máte objekty GPO j'řipojené k organizačním jednotkám^ které obsahují jsJ<
účty, které potřebují mít nastavení objektů aplikována, tak i účty, které by měly na-
stavení objektů GPO ignorovat, měli byste objekty GPO filtrovat. Filtrováním zkrátí'
te dobu, která je potiebna pro zpracování objektu GPO, protože účty pa*
nevyhodnocují objekty GPO, pro které nejsou obsaženy v seznamu ACL.
Doporučení pro nasazování objektu GPO	'|3|
^ejlepší metodou pro filtrovaní vašich objektů GPO je v tomto případě odstranění
skupiny Authenticated Users a přidání konkrétních bezpečnostních skupin, které
obsahují účty, na než se mají nastaveni objektu GPO použít. Tyto záznamy
v seznamu ACL musí mít oprávnění Read a Apply Group Policy.
Další informace Podrobnější informace o filtrování objektů GPO najdete ve 3. kapitole.
4.3 Doporučení pro nasazování objektů GPO
Efektivní zavadění objektů GPO si vyžaduje zvláštní pozornost. Jak jsme již měli
možnost v této kapitole vidět, při návrhu a implementaci skupinových zásad ve va-
šem podniku musíte vzít v potaz velké množství faktorů. To jak navrhnete vaše ob-
jekty GPO, závisí na struktuře služby Active Directory, replikaci, návrhu sítě,
a dalších věcech - a to je už velké množství informací. Jestliže na některý ze zmí-
něných aspektů zapomenete, můžete si tak znepříjemnit pozdější řešeni problému
zasad skupiny a také zapříčinit její nižší výkonnost.
Tajný recept nebo postup jak se vyhnout všem možným komplikacím neexistuje,
ale níže uvedená doporučení vám mohou v mnoha případech pomoci vyhnout se
zbytečným chybám.
Volba úrovně pro připojení objektů GPO
Objekty GPO můžete připojit k sítím, doménám a organizačním jednotkám. Která
z těchto úrovní je pro zavedení objektu GPO optimální? Obecně se dá říci, že
u připojení k sítím a doménám je vzhledem k rozsahu ovlivněných účtů v étší vět-
vení. Objekty GPO, ktere jsou připojeny k sítím a doménám, také obvykle obsahuji
obecná nastavení, zatímco objekty GPO, které jsou připojeny ke strukturo organi-
začních jednotek, obvykle obsahují specifická nastavení závislá na typu počítače či
uživatele. Nyní se podívejme na některá obecná pravidla jednotlivých úrovní.
Objekty GPO připojené k sítím
V běžnc implementaci služby Active Directory není příliš časté, aby k sítím (site1
bylo pnpojeno větší množství objektů GPO. Připojíte-li objekt GPO k síti, ovlivní
počítače a uživatele s ohledem na adresu IP daného počítače. Ve většině případů
se správa služby Active Directory, typy počítačů a typy uživatelů neřídí síťovou to-
pologií a tak je poměrně obtížné uspořádat nastavení objektů GPO takovým způ-
sobem, aby je bylo možno zavést do sítě. Zde je několik příkladu, ve kterých byste
se mohli rozhodnout pro připojení objektu GPO k síti:
	Nastavení protokolu IPSec Pobočka nebo jiný síťový segment potřebuje mít pro
všechny počítače dané sítě nastavena bezpečnostní nastavení protokolu IPSec.
	Služby aktualizace aplikací (SUS) Když klienti a servery přijímají od skupino-
vých zásad informace o službě SUS, jsou obvykle přesměrovány na server SUS.
Jakmile jsou kvůli aktualizacím přesměrovány na server SUS. mohou byl objekty
GPO obsahující nastavení služby SUS připojeny k sítím, aby automaticky ovlivňo-
valy všechny počítače v určitém rozsahu adres protokolu IP. To povede k tomu, že
Implementace
a scénáře
zásad skuoinv
136
Kapitola 4 - Implementace zásady skupiny
počítače budou směrovány na server SUS, který je jim nejblíže. Zrychlí se tak ap]
kace aktualizací a sníží sc síťový provoz na pomalejších připojeních.
	Služby vzdáleného přístupu (RAS) Jestliže máte váš server služby RAS nakonfi-
gurován tak, aby používal určitý rozsah adres protokolu IP, je k síti dobré připojí
objekt GPO pro konfiguraci klientů služby RAS. Cílové úcty počítačů a uživatelů
můžete určovat podle toho, zda počítač přistupuje do sítě pres vytáčené připoje-
ní nebo klienta VPN. Takto můžete kontroloval instalace softwaru, profily, bez-
pečnostní konfigurace a další. Ve většině případů musí mít klienti služby Ras
přísnější bezpečnostní konfigurace a snížená oprávněni pro přístup do sítě.
Objekty GPO připojené k doménám
Implicitně je k doménové úrovni připojen objekt s názvem Default Domain Policy
(Výchozí zásady domény) a obvykle se používá ke konfiguraci zásad účtů všech
uživatelů v doméně. K doméně je samozřejmě možné připojit také další objekty
GPO. Můžete se dostat do pokušení připojil na dc-měnovou úroveň více objektů
GPO nebo na této úrovni nakonfigurovat více nastavení objektů GPO, ale nakonfi-
gurovat se vám podaří jen některé, protože tato nastavení objektů GPO ovlivňují
všechny účty počítačů a uživatelů dané domény.
Když zvažujete připojování objektů GPO na doménovou úroveň, vyhodnoťte počí-
tačová a uživatelská nastavení nakonfigurovaná v objektech GPO, abyste mohh ur-
čit, zda by měla bvt opravdu aplikována na všechny účty v doméně. Pro počítače
se to tyká doménových řadičů, souborových serverů, tiskových serv erů, aplikačních
serveru, serverů SQL, klientu exekutivy, klientů zaměstnanců odděleni IT
a vývojářských klientů. Pro uživatele by to zahrnovalo exekutivu, pokročile uživate-
le, zaměstnance oddělení IT, vývojáře a servisní účty.
Zde jsou některá doporučení pro konfiguraci na doménové úrovni:
	Zásady učtu Ačkoli jsou zásady úctu ve výchozím objektu GPO již nakonfiguro-
vaný, je dobré se o nich zmínit. Jediné objekty GPO, které mohou určit zásady do-
ménových uživatelských účtu, jsou ty, které jsou připojeny k doménové úrovni.
	Upozornění Během přihlašování se na všech počítačích v organizaci objeví
upozornění,
v
	Šetříc obrazovky Mnoho společností vyžaduje, aby počítače byly nakonfiguro-
vány tak, ze budou používat standardizovaný firemní spořič obrazovky. Všech-
ny uživatelské účty byste měli nakonfigurovat tak, aby se po určité době
nečinnost; spustil heslem chráněný šetřič obrazovky. Nastavte pro uživatele sne-
sitelnou dobu nečinnosti, ale čím bude doba kratší, tím vyšší bude bezpečnost.
V mnoha společnostech je doba nastavena mezi 15 až 30 minutami.
	Skripty Některé skripty Konfigurují přiřazení disků, tiskárny a další nastavení
potřebná pro všechny počítače a uživatele domény.
	Bezpečnostní nastavení Pro všechny počítače domény je možné plošně na-
konfigurovat mnoho bezpečnostních nastavení, jako je přihlašovaní SMB, ově-
řovací protokoly a anonymní přistup.
	Instalace softwaru Vaše firma může mít antivirový software nebo agenta pr0
záplaty, který běží na všech počítačích v doméně, které lze zavést z doménové
Doporučení pro nasazování objektů GPO
137
úrovně. Když správci potřebuj, řešit problémy přímo z klientu či serverů, běžně
se nástroje pro správu nasazují na všechny počítače.
	Aplikace Internet Explorer Protože je aplikace Internet Explorer hlavním ná-
strojem pro práci s internetovými a intranetovými zdroji, jsou jeho nastavení ob-
vykle důležitá pro všechny počítače v doméně. Tato nastavení mohou zahrnovat
nastavení serveru proxy, mezipaměti (cachc) nebo bezpečnostních nastavení.
	Zpracování objektů GPO Zajistí, že všechny počítače a uživatelé zpracovávají
objekty GPO stejným způsobem, aby se během procesu odstraňování problémů
zabránilo odlišným návrhům implementace objektů GPO. Konfigurace nastavení
pro zpracování objektů GPO na doménové úrovni zajišťuje, že jsou všechny po-
čítačové a uživatelské účty nastavené v rámci doménové struktury konzistentně.
Nastavení jako je synchronnost/asynchronnost, aktualizační intervaly a časové
limity sknptů je obvykle žádoucí nastavit na doménové úrovni.



(D
O
ro
E
(D
Q
E
Objekty GPO připojené k organizačním jednotkám
Kromě výše uvedených nastavení objektů GPO, které je vhodné definovat na úrov-
ni domény a sítě, by měla bvt všechna ostatní nastaveni aplikována na úrovni or-
ganizační jednotky. To dokazuje jak důležité je navrhnout strukturu organizačních
jednotek všech domén s ohledem na zavádění objektů GPO.
Uvnitř domény budete obvykle mu více úrovní organizačních jednotek. V organizač-
ních jednotk ích vyšších úrovní bývá menší počet počítačových a uživatelských účtů,
zatímco většina těchto účtů se nachází v organizačních jednotkách nižších úrovní.
Totéž lze říci o objektech GPO připojených k vašim organizačním jednotkám.
V organizačních jednotkách vyšších úrovní se snažte mít připojeno menší množství
objektu GPO, protože by jinak bylo ovlivněno příliš mnoho účtu. Jestliže jsou některé
objekty GPO připojené k organizačním jednotkám vyšších úrovní, jsou jejich nastavení
obvykle dostatečně obecná, aby pokryla větší počet typů počítačů či uživatelů.
Většina objektu GPO je ale připojena k organizačním jednotkám nižších úrovní. Tyto
organizační jednotky obvykle obsahují účty rozdělené podle typu, oddělení, bezpeč-
nostních potřeb, softwarových požadavků nebo delegace správcovských požadavků.
Zdroje používané organizačními jednotkami
Když máte software, který je zaváděn pomoci objektů GPO, uspořádejte zdrojové
soubory na serverech tak, aby byly na stejné síti jako cílové počítače. Sdílená místa,
která obsahuji zdrojové soubory aplikací, jsou určena uvnitř softwarových balíčků
vytvořených v objektu GPO. Zadat byste měli sdílená místa, která se nacházejí na
souborových serverech s rychlým síťovým připojením k cílovým účtům.
totéž platí i pro servery SUS, ktere jsou nakonfigurovány prostřednictvím objektů
GPO. Měli byste mít několik serverů bUS, které budou v rámci podniku poskytovat
klientům aktualizace. Objekty GPO by měly být navrženy tak, aby navedly cílové
Počítače k těm serverům SUS, které k nim mají rychlé síťové připojeni.
Dále také můžete zkombinovat doménová spojení systému souborů DFS se sdílenými
lokacemi, které ve vašich objektech GPO potřebujete použít v konfiguracích softwaru
a konfiguracích serverů SUSx Doménová spojeni souborového systému DFS umožňují,
d^y jedné sdílené složce odpovídalo několik různých servem. Klienti jsou směrováni
138
Kapitola 4 - Implementace zasady skupiny
clo sdílené složky na serveru, který spadá do jejich sítě, což vede k rychlému
a spolehlivému přístupu k softwaru a zdrojům pro aktualizaci služby SUS.
Další informace Podrobnější informace o souborovém systému DFS najdete na adrese
http://www.microsoft.com/wi ndowsserver2003/techinfo/overv iew/dfs.mspx.
Instalace softwaru
Když software zavádíte podle účtů uživatelů a počítačů, můžete si vybrat, kdy bude
software nainstalován a jak k němu bude uživatel přistupovat. Možnosti se liší
podle toho, zda zavadíte software podle počítačových nebo uživatelských účtu.
Co se tyče účtů počítačů, vaše možnosti jsou omezené, protože počítač nemá mož-
nost interakce se sebou samým, aby mohl provést instalaci či iniciovat určité cho-
vaní, které by vyvolalo instalaci. Proto v případě, že software zavádíte na zaklade
účtů počítačů, je vaši jedinou možnosti nastavit automatické spuštění instalace na
dobu spouštění počítače.
Pro uživatelské účty máte následující tři možnosti:
	Assign — Publikování Když software publikujete, objeví se pouze v seznamu
Add Remove Programs. Uživatel se ani nedozví, že má software k dispozici, dokud
se do seznamu nepodívá. Tato možnost je v hodná pokud chcete software uživate-
lům poskytnout, ale nechcete, aby jim byl k dispozici, dokud jej nebudou potřebo-
vat. Můžete si také vybrat, že software nainstalujete v době, kdy se uživatel pokusí
otevřít soubor k němu přiřazený— například si představte, že byla publikována
aplikace Microsoft Excel a uživatel otev ře soubor s příponou . xl s. V takovém pří-
padě bude Excel nainstalován poté, co se uživatel pokusí daný soubor otevřít.
	Assign Without Automatically Instali — Přiřadit, ale automaticky neinstalo-
vat během přihlašování Jestliže software uživatelům přiřadíte, bude pro ně
dostupný v podobě zástupce nabídky Start. To znamená, že software je dostup-
ný pro instalaci, ale je nainstalován pouze tehdy, když uživatel klepne v nabídce
Start na zástupce aplikace nebo se pokusí otevřít soubor přiřazený k dané apli-
kaci. Jedná se o dobrý přístup, jestliže máte v plánu zavést software pro velkou
skupinu lidí, neboť zátěž spojena s instalací je v síti rozložena na různé zdrojové
servery a rozložena je i časové. Vyhnete se tak koncentraci v jedné době (.pře-
devším ráno), kdy s-e přihlašuje většina uživatelů.
	Přiradit a nainstalovat v době přihlašování uživatele Tato možnost je identic-
ká s předcházející možnosti s tím rozdílem, že software se instaluje v době přihla-
šování uživatele. Tento přístup je vhodný v případě, že je software zaváděn pouze
pro několik málo lidí nebo když je software (příkladem mohou byt aplikace HR
nebo bezpečnostní aplikace) třeba nainstalovat v době po přihlášení uživatele.
... _ —"
SDalší informace Podrobnější informace o zavádění softwaru pomocí skupinových zasad na-
jdete v 9. kapitole.
Návrh objektů GPO podle kategorií objektů GPO
Když utřídíte objekty GPO podle druhů jejich nastavení, bude jejich správa jednoduš-
ší. V závislosti na celkových požadavcích vaší organizace byste jako výchozí kategorie
Doporučení pro nasazování objektů GPO
139
mohli použil bezpečnost, zavádění softwaru, řízení plochy, správu aplikace Internet
Explorer, skripty, komponenty operačního systému Windows, systémovou konfigura-
ci a síťová nastavení. Použití těchto kategorií usnadňuje řízení následujících úloh:
	Dokumentace nastaveni objekti i GPO
	Řešení problémů souvisejících s objekty GPO
	Víceuživatelská správa objektu GPO
	Delegovaní administrace v rámci služby Active Directory
Omezte vynucování a blokování zásad
Ve většině případu byste se měli snažit, aby zpracovaní objektů GPO probíhalo
v souladu s jejich výchozí dědičností. To znamená, že když objekt GPO připojíte
k doménové úrovni, měl by mít vliv na všechny účty v doméně. Stejně tak platí, že
když objekt GPO popojité k organizační jednotce oddělení Prodej, budou ovlivně-
ny všechny uživatelské účty tohoto oddělení.
Implementace
Možnost Enforced dokáže prosadit nastavení objektu GPO do níže položených
úrovní struktury služby Active Directory i v případě, že se jiný objekt GPO s vyšším
číslem pořadí pokusí přetížit nastavení vynucovaného (Enforced) objektu GPO.
Možnost Block Policy Inheritance vám umožňuje zabránit použití všech nastavení
objektů GPO s nižším pořadím u všech účtu určité úrovně struktury služby Active
Directory. Nastavení Enťorce i nastavěli Block Policy Inheritance by se mělo použí-
vat pouze, když nejsou k dispozici ostatní doporučené možnosti. Zde je několik
doporučení pro použití těchto možností:
	Enforced (Vynucené) Tato konfigurační možnost je vhodná pro zásadu De-
fault Domain Policy. Zajišťuje, že všechna nastavení související sc zásadami účtů
a dalšími bezpečnostními nastaveními vždy přepíši slabší nastavení nacházející
se níže ve struktuře služby Active Directory.
	Block Policy Inheritance (Zablokovat dědění zásad) Organizačn jednotka
Domain Controllers obsahuje všechny doménové řadiče dané domény. V tomto
případe je dobré použít možnost Block Policy Inheritance, aby se na doméno-
vých řadičích neobjevila žádná nečekaná nastavení, kdyby na úrovni sítě či do-
mény byl nakonfigurován nějaký zbloudilý objekt GPO.
Tip Jestliže v objektu GPO připojeném k organizační jednotce nakonfigurujete nastavení zásad
účtu, ovlivní tato nastavení lokální uživatelské účty počítačů dané organizační jednotky. Abyste
tomu zabránili, nastavte spojení objektu zásaay Default Domain Policy na hodnotu Enforced.
Použití bezpečnostních filtrů
Implicitně má objekt GPO seznam ACL, který vam umožňuje ovlivnit všechny účty
v kontejneru, ke kterému je objekt připojen. Tento seznam byste neměli upravovat,
pokud není nezbytně nutné použít bezpečnostní filtrování seznamu ACL. Důvodem
proč byste sc měli upravovaní seznamu ACL vyhnout je skutečnost, že takto
Podrobné konfigurace je složité dokumentovat a řešit s nimi související problémy
V některých situacích se ale použití bezpečnostního filtrování pro seznam ACL ob-
jektu GPO upřednostňuje:
40
Kapitola 4 - Implementace zásady skupiny
	Jestliže je delegování ve službě Active Directory důležitější Při návrhy
struktury služby Active Directory můžete narazit na oblasti, kam budete potřebovat
umístit do jedné organizační jednotky dva druhy uživatelských účtů i piesto >
uživatelské účty mají mít odlišná nastavení objektů GPO. V tomto případě může-
te použit bezpečnostní filtrovaní pro řízení toho, které uživatelské účty obdrží
odpovídající nastavení.
	Objekty GPO jsou ve struktuře organizačních jednotek připojeny výše
Když objekty připojíte ve struktuře organizačních jednotek vysoko, zjistíte, že
nastavení objektu GPO mohou ovlivnit příliš velké množství účtů. Proto jste nu-
ceni nakor Figurovat seznam ACL objektu GPO tak, aby bylo jasné, na které účty
mají být nastavení použita.
Použití filtrů rozhraní WMI
Filtry služby WMI mohou být velmi užitečné, ale když jsou neadekvátně použity či
nakonfigurovaný, tak dokáži způsobit i velké nepříjemnosti. Hlavním probteroem
filtrů služby WMI je to, že jsou náročné na zpracování. Proto způsobují zpomalení
odezvy a zhoršení výkonu během přihlašování uživatelů. Proto je lepší strukturu
vašich organizačních jednotek navrhnout tak, aby byla co nejvíce potlačena potřeba
filtry služby \\~MI použít. \ některých situacích jsou ale filtry služby WMI jediným
prostředkem jak určit množinu účtů, na které budou použita nastavení nakonfigu-
rovaná v objektech GPO, na něž jsou flitry připojeny.
V následujících situacích doporučujeme omezit použití filtru služby WML
	Když softwarová instalace zabírá velký diskový prostor a ne všechny cílové po-
čítače mají na disku dostatek místa.
	Když nějaké nastavení nebo aplikace závisí na aktuálním aktualizačním balíčku
nebo úrovni aktualizace.
	Když instalujete software nebo aktualizace, které závisí na určitém operačním
systému nebo jeho určité verzi.
	Když potřebujete ověřit paměť nainstalovanou do určitého počítače.
Hlediska síťové topologie
Ať distribuujete nastavení objektů GPO mezi účty nebo měníte kritické bezpečnost-
ní nastavení, musíte vždy brát v úvahu síťovou topologii, replikaci a konvergenci.
Měli byste se Ujistit, že infrastruktura vašich zásad skupiny je dobře zdokumentova-
ná, abyste věděli jak aktualizace provedené na jednom doménovém řadiči rozšířit
na všechny ostatní doménové řadiče.
Zde je několik rad pro aktualizování objektů GPO s ohledem na síťovou topologii:
	Změny objektů GPO Všechny změny v objektech GPO jsou implicitně realizo-
vány na doménovém řadiči, který je v roli emulátoru PDC. V případě potřeby
můžete upravit, který doménový řadič bude provádět aktualizaci skupinových
zásad, ale i nadále potřebujete vědět, kde ke změťlám dochází.
Další informace Další informace o tom jak určit, který doménový řadič bude zodpovědný za
distribuci změn ve skupinových zásadách, najdete ve 2. kapitole.
Doporučení pro nasazování objektů GPO
141
	Konvergence změn v objektech GPO Jakmile dojde ke změně nějakého ob-
jektu GPO, je potřeba ji replikovat na všechny doménové řadiče dané domény.
Když se počítač pokusí aplikovat aktualizace objektů GPO, doménový řadič,
který učet ověruie, musí tylo změny znát, nebo jinak k aktualizaci účtu nedojde.
Proto je velmi důležité vedet jak si vynutit replikaci a jak zkontrolovat konver-
genci změn objektů GPO na všech doménových řadičích.
Další informace Další informace o řízení replikace objektů GPO a ověřování konvergence
změn v objektech GPO na všech doménových řadičích najdete ve 13. kapitole.
	Pomalá připojení Vzhledem k tomu, že pomalé připojeni ovlivňuje velké množ-
ství nastavení objektu GPO, potřebujete při konfigurování určitých nastavení znát
ry chlost spojení mezi počítačem a doménovým řadičem a zdrojovým serverem.
Nastavení, která řídí softwarové aplikace, aktualizace služby SUS, skripty7 a uži-
vatelské profily by měla mít k dispozici rychlá připojeni k obslužným serverům,
aby bylo zajištěno, že uživatel múze svůj počítač začít používat v co nejkratší
době. To vyžaduje omezit použití takových nastavení pouze pro rychlá připoje-
ní a vynechat tato nastavení pro počítače, které jsou připojené přes pomalá spo-
jení. Výsledkem je, že musíte vyvinout řešeni, které bude tato na stavení řídit
nějakým jiným způsobem.
Potlačení správcovských oprávnění
Vaši implementaci objektu GPO a údržbu infrastruktury vašich skupinových zásad
musíte chránit řízením množiny uživatelů, kteří mají oprávnění pro správu objektů
GPO a jejich nastavení. Na všech úrovních struktury’ služby Active Directory byste
měli jasně vymezil, kteří správci budou mít kontrolu nad vytvářením, modifikacemi
a správou objektů GPO. Zde je několik doporučení pro úlohy související se sprá-
vou objektů GPO:
	Tvorba objektů GPO Tato možnost by měla byt ve vaší organizaci přidělena
pouze několika správcům (2 až 5 osob), ale nikoliv pouze jednomu člověku.
Toto omezeni slouží jako ochrana proti vzniku nežádoucích objektů GPO.
	Úprava objektů GPO Konfiguraci nastavení objektu GPO byste měli delegovat
na správce zodpovědné za účty počítačů a uživatelů, které jsou ovlivňovány
jednotlivými objekty GPO. Tímto způsobem vznikne pro každý objekt pouze
omezená skupina lidi (obvykle 2 až 10 správců) zodpovědných za jejich úpravy.
Implementace
a scénáře
možnost měnit obsah objektu GPO, protože by to mohlo vést ke vzniku kon-
fliktních nastavení a chybných konfigurací.
opravováni bezpečnosti Seznam správců, kteří mají možnost měnit seznam A( L
objektu GPO a provádět delegováni pro objekt GPO by měl obsahovat 2 až 5 lidí.
Připojování objektů GPO k nějaké úrovni Když dojde k připojení nějakého ob-
jektu GPO k nějaké síti, doméně nebo organizační jednotce, jsou nastaveními da-
ného objektu GPO okamžitě ovli\ neny všechny účty. Proto je možnost připojovat
objekty GPO velmi mocným nástrojem. Počet správců, kteří budou moci připojo-
vat objekty GPO k určité úrovni, by se proto měl pohybovat mezi dvěma až pěti.
142
Kapitola 4 - Implementace zásady skupiny
	Prohlížení nastavení objektů GPO Date-li zaměstnancům podpory a někte-
rým pokročilým užvatelům možnost prohlížet nastavení objektu GPO, pomůže-
te tak k tomu, aby sc správci nemuseli zabývat některými triviálnímj
záležitostmi, které dokáže vyřešit i člověk s minimálním: znalostmi problematiky
skupinových zasad. To může znamenat delegování práv k prohlížení nastavení
objektů GPO na n< kolik skupin. Možnost prohlížet nastavení objektu GPO mů-
žete povolil zhruba 100 uživatelům.
Názvy objektů GPO
Poté co dokončíte návrh struktury objektu GPO, měli byste vyvinout metodu pro
tvorbu názvu a dokumentování vašich objektu GPO. Měli byste se vyhnout vzniku
duplicitních názvů objektů GPO, neboť by pak bylo obtížné zjišťovat, která nasta-
vení patií do jednotlivýc h objektů GPO. Přijít musíte s konvencí, která bude dávat
smysl a současně bude dostatečně pružná, aby nebylo složité ji implementovat.
Zde je několik doporučení pro tjvorbu názvu vašich objektu GPO:
	Nedávejte objektům GPO názvy podle sítí, domén či organizačních jednotek.
To by vedlo k tomu, že návrh zásad skupiny bude nepřizpusobivý a složitý.
	Dávejte názvy podle typů nastavení, která obsahují. Těmito kategoriemi ob-
jektů GPO mohou byt např. bezpečnost, aplikace softwaru, skripty atd,
	Uspořádejte nastavení vašich objektů GPO podle typů účtů, jimž jsou určena.
Jedná se také o dobrý způsob odkazování na názvy vašich objektu GPO - např.
1T, podpora, server.tisk, server_SQL atd.
	Přidejte do názvu objektu GPO číslo verze. Ve v ákych podnicích muže být
řízení správy a dokumentace skupinových zásad obtížné. V takovém případě
můžete do nazvu objektu přidat číslo verze, aby bylo možné snaze vyhledávat
a dokumentovat objekty GPO a aktuální verze nastavení. Jde také o výborný
způ$ob jak vytvořit archiv vašich starých nastavení v případě, že se na ně potře-
bujete někdy odkazovat.
4.4 Testování objektů GPO
před jejich nasazením
Ať už používáte službu Active Directory dloulltfů dobu nebo ji do vašeho podniku
teprve zavádíte, dopad objektů GPO je třeba dobře zvážit. Většinu této kapitoly
jsme věnovali diskusi o tom, na co je potřeba brát ohled a zmínili jsme některá do-
poručení pro návrh a nasazení skupinových zásad.
Před tím, než zavedete jakákoli nastavení zásad skupiny na produkční počítače,
musíte vytvořit strategii pro testování nastavení, aby bylo zajištěno, že jejich dopad
bude odpovídat původním záměrům. V ideálním případě byste měli mít testovací
prostředí, které sc co nejvíce podoba vašemu produkčnímu prostředí - včetně do-
ménových řadičů, doménových členu, operačních systémů, serveru se zdroji, kapa-
city sítě atd. Testovací prostředí slouží k vyzkoušeni nastavení zásad skupiny před
tím, než jsou použita v živém prostředí.
Testování objektů GPO před jejich nasazením
143
Migrace objektů GPO
z testovacího do produkčního prostředí
Vaše testovací síť by měla být v samostatné doménové struktuře. Testovací doménová
struktura by mela být zrcadlovou kopií produkční doménové struktury, aby byla zajiš-
těna plná interakce mezi operačními systémy, servery, službami, aplikacemi a síťovými
zařízeními. Z bezpečnostních důvodu by mezi testovací doménovou strukturou a pro-
dukční doménovou strukturou neměl existovat vztah důvěryhodnosti.
Protože obě struktury mohou obsahovat několik domén, měli byste /jistit, ve které
doméně je daný objekt GPO testován. Objekty GPO byste měli také otestovat
s ohledem na správný účet počítače, uživatelský účet a skupinový účet. Mnoho na-
stavení objektů GPO závisí (ve smyslu povoleni přístupu či nastavení omezení) na
těchto účtech. Toto zařazení je během fáze testováni a migrace velím důležité, ne-
boť tyto objekty mají přiřazeny bezpečnostní identifikátory (SID) a počítač tuto
hodnotu používá při hledaní účtů v doménové struktuře. Protože obé struktury mají
odlišné identifikátory SID, musíte se ujistit, že účty testovací domény jsou během
migrace z jedné domény do druhé převedeny na účty produkční domény.
Další informace Podrobnější informace o použiti konzoly GPMC pro migraci objektů GPO
z jedné domény či doménové struktury do jiné najdete ve 3, kapitole.
Migrace objektů GPO
mezi produkčními prostředími
V některých případech můžete mít objekt GPO v jedno z domén, kterou chcete mi-
grovat do jiné domény či doménové struktury. Tato situace je poměrně častá, neboť
objekty GPO jsou pro jednu doménu již otestovány a umístěny do produkce. Pote
co se objekt GPO projevil jako stabiln a správné fungující, můžete jej zavést do
dalších domén a doménových struktur.
Protože je objekt GPO migrován z jedné domény do jiné, identifikátory SID učtu
musejí být převedeny, i přestože je objekt GPO migrován mezi doménami stejné
doménové struktury. Důvodem je skutečnost, že každá doména má svůj vlastní je-
dinečný seznam účtů s jedinečnými identifikátory SID.
Použití převodních tabulek
Převodní (migiačnO tabulky nařizuji konzole GPMC jak má během migrace objektů
GPO zacházet s daty specifickými pro doménu. Převodní tabulky jsou nezbytné,
protože některá elita v objektu GPO jsou pro doménu jedinečná a po přímém zko-
pírování do jiné domény nemusí být platná. Tabulky se ukládají s příponou
-niigtable a jejich data jsou ve fonnatu XML.
převodní tabulce jsou staré hodnoty pro počítač, uživatele, skupinu a cestu kon-
vence UNC přirazeny k novým hodnotám, specifické pro cílovou doménu. Převod-
ní tabulky musí obsahovat alespoň jednu položku, ale obvykle jich mají více Každá
položka sestává ze zdrojového typu, zdrojových odkazu a cílových odkazů. Pře-
vodní tabulka je adresována během importu nebo kopírování objektu GPO. Při za-
pisovaní nastavení do cílového objektu GPO jsou všechny odkazy na zdrojovou
položku nahrazeny její cílovou hodnotou.
Implementace
a scénáře
Kapitola 4 - Implementace zásady skupiny
Nastavení objektů GPO specifická pro doménu
Konzola GPMC velmi usnadňuje import a kopírování objektů GPO mezi doménami.
Největší komplikací při migraci objektů GPO jsou v původní doméně jedinečné infor-
mace. To může v cílové doméně způsobit problémy, jestliže nejsou tato nastavení
předběžně změněna tak, aby odpovídala nové doméně. Položky, které mohou být pro
doménu specifické, jsou cesty konvence UNC a účty uživatele, skupiny a počítače.
Následující nastavení objektů GPO mohou obsahovat odkazy na počítač, uživatele
nebo skupinu a měla by být během migrace převedena:
	Nastavení bezpečnostních zasad
	Přiřazení uživatelských práv
	Omezené skupiny
	Systémové služby
	Souborový systém
	Registry
	Nastavení zásad pokročilého přesměrováni složek
r Seznam DACL objektu GPO
	Pouze v případě, že používáte bezpečnostní filtrování a chcete je během mi-
grace zachovat.
	Seznamy DACL na softwarových instalačních balících
	Pouze v případě, že seznam DACL byl nakonfigurován implicitně.
	T)lo seznamy DACL jsou zachovány pouze v případě, že byla zadána mož-
nost zajišťující zkopírování seznamu DACL objektu GPO.
Následující nastavení mohou obsahovat cesty konvence UNC. Cesty UNC se mezi
doménami liší v závislosti na názvu serveru a názvu sdíleného místa.
	Nastavení zásad přesměrováni složek
	Nastavení zásad instalace softwaru
	Skripty
	Přihlašovací a odhlašovací
	Spouštěcí a vypínací
Upozornění V sekci správcovských šablon objektu GPO existuje několik nastavení objektu GPO,
která nelze pomocí převodních tabulek přiřadit. Tato nastavení je potřeba migrovat v jejich
stávající podobě a následně je upravit. Další informace o těchto nastaveních a převodních ta-
bulkách najdete na internetové adrese http://www.microsoft.com/windowsserver2003/
gpmc/migrgpo.mspx.
Struktura převodní tabulky
Převodní tabulka je soubor s příponou .mi gtabl e vc formátu XML, který obsahuje in-
formace pro přiřazení nastavení objektů GPO. Převodní tabulky můžete vytvářet
i manuálně, ale efektivnější je použití nástroje Migration Table Editor Jedná se o kom-
ponentu konzoly GPMC. Nástroj Migration Table Editor vám umožňuje vytvářet, pro-
hlížet a upravovat převodní tabulky libovolného objektu GPO.
Testování objektů GPO před jejich nasazením
145
Soubory převodních tabulek obsahují tři proměnné: název zdroje, typ zdroje a cílový
název. Na obrázku 4.4 je zachycena převodní tabulka otevřená v nástroji Migration
Table Editor konzoly GPMC.
OBRÁZEK 4.4: Nástroj Migration Table Editor
Typ zdroje Typ zdroje udává typ doménové informace zdrojového objektu GPO.
Převodní tabulky podporují následující typy zdrojů:
	Uživatel
Implementace
a scénáře
 Počítač
	Lokaní doménová skupina
	Globální doménová skupina
	Univerzální skupina
	Cesta ve formátu UNC
	Text nebo identifikátor SID (Tato kategorie se používá pouze s objekty zabez-
pečení, které jsou specifikovány jako volný text nebo identifikátory SID.)
Poznámka Zabudované skupiny (jako například Administrators a Account Operátore), které
jsou společné pro všechny domény, mají stejné identifikátory SID bez ohledu na to, do jaké
domény patří. Jestliže jsou odkazy na zabudované skupiny uloženy v objektu GPO pomocí
identifikátoru SID, nemohou být v převodní tabulce pi řazeny. Jestliže jsou odkazy na zabu-
dované skupiny uložené jako volný text, mohou být přiřazeny pomocí zdroje typu Free Text
nebo SID.
Zdrojový název Zdrojový název určuje existující nastavení objektu GPO migrova-
ného mezi doménami. Zdrojový odkaz je název konkrétního počítače, uživatele,
skupiny nebo cesta ve formátu UNC používaná ve zdrojovém objektu GPO. Všech-
ny názvy zdrojů v převodní tabulce musí odpovídat typu zdroje. Tabulka 4.1 obsa-
huje příklady zdrojových názvů a jejich syntaxi.
TABULKA 4.1: Syntaxe zdrojových odkazů
Název zdroje	Syntaxe
UPN	bruno@contoso.com
SAM	CONTOSO\Bruno
DNS	Contoso.com\bruno
Volný text	bruno (musí být spedfikován jako neznámý typ)
SID	S-l 11-111111111-111111111-1111111111-1112
(musí být specifikován jako neznámý typ)
146
Kapitola 4 - Implementace zásady skupiny
Cílový název Tento název je poslední položkou převodní tabulky. Určuje jak se má
název počítače, uživatele, skupiny či cesta UNC zdrojového objektu GPO zpracovat
po přesunu do cílového objektu GPO. Tabulka 4.2 popisuje některé cílové názvy.
TABULKA 4.2: Cílové názvy
Cílový název	Popis
Shodný se zdrojem	Kopírování proběhne beze změn. Stejný efekt jako byste do převodní ta- bulky nezadali zdrojovou hodnotu.
Žádný	Uživatel, počítač či skupina se z objektu GPO odstraní. Tuto možnost ne- lze použít pro cesty konvence UNC.
Přiřazení podle relativního názvu	Například napřiřazení názvu SourceDomain\Groupl na TargetDomai n\Groupl. Tuto možnost nelze použít pro cesty konvence
_________________________UNC.______________________________________________________________
Explicitní určení V cílovém objektu GPO nahradíte zdrojovou hodnotu určitou hodnotou,
hodnoty
X Poznámka Pro cílové názvy můžete pomocí některého z výše popsaných formátů určit objek-
^^F fy zabezpečení, s výjimkou identifikátoru SID. Pro cílový název nemůžete nikdy použít iden-
tifikátor SID.
Další informace Podrobnější informace o postupu při migraci objektů GPO pomocí konzoly
GPMC a převodních tabulek najdete v oddíle „Testování objektů GPO před jejich nasaze-
ním" této kapitoly.
4.5 Shrnutí
Zavádění objektů GPO není jednoduchou záležitostí. Efektivní zavádění zahrnuje fak-
tory, které sahají daleko za nastavení, která se konfigurují v objektech GPO. Tyto
faktory zahrnuji návrh služby Active Directory, delegování, replikaci a konvergenci
služby Active Directory na všechny doménové řadiče.
Abyste zajistili, že zavadění produkčních objektů GPO bude stabilní, bezpečné a efek-
tivní, musíte vzít v potaz také dědičnost skupinových zasad a řízení aplikací. Pokud je
to možné, měli byste používat výchozí dědičnost. Měnit byste ji měli jen v případě, že
nutně potřebujete aplikovat filtrování, vynucování nebo chcete zakázal přepisování.
Vyhnout byste se měli také filtrům služby WMI, protože mohou prodloužit dobu po-
třebnou pro aplikaci objektů GPO.
Závěrem řekněme, že všechna nastavení objektů GPO by měla být, předtím než jsou
zavedena do produkce, otestována v neprodukčním prostředí.
Zpřísňování
režimu
klientů
a serverů
Obsah kapitoly:
5.1	Základy bezpečnostních šablon........................................14tí
5.2	Zavádění bezpečnostních šablon........................................171
5.3	Obecné techniky zpřísňovaní režimu....................................174
5.4	Zpřísňování režimu na serveru.........................................177
5.5	Zpřísňovaní režimu na klientovi.......................................201
5.6	Řešení problémů.......................................................220
5.7	Shrnutí...............................................................224
148 Kapitola 5 - Zpřísňování režimu klientů a serverů
Tato kapitola se věnuje filozofii, která stojí za ochranou klientu a serverů domény
služby Active Directory, metodám a nástrojům pro její realizaci. Probereme proble-
matiku bezpečnostních šablon, která je hlavním mecliaiúsmem používaným pro
konfiguraci bezpečnosti na počítačích s operačním systémem Microsofl Windows
Podíváme se také na použití a role výchozích bezpečnostních šablon, na jejich
tvorbu, import, změny, export a použití. Věnovat se budeme i různým částem bez-
pečnostní šablony, spolu s klíčovými nastaveními, která se v nich nacházejí.
Podíváme se také na průvodce Security Configuration Wizard (Průvodce konfigurací
zabezpečení), nový nástroj v operačním systému Microsoft Windows Server™ 2003
s balíčkem Service Pack 1. Průvodce spolupracuje s bezpečnostními šablonami, ale má
současně na starosti aplikační bezpečnost a bezpečnost založenou na rolích. Průvodce
generuje bezpečnostní zásady, které mohou obsahovat nastavení bezpečnostních šab-
lon. Dále se budeme věnovat tomu, jak pomocí bezpečnostních šablon a bezpečnost-
ních zásad zabezpečit klienty a servery a probereme použití nového průvodce
Security Configuration Wizard z hlediska zpřísňovaní režimu klientů a serverů.
Kapitolu zakončíme oddílem o řešení problémů, které mohou pri zpřísňovaní počí-
tačové bezpečnosti na síti nastat. Reč bude o řešení problémů se správcovskými
šablonami, o procesu použití šablon a o dalších nástrojích, které lze použit pro ana-
lýzu a zjišťování bezpečnostních konfigurací.
Související informace
	Podrobné informace o normativních bezpečnostních nastaveních najdete v příruč-
ce Server 2003 Security Guide na internetové adrese http://www.nicrosoft.com/
technet/securi ty/prodtech/wi ndowsserver2003/w2003hg/sgch00.mspx.
	Více informací o bezpečnostních nastaveních najdete v příručce Threats and Coun-
termeasures Guide na internetové adrese http://www.microsoft.com/technet/
securi ty/top i cs/serversecuri ty/tcg/tcgchOO.mspx.
	Více informací o přizpůsobování bezpečnostních šablon najdete v oddíle ,.Při-
způsobování bezpečnostních šablon“ 15. kapitoly.
	Další infonnace o tvorbě a konfigurování bezpečnostních šablon najdete v knize
Microsoft Windows Security Resource KU, Second Edition (Microsoft Press, 200^).
5.1 Základy bezpečnostních šablon
Bezpečnostní šablony jsou textové soubory, které se používají pro uspořádání, kon-
figuraci a správu bezpečnosti na počítačích v podnikové síti založené na operačním
systému rodiny Windows. Tyto šablony jsou roztříděny do logických skupin podle
různých kategorií bezpečnostních zásad. Jakmile je bezpečnostní šablona nakonfi-
gurována, můžete ji použit pro nastaveni jednoho nebo několika síťových počítačů.
Bezpečnostní .šablony nabízejí řešení pro centralizaci konfigurování a zaváděni
bezpečnostních nastavení na počítače.
Bezpečnostní šablony jsou prosté textové soubory, které jsou zpracovávaný pro-
střednictvím modulu Security Templates (Šablony zabezpečení*) konzoly Microsoft
Management Console (MMC) - viz obrázek 5.1.
Základy bezpečnostních šablon
149
OBRÁZEK 5.1 : Dvě části (User Configuration a Computer Configuration)
standardního objektu GPO
Výchozí bezpečnostní šablony
implementace
a scénáře
Součástí operačního systému Windows Server 2003 je několik výchozích bezpeč-
nostními šablon, které jsou navrženy tak, aby dokázaly vyhovět nižným úrovním
a funkcím počítačové bezpečnosti. Tyto Šablony lze použít ihned beze změn, nebo
je můžete upravil, aby lépe vyhovovaly vašim potřebám. Všechny výchozí bezpeč-
nostní šablony můžete najít ve složce C:\Windows\Securíty\Temp?ates. Následující
oddíly se věnují výchozím bezpečnostním Šablonám a jejich funkcím.
Compatws.inf
Šablona Compatws.inf uvolňuje výchozí oprávnění skupiny Users, abyste nemuseli
koncové uživatele zařazovat do skupiny Power Users. Omezení počtu uživatelů pa-
třících do skupiny Power Users činí počítače bezpečnějšími v případě, že na nich
běží starší verze aplikací.
V praxi jsou výchozí oprávnění pro pracovní stanice a servery prunárně přiděleny
třem lokálním skupinám: Adm mistra tors, Power Users a Users. Členové skupiny
Administrators mají nejvíce oprávnění a členové skupiny Users mají nejméně. Dob-
rým zvykem tedy je umístit většinu uživatelů do skupiny User - nikoliv do skupiny
Administrators - za předpokladu, že aplikace mohou byt bez problémů používány
členy skupiny Users. Pro každou aplikaci, která vyžaduje členství v jiné skupině
než Users, jsou dvě možnosti řešení: Uživatelé budou umístěni do skupiny Power
Users nebo budou posílena oprávnění skupiny Users.
Bezpečnostní šablona Compatws.inf změní výchozí oprávněni pro práci s registry
a soubory skupiny Users tak, aby její členove mohli používat aplikaci a pro skupinu
Power Users její použití zakáže. Protože členové skupiny Power Úsers mají povole-
né některé základní operace, jako je vytvářeni uživatelů, skupin, tiskáren
a sdílených míst, posílí někteří správci raději oprávnění skupiny Users, než aby při-
dali koncové uživatele do skupiny Power Users.
Upozornění lato bezpečnostní šablona by se nemela používat pro doménové řadiče, neboť při-
náší značné snížení bezpečnosti. Je navržena pro lokaní SAM, nikoli pro službu Active Directory.
50	Kapitola 5 - Zpřísňování režimu klientů a serverů
DC security.inf
Tato šablona je vytvořena když dojde k povýšení serveru do role doménového řa-
diče. Je nositelem bezpečnostních nastavení pro souborové, registrové a systémové
služby. Její opětovná aplikace znovu nastaví tyto oblasti do výchozích hodnot, ale
může přepsat práva na nových souborech, klíče registru a systémové služby vytvo-
řené jinými aplikacemi.
lesads.inf
Šablona lesads.inf je navržena pro revizi klíčů registru přiřazených k aplikaci
Microsoft Internet Explorer. Oprávnění pro tyto klíče se nastaví pomocí bezpeč-
nostní šablony, aby měla skupina Everyone ke klíčům plný přístup. Revize je ná-
sledně nakonfigurována tak, aby zaznamenávala pokusy o změnu hodnot
uložených v těchto klíčích.
Securedc.inf
Šablony začínající prefixem Secure (Secure*. i nf) definují rozšířenou bezpečnost tak,
aby byla co nejméně ovlivněna kompatibilita aplikací. Mezi bezpečnostní nastavení
patří silnější hesla, zamykání a nastavení revize. Obě „Secure“ šablony omezují použití
systému IAN Manager a protokolu NTLM tím, že nakonfigurují klienty, aby posílali
odpovědi pouze jako NTLMv2 (NT LAN Manager verze 2) a nakonfigurují servery, aby
odmítaly odpovědi systému LAN Manager. Bezpečnostní šablony s prefixem „Secure“
také dále limitují anonymní uživatele (např. uživatele z nedůvěryliodných domén)
tak, že těmto uživatelům zabraní zjišťovat názvy účtu a sdílených míst. Dále jim také
zakáží provádět převody identifikátor SID-název nebo název-SID.
Důležité Jestliže aplikujete bezpečnostní šablonu Securedc. i nf na nějaký doménový řadič,
uživatel s účtem v dané doméně (použije-li daný doménový účet) se nebude moci
z klientského počítače, nakonfigurovaného pouze pro použití ověřování systému LAN Ma-
nager, připojit k žádnému členskému serveru.
Securews.inf
Tato šablona poskytuje stejná nastavení jako šablona Securedc.inf, ale je navržena
pro klienty a členské servery. Povoluje podepisování paketu protokolu Server Messa-
ge Block (SMB) na straně serveru, které je pro servery implicitně zablokované. Protože
podepisování paketů protokolu Server Message Block (SMB) na straně kliénta je im-
plicitně povolené, podepisovaní paketů protokolu SMB je vždy předmětem vyjedná-
vání v případě, že pracovní stanice a servery operují na úrovni Secure.
Jestliže je bezpečnostní šablona Securews.inf aplikována na doménového člena,
platí následující omezení:
	Doménové řadiče obsahující účty všech uživatelů, kteří se přihlašují na klienta,
musí běžet na operačním systému Microsoft Windows NT® 4.0 Service Pack
4 nebo novějším.
	Je-li doménový člen připojen k doméně, která obsahuje doménové řadiče s ope-
račním systémem Windows NT 4.0, hodiny doménových řadičů s operačním sys-
témem Windows NT 4.0 a členských počítačů se nesmějí lišit o více než 30 minut
Základy bezpečnostních šablon
	Klienti se nemohou připojovat k serverům, které používají pouze ověřovací pro-
tokol LAN Manager nebo běží na operačním systému Windows NT nižší verze
než je Service Pack 4, pomocí lokálního účtu definovaného na cílovém serveru.
	Klienti se nemohou připojovat k serverům s operačním systémem Windows 2000
nebo Windows NT 4.0, pomocí lokálního účtu definovaného na cílovém serveru,
pokud se hodiny na cílovém serveru liší od klienta o více než 30 minul.
	Klienti se nemohou připojovat k počítači s operačním systémem Windows XP
nebo novějším pomocí lokálního učtu definovaného na cílovém serveru, pokud
se hodiny na cílovém serveru liší od klienta o více než 20 hodin.
	Klienti se nemohou připojovat k severům používajícím ověřování protokolu
LAN Manager, které běží v režimu společného řízení přístupu.
	Uživatel s lokálním účtem na serveru se k němu nemůže prpojit z klientského
počítače pouze s protokolem LAN Manager, který používá daný lokální účet.
implementace
	Uživatel s lokálním účtem na serveru se systémem Windows Server 2003, který
je nakonfigurován tak, aby používal ověřovaní protokolu NTLMv2 se nemůže
připojil, pokud se hodiny na obou počítačích liší o více než 20 hodin.
Hisecdc.inf
Šablony vysokého zabezpečeni (Highly Secure templates - Hisec*.inf) jsou nad-
množinami bezpečnostních šablon Secure, které nesou další omezení na úrovních
šifrování a podepisování, jež jsou vyžadována pro ověření a pro data, která tečou
přes zabezpečené kanály a mezi klienty a servery protokolu SMB. Šablony Secure
mají za následek například to, že servery odmítnou odpovědi protokolu LAN Ma-
nager, zatímco šablony kategorie Hisec způsobí, že server odmítne odpověď proto-
kolu LAN Manager i NTLM. Šablony Secure umožňuji podepisování paketu SMB,
zatímco šablony Hisec je vyžadují. Šablony Hisec také vyžadují silné šifrování
a podepisování pro data zabezpečeného kanálu, které je podstatou vztahu domé-
nové důvěryhodnosti a vztahu doména-člen.
Jestliže je bezpečnostní šablona Hisecdc.inf aplikována na doménový řadič, platí
pro doménový řadič následující omezení:
	Všechny doménové řadiče všech důvěiyhodných domén musí běžet na operač-
ním systému Windows 2000 nebo Windows Server 2003.
	Uživatel s účtem v takové doméně se nemůže připojit k členskému serveru po-
mocí uživatelského účtu dané domény, jestliže pokus o připojení je realizován
z klienta, který používá pouze ověřovací protokol LAN Manager.
	Uživatel s účtem v takové doméně se nemůže připojit k členským serverům pomo-
cí uživatelského účtu dané domény, pokud nepoužívají klient i cílový server ope-
rační systém Windows 2000 nebo novější. Uživatelé mohou místo ověřování
protokolu LAN Manager také používat ověřováni Kerberos, pokud není klient
nakonfigurován tak, aby odesílal odpovědi ve formátu NTLMv2-
	Klienti protokolu LDAP (Lightweight Directory Access Protocol) se nemohou
spojit se servery LDAP služby Active Directory, pokud není vyjednáno podepi-
sování dat. Jestliže již není používán protokol TLS/SSL (Transport Layer Securi-
ty/Secure Sockets Layer), všichni klienti Microsoft LDAP, kteří mají nainstalován
152
Kapitola 5 - Zpřísňování režimu klientů a serverů
operační systém Windows XP, implicitně vyžadují podepisování dat. Jestliže <Se
používá protokol TLS/SSL, považuje se podepisování dat za vyjednané.
Hisecws.inf
Šablona Hisecws.inf funguje, až na několik malých odlišností, na stejném princi;,j
jako šablona Hisecdc.inf. Odstraní všechny uživatele skupiny Power Users a zajistí
že do lokální skupiny Administrators patří pouze účet Domain Admins a účet lo-
kálního správce.
Jestliže je bezpečnostní šablona Hisecws.inf aplikovaná na doménového člena
platí následující omezení:
	Všechny doménové řadiče, které obsahuji účty uživatelů, jež se budou přihlašo-
vat na klienta, musí běžet na operačním systému Windows NT 4.0 Service Pack
4 nebo novějším.
	Všechny doménové řadiče domény, do které je klient připojen, musí mít ope-
rační systém Windows 2000 nebo novější.
	Klienti se pomocí lokálního učtu definovaného na cílovém serveru nemohou při-
pojovat k počítačům, které používají pouze protokol LAN Manager nebo
k počítačům, ktere běží na operačním systému Windows NT 4.0 Service Pack 3 ne-
bo nižší.
	Klienti se pomoci lokálního účtu nadefinovaného na cílovém serveru nemohou
připojovat k servetům s operačním systémem Windows 2000 nebo Windows NT
4.0, pokud se hodiny na cílovém serveru a na klientu liší o více než 30 minut.
	Klient se pomocí lokálního účtu nadefinovaného na cílovém počítači nemohou
připojovat k počítačům s operačním systémem Windows XP nebo novějším,
pokud se hodiny na cílovém počítači a klientovi liší o více než 20 hod.n.
	Klienti se nemohou připojovat k serverům s protokolem LAN Manager běžícím
v režimu společného řízení přístupu.
	Uživatel s lokálním účtem na serveru se z klienta, který nepodporuje protokol
NTLMv2, k serveru nemůže připojit.
	Uživatel s lokálním účtem na serveru se k serveru nemůže připojit, pokud není kli-
entský počítač nakonfigurován tak, aby odesílal odpovědi ve fomiátu NTLMv2.
	Všichni klienti, kteří chtějí k připojováni na server používat protokol SMB musí
mít povolené podepisování paketů protokolu SMB na straně klienta. Všechny
počítače s operačním systémem Windows 2000 a Windows XP mají podepiso-
vání paketů protokolu SMB na straně klienta implicitně povoleno.
Notssid.inf
Šablona Notssid.inf oslabuje bezpečnost, aby starším aplikacím umožnila běžet na
službě Windows Terminál Services. Výchozí seznamy pro řízeni pí stupu do souboro-
vého systému a registrů (seznamy ACL) na serverech poskytují oprávnění bezpečnost-
nímu identifikátoru (SID) Terminál Server. Bezpečnostní identifikátor Tenninal Sen er
se používá pouze, když služba 1 erminal Server běží v režimu aplikační kompatibility-
Jestliže se komponenta Tenninal Services nepoužívá, může být tato šablona použita
pro odstranění zbytečných identifikátorů služby Terminál Server ze systému a registru
Základy bezpečnostních šablon
Odstraněním záznamu identifikátoru Terminál Server SID ze systému a registru ale ni-
jak nezvýšíte bezpečnost systému. Lepší než odstranit identifikátory je použít Terminál
Server v režimu Full Security. V tomto režimu se identifikátor služby Terminál Server
nepoužívá.
Rootsec.inf
Šablona Rootsec. inf zajišťuje bezpečnost pro kořenový adresář systémového disku.
Nejlepším způsobem jejího použití je obnova oprávnění kořenového adresáře v pří-
padě, že oprávnění byla omylem změněna nebo došlo k selhání sytému. Tato šablona
nepřepisuje explicitní oprávnění žádného synovského objektu. Pouze nastaví opráv-
nění pro rodičovské objekty a výchozí dědičnost se postará o konfigurování potomků.
Setup Security.inf
Šablona Setup Securi ty. i nf se pro každý počítač vytváří během instalace. Může se li-
šit počítač od počítače, v závislosti na tom, zda instalace byla načisto nebo se jednalo
o upgrade. Tato šablona reprezentuje výchozí bezpečnostní nastavení, která se apliku-
jí během instalace operačního systému, včetně oprávnění na souborech kořenového
adresáře systémového disku. Můžete ji používat na serverech i klientských počítačích,
ale nemůže být aplikovaná na doménové řadiče. Části této šablony můžete aplikovat
pro účely zotavení po havárii.
Tip Šablona Setup Securi ty. i nf by neměla byt nikdy aplikována prostřednictvím skupino-
vých zásad. Obsahuje totiž velké množství dat a může při aplikaci pomocí skup-novych zásad
značně degradovat propustnost sítě, neboť zásady se periodicky aktualizují a doménou by se
pak pohybovalo velké množství dat.
Šablonu Setup Security.inf se doporučuje aplikovat po částech a použít nástroj
příkazového 'ádku Secedil.
Upozornění Výchozí bezpečnostní šablony by měly být aplikovány na počítače, které již používají
implicitní bezpečnostní nastavení. Tyto šablony byste měli používat k postupnému inkrementál-
nímu upravování výchozích bezpečnostních nastavení vašich poč tačú. Uvedené bezpečnostní šab-
lony před provedením úprav neinstalují výchozí bezpečnostní nastavení. To znamená, že byste
měli bezpečnostní šablony také testovat v neprodukčním prostředí, abyste se tak ujistili, že je za-
chována správná úroveň aplikační funkcionality vaší sítě a systémové architektury.
Části bezpečnostní šablony
Bezpečnostní šablona má mnoho částí a každá z nich má určitou roli při ochraně,
zabezpečení a zpřísňování režimu počítače, na který bude zavedena. Když budete
znát roli všech částí, snaze se tak budete rozhodovat, která bezpečnostní nastaveni
je třeba nakonfigurovat pro jednotlivé typy počítačů vaší organizace.
Následuje popis částí bezpečnostní šablony, spolu s některými doporučení pro jejich
Použití.
Zásady účtů
Část, která se týká zásad účtů, řídí oblasti ověřovaní pro uživatelské účty a je konfi-
gurována na úrovni doménových zásad. Pod zásady účtu patří další tri oddíly:
154
Kapitola 5 - Zpřísňování režimu klientů a serverů
 Password policy (Zásady hesla) Řídí hesla uživatelských účtů - dobu po kterou
je heslo platné, délku hesla a složitost hesla
	Account Lockout policy (Zásady uzamčení účtů) Řídí, fík se zachová počítač
v případě, že bylo několikrát zadáno neplatné heslo
	Kerberos policy (Zásady modulu Kerberos) Řídí udělovaní lístku, které proto-
kol modulu Kerberos používá pro doménovou komunikaci a ověřovaní
Tabulka 5-1 obsahuje některá doporučení ke konfigurování těchto nastavení pro do-
ménové zásady v prostředí podnikových klientů - to je tam, kde klientské počítače
běží na operát nim systému Windows 2000 Professional nebo Windows XP Professio-
nal a všechny doménové řadiče mají operační systém Windows 2000 nebo novější.
Další informace Podrobnější informace o doporučených nastaveních doménových zásad
v podnikových klientských prostředích a další doporučení pro konfiguraci těchto nastavení v pro-
středích se staršími klienty a prostředích s vysokým stupněm zabezpečení klientů najdete v doku-
mentu Windows Server 2003 Security Guide na adrese http://www.microsoft.coT/
downloads/detai1s.aspx?Farní 1yID=8a 2643cl- 0685 -4d89-b6 55 - 52lea 6c7b4db&
di spi ay 1 ang=en. Další doporučení pro zabezpečení klientských počítačů najdete v dokumentu
Windows XP Security Guide verze 2, který se nachází na adrese http: / /www.mí crosof t. com/
downloads/detai1s.aspx?Farní 1yId=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&
di spiay1ang=en.
TABULKA 5.1: Doporučení pro nastavení zasad účtů		
Nastavení zásad účtů	Oddíl	Doporučené nastaveni
Enforce Password History	Password policy (Zásady hesla)	24
Maximum Password Age	Password policy (Zásady hesla)	42 dní
Minimum Password Age	Password policy (Zásady hesla)	2 dny
Minimum Password Length	Password policy (Zásady hesla)	8
Password Must Meet Complexity Requirements	Password policy (Zásady hesla)	Zapnuto
Store passwords using reversible encryption Account Lockout Duration	Password policy (Zásady hesla) Account Lockout policy (Zásady uzamčení účtů)	Vypnuto 30 minut
Account Lockout Threshold	Account Lockout policy (Zásady uzamčení účtů)	50 nepovedených poku- sů o přihlášení
Reset account lockout counter after	Account Lockout policy (Zásady uzamčení účtů)	30 minut ———-'
Any policy settings	Kerberos policy (Zásady modulu Ker- beros)	ponechte beze změn
		
Důležité Tato doporučení pro zásady účtů jsou závislá na vaší síti, vašich podnikových bezpeč-
nostních zásadách a celkových bezpečnostních potřebách. Proto se před tím než bezpečnostní
nastavení aplikujete, obraťte na pracovníky zodpovědné za bezpečnost ve vašem podniku.
Základy bezpečnostních šablon
Místní zásady
Část bezpečnostní šablony týkající se Local Policies (Lokálních zásad) řídí nastavení
místních zásad, které se nacházejí na všech počítačích. Patří do ní tři pododdíly:
 Audit Policy (Zásady auditu) Spoušti úlohy, které mají být zaznamenávány
v protokolu zabezpečení sídlícím v prohlížeči událostí. Všechna nastavení zásad
audit ováni je možné nastavit tak, aby sc zaznamenávaly úspěšné, neúspěšné nebo
oba druhy pokusu. V rámci zasad auditování existují různé kategorie, které můžete
konfigurovat. Na Členských serverech a pracovních stanicích, které jsou připojené
k doméně, jsou nastavení auditování pro kategorie úloh implicitně nedefinována.
Na doménových řadičích je auditování pro většinu nastavení zásad auditování po-
voleno. Přizpůsobením nastavení auditování jednotlivých kategorií můžete vytvo-
řit zásady auditovár í, které budou plně vyhovoval bezpečnostním požádá kúm
vaší organizace.
 User Rights Assignment (Přiřazení uživatelských práv) Určuje, co muže na
serveru nebo klientovi uživatel či skupina dělat. Tato nastavení jsou specifická pro
počítač, ale lze je definovat i prostřednictvím objektu GPO. V mnoha případech
jsou výchozí uživatelská práva nastavena příliš volně a je potřeba je zpřísnit.
Implementace
 Security Options (Možnosti zabezpečení) Povoluje nebi? blokuje bezpečnostní
nastavení (jedná se např. o digitální podepisovaní dat, názvy pro účty Administrá-
tor a Guest, přístup na disketovou mechaniku či CD-ROM, instalace ovladačů
a přihlašovací okna) počítače.
Tabulka 5.2 obsahuje některá doporučení ke konfigurování těchto nastavení pro zá-
sady, ktere se tykají doménových řadičů a členských serverů v prostředí podniko-
vých klientů - to je tam, kde klientské počítače běží na operačním systému
Windows 2000 Professiooal nebo Windows XP Professional a všechny doménové
řadiče mají operační systém V indows 2000 nebo norější.
Další informace Podrobnější informace o doporučených nastaveních doménových zásad v podni-
kových klientských prostředích a další doporučení pro konfiguraci těchto nastavení v prostředích
se staršími klienty a prostředích s vysokým stupněm zabezpečení klientů najdete v dokumentu
Windows Server 2003 Security Guide na adrese http://www.microsoft.com/downloads/
detai1s.aspx?Fami1yID=8a2643c1 -0685-4d89-b655-521ea6c7b4db&di spiaylang=en.
Další doporučení pro zabezpečení kbentských počítačů najdete v dokumentu Windows XP Securi-
ty Guide verze 2, který se nachází na adrese http://www.microsoft.com/downloads/
detai 1 s.aspx?Fami lyId=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&di spiaylang=en.
Poznámka Oddíl Local Policies obsahuje téměř 75 bezpečnostních nastavení. Tabulka 5.2 obsa-
huje doporučená nastavení jen pro ta z nich, která jsou pro většinu počítačů na síti velmi důle-
žitá. Další informace o všech doporučených nastaveních a doporučených hodnotách najdete
v modulu Security Templates (Šablony zabezpečení) a průvodci Security Configuration Wizard
3 v odpovídajících souborech generovaných těmito nástroji. Pro pomoc s touto procedurou se
obraťte na 15. kapitolu teto knihy. Takc1 nahlédněte do oddílu zabývajících se zpřísňováním re-
žimu na serverech a klientech, které obsahují doporučené konfigurace pro různé scénáře.
156
Kapitola 5 - Zpřísňování režimu klientů a serverů
TABULKA 5.2: Doporučení pro nastavení místních zásad
Nastavení místních zásad	Oddíl	Doporučené nastavení
Account logon events	Audit	Policy	(Zásady auditu)	Úspěšné pokusy: Ano
Neúspěšné pokusy: Ano
Account management events	Audit	Policy	(Zásady auditu)	Úspěšné pokusy: Ano
Neúspěšné pokusy: Ano
Directory Service access	Audit Policy (Zásady auditu)	Úspěšné pokusy: Ano
Neúspěšné pokusy: Ano
Logon events	Audit Policy (Zásady auditu)	Úspěšné pokusy: Ano
Neúspěšné pokusy: Ano
Object access	Audit Policy (Zásady auditu)	Úspěšné pokusy: Ano *
Neúspěšné pokusy: Ano
Policy change	Audit Policy (Zásady auditu)	Úspěšné pokusy: Ano
Neúspěšné pokusy: Ne
Privilege use	Audit Policy (Zásady auditu)	Úspěšné pokusy: Ne
Neúspěšné pokusy: Ano
Process tracking	Audit Policy (Zásady auditu)	Úspěšné pokusy: Ne
Neúspěšné pokusy: Ne
System events	Audit Policy (Zásady auditu)	Úspěšné pokusy: Ano
Neúspěšné pokusy: Ne
Act as part of the operating	User Rights Assignment	Jen oprávněné účty
systém	(Přiřazení uživatelských práv)
Add workstations to domain	User Rights Assignment	Jen oprávněné účty
(Přiřazení uživatelských práv)
Back up files and directories	User Rights Assignment	Jen oprávněné účty
(Přiřazení uživatelských práv)
Change the systém time	User Rights Assignment	Jen oprávněné účty
(Přiřazení uživatelských práv)
Porce shutdown from a remote User Rights Assignment Jen oprávněné účty
systém	(Přiřazení uživatelských práv)	
Log on as a Service	User Rights Assignment (Přiřazení uživatelských práv)	Jen oprávněné účty
Log on locally	User Rights Assignment (Přiřazení uživatelských práv)	Jen oprávněné účty
Replace a process level token	User Rights Assignment (Přiřazení uživatelských práv)	Jen oprávněné účty
Restore files and directories	User Rights Assignment (Přiřazení uživatelských práv)	Jen oprávněné účty
Shut down the systém	User Rights Assignment (Přiřazení uživatelských práv)	Jen oprávněné účty
Také ownership of files or other User Rights Assignment		Jen oprávněné účty
objects	(Přiřazení uživatelských práv)
Základy bezpečnostních šablon
157
		
Nastavení místních zasad	Oddíl	Doporučené nastavení
Accounts: Guest account status	Security Options (Možnosti zabezpečení)	Vypnuto
Audit: Audit the access of qlobal systém objects	Security Options (Možnosti zabezpečení)	Vypnuto
Devices: Prevent users from in- stalling printer d*ivers	Security Options (Možnosti zabezpečení)	Zapnuto
Domain member: Digitally en- crypt or sign secure channel data (always)	Security Options (Možnosti zabezpečení)	Zapnuto
Domain member: Digitally sign secure channel data (when possible)	Security Options (Možnosti zabezpečení)	Zapnuto
Interactive logon: Do not dis- play last user name	Security Options (Možnosti zabezpečení)	Zapnuto
Interactive logon: Message text Security Options for users attempting to log on (Možnosti zabezpečení)		Podle potřeby
Interactive logon: Message title Security Options for users attempting to log on (Možnosti zabezpečení)		Podle potřeby
Interactive logon: Number of previous logons to cache (in čase domain controller is not available)	Security Options (Možnosti zabezpečení)	0
Interactive logon: Require Do- main Controller authentication to unlock workstation	Security Options (Možnosti zabezpečení)	Zapnuto
Network access: Allow anony- mous SID/Name translation	Security Options (Možnosti zabezpečení)	Vypnuto**
Network access: Do not allow anonymous enumeration of SAM accounts and shares	Security Options (Možnosti zabezpečení)	Zapnuto
Network access: Let Everyone permissions apply to anony- mous users	Security Options (Možnosti zabezpečení)	Vypnuto
Network security: Do not store LAN Manager hash value on nextjDassword change	Security Options (Možnosti zabezpečení)	Zapnuto
Network security: LAN Ma- nager authentication level	Security Options (Možnosti zabezpečení)	Odesílat pouze odpovědi NTLM verze 2 a odmítat odpovědi LM & NTLM
Vyjednat podepisování
Network security: LDAP Client Security Options
^gning requirements	(Možnost zabezpečení)
Implementace
Kapitola 5 - Zpřísňování režimu klientů a serverů
Nastavení místních zásad Oddíl	Doporučené nastavení
*	Při zakládání vašeho žurnálu přístupu k objektům si dávejte pozor na to, jaké množství informací bude v důsledku
tohoto nastavení generováno. Pro přístup k objektům se jako základní zásady auditováni doporučuje nastavit události
Úspěšné pokusy i Neúspěšné pokusy a být velmi opatrní při povolování auditováni objektů týkajících se seznamu SaCl
*	* Musí být specifikováno v zásadách domény.
Protokol událostí
Bezpečnostní oblast Event Log (Protokol událostí) definuje atributy související
s aplikačními, bezpečnostními a systémovými protokoly: maximální velikost proto-
kolu, přístupová práva jednotlivých protokolu, retenční nastavení a metody. Apli-
kační protokol zaznamenává událost' generované programy; bezpečnostní protokol
(v závislosti na tom co je sledováno) zaznamenává bezpečnostní události, včetně
pokusů o přihlášení, přístupu k objektům a změn v bezpečnosti; systémový proto-
kol zaznamenává události související s operačním systémem.
Tabulka 5.3 obsahuje některá doporučení ke konfigurovaní těchto nastaveni pro
zásady, které se týkají doménových řadičů a členských serverův prostředí podniko-
vých klientů - to je tam, kde klientské počítače běží na operačním systému Win-
dows 2000 Professional nebo Windows XP Professional a všechny doménové
řadiče mají operační systém Windows 2000 nebo novější.
Další informace Podrobnější informace o doporučených nastaveních doménových zásad v podni-
kových klientských prostředích a další doporučení pro konfiguraci těchto nastavení v prostředích
se staršími klienty a prostředích s vysokým stupněm zabezpečení klientů najdete v dokumentu
Windows Server 2003 Security Guide na adrese http://www.microsoft.com/downloads/
details.aspx?Fami1yID=8a 2643c1 - 0685 -4d89-b655- 521ea 6c 7b4db&d i s play1ang=en.
Další doporučení pro zabezpečení klientských počítačů najdete v dokumentu Windows XP Securi-
ty Guide verze 2, který se nachází na adrese http://www.microsoft.com/downloads/
details.aspx?FamilyId=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&display)ang=en.
TABULKA 5.3: Doporučení pro nastavení protokolu událostí
Nastavení protokolu událostí	Doporučené nastaven-
Prevent local guests group from	accessing application log	Zapnuto
Prevent local guests group from	accessing security log	Zapnuto
Prevent local guests group from	accessing systém log	Zapnuto
Retention method for security log	Podle potřeby
Skupiny s omezeným členstvím
Bezpečnostní nastavení Restricted Groups (skupiny s omezeným členstvím) umožňu-
je správci definovat dvě vlastnosti skupin závislých na bezpečnosti (skupin s omeze'
ným členstvím): Members (Členové) a Member Of (Je členem). Seznam Members
definuje, kdo do skupiny s omezeným členstvím pan a kdo ne. Seznam Member Of
určuje, do kterých dalších skupin daná skupina s omezeným členstvím patří.
Základy bezpečnostních šablon
při konfiguraci skupin s omezeným členstvím jsou odstraněni existující členové da-
né skupiny. Poté co jsou zasady dokončeny, zůstanou členy skupiny pouze uživa-
telé a skupiny obsažené v seznamu Members.
Upozornění Jestliže jsou nadefinovány zásady skupin s omezeným členstvím (Restricted
Groups) a proběhne aktualizace skupinových zásad, dojde k odstraněni těch stávajících čle-
nů, kteří nejsou v členském seznamu. Zasaženi tím mohou být implicitní členové i správci
Poznámka Skupiny s omezeným členstvím jsou výborným řešením pro konfiguraci Klientů
a členských serverů, ale neměly by se používat pro skupiny služby Active Directory Jestliže je
seznam Members prázdný, skupina nebude mít žádné členy - ani ty, kteří jsou ve skupině
momentálně nakonfigurováni. Na druhou stranu, jestliže je prázdný seznam Members Of,
znamená to pouze to, že nastaveni zásad nespecifikují žádné dodatečné skupiny, jejichž čle-
nem by měla skupina být.
Členství v místních skupinách, které sídlí na Členských serverech a klientech domény
služby Active Directory, byste se měli snažit kontrolovat. Některé ze skupin, které bys-
te měli mít pod kontrolou, zahrnují ty, které mají pokročilá nebo správcovská opráv-
nění (viz tabulka 5.4).
Další informace Podrobnější informace o použití skupin s omezeným členstvím k zabezpečení
doménových řadičů a členských serverů s operačním systémem Windows 2000 nebo novějším
v podnikových prostředích najdete v dokumentu „Windows Server 2003 Security Guide" na
internetové adrese http://www.microsoft.com/downloads/detai1s.aspx?FamilyID=
8a2643cl-0685-4d89-b655-521ea6c7b4db&di spiaylang=en.
TABULKA 5.4: Doporučené konfigurace skupin s omezeným členstvím
Skupina	Doporučení členové
Administrators	Administrátor
Domain Admins
Power Users	Účty doménových uživatelů, kteří na serveru či klientovi toto oprávnění
potřebují____________________________________________________
Backup Operators Doménoví nebo místní správci. Nedoporučuje se pro účty běžných do-
______ měnových uživatelů
Systémové služby
Sekce System Services bezpečnostní šablony vám umožňuje definovat chování sys-
témových služeb na všech počítačích v podniku. Nejprve určete, jakým způsobem
bude při spuštění počítače systémová služba nastartována:
* Manual (Ručně)
* Automatic (Automaticky)
® Disabled (Vypnuta)
krčením způsobu spuštění služby nijak neovlivníte schopnost uživatele službu spustit
nebo vypnout. Tato část šablony dává správci možnost řídit přístupová práva jednotli-
vých služeb. To zahrnuje oprávnění ke spuštění, vypnutí nebo pozastavení služby.
160
Kapitola 5 - Zpřísňování režimu klientů a serverů
Některé služby jsou běžně řízeny jako součást procesu zpřísnění režimu na serveru či
klientovi. Tyto služby mají buďto dobře známá slabá místa, nebo jsou častým cílem
útoků vzhledem k možnosti získat přístup do počítače v případě, že by služba byla
úspěšně zneužita. Následující služby jsou klienty a servery běžně zabezpečovány:
 Alerter
 Computer Browser
 IIS Admin Service
	Messenger
	Microsoft NetMeeting® Remote Desktop Sharing
	Remote Access Auto Connection Manager
	Remote Access Connection Manager
	Remote Desktop Help Session Manager
	Remote Registry
	Routing and Remote Access
	Telnet
	Terminál Services
	World Wide Web Publishing Service
Kromě řízení těchto služeb byste měli vzít v úvahu také následující doporučení (s oh-
ledem na systémové služby):
	Otestujte všechny služby, které pomocí této části bezpečnostní šablony zablokuje-
te. Některé služby jsou nezbytné pro správný chod operačního systému a aplikací.
	Jestliže se rozhodnete nastavit typ spuštění systémové služby na automatické
(Automatic), proveďte odpovídající testování, abyste se ujistili, že daná služba se
dokáže spustit sama bez potřeby uživatelského zásahu.
	Pro optimalizaci výkonu nastavte nepoužívané a nedůležité služby iako manuální
(Manual).
.//y\ Další informace Podrobnější .nformace o zabezpečení systémových služeb na doménových
řadičích a členských serverech s operačním systémem Windows 2000 nebo novějším v podni-
kových prostředích najdete v dokumentu „Windows Server 2003 Security Guide" na interneto-
vé adrese http://www.microsoft.com/downloads/detai1s.aspx?FamílyID=8a2643c1-
0685-4d89b655-521ea6c7b4db&dispiaylang=en.
Registry
Oddíl Registry vam umožňuje definovat přístupová oprávněni a nastavení audilováni
pro klíče registrů, včetně seznamu DACL (Discretionary Access Control List) a sezna-
mu SACL (System Access Control List) libovolných klíčů registrů. Tuto část šablony
můžete použít také k řízení všech doménových členů - serverů i klientů. Chcete-li vý-
hody této části plně využit, musíte zvážit také nejlepši způsob implementace těchto
nových přístupových oprávnění. Zde je několik obecných doporučení, která je dobře’
posoudit při implementaci změn registrů:
 Před provedením změn vždy vytvořte zálohu registrů. U počítačů s operačním
systémem Windows XP a Windows Server 2003 stačí provést aktualizaci funkce
Automated System Recovery (ASR).
	Nesměšujte klíče registrů či oprávnění různých operačních systémů.
Operační systémy Windows NT, Windows 9x, Windows 2000, Windows XP
a Windows Server 2003 nejsou z hlediska registrů stejné. Registry musíte vždy
konfigurovat s ohledem na cílový operační systém.
	Omezte počet skupin a uživatelů, kteří mají přístup do registrů. Toto je
klíčovým přínosem tohoto oddílu bezpečnostní šablony. Do seznamů DACL či
SACE libovolného klíče registru můžete přidat nebo z něj odebrat jakékoliv účty
uživatelů či skupin.
Nebuďte přehnaně restriktivní. Přestože máte z pohledu řízení oprávnění pro
práci s registry neomezenou moc, musíte být opatrní, abyste nenarušili chod
aplikací a služeb. Nove konfigurace je vždy lepší otestoval v neprodukčním
prostředí a až poté co jste si ověřili nezávadnost vašich nastavení, je nasadit na
produkční počítače.
Imolementace
Systém souborů
Část Filé System vám umožňuje definovat přístupová oprávněni a nastavení audito-
vání pro soubory a složky, včetně seznamu DACL (Discretionary Access Control
List) a seznamu SACL (System Access Control List) libovolných souboru a složek.
Tuto část šablony nu lžete použít také k řízení všech doménových členů - serveru
i klientů. Chcete-li výhody této části plně využit, musíte zvážit také nejlepší způsob
implementace těchto nových přístupových oprávnění. Zde je několik obecných do-
poručení, která je dobré posoudit při implementaci změn registru:
	Oprávnění přiřaďte raději skupinám než uživatelům. Seznamy DACL a SACL
je efektivnější konfigurovat pro skupiny než pro jednotlivé účty.
Oprávnění Děny používejte jen ve speciálních případech. Následné řešení
souvisejících problémů je náročné, proto byste měli oprávněni Děny používat
jen ze dvou důvodů. Zaprvé, když potřebujete vyřadit podmnožinu skupiny,
která má oprávnění Allowed. Zadruhé, jestliže chcete vyřadit jedno konkrétní
oprávnění poté, co jste nějakému uživateli či skupině již přidělili plnou kontrolu
	Nebuďte přehnané restriktivní. Vyhněte se změnám oprávnění na objektech
souborového systému, obzvláště systémových a kořenových adresářích. Změna
těchto oprávnění může byt příliš omezující, což muže aplikacím nebo operač-
nímu systému způsobit neočekávané problémy s přístupem.
	Nikdy nezakazujte piíslup k objektu skupině Everyone. Skupina Everyone
zahrnuje všechny uživatele, včetně uživatele Administrátor.
•	Oprávněni konfigurujte ve struktuře složek co nejvýše. Tím snížíte složitost
vašich oprávnění a zmenšíte potřebu řešit problémy s přístupem. Tento přístup
stojí na principu dědičnosti oprávnění složek, která zajistí, že vámi definovaná
oprávnění budou předána do vnořených adresaiu.
Kapitola 5 - Zpřísňování režimu klientů a serverů
Nástroje pro tvorbu, úpravy a přístup
k bezpečnostním šablonám
Bezpečnostní šablony jsou prosté textové soubory, ale pomoci programů Microsoft
Word či Poznámkový blok byste je upravovat neměli. Soubory se mohou stát ne-
přehlednými a v takovém případě je těžké vyznat se v syntaxi, která se v jednotli-
vých oddílech šablony používá. K dispozici jsou některé zabudované nástroje, které
vám pomohou upravovat, vytvářet a přistupovat k těmto šablonám.
Modul Šablony zabezpečení
Modul Security Templates (Šablony zabezpečení) je jedním z mnoha nástrojů do-
stupných v konzole MMC, kterou jsme již v této kapitole představili. Nástroj načítá
soubory z výchozí složky bezpeč nostních šablon, C:\Windows\Security\Templates.
Následujícím postupem otevřete modul Security Templates (Šablony zabezpečení):
1.	Otevřete nabídku Start a klepněte na tlačítko Run (Spustit), do dialogového okna
Run (Spustit) zadejte mmc a poté klepněte na tlačítko OK.
2.	V nabídce Filé (Soubor) klepněte na položku Add or Remove Snap-ln (Přidat nebo
odebrat modul snap-in) a poté klepněte na tlačítko Add (Přidat).
3.	Nalistujte položku Security Templates (Šablony zabezpečení) a označte ji.
4.	V dialogovém okně Add Standalone Snap-ln (Přidat samostatný modul snap-in)
klepněte na tlačítko Add (Přidat).
5.	V dialogovém okně Add Standalone Snap-ln (Přidat samostatný modul snap-in)
klepněte na tlačítko Close (Zavřít).
6.	V dialogovém okně Add Standalone Srup-In klepněte na tlačítko OK.
Modul Security Templates (Šablony zabezpečení) je nejpoužívanejším nástrojem pro
vytváření a manipulaci s bezpečnostními šablonami. Umožňuje vám provádět násle-
dující akce:
	Prohlížet nastavení šablon zabezpečeni
	Upravovat nastavení šablon zabezpečení
	Kopírovat a vkládat bezpečnostní nastavení z jedné šablony do jiné
	Kopírovat Šablony zabezpečení
	Vytvořit novou, nenakonfigurovanou šablonu zabezpečení
	Nakonfigurovat novou cestu pro hledání uložených šablon zabezpečení
Další informace Další informace o tom, jak používat modul Security Templates (Šablony za'
bezpečení) pro správu bezpečnostních šablon, najdete v 15. kapitole.
Poznámka Namísto upravování výchozích šablon je vždy lepší zkopírovat tu, která se vám
zamlouvá a začít pracovat s novou šablonou. To vám dává možnost se na výchozí šablony
v případě potřeby později obrátit.
Základy bezpečnostních šablon
Modul Konfigurace a analýza zabezpečení
Modul Security Configuration and Analysis (Konfigurace a analýza zabezpečení) je
nástrojem, který používá bezpečnostní šablony vytvořené modulem Security Tem-
plates (Šablony zabezpečení). Jak již název napovídá, Modul Security Configuration
and Analysis je zodpovědný za konfiguraci a analýzu zabezpečení počítače. Obě ty-
to úlohy jsou realizovány pomocí bezpečnostní šablony. K tomuto modulu se do-
stanete a spustíte jej stejným způsobem jako modul Security Templates (Šablony
zabezpečení), s tím rozdílem, že v kroku 3 popsané procedury vyberete modul Se-
curity Configuration and Analysis.
Další informace Další informace o tom, jak používat modu! Security Configuration and Ana-
lysis (Konfigurace a analýza zabezpečení) pro konfiguraci a analýzu zabezpečení počítače
pomocí bezpečnostních šablon, najdete v 15. kapitole.
Průvodce Security Configuration Wizard
Průvodce Security Configuration Wizard (Průvodce konfigurací zabezpečení) je no-
vým nástrojem, který nabízí operační systém Windows Server 2003 s balíčkem Ser-
vice Pack 1. Nevytváří ani nemanipuluje s bezpečnostními šablonami, ale používá
je při generování bezpečnostních zásad. Následující oddíl vám vysvětlí jak tohoto
průvodce používat.
Práce s průvodcem Security Configuration Wizard
Průvodce Sec urity Configuration Wizard (Průvodce konfigurací zabezpečení) je no-
vý nástroj operačního systému Windows Server 2003 Service Pack 1, který používá
bezpečnostní šablony při generování zásad zabezpečení. Částečně se podobá mo-
dulům Security Templales (Šablony zabezpečení) a Security Configuration and Ana-
lysis (Konfigurace a analýza zabezpečeno, ale jeho výstup je značně odlišný.
Nástroj je podobný i průvodci Configure Your Server Wizard, který je také dostup-
ný na všech počítačích s operačním systémem Windows Server 2003.
Přístup k průvodci Security Configuration Wizard
Průvodce Security Configuration Wizard (Průvodce konfigurací zabezpečení) není
implicitní součástí instalace balíčku SPI operačního systému Windows Server 2003-
Jestliže chcete tohoto průvodce nainstalovat, postupujte následovně:
1.	Otevřete nabídku Start, pak složku Control Panel (Ovladači panely) a poklepejte
na položku Add or Remove Programs (Přidat nebo odebrat programy).
2.	V levém podokně klepněte na ikonu Add or Remove System Components (Při-
dat nebo odebrat součásti systému).
3-	V seznamu Components nalistuje a označte políč ko Security Configuration Wiz-
ard. Průvodce se nyní objeví ve vaší nabídce Administrativě Tools.
Součástí průvodce je také nástroj SCW Viewer. který vám umožňuje prohlížet zása-
dy zabezpečení stejným způsobem, jakým vám modul Secunty Templates (Šablony
Zabezpečení) umožňuje prohlížet bezpečnostní šablony. Nástroj SCW Viewer může-
te otevřít z průvodce nebo jej lze spustit z příkazové řádky.
164 Kapitola 5 - Zpřísňování režimu klientů a serverů
Oddíly průvodce Security Configuration Wizard
Průvodce Security Configuration Wizard (Průvodce konfigurací zabezpečení)
následující oddíly:
	Konfigurace služeb podle rolí
	Zabezpečení sítě
	Nastavení registru
	Zásady auditovaní
Poznámka Průvodce Security Configuration Wizard muže obsahovat i další části v případě,
že nainstalujete další serverové komponenty. Jestliže nainstalujete například roli Application
Server, průvodce bude mít nový odoíl s názvem Internet Information Services, kterou může-
te použít pro zpřísnění režimu vašeho webového serveru.
Konfigurace služeb podle rolí Nejduležitějším konceptem, který průvodce Security
Configuration Wizard (Průvodce konfigurací zabezpečení) využívá, jsou role serveru.
Role serveru jsou logické funkce, které počítač s operačníixi systémem Windows Ser-
ver 2003 může hostit a poskytovat pro ně služby. Koncept rob serveru není ničím no-
vým - poprvé byl představen v průvodci Configure Your Server Wizard, který se
poprvé objevil s operačním systémem Windows 2000 Server.
V	průvodci Security Configuration Wizard máte na výběr přibližně 60 rolí. Pro ilu-
straci zde uvedeme některé z nich:
	Aplikační server
	System Certificate Server
	DFS server
	Server DHCP
	Server DNS
	Doménový řadič
	Souborový server
	Server fronty zpráv
	Server Microsoft Operations Manager 2005
	Tiskový server pro operační systém UNIX (LDP)
	Server vzdáleného úložiště
	Server SMTP
	Služby Microsoft Windows SharePoint® Services
Tyto role jsou navrženy tak, aby vam pomohly určit funkce, které bude váš server
podporovat. Průvodce Security Configuration Wizard vám může pomoci s konfigu-
rováním služeb, otevřených portů a přidání dalších rolí, které mají na serveru běžet
Obrázek 5.2 ukazuje uspořádaní těchto rolí v průvodci a poskytuje informace pru
lepši pochopení jednotlivých rolí a Činnosti průvodce vzhledem ke službám. por-
tům a dalším rolím.
Základy bezpečnostních šablon
165
OBRÁZEK 5.2: Nástroj SCW Viewer zobrazující role serveru a související informace
Implementace
Průvodce Security Configuration Wizard (Průvodce konfigurací zabezpečení) není
zodpovědný za instalaci rolí serveru, které nakonfigurujete a uložíte v zásadách za-
bezpečení. Za tento úkol je zodpovědný průvodce Configure Your Server Wizard.
Když jsou na počítač aplikovány zásady zabezpečení Security Configuration Wizard,
zapnou služby a otevřou porty přiřazené k rolím. Dále zablokují služby a zavřou
porty, které k vybraným rolím přiřazeny nejsou.
Upozornění Jestliže při vytváření bezpečnostních zásad nástrojem Security Configuration
Wizard vynecháte nějakou roh serveru, nemusí sever po aplikaci bezpečnostních zásad pra-
covat správné. Tento problém lze vyřešit tak, že zapnete odpovídající služby a otevřete
správné porty nebo odvoláte bezpečnostní zásady a aplikujete je na server znovu. Dobrým
zvykem je před zavedením zásady zabezpečení vždy testovat a ověřit si, zda neobsahují
špatná nastavení nebo nekompatibilní konfigurace.
Role serveru jsou největší částí průvodce Security Configuration Wizard. Průvodce
a zasady zabezpečení mají ale také další oddíly: závislé na roli serveru a nezávislé
na roh serveru. Tylo oblasti vám pomohou vytvořit bezpečný zaklad pro vaše síťo-
vé počítače. Zde je seznam těchto dodatečných oblastí a některé informace, ktere
vám pomohou pochopit doporučení pro zpřísnění režimu.
® Client Features Podmnožina oddílu Server Roles. Mít na serveru oddíl s ná-
zvem „Client Features“ může možná působit poněkud zvláštně, ale servery’
v rámci sítě provádějí mnoho aktivit specifický’ch pro klienty’. Tento oddíl prů-
vodce povoluje služby, které souvisí s vámi vybranými klientskými funkcemi.
Na obrázku 5-3 je zachycena stránka Select Client Features. Tabulka 5.5 určuje,
které služby* jsou přiřazeny k jednotlivým dostupným klientským funkcím.
166
Kapitola 5 - Zpřísňování režimu klientů a serverů
OBRÁZEK 5.3: Stránka Client Features
TABULKA 5.5: Klientské funkce a služby, na nichž jsou závislé
Klientská funkce	Služby	
Automatic update dient	Background Intelligent Transfer Service Automatic Updates	
DHCP dient	DHCP dient	
DNS dient	DNS Client	
DNS registration dient	DNS Client	
Domain member	Net Logon Network Location Awareness Windows Time	
Microsoft networking dient	Workstation, TCP/IP NetBIOS helper	
Remote access dient	Remote Access Connection Manager Telephony	
WINS dient	Server TCP/IP NetBIOS helper	
	Administration And Other Options Podmnožina rolí, které pro server určujete.
Tyto možnosti se používají k povolování služeb a otevírání portů. Když je řeč
o „administraci“, lidem se obvykle vybaví sada nástrojů nebo aplikací. Tento oddíl
ale nabízí mnohem více než to - zaměřuje se na služby operačního systému Win-
dows a funkce, jež napomáhají při podpoře nástrojů a aplikací, které chcete
použít. V tabulce 5-6 jsou uvedeny některé možnosti tohoto oddílu a služby,
které jsou s jednotlivými možnostmi spojeny.
	Additional Services Na server, který průvodce používá jako výchozí bod, mů-
žete nainstalovat další služby nezávislé na roli serveru. Tyto dodatečné služby
můžete řídil z průvodce tak, že služby zablokujete nebo povolíte, když jsou za-
váděny skupinové zásady.
Základy bezpečnostních šablon
167
	Unspecified Services Průvodce vytvář zásady zabezpečení pouze podle vý-
chozího serveru. Proto jediné služby, o kterých má průvodce povědomí jsou ty.
které jsou nakonfigurovány na daném serveru nebo uloženy v zásadách zabez-
pečení jiného výchozího serveru. Servery, které obdrží zásady zabezpečení,
mohou mit dodatečné služby, které nejsou přiřazeny k rolím serveru nebo
nejsou obsaženy v seznamu Additiona) Services. Průvodce vám dává možnost
řídit tyto služby jedním z těchto způsobů:
	Neměnit startovací režim služby
	Zablokovat službu
TABULKA 5.6: Nastavení části Administration And Other Options
Možnost	Služby
Alerter	Alerter
Messenger
Workstation
________________________________TCP/IP NetBIOS helper_____________________________
Browse master	Computer Browser
Server
Workstation
________________________________TCP/IP NetBIOS helper___________________________________
Remote Desktop	Terminál Services
administration	Server
RSoP planning mode	Resultant Set oí Policy Provider
Shadow copying	MS Software Snapshot Provider
Volume Snapshot
Time synchronization	Windows Time
Windows firewall	Windows Firewall / Internet Connection Sharing (ICS)
Wireless networking	Wireless Zero Configuration
Network Location Awareness
Network Provisioning Service
Zabezpečení sítě Tato část vám umožňuje pomoci brány Firewall operačního sys-
tému Windows konfigurovat porty pro příchozí komunikaci. Porty, které konliguru-
jete, závisí na rolích a možnostech správy, které jste drive vybrali v průvodci.
Prostřednictvím konfigurací můžete také omezit přístup k portům a zjistit, zda je
provoz na portu podepsaný či šifrovaný prostřednictvím protokolu IPSec Internet
Protocol Security (IPSec').
Implementace
__ascéQáče
Upozornění Špatna konfigurace síťových protokolů, portů a služeb může vést k tomu, že
server nebude schopen v síti komunikovat. Před tím, než překonfigurujete zásady zabezpečení
na nějakém důležitém produkčním serveru, otestuje nastavení v neprodukčním prostředí.
nastavení registrů Tento oddíl vám umožňuje konfigurovat protokoly používané
při komunikaci s ostatními sirovými počítači. Máte možnost zablokovat starší verze
komunikačních protokolů používaných při komunikaci se staršími operačními sys-
témy rodiny Windows. Tyto starší komunikační protokoly jsou zranitelné vůči úto-
Kapitola 5 - Zpřísňování režimu klientů a serverů
kům jako je například prolamování hesel a útok středního postavení (MITM - Mari
in the Middle). Průvodce vám umožňuje konfigurovat a řídit následující hlediska
ověřování a síťové komunikace:
	Brána Firewall pojmenovaných kanálů
	Bezpečnostní podpisy protokolu Server Message Block (SMB)
	Podepisování protokolu LDAP
	Ověřovací protokol a úrovně služby LAN Manager
Upozornění Špatná konfigurace síťových komunikačních protokolů může vést k tomu, že ser-
ver nebude schopen v síti komunikovat. Před tím, než překonfigurujete zásady zabezpečení na
nějakém důležitém produkčním serveru, otestuje nastavení v neprodukčním prostředí.
Zásady auditováni Tento oddíl vám umožňuje konfigurovat na serveru auditováni
výskytu událostí. Pro auditováni na vybianém serveru můžete nastavit následující
konfigurace:
	Bez auditováni
	Zaznamenávat úspěšné aktivity
	Zaznamenávat úspěšné i neúspěšné aktivity
Zabudován i šablon zabezpečení do zasad zabezpečení
Poté co projdete všemi částmi průvodce Security Configuration Wizard, můžete si
bezpečnostní zásady uložit na lokální počítač nebo využít místa v síti. Na obrázku 5.4
je stránka průvodce, prostřednictvím které soubor uložíte. Vidět můžete i výchozí
umístění pro ukládání bezpečnostních zásad.
Důležité Zapamatujte si, že soubor s bezpečnostními zásadami má příponu .xml. To je dob-
ré vědět, protože možná budete časem potřebovat tyto soubory vyhledat. Přípona .xml ne-
ní v objektu GPO podporována, proto nativní zásady zabezpečení nejsou kompatibilní
s objekty GPO. Následující oddíl se zabývá tím, jak zásady zabezpečení převést do formátu,
který je s objekty GPO kompatibilní.
Chcete-li zahrnout jednu nebo více existujících šablon zabezpečeni (vygenerova-
ných modulem Security Templates (Šablony zabezpečení)) vašich bezpečnostních
zásad, můžete také klepnout na tlačítko Include Security Templates nacházející se
na zobrazené stránce. Jestliže přidáte více než jednu šablonu, můžete pozměnit je-
jich prioritu pro případ, že by nastal nějaký konflikt mezi konfiguracemi Přede
všemi šablonami zabezpečení zahrnutými v konečné podobě souboru zásad zabez-
pečení mají ale přednost bezpečnostní nastavení nakonfigurovaná v průvodci. Na
obrázku 5-5 můžete vidět stránku průvodce, v níž se bezpečnostní šablony přidávají
k bezpečnostním zásadám a v níž se mění jejich priorita.
Základy bezpečnostních šablon
169
OBRÁZEK 5.4: Stránka Security Policy Filé Name
implementace
a scenáře
Poznámka Průvodce Security Configuration Wizard implicitně používá dvě Security Templa-
tes (Šablony zabezpečení): DefaultSACLs.inf a SCWAudi t. i nf. Tyto soubory nastavují
oprávnění pro klíče registrů a pro souborový systém. Zmíněné Security Templates můžete
spatřit spolu s dalšími šablonami, které importujete do zásad zabezpečení během finální fá-
ze tvorby zásad.
OBRÁZEK 5.5: Import a změna priorit šablon zabezpečení pomocí průvodce
Security Configuration Wizard
Doporučení pro prácí s průvodcem Security Configuration Wizard
Při zpřísňování režimu serveru pomocí nástroje Security Configuration Wizard (Prů-
vodce konfigurací zabezpečení) a odpovídá jících zásad zabezpečeni musíte zvážit
170
Kapitola 5 - Zpřísňování režimu klientů a serverů
problematiku oblastí, které průvodce pokrývá a to, jak tyto oblast zapadají do v.
šeho schématu zabezpeč ení a ochrany serveru. Průvodce vám může pomoci Zrněn
šit prostor pro útok na servery tím, že vám umožní navrhnout zásady zabezpeč^
založené na určité roli serveru. Zde jsou nékterá doporučení pro použití průvod^
k optimalizaci procesu zpřísňování režimu na vašicB serverech:
	Identifikujte, uspořádejte a zaměřte se na podobné servety. Průvodce je
navržen tak, aby spolupracoval s dalšími technikami, které se používají pro
zpřísňování režimu na .serverech, založených na rolích serveru. Při vývoji, tvorbě
zásad zabezpečení a při jejich distribuci na servery vaší organizace se pokusy
tohoto vztahu využít. Zde je několik způsobů jak to provést:
	Pro jednu skupinu serveru vytvořte jen jedny zásady zabezpečeni. Správ-
ci mohou průvodce použít pro vytvoření zásad, jejich uloženi a poté k jejich
aplikaci na servery, které provádějí funkce úloh. Další servery, které mají stej-
nou nebo podobnou funkci, lze konfigurovat stejnými zásadami zabezpečení.
	Seskupte servery s podobnými funkcemi do jedné organizační jednot-
ky. Správci mohou použít stejné zásady zabezpečení pro servery, které mají
podobné funkce úloh tak, že tyto servery seskupí do jedne organizační jed-
notky. Pote mohou v průvodci použít operaci pro transformaci a snadno
a rychle rozeslal nové zásady zabezpečení do organizační jednotky obsahu-
jící dané servery. Operace pro transformaci muže aplikoval bezpečnostní zá-
sady na doménu nebo organizační jednotku.
	Jako prototyp serveru vyberte server s podobnými službami jako mají
cílové servery. Správci musí vybrat nějaký server, ze kterého se budou čer-
pat bezpečnostní zasady. Ujistěte se, že na úrovni služeb tento server co nej-
více odpovídá cílovým serverům. Zásady zabezpečení zablokují jakoukoli
službu na serveru, který je obsažen v databázi Security Configuration Data-
base, ale v době vytvoření zásad se na prototypu serveru nenacházel.
Tip Průvodce Security Configuration Wizard můžete použít k nakonfigurování potřebné
služby, která není v databazi Security ConfiguraLon Database a není proto definována
v zásadách zabezpečení, které jste průvodcem Security Configuration Wizard vytvořili Služ-
bu můžete zablokovat nebo startovací režim služby ponechat beze změn.
	Nové bezpečnostní zásady před jejich nasazením otestujte offline. S ohledem
na množství bezpečnostních nastavení ve standardních zásadách zabezpečení je
důležité, abyste zásady pečlivě otestovali na serveru, který je nakonfigurován
stejně jako cílové servery. Nastavení nakonfigurovaná v nových zásadách za-
bezpečeni mohou způsobit problémy s kompatibilitou aplikací nebo služeb-
Zmiňované testování provádějte na neprodukčním počítači, který nemůže nega-
tivně ovlivnit produkční síť.
	Vytvořte kompletní zásady zabezpečeni. Pomocí průvodce Security Configu-
ration Wizard vyt\ ořte zásady zabezpečení, které budou obsahovat všechna po-
třebná bezpečnostní nastavení serveru. To usnadňuje konfiguraci, návrat k povod-
nímu stavu a analýzu. Pro zjednodušení konfigurace a návratu k povodnímu
stavu přispěje, když budete mít pro leden počítač nebo množinu počítačů pou-
ze jedny zásady zabezpečení, které lze snadno pochopit a aktualizovat. Jestliže
Zavádění bezpečnostních šablon
některé zásady zabezpečení definují všechna požadovaná nastaveni serveru,
můžete provedením jedné operace vygenerovat zprávu o platnosti, což napo-
může analýze prováděné příkazem scwcmd /analýze.
Poznámka Více informací o příkazu scwcmd získáte, když do příkazové řádky počítače, na
něhož je nainstalován průvodce Security Configuration Wizard, zadáte příkaz scwcmd /?.
5.2 Zavádění bezpečnostních šablon
Jakmile máte dokonalou bezpečnostní šablonu - buď výchozí, nebo vámi navrženou -
můžete ji použít na počítač nebo počítače, pioněž byla navržena. Pamatujte si ale, že
celkový návrh organizačních jednotek, včetně umístěni účtu počítačů, hraje klíčovou
roli v tom, jak a kam tyto Security Templates (Šablony zabezpečení) zavedete.
? Poznámka Další informace o návrhu služby Active Directory a organizačních jednotek před
nasazením objektů GPO, zabezpečení a dalších řídících mechanismech najdete ve 4. kapitole.
Při zavadění šablon zabezpečení máte k dispozici čtyři možnosti. Jen jedna z nich
souvisí s objekty GPO a je to právě ta nejvíce oblíbená. Zbývající možnosti jsou ta-
ké použitelné, ale nesouvisí s objekty GPO. Jsou to tyto:
	Import Šablon zabezpečení do objektu GPO
	Použití nástroje Security Configuration and Analysis (Konfigurace a analýza za-
bezpečení)
	Použití nástroje příkazového řádku Secedit.exe
	Použiti průvodce Security Conf iguration Wizard a příkazu scwcmd
Import Šablon zabezpečení do objektů GPO
Doporučením pro zaváděni Šablon zabezpečení je importovat je do nějakého ob-
jektu GPO, který následně rozšíří nastavení, jež jste vytvořili v bezpečnostní šablo-
ně. Tato metoda je závislá na službě Active Directory a návrhu organizačních
jednotek OU, které se postarají o distribuci.
Předtím než můžete tuto metodu použít, musíte pro\ ést následující kroky. Pro typy
počítačů, na které budou použity odlišné šablony, vytvořte samostatné organizační
jednotky. Poté přesuňte účty těchto počítačů do odpovídajících organizačních jed-
notek. Nakonec vytvořte a připojte objekty GPO k odpovídajícím organizačním
jednotkám, které jste předtím vytvořili. Nyní jste připraveni přidat Security’ Templa-
tes (Šablony zabezpečeni) do objektu GPO.
Chcete-li importovat šablonu zabezpečeni do objektu GPO, postupujte následovně:
1-	Prostřednictvím nástroje Group Policy Object Editor otevřete cílový objekt GPO.
2.	Rozbalte objekt GPO až k této větvi: Computer Configuration\Windows
Settings\Security Settings.
3-	Klepněte pravým tlačítkem na položku Security Settings a z místní nabídky vy-
berte volbu Import Policy.
Implementace
a scénáře

172
Kapitola 5 - Zpřísňování režimu klientů a serverů
abezpečení (soubor s pi íponou i
4.	Nalistujte a vyberte požadovanou šablonu z
a klepněte na tlačítko Open.
5.	V objektu GPO si ověřte, že konfigurace Security Templates jsou v pořádk
a pote nástroj Group Policy Object Editor zavřete.
6.	Tyto kroky zopakujte pro všechny vámi vytvořené Security 1 emplates. Nastave
ním, která byla importovaná do objektu GPO, potrvá přibližně 90 minut, nuž se diy
stanou na cílový počítač, nebereme-li v úvahu hlediska replikace mezi pracovišti
Další informace Více informací o replikaci mezi pracovišti najdete ve 13. kapitole, „Struktura
a zpracování zásad skupiny".
Použití nástroje Konfigurace a analýza zabezpečeni
Nástroj Security Configuration and Analysis (Konfigurace a analýza zabezpečení) ob-
starává dvě úlohy: konfiguraci a analýzu zabezpečení. Nástroj pracuje se šablonami
zabezpečeni pouze v souvislosti se zmiňovanými operacemi. Proto, jakmile máte šab-
lonu zabezpečení, můžete pomocí tohoto nástroje zavést nastavení. Slabou stránkou
tohoto nástroje je skutečnost, že nedokáže konfigurovat několik počítačů najednou-
muže konfigurovat pouze počítač, na němž je nástroj spuštěn. Proto se musíte po-
stupně přihlásit na všechny počítače, které by mělyr nastavení bezpečnostní šablony
obdržet. Takové řešení je ve většině prostředí samozřejmě nepřijatelné. Proto se ta-
to metoda nejvíce hodí pro zpřísňovaní režimu na samostatných serverech, které
nejsou součástí domény služby Aciive Directory.
Použití nástroje příkazového řádku Secedit.exe
Nastroj Secedit.exe dokáže to samé jako nastroj Security Configuration and Analy-
sis (Konfigurace a analýza zabezpečení). Protože nástroj Secedit.exe je možné po-
užívat pomoci skriptu, lze jej použit v přihlašovacích a startovacích skriptech. To
umožňuje konfiguraci několika počítačů jedním skriptem. Nastroj Secedit.exe se
v operačním systému Windows 2000 používal také pro aktualizaci objektů GPO.
Operační systémy Windows Server 2003 a Windows XP ale nastroj Secedit.exe pro
aktualizaci objektu GPO nepoužívají, proto se tento nástroj nyní používá prakticky
pouze pro zavádění šablon zabezpečení.
Tip Nástroj příkazového řádku Secedit.exe se běžně používá ve spouštěcích skriptech pro
zajištění toho, že se na počítače aplikují bezpečnostní konfigurace. Místní správce může
hodnoty registru obsažené v konfiguracích šablon zabezpečení upravit tak, že skript tyto
hodnoty po restartovaní počítače obnoví.
.X Tip Jestliže chcete aktualizovat objekty GPO v operačním systému Windows Server 2003,
můžete použít nástroj příkazového řádku Gpupdate. exe.
Použití průvodce Security Configuration Wizard
a příkazu scwcmd
Nov ou možnosti pro zavedení šablon zabezpečen je použití průvodce Security
Configuration Wizard (Průvodce konfigurací zabezpečení) spolu s příkazem scwcmd.
Zavádění bezpečnostních šablon
173
průvodce produkuje zásady zabezpečení, které mohou zahrnovat Security Templa-
Jes ^Šablony zabezpečeno íjak již bylo řečeno dříve). Průvodce dokáže pracovat
s jednou bezpečnostní Šablonou nebo s několika Šablonami. Když bezpečnostní
šablony vybíráte, můžete jejich priority nastavit tak, abyste zajistili, ze přednost bu-
dou nnt ta správná nastaveni, neboť zásady zabezpečení jsou aktualizovaný nasta-
veními všech Šablon. Tato stránka průvodce je na obrázku 5.6.
Indude Security Templates
x
gecurrtv templates:
Name
Desciplion
IlE sea/tt. '
lies default root permissions to the OS...
baselinel^Tf
Applies default root permesvons to the OS...
Template settings higher in the list háve higher priority. Wizard settings háve the highest priority
gdd... I Remove
Once app! r j any security deseriptors tor reg^y or filé systém objects m these security
templates camot be removed usng ►he SCW roflbacl action
Leam more about nctu^nq security tenij! ye
OK
Cancel
OBRÁZEK 5.6: Změna priorit šablon zabezpečeni, které jsou importovaný do průvodce Security
Configuration Wizard
Poznámka Jestliže bezpečnostními zásadami potřebujete nakonfigurovat několik serverů,
můžete použít sadu nástrojů příkazového řádku, které jsou součástí nástroje Security Confi-
guration Wizard. Konfigurační př-Kaz scwcmd vam umožňuje specifikovat bezpečnostní zá-
sady a vytvořit seznam serverů, které budou dané zásady ovlivňovat. Další informace o teto
možnosti získáte tak, že do příkazové řádky zadáte příkaz scwcmd.
Poté co prostřednictvím průvodce Security Configuration Wizard vytvoříte vaše zá-
sady zabezpečení, musíte je efektivně nasadit na odpovídající servery. Zaváděni
bezpečnostních nastavení můžete zoptimalizovat tak, že pro nasazeni zásad zabez-
pečeni vynořených průvodcem Security Configuration Wizard použijete zásady
skupiny. Pro vytvořeni objektu zásad skupiny, který bude obsahovat vámi nakonfi-
gurovaná nastaveni zásad zabezpečení, použijte příkaz pro transformaci scwcmd. Pro
převod zásad zabezpečeni do objektu GPO použijte následující syntaxi:
Scwcmd transform /p:PathAndPolicyFi1eName /g:GPODispiayName
X uvedeném příkladu přečistiv uje PathAndPol i cyFi 1 eName zásady zabezpečení, které
jste dříve vytvořili v průvodci Security Configuration Wizard. Název souboru musí byl
uveden včetně přípony .xml. GPODispiayName je název, který se zobrazí v objektu
GPO při prohlížení nástrojem Group Policy Object Editor nebo konzolou Group
Policy Management Console (GPMC).
Implementace
a scénáře
174
Kapitola 5 - Zpřísňování režimu klientů a serverů
Důležité Objekt GPO, který vytvoříte na základě zásad zabezpečení je ve službě Active Direc
C torV °kamžitě dostupný. Objekt GPO ale nebude aplikován na žádný server, dokud nebud
připojen k nějakému pracovišti, doméně nebo organizační jednotce obsahující účty serverů
5.3 Obecné techniky zpřísňování režimu
Pro zpřísňování režimu na klientech a serverech existuje mnoho různých technik
My se zde zaměříme na běžně používané nástroje, techniky související se skupino-
vými zásadami a zabezpečením pomocí bezpečnostních šablon.
Dvě nejdůležitější oblasti, které si vyžadují při zpřísňováni režimu počítačů pozor-
nost, jsou porty a služby. Budeme mluvit o různých způsobech řízení těchto oblastí
a také se podíváme na některé nástroje, které vám mohou pomoci při zjišťování ak-
tuálního stavu počítače, pro který se porty používán
Uzavření nepotřebných portů
Služby a další aplikace používají porty pro umožnění komunikace mezi dvěma po-
čítači. Tylo porty jsou vstupními dveřmi do klienta nebo serveru. V minulosti se
často stávalo, že útočnici využívali porty k tomu, aby získali přístup do počítačů
s operačním systémem rodiny Windows. Proto v případě, že je otevřený port, který
počítač nevyužívá, měl by být port uzavřen (v zájmu ochrany počítače před útoky).
Porty lze uzavřít mnoha různými způsoby. Některé jsou manuální a s ohledem nu
počet klientů a serverů ve vaší organizaci mohou zabrat hodně času. Následující tři
přístupy jsou efektivní a přinášejí snadnou správu a neměnnost konfigurací:
	Windows Firewall — Brána firewall operačního systému Windows. Brána
firewall operačního systému Windows slouží k tomu, aby kontrolovala příčjhozí
a odchozí komunikaci počítače. Během konfigurace brány firewall operačního
systému Windows mate daný seznam služeb, které můžete povolit nebo zaká-
zat. Tyto služby jsou v bráně firewall operačního systému Windows přiřazeny
k jednotlivým portům. Jestliže máte nějaký speciální port, který není navázán na
žádnou službu, můžete přidat individuální porty a služby.
Další informace Další informace o bráně firewall operačního systému Windows a o tom, jak
nakonfigurovat tato nastavení, najdete v 11. kapitole.
	Security Configuration Wizard — Průvodce konfigurace zabezpečení. Prů-
vodce Security Coriiiguration Wizard je nástroj, který umožňuje snadnou konfigu-
raci portů na serverech. Při otevírání a zavírání portů na serveru využívá role
serveru, možnosti správy a bránu firewall operačního systému Windows. V prů-
vodci máte možnost přidat konkrétní porty protokolů UDP a TCP nebo schválené
aplikace. (Potřebujete vědět, jaké porty tyto aplikace používají.) Omezení portů lze
aplikovat pomocí průvodce nebo je možné vyexportovat zásady zabezpečení do
nějakého objektu GPO a zavést je prostřednictvím služby Active Directory.
Poznámka Další informace o průvodci Security Configuration Wizard a o tom, jak nakonfi-
gurovat tato nastavení, najdete v oddíle „Práce s průvodcem Security Configuration Wizard"
této kapitoly.
Obecné techniky zpřísňování režimu
175
	IPSec Policy - Zásady protokolu IPSec. Filtry protokolu IPSec mohou být efek-
tivní metodou pro řízení komunikace na portech klientů a serverů. Filtr protokolu
IPSec obsahuje informace o zdrojovém portu, cílovém portu, protokolu a akci,
která má být provedena v případě, že je na portech zahájena komunikace. Tyto
filtry a zásady protokolu IPSec mohou být zavedeny na všechny klienty a serve-
ry manuálně nebo pomoci zásad skupiny. Nejefeknvnějších a nejstabilnějších
výsledků dosáhnete pomocí zásad skupiny.
/ Další informace Další informace o zásadách a filtrech protokolu IPSec a o tom, jak tato na-
stavení konfigurovat, najdete v 11. kapitole.
Zakázání nepotřebných služeb
Součástí instalace operačních systémů Windows Server 2003, Windows XP a Windows
2000 je také instalace a spuštění mnoha služeb Tylo služby by měly dávat vašemu
počítači více flexibility a funkcionality, ale některé z nich mohou váš počítač učinit
zranitelnějším.
Abyste zmenšili zranitelnost počítače, měli byste nepotřebné služby pokud možno od-
stranit nebo zakázat. Zákaz služeb je možné zautomatizovat, ale odstranění se obvykle
provádí ručně. Tyto automatizované metody vám umožňují efektivní řízení služeb
a současně zajišťui f, že nastavení jsou konzistentní pro různé počítače vaší organizace.
	Security Templates — Šablony zabezpečení Celý jeden oddíl bezpečnostních
šablon je věnován systémovým službám. Tento oddíl vám umožňuje řídit režim
spuštění služeb, které běží na vašich počítačích. Jakmile máte šablonu zabezpe-
čení pro vybrané služby nakonfigurovanou, můžete k zavedení nastavení na va-
še počítače použít příkaz secedit nebo objekt GPO.
SDalší informace Další informace o šablonách zabezpečeni a o jejich závádění najdete v oddíle
zz „Zavádění bezpečnostních šablon" této kapitoly.
	Security Configuration Wizard — Průvodce konfigurace zabezpečení Prů-
vodce Security Configuration Wizard vám umožňuje řídit všechny služby, které na
serveru běží. Stačí, když vyberete roli serveru a administrativní funkce a zadáte jak
se má naložit se službami, které nepatří ani do jedné z těchto dvou kategorií. Prů-
vodce řídí všechny služby, které běží na serverech, jež jsou cílem zásad zabezpe-
čení vygenerovaných průvodcem. Tato omezeni služeb můžete zavést na servery
pomocí průvodce nebo můžete vyexportovat zásady zabezpečení do objektu GPO
a provést nasazení pomocí služby Active Directory.
C Další informace Další informace o průvodci Security Configuration Wizard a o tom, jak tato
nastavení nakonfigurovat, najdete v oddíle „Práce s průvodcem Security Configuration Wi-
zard" této kapitoly.
Implementace
a scénáře
Group Policy — Zásady skupiny Služby můžete pomocí zásad skupiny řídit
třemi způsoby. Zaprvé, bezpečnostní šablonu můžete importovat do existujícího
objektu GPO. Zadruhé, bezpečnostní Šablonu vygenerovanou nástrojem Securi-
ty Configuration Wizard můžete zkonvertovat do objektu GPO, který lze ná-
sledně připojit k pracovišti, doméně nebo organizační jednotce. Zatřetí, obvyklý
176
Kapitola 5 - Zpřísňování režimu klientů a serverů
objekt GPO ma oddíl věnovaný systémovým službám, kde lze konfigurací clocf
lit řízení počítačů vaší organizace.
Nástroje pro zpřísňování režimu počítačů
Pro dotazování, zjišťování informací, prohledávání, konfiguraci, řešení problémů
a práci s konfiguracemi zabezpečení existuje mnoho nástrojů. Nicméně když je řeč
o obecném zpřísňováni režimu na klientech a serverech, měli bychom se zaměřit
především na: Netstat a Portqry.
Netstat
Netstat (Netstat.exe) je nástroj příkazového řádku, který dokáže zobrazit statistiky
protokolu TCP/IP a aktivní připojení do a z vašeho počítače. Netstat může také zobra-
zit počet odeslaných a přijatých bajtú nebo případné ztracené síťové pakety. Nástroj je
užitečný pokud chcete rychle ověřit, že váš počítač může po síti odesílat a přijímat in-
formace. Také jej lze použít k identifikaci všech portů počítače a jejich stavu.
Chcete-li identifikovat používané porty a zjistit identifikátory procesů, které je pou-
žívají, postupujte následovně:
1.	Otevřete nabídku Start klepněte na položku Run (Spustit) a do dialogového ok-
na Run (Spustit) zadejte cmd. Klepněte na tlačítko OK.
2.	Když do příkazového řádku zadáte následující příkaz a stisknete klávesu Enter, ob-
jeví se seznam všech naslouchajících portu:
netstat -ano > c:\netstat.txt
3.	Když do příkazového řádku zadáte následující příkaz a stisknete klávesu Enter,
získáte identifikátory běžících procesů:
tasklist > tasklist.txt
Poznámka Jestliže běží daný program v podobě služby, přidejte do příkazu přepínač /svc
a u každého procesu se zobrazí i odpovdající služby:
tasklist /svc > tasklist.txt
4.	Otevřete soubor Tasklist.txt a najděte program, jehož problém řešíte. Pozna-
menejte si identifikátor procesu.
5.	Otevřete soubor Netstat.txt a najděte záznamy, které jsou přiřazené k danému
identifikátoru procesu. Také si všimněte použitého protokolu (TCP nebo UDP).
Portqry
Nástroj příkazového řádku Portqry informuje o stavu portů protokolu TCP a UDP
cílového počítače. Používá se pro řešení problémů souvisejících s konekrivitou pro-
střednictvím protokolu TCP/IP. Poskytuje další úroveň detailů ohledné stavu portů,
kterou jiné nástroje pro kontrolu portů nenabízejí. Nástroj Portqry můžete použit
k dotazování na jeden port, seřazený seznam portů nebo souvislý rozsah portů.
Jestliže cílový port neodpovídá, je charakterizován jako „naslouchající“. Jestliže je
z portu vrácena zpráva „destination unreachable“ protokolu ICMP, je port charakte-
rizován jako „nenaslouchající“. Některé nástroje pro skenování portů ale určí „na-
Zpřísňování režimu na serveru j 77
slouchající“ port pouze na základě toho, že se od cílového portu nevrátí zpráva
destination unreachable“ protokolu ICMP. To může vést ke značně zavádějícím in-
formacím, neboť skutečnost, že zpět nepřijde žádná odpověď, může také znamenat,
že cílový port je filtrován.
Jestliže chcete pomocí nástroje Portqry získat seznam portů a jejich stavů, zadejte
do příkazového řádku následující příkaz a stiskněte klávesu Enter:
Portqry -n <IP address> -r <port range> -p both -1 <file path>
Tip Další informace o přepínačích a syntaxi příkazu Portqry získáte, když do příkazového
řádku zadáte příkaz portqry /?.
5.4 Zpřísňování režimu na serveru
Zpřísňování režimu na serveru sestává z vytvoření předlohy pro zabezpečení serve-
rů vaší organizace. Výchozí konfigurace počítačů s operačním systémem Windows
Server 2003 nejsou navrženy s hlavním důrazem na zabezpečení. Počítač, který je
nainstalován podle výchozí konfigurace, upřednostňuje komunikaci a funkcionalitu.
Chcete-li servery chránit, musíte vytvořit spolehlivé a sofistikované zásady zabezpe-
čení pro všechny typy serverů vaši organizace.
V tomto oddíle probereme základní bezpečnostní základ členského serveru, který je
součástí domény založené na službě Active Directory a operačním systému Windows
Server 2003- Věnovat se budeme i doporučeným konfiguracím šablon zabezpečení.
Začneme s obecnými doporučeními, která platí pro většinu členských serverů or-
ganizace. Poté přejdeme ke konkrétním typům členských serverů a doménových
řadičů. Nezapomeneme ani na problematiku zpřísňování režimu služeb, portů,
aplikací atd. v souvislosti s různými rolemi serveru a provedeme srovnání se zá-
kladní bezpečnostní konfigurací jednoduchého členského serveru.
Členské servery
Před tím než vytvoříte dodatečné šablony a zasady zabezpečení pro doladění zabez-
pečení pro jednotlivé typy serverů, musíte pro všechny členské servery vytvořit zá-
kladní bezpečnostní konfiguraci. Jedním z nejduležitějŠích aspektů aplikace nastavení
pro zpřísnění režimu na členské servery je vytvoření hierarchie organizačních jedno-
tek, která bude podporoval vámi vytvořené šablony a zásady zabezpečení. Také musí-
te porozumět různým úrovním zabezpečení, které jsou běžně používány při vývoji
a zav ádění zabezpečení na servery.
Hlediska návrhu organizačních jednotek
Jediným způsobem jak efektivně a úspěšně zavést zabezpečeni pro různé role serveru
je navrhnout službu Active Directory tak, aby tyto role podporovala. Návrh by měl
nejenom poskytovat efektivní způsob zavedení bezpečnosti, ale v zájmu snazší správy
a řešení problémů by měl také roztřídit účty počítačů do organizačních jednotek.
Ačkoliv je návrh služby Active Directory velmi flexibilní, musíte při rozčleňování
severů do organizačních jednotek podle role serveru vzít v úvahu několik faktorů.
Prvním, z nich je aplikace zásad skupiny. Jestliže máte například dvě role serveru,
Implementace
a scénáře
178
Kapitola 5 - Zpřísňování režimu klientů a serverů
z nichž každá potřebuje jiná nastaveni zásad zabezpečení, měli byste účty počítá^
rozdělit do dvou organizačních jednotek. Druhým faktorem je správa účtu počítá^
služby Active Directory. I přestože mate pouze dvě role serveru, mohli byste mít dva
různé správce řídící stejný lyp role serveru. To by vás mohlo přinutit k vytvoření Or
ganizačních jednotek nejen pro role serveru, ale také pro role serveru s ohledem na
jejich správce.
Obrázek 5.7 ukazuje strukturu organizačních jednotek, která nebere v úvahu potře-
by umístění a správy, ale piacuje s rolemi serveru. Obrázek 5.8 ilustruje strukturu
organizačních jednotek, která má různé množiny správců pro Centrálu a Pobočku
kde maií obě kanceláře stejné typy rolí serveru.
Organizační
jednotka
Členské servery
OBRÁZEK 5.7: Struktura organizačních jednotek založena pouze na rolích serveru
Tip Organizační jednotky se často třídí také podle fyzického umístění - např model Pobočky
a Centrály. Daisi informace o uspořádání organizačních jednotek s ohledem na nasazen, ob-
jektů GPO najdete ve 4. kapitole.
Úrovně zabezpečení prostředí členských serverů
Úrovně zabezpečení prostředí členských serveru jsou založeny na operačním sys-
tému klientu a serverů vašeho podniku. Starší klienti a servery tyto robustní vlast-
nosti a funkce služby Active Directory (např. zásady skupiny, modul Kerberos
a dalšO nemohou využívat. S novějšími verzemi operačních systémů podporujícími
všechny vlastnosti a funkce služby Active Directory narůstají možnosti pro lepší za-
bezpečení podnikové sítě a vytvoření bezpečnějšího prostředí. V podnikovém pro-
středí obvykle existují tři různé úrovně zabezpečeného prostředí:
	Starší klient Když mate prostředí s novějšími i staršími operačními systémy,
musíte zabezpečení nastavit tak, aby nebyla omezena operabilita starších klien-
tů. Tato úroveň je nejnižší. ale je potřebná kvůli komunikaci a správnému fun-
gování starších aplikací. V takovém prostředí mohou být například klienú
s operačními systémy Windows 95, Windows 98 nebo Windows NT 4.0 Work-
station. Doporučuje se takovému prostředí přiřadit pouze doménové řadiče
Zpřísňování režimu na serveru
179
s operačními systémy Windows 2000 Server a Windows Server 2003- Doméno-
vými řadičům s operačním systémem Windows NT 4.0 Server byste se měli vy-
hnout. přestože jako členské servery můžete mít nakonfigurovány i počítače
s operačním systémem W indows NT Sen cr.
	podnikový klient Tato úroveň zabezpečení odstraní všechny starší operační
systémy a použije pouze ty, které podporuji vlastnosti a funkce nabízené služ-
bou Active Directory. To zahrnuje klienty s operačními systémy Windows 2000
Professional a Windows XP Professional. Všichni tito klienti podporuji skupino-
vé zásady, ověřování modulem Kerberos a nové funkce pro zabezpečení, které ve
starších klientech nejsou podporovány. Dopénové řadiče musejí běžet na operač-
ním systému Windows 2000 Server nebo novějším. Tato úroveň vylučuje veškeré
počítače s operačním systémem Windows NT Server, včetně členských serverů.
	Vysoké zabezpečeni Tato úroveň zabezpečení je v podstatě stejná jako Podni-
kový klient - liší se pouze v úrovni implementovaného zabezpečení. Tato úro-
veň rozšiřuje standardy zabezpečení tak, aby všechny počítače splňovaly
zpřísněné zasady zabezpečen, pro klienty i servery. Takové prostředí muže být
natolik omezující, že dojde ke ztrátě funkcionality a ovladatelnosti. To je ale při-
jatelné, nebol částečná ztráta funkcionality a ovladatelnosti výměnou za vyšší
úroveň zabezpečení je akceptovatelnou oběti
Příručka Windows Server 2003 Security Guide
Tři výše popsané úrovně zabezpečeného prostředí a procedury pro zpřísňování režimu různých
rolí serverů, ktere byly zmiňovány v této kapitole, jsou blíže popsány v příručce Windows Server
2003 Security Guide, kterou můžete najit na internetové adrese http: / /www.microsoft.com/
downloads/detai1s.aspx?FamilyID=8a2643c1-0685-4d89-b655-521ea6c7b4db&
di spi aylang=en. Tato příručka obsahuje také sadu dodatečných šablon zabezpečení, ktere
lze importovat do obiektú GPO v zajmu zpřísnění režimu různých rolí serveru v prostředí
starších klientů, podnikových klientů a vysokého zabezpečení. Dále obsahuje dooatečne
procedury pro zpřísnění bezpečnostních nastavení, která nelze konfigurovat pomocí zásad
skupiny. Tyto dodatečné Security Templates (Šablony zabezpečení) vám mohou usnadnit
zpřísňování režimu různých rolí serveru ve vaší síti a můžete si je dále přizpůsobit, aby spl-
ňovaly specifické požadavky vašeho prostředí služby Active Directory.
Implementace
a scénáře
Bezpečnostní nastavení členských serveru
Tento oddíl se bude věnovat některým běžným bezpečnostním nastavením, která se
vztahují na členské servery v doméně. Tato nastaveni by měla byt vytvořena v objektu
GPO, který bude následně připojen k serverové organizační jednotce nejvyšší úrovně.
Na obrázcích 5.7 a 5.8 by to byla organizační jednotka Členské Servery. Tabulka 5.7
obsahuje kompletní seznam nastavení zabezpečení členského serveru.
182
Kapitola 5 - Zpřísňování režimu klientů a serverů
Nastavení zabezpečení	Konfigurace staršího klienta	Konfigurace podniko- vého klienta	Konfigurace vysoký zabezpečení
Děny log on as a batch job	Guests; Support- 388945a0; Guest	Guests; Support- 388945a0; Guest	Guests; Support 388945a0; Guest
Děny log on through Terminál Services	Pevný účet Administrá- tor; Guests; Sup- port_388945a0; Guest; všechny servisní účty kromě účtů ope- račního systému	Pevný účet Adminis- trátor; Guests; Sup- port_388945a0; Guest; všechny servis- ní účty kromě účtů operačního systému	Pevný účet AdminiT-" trator; Guests; Sup- port_388945a0; Guest; všechny servis- ní účty kromě účtů operačního systému
Enable Computer and user accounts to be trusted for delegation	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Zrušte všechny bez- pečnostní skupiny a účty
Force shutdown from a remote systém	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators
Generate security audits	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchoz 0	NETWORK SERVICE, LOCAL SERVICE
Impersonate a dient after authentication	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Local Service; Network Service
Increase scheduling priority	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators
Load and unload device drivers	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators
Lock pages in memoiy	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators
Log on as a batch job	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Zrušte všechny bez- pečnostní skupiny a účty
Manage auditing and security log	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators
Modify firmware environment values	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators
Perform volume maintenance tasks	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators
Profile single process	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators
Profile systém performance	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators
Remove Computer from docking station	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators
Replace a process level token	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	NETWORK SERVICE, IOCAL SERVICE
Zpřísňování režimu na serveru ] 83
Nastavení zabezpečení	Konfigurace staršího klienta	Konfigurace podniko- vého klienta	Konfigurace vysokého zabezpečení
Restore files and directories	Nedefinováno (Použít výchozí)	Administrators	Administrators
Shut down the systém	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators
Synchronize directory service data	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Zrušte všechny bez- pečnostní skupiny a účty
Také ownership of files or other objects	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators
Security Options (Možnosti zabezpečení)________________________ __________
Accounts: Guest account status	Vypnuto	Vypnuto	Vypnuto
Accounts: Limit local account use of blank passwords to console logon	Zapnuto	Zapnuto	Zapnuto
Audit: Audit the access of globál systém objects	Vypnuto	Vypnuto	Vypnuto
Audit: Audit the use of Backup and Restore privilege	Vypnuto	Vypnuto	Vypnuto
Audit: Shut down systém immediately if unable to log security audits	Vypnuto	Vypnuto	Zapnuto
Devices: Allow undock without having to log on	Vypnuto	Vypnuto	Vypnuto
Devices: Ahowed to formát and eject removable media	Administrators	Administrators	Administrators
Devices: Prevent users from installing printer drivers	Zapnuto	Zapnuto	Zapnuto
Devices: Restrict	Nedefinováno	Nedefinováno	Zapnuto
CD-ROM access to locally logged—on user only	(Použít výchozí)	(Použít výchozí)	
Devices: Restrict	Nedefinováno	Nedefinováno	Zapnuto
floppy access to locally	(Použít výchozí)	(Použít výchozí)
l°9ged— -on user only
Implementace
a scénáře
180
Kapitola 5 - Zpřísňování režimu klientů a serverů
Organizační
jednotka
Členské servery
Organizační
jednotka
Doménové servery
CPANDL.COM
Centrála
Souborové
a tiskové
servery
Webové servery
Pobočka
Souborové
a tiskové
servery
Webové servery
OBRÁZEK 5.8: Struktura organizačních jednotek, která kromě rolí serveru bere
v úvahu také umístění a správu
Pozn;imka Zásady účtů, které zahrnují zásady hesel, zasady uzamykaní účtů a zasady modu-
lu Kerberos nejsou v základní bezpečnostní konfiguraci členského serveru specifikovány,
protože zásady účtů musí být definovány na doménové úrovni služby Active Directory. Na
druhou stranu, základní bezpečnostní konfigurace členských serveru je definovaná v objek-
tech GPO připojených k organizačním jednotkám obsahujícím tyto členské servery. Doporu-
čení pro doménové zásady účtů najdete v oddíle „Zásady účtů" patřícím do části „Časti
bezpečnostn šablony" této kapitoly. Obrátit se můžete také na příručku Windows Server 2003
Security Guide popsanou v komentáři s názvem „Windows Server 2003 Security Guide".
Zpřísňování režimu na serveru
181
TABULKA 5.7: Bezpečnostní nastavení členských serverů
Nastavení zabezpečení	Konfigurace staršího klienta	Konfigurace podniko- vého klienta	Konfigurace vysokého zabezpečení
Auditing (Auditování)			
Logon Events	Úspěšné pokusy Neúspěšné pokusy	Úspěšné pokusy Neúspěšné pokusy	Úspěšné pokusy Neúspěšné pokusy
Object Access	Úspěšné pokusy Neúspěšné pokusy	Úspěšné pokusy Neúspěšné pokusy	Úspěšné pokusy Neúspěšné pokusy
Policy Change	Úspěšné pokusy	Úspěšné pokusy	Úspěšné pokusy
Privilege Use	Bez auditování	Neúspěšné pokusy	Úspěšné pokusy Neúspěšné pokusy
Process Tracking	Bez auditování	Bez auditování	Bez auditování
System Events	Úspěšné pokusy	Úspěšné pokusy	Úspěšné pokusy
User Rights (Uživatelská oprávnění)			
Access this Computer from the network	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators, Authenticated Users
Act as part of the operat- ing systém	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Zrušte všechny bez- pečnostní skupiny a účty
Add workstations to do- main	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators
Adjust memory quotas for a process	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators, NETWORK SERVICE, LOCAL SERVICE
Allow log on locally	Administrators, Backup Operators, Power Users	Administrators, Backup Operators, Power Users	Administrators, Backup Operators, Power Users
Allow log on through Terminál Services	Administrators, Remote Desktop Users	Administrators, Remote Desktop Users	Administrators
Change the systém time	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators
Debug programs	Zrušte všechny bezpeč- nostní skupiny a účty	Zrušte všechny bez- pečnostní skupiny a účty	Zrušte všechny bez- pečnostní skupiny a účty		
Implementace
a scénáře
Děny access to this
Computer from the net-
work
ANONYMOUS
LOGON; Pevný účet
Administrátor,
Guests;SUPPORT_
388945a0; Guest;
všechny servisní účty
kromě účtů operačního
systému
ANONYMOUS
LOGON; Pevný účet
Administrátor,
Guests;SUPPORT_
388945a0; Guest;
všechny servisní účty
kromě účtů operační-
ho systému
ANONYMOUS
LOGON; Pevný účet
Administrátor,
Guests;SUPPORT_
388945a0; Guest;
všechny servisní účty
kromě účtů operační-
ho systému
186 Kapitola 5 - Zpřísňování režimu klientů a serverů
			
Nastavení zabezpečení	Konfigurace staršího	Konfigurace podniko-	Konfigurace vysokého zabezpečení
	klienta	vého klienta	
Microsoft network dient: Send unencrypted password to third-party SMB servers	Vypnuto	Vypnuto	Vypnuto
Microsoft network server: Amount of idle time required before suspending session	15 minut	15 minut	15 minut
Microsoft network server: Digitally sign Communications (always)	Vypnuto	Zapnuto	Zapnuto
Microsoft network server: Digitally sign Communications (if dient agrees)	Zapnuto	Zapnuto	Zapnuto
Microsoft network server: Disconnect clients when logon hours expire	Zapnuto	Zapnuto	Zapnuto
Network access: Do	Zapnuto	Zapnuto	Zapnuto
not allow anonymous enumeration of SAM			
accounts			
Network access: Do	Zapnuto	Zapnuto	Zapnuto
not allow anonymous enumeration of SAM			
accounts and shares			
Network access: Do	Zapnuto	Zapnuto	Zapnuto
not allow storage of credentials or .NET			
Passports for network authentication			
Network access: Let	Vypnuto	Vypnuto	Vypnuto
Everyone permissions apply to anonymous			
users			
Network access: Named Pipes that can be ac- cessed anonymously	Žádné	Žádné	Žádné
Zpřísňování režimu na serveru
187
Nastavení zabezpečení	Konfigurace staršího klienta	Konfigurace podniko- vého klienta	Konfigurace vysokého zabezpečení
Network access:	System\Current	SysterrACurrent	System\Current
Remotely accessible	ControlSet\Control\	ControlSet\	ControlSet
registry paths	ProductOptions;	Control\	Control\Product-
	System\Current	ProductOptions;	Options;
	ControlSet\Control\	System\Current	SysterrACurrent
*	Server Applications;	ControlSet\	ControlSet\
	Software\Microsoft\	Control\Server	Control\Server
	Windows NT\	Applications;	Applications;
	CurrentVersion	Software\	Software\
		Microsoft	Microsoft\
		Windows NT\	Windows NT\
		CurrentVersion	CurrentVersion
Network access:	System\Current	System\Current	System\
Remotely accessible	ControlSet\Control\	ControlSet\	Current
registry paths and	PrintXPrinters	Control\	ControlSet\
sub-paths		PrintXPrinters	ControlXPrintX
	System\Current ControlSet\	System\Current	Printers
	Services\Eventlog	ControlSet\	System\Current
		Services\Eventlog	ControlSet\
	System\Current ControlSet\Services\	System\Current	Services\Eventlog
	Eventlog	ControlSet\	System\Current
	Software\Microsoft\	Serviccs\Eventlog	ControlSet\
	OLAP Server	Software\	Services\Eventlog
		Microsoft	Software\
	Software\Microsoft\	OLAP Server	Microsoft
	Windows NT\ CurrentVersion\Print	Software\	OLAP Server
		Microsoft	Software^
	Software\Microsoft\	Windows NT\	Microsoft
	Windows NT\	CurrentVersion\	Windows NT\
	CurrentVersion\	Print	CurrentVersion\
	Windows	Software\	Print
	System\Current	Microsoft	Software\
	ControlSet\Control\	Windows NT\	Microsoft
	Contentlndex	CurrentVersion\	Windows NT\
		Windows	CurrentVersion\
	System\Current ControlSet\Control\	System\Current	Windows
	Terminál Server	ControlSet\	SysterrACurrent
		Control\	ControlSet\
		Contentlndex	Control\
		—	Contentíndex
Implementace
a scénáře
184
Kapitola 5 - Zpřísňování režimu klientů a serverů
Nastavení zabezpečení	Konfigurace staršího klienta	Konfigurace podniko- vého klienta	Konfigurace vysokého zabezpečení
Devices: Unsigned driver installation behavior	Zobrazit upozornění a povolit instalaci	Zobrazit upozornění a povolit instalaci	Zobrazit upozornění a povolit instalaci
Domain controller: Allow server operators to schedule tasks	Vypnuto	Vypnuto	Vypnuto
Domain controller: LDAP server signing requirements	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Požaduje podepiso- vání
Domain controller: Refuse machine account password changes	Vypnuto	Vypnuto	Vypnuto
Domam member: Digitally encrypt or sign secure channel data (always)	Vypnuto	Zapnuto	Zapnuto
Domain member: Digitally encrypt secure channel data (when possible)	Zapnuto	Zapnuto	Zapnuto
Domain member: Digitally sign secure channel data (when possible)	Zapnuto	Zapnuto	Zapnuto
Domain member: Disable machine account password changes	Vypnuto	Vypnuto	Vypnuto
Domain member: Maximum machine account password age	30 dní	30 dní	30 dní
Domain member: Require strong (Windows 2000 or later) session key	Zapnuto	Zapnuto	Zapnuto
Interactive logon: Do not display last user name	Zapnuto	Zapnuto	Zapnuto
Interactive logon: Do not require CTRL 4-ALT+DEL	Vypnuto	Vypnuto	Vypnuto
Zpřísňování režimu na serveru
185
- -*----
Nastavení zabezpečení
Interactive logon:
Message text for
users attempting
to log on
Konfigurace staršího
klienta
Tento systém je vyhra-
zen pouze pro autori-
zované uživatele.
Osoby, které se pokusí
o neautorizovaný pří-
stup, budou stíhány.
Jestliže nejste autorizo-
ván, okamžitě ukončete
vaši relaci I Klepnutím
na tlačítko OK dáváte
najevo váš souhlas
s podmínkami.
Konfigurace podniko-
vého klienta
Tento systém je vyhra-
zen pouze pro autori-
zované uživatele.
Osoby, které se pokusí
o neautorizovaný pří-
stup, budou stíhány.
Jestliže nejste autori-
zován, okamžitě
ukončete vaši relaci!
Klepnutím na tlačítko
OK dáváte najevo váš
souhlas s podmínka-
mi.
Konfigurace vysokého
zabezpečení
Tento systém je vy-
hrazen pouze pro au-
torizované uživatele.
Osoby, které se poku-
sí o neautorizovaný
přístup, budou stíhá-
ny. Jestliže nejste au-
torizován, okamžitě
ukončete vaši relaci!
Klepnutím na tlačítko
OK dáváte najevo váš
souhlas s podmínka-
mi.
Implementace
a scénáře
Interactive logon:
Message title for
users attempting to
log on
JESTLIŽE BUDETE PO-
KRAČOVAT BEZ PLAT-
NÉHO OVĚŘENÍ, BUDE
VAŠE CHOVÁNÍ KVALI-
FIKOVÁNO JAKO
TRESTNÝ ČIN.
JESTLIŽE BUDETE PO-
KRAČOVAT BEZ
PLATNÉHO OVĚŘENÍ,
BUDE VAŠE CHOVÁNÍ
KVALIFIKOVÁNO JAKO
TRESTNÝ ČIN.
JESTLIŽE BUDETE
POKRAČOVAT BEZ
PLATNÉHO OVĚŘENÍ,
BUDE VAŠE CHOVÁNÍ
KVALIFIKOVÁNO JA-
KO TRESTNÝ ČIN.
Interactive logon:	1	0	0
Number of previous
logons to cache (in
čase domain controller
is not available)
Interactive logon:	14 dní	14 dní	14 dni
Prompt user to
change password
before expiration
Interactive logon:	Zapnuto	Zapnuto	Zapnuto
Require Domain
Controller authentication
to unlock
workstation
Interactive logon:	Nedefinováno	Zamknout	stanici	Zamknout stárna
Smart card removal	(Použít výchozí)
behavior
Microsoft network	Vypnuto	Zapnuto	Zapnuto
dient: Digitally sign
Communications
jalways)
Microsoft network Zapnuto	Zapnuto	Zapnuto
Client: Digitally sign
Communications
(if server agrees)
188
Kapitola 5 - Zpřísňováni režimu klientů a serverů
			
Nastavení zabezpečení	Konfigurace staršího klienta	Konfigurace podniko- vého klienta	Konfigurace vysoký zabezpečení
Network access: Remotely accessible registry paths and sub-paths	System\Current ControlSet\Control\ Terminál Server\ UserConfig	System\Current ControlSet\ ControIVTerminal Server	SystemVCurrent ControlSetV ControlV Terminál Server
	System\Current ControlSet\Control\ Terminál Server\ DefaultUser Configuration	System\Current ControlSet\ ControIVTerminal Server\UserConfig System\Current	SystemVCurrent ControlSetV ControlV Terminál ServerV UserConfig
	Software\ Microsoft Windows NT\ CurrentVersion\ Perflib	ControlSet\ ControIVTerminal ServerVDefaultUser Configuration	SystemVCurrent ControlSetV ControIVTerminal ServerVDefault User
	System\Current	SoftwareV Microsoft	Configuration
	ControlSet\Services\ SysmonLog	Windows NT\ CurrentVersionV Perflib	SoftwareV MicrosoftV Windows NTV CurrentVersionV
		SystemVCurrent ControlSetV	Perflib
		ServicesV SysmonLog	SystemVCurrent ControlSetV ServicesV SysmonLog
Network access: Restrict anonymous access to Named Pipes and Shares	Zapnuto	Zapnuto	Zapnuto
Network access: Shares that can be accessed anonymously	None	None	None
Network access: Sharing and security model for local accounts	Classic - místní uživa- telé jsou ověřováni pod jejich identitou	Classic - místní uživa- telé jsou ověřováni pod jejich identitou	Classic - místní uživa- telé jsou ověřováni pod jejich identitou
Network security: Do not store LAN Manager hash value on next password change	Zapnuto	Zapnuto	Zapnuto
Zpřísňování režimu na serveru
189
			
Nastavení zabezpečení	Konfigurace staršího klienta	Konfigurace podniko- vého klienta	Konfigurace vysokého zabezpečení
Network security: LAN Manager authentication level	Odesílat pouze odpo- vědi NTLM verze	Odesílat pouze odpo- vědi NTLM verze 2 a odmítat odpovědi LM	Odesílat pouze odpo- vědi NTLM verze 2 a odmítat odpovědi LM
Network security: LDAP dient signing requirements	Vyjednat podepisování	Vyjednat podepisová- ní	Vyjednat podepisová- ní
Network security: Minimum session security for NTLM SSP based (induding secure RPC) clients	Bez minima	Zapnout všechna na- stavení	Zapnout všechna na- stavení
Network security: Minimum session security for NTLM SSP based (induding secure RPC) servers	Bez minima	Zapnout všechna na- stavení	Zapnout všechna na- stavení
Recovery console: Allow automatic administrativě logon	Vypnuto	Vypnuto	Vypnuto
Recovery console: Allow floppy copy and access to all drives and all folders	Zapnulo	Zapnuto	Vypnuto
Shutdown: Allow systém to be shut down without having to log on	Vypnuto	Vypnuto	Vypnuto
Shutdown: Clear Virtual memory page filé	Vypnuto	Vypnuto	Zapnuto
System cryptography: Force strong key protec- tion for user keys stored on the Computer	Uživatel je vyzván při prvním použití klíče	Uživatel je vyzván při prvním použití klíče	Uživatel musí zadat heslo při každém po- užití klíče
System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing	Vypnuto	Vypnuto	Vypnuto
System objects: Default owner for	Tvůrce objektu	Tvůrce objektu	Tvůrce objektu
objects created by
wembers of the
Administrators group
Implementace
a scenáre
190
Kapitola 5 - Zpřísňování režimu klientů a serverů
Nastavení zabezpečení	Konfigurace staršího klienta	Konfigurace podniko- vého klienta	Konfigurace vysokého zabezpečení
System objects: Require čase insensitivity for non- Windows subsystems	Zapnuto	Zapnuto	Zapnuto
System objects: Strengthen default permissions of internal systém objects (such as Symbolic Links)	Zapnuto	Zapnuto	Zapnuto
System settings: Optional subsystém	Žádný	Žádný	Žádný
Event Log (Protokol událostí)			" —
Maximum application log size	16,384 KB	16,384 KB	16,384 KB
Maximum security log size	81,920 KB	81,920 KB	81,920 KB
Maximum systém log size	16,384 KB	16,384 KB	16,384 KB
Prevent local guests group from accessing application log	Zapnuto	Zapnuto	Zapnuto
Prevent local guests group from accessing se- curity log	Zapnuto	Zapnuto	Zapnuto
Prevent local guests group from accessing systém log	Zapnuto	Zapnuto	Zapnuto
Retention method for application log	podle potřeby	podle potřeby	podle potřeby
Retention method for se- curity log	podle potřeby	podle potřeby	podle potřeby
Retention method for systém log	podle potřeby	podle potřeby	podle potřeby
System Services (Systémové služby)			
Alerter	Vypnuto	Vypnuto	Vypnuto
Application Layer Gateway Service	Vypnuto	Vypnuto	Vypnuto
Application Management	Vypnuto	Vypnuto	Vypnuto
ASRNET State Service	Vypnuto	Vypnuto	Vypnuto
Zpřísňování režimu na serveru
1&1
			
Nastavení zabezpečení	Konfigurace staršího	Konfigurace podniko-	Konfigurace vysokého
	klienta	vého klienta	zabezoečení
Automatic Updates	Automaticky	Automaticky	Automaticky
Background Intelligent Transfer Service	Ručně	Ručně	Ručně
Certificate Services	Vypnuto	Vypnuto	Vypnuto
MS Software Shadow	Ručně	Ručně	Ručně
Copy Provider			
Client Service for NetWare	Vypnuto	Vypnuto	Vypnuto
ClipBook	Vypnuto	Vypnuto	Vypnuto
Cluster Service	Vypnuto	Vypnuto	Vypnuto
COM+ Event System	Ručně	Ručně	Ručně
COM+ System Application	Vypnuto	Vypnuto	Vypnuto
Computer Browser	Automaticky	Automaticky	Automaticky
Cryptographic	Automaticky	Automaticky	Automaticky
Services			
DHCP Client	Automaticky	Automaticky	Automaticky
DHCP Server	Vypnuto	Vypnuto	Vypnuto
Distributed Link Tracking Client	Vypnuto	Vypnuto	Vypnuto
Distributed Link Tracking Server	Vypnuto	Vypnuto	Vypnuto
Distribution Transaction £oordinator	Vypnuto	Vypnuto	Vypnuto
J)NS Client	Automaticky	Automaticky	Automaticky
DNS Server	Vypnuto	Vypnuto	Vypnuto
Error Reporting Service	Vypnuto	Vypnuto	Vypnuto
Event Log	Automaticky	Automaticky	Automaticky
Fax Service	Vypnuto	Vypnuto	Vypnuto
_File Replication	Vypnuto	Vypnuto	Vypnuto
Filé Server for Macintosh	Vypnuto	Vypnuto	Vypnuto
JíJP^Publishing	Vypnuto	Vypnuto	Vypnuto
Help and Support	Vypnuto	Vypnuto	Vypnuto	__
HTTP SSL	Vypnuto	Vypnuto	Vypnuto
Implementace
a scénáře

194
Kapitola 5 - Zpřísňování režimu klientů a serverů
Nastavení zabezpečení	Konfigurace staršího klienta	Konfigurace podniko- vého klienta	Konfigurace vysoký zabezpečení
Remote Server Monitor	Vypnuto	Vypnuto	Vypnuto
Remote Storage Notification	Vypnuto	Vypnuto	Vypnuto
Remote Storage Server	Vypnuto	Vypnuto	Vypnuto
Removable Storage	Ručně	Ručně	Ručně
Resultant Set of Policy Provider	Vypnuto	Vypnuto	Vypnuto
Routing and Remote Access	Vypnuto	Vypnuto	Vypnuto
SAP Agent	Vypnuto	Vypnuto	Vypnuto
Secondary Logon	Vypnuto	Vypnuto	Vypnuto
Security Accounts Manager	Automaticky	Automaticky	Automaticky
Server	Automaticky	Automaticky	Automaticky
Shell Hardware Detection	Vypnuto	Vypnuto	Vypnuto
Simple Mail Transport Protocol (SMTP)	Vypnuto	Vypnuto	Vypnuto
Simple TCP/IP Services	Vypnuto	Vypnuto	Vypnuto
Single Instance Storage Groveler	Vypnuto	Vypnuto	Vypnuto
Smart Card	Vypnuto	Vypnuto	Vypnuto		
SNMP Service	Vypnuto	Vypnuto	Vypnuto
SNMPTrap Service	Vypnuto	Vypnuto	Vypnuto
Spedal Administration Console Helper	Vypnuto	Vypnuto	Vypnuto
System Event Notification	Automaticky	Automaticky	Automaticky —-
Task Scheduler	Vypnuto	Vypnuto	Vypnuto
TCP/IP NetBIOS Helper Service	Automaticky	Automaticky	Automaticky
TCP/IP Print Server	Vypnuto	Vypnuto	Vypnuto	_
Telephony	Vypnuto	Vypnuto	Vypnuto
Telnet	Vypnuto	Vypnuto	Vypnuto
Terminál Services	Automaticky	Automaticky	Automaticky	
Zpřísňování režimu na serveru
195

Nastavení zabezpečení	Konfigurace staršího klienta	Konfigurace podniko- vého klienta	Konfigurace vysokého zabezpečení
Terminál Services Licensing	Vypnuto	Vypnuto	Vypnuto
Terminál Services Session Directory	Vypnuto	Vypnuto	Vypnuto
Themes	Vypnuto	Vypnuto	Vypnuto
Trivial FTP Daemon	Vypnuto	Vypnuto	Vypnuto
Uninterruptible Power Supply	Vypnuto	Vypnuto	Vypnuto
(Jpload Manager	Vypnuto	Vypnuto	Vypnuto
Virtual Disk Service	Vypnuto	Vypnuto	Vypnuto
Volume Shadow Copy	Ručně	Ručně	Ručně
WebCIient	Vypnuto	Vypnuto	Vypnuto
Web Element Manager	Vypnuto	Vypnuto	Vypnuto
Windows Audio	Vypnuto	Vypnuto	Vypnuto
Windows Image Acquisition (WIA)	Vypnuto	Vypnuto	Vypnuto
Windows Installer	Automaticky	Automaticky	Automaticky
Windows Internet Name Service (WINS)	Vypnuto	Vypnuto	Vypnuto
Windows Management Instrumentation	Automaticky	Automaticky	Automaticky
Windows Management Instrumentation Driver Extensions	Ručně	Ručně	Ručně
Windows Media Services	Vypnuto	Vypnuto	Vypnuto
Windows System Resource Manager	Vypnuto	Vypnuto	Vypnuto
jMndows Time	Automaticky	Automaticky	Automaticky
Win HTTP Web Proxy Auto—Discovery Service	Vypnuto	Vypnuto	Vypnuto
Wireless Configuration	Vypnuto	Vypnuto	Vypnuto		
WMI Performance ^dapter	Ručně	Ručně	Ručně
Workstation	Automaticky	Automaticky	Automaticky
Worlc Wide Publishing Service	Vypnuto	Vypnuto	Vypnuto
Implementace
a scénáře
192
Kapitola 5 - Zpřísňování režimu klrentů a serverů
Nastavení zabezpečení	Konfigurace staršího klienta	Konfigurace podniko- vého klienta	Konfigurace vysoký zabezpečení	0
Human Interface Device Access	Vypnuto	Vypnuto	Vypnuto
IAS Jet Database Access	Vypnuto	Vypnuto	Vypnuto
IIS Admin Service	Vypnuto	Vypnuto	Vypnuto
IMAPI CD-Burning COM Service	Vypnuto	Vypnuto	Vypnuto
Indexing Service	Vypnuto	Vypnuto	Vypnuto
Infrared Monitor	Vypnuto	Vypnuto	Vypnuto
Internet Authentication Service	Vypnuto	Vypnuto	Vypnuto
Internet Connection Firewall (ICF)/lnternet Connection Sharing (ICS)	Vypnuto	Vypnuto	Vypnuto
Intersite Messaging	Vypnuto	Vypnuto	Vypnuto
IP Version 6 Helper Service	Vypnuto	Vypnuto	Vypnuto
IPSec Policy Agent (IPSec Service)	Automaticky	Automaticky	Automaticky
Kerberos Key Distnbution Center	Vypnuto	Vypnuto	Vypnuto
License Logging Service	Vypnuto	Vypnuto	Vypnuto
Logical Disk Manager	Ručně	Ručně	Ručně
Logical Disk Manager Administrativě Service	Ručně	Ručně	Ručně
Message Queuing	Vypnuto	Vypnuto	Vypnuto
Message Queuing Down Level Clients	Vypnuto	Vypnuto	Vypnuto
Message Queuing Triggers	Vypnuto	Vypnuto	Vypnuto
Messenger	Vypnuto	Vypnuto	Vypnuto
Microsoft POP3 Service	Vypnuto	Vypnuto	Vypnuto
MSSQLÍUDDI	Vypnuto	Vypnuto	Vypnuto
MSSQLServerADHelper	Vypnuto	Vypnuto	Vypnuto
.NET Framework Support Service	Vypnuto	Vypnuto	Vypnuto
Zpřísňování režimu na serveru 193
IMastavení zabezpečení	Konfigurace staršího klienta	Konfigurace podniko- vého klienta	Konfigurace vysokého zabezpečení
Netlogon	Automaticky	Automaticky	Automaticky
NetMeeting Remote Desktop Sharing	Vypnuto	Vypnuto	Vypnuto
Network Connections	Ručně	Ručně	Ručně
Network DDE	Vypnuto	Vypnuto	Vypnuto
Network DDE DSDM	Vypnuto	Vypnuto	Vypnuto
Network Location Awareness (NLA)	Ručně	Ručně	Ručně
Network News Transport Vypnuto Protocol (NNTP)		Vypnuto	Vypnuto
NTLM Support Provider	Automaticky	Automaticky	Automaticky
Performance Logs and Alerts	Ručně	Ručně	Ruční-
Plug and Play	Automaticky	Automaticky	Automaticky
Portable Media Seriál Number	Vypnuto	Vypnuto	Vypnuto
Printer Server for Macintosh	Vypnuto	Vypnuto	Vypnuto
Print Spooler	Vypnuto	Vypnuto	Vypnuto
Protected Storage	Automaticky	Automaticky	Automaticky
Remote Access Auto Connection Manager	Vypnuto	Vypnuto	Vypnuto
Remote Access £onnection Manager	Vypnuto	Vypnuto	Vypnuto
Remote Administration Service	Ručně	Ručně	Ručně
Remote Desktop Helper Session Manager	Vypnuto	Vypnuto	Vypnuto
Remote Installation	Vypnuto	Vypnuto	Vypnuto
Remote Proceduře Call (RPQ	Automaticky	Automaticky	Automaticky
Remote Proceduře £^ll (RPC) Locator	Vypnuto	Vypnuto	Vypnuto
Remote Registry Service	Automaticky	Automaticky	Automaticky
Remote Server ^Manager	Vypnuto	Vypnuto	Vypnuto
Implementace
a scénáře
198
Kapitola 5 - Zpřísňování režimu klientů a serverů
Nastavení zabezpečení Konfigurace staršího klienta		Konfigurace podniko- vého klienta	Konfigurace vysoké-  zabezpečení
Security Options (Možnosti zabezpečení)			
Network security: Do not store LAN Manager hash value on next password change	Vypnuto	Zapnuto	Zapnuto	'
System Services (Systémové služby)			
Distributed Filé System	Automaticky	Automaticky	Automaticky
DNS Server	Automaticky	Automaticky	Automaticky
Filé Replication	Automaticky	Automaticky	Automaticky
Intersite Messaging	Automaticky	Automaticky	Automaticky
Kerberos Key Distribu- tion Center	Automaticky	Automaticky	Automaticky
Remote Proceduře Call (RPC) Locator	Automaticky	Automaticky	Automaticky
Porty potřebné pro doménové řadiče
Doménové řadiče mají na starosti specifické funkce (viz nastaveni uvedená v tabul-
ce 5-9)- Mnoho z těchto rozličných nastaveni šablon zabezpečení souvisí se služ-
bami potřebnými pro ověřování uživatelů a zachován, konzistence databáze služby
Active Directory mezi doménovými řadiči. Tabulka 5.10 obsahuje dodatečné porty,
které musíte pro doménové řadiče otevřít.
TABULKA 5.10: Porty pro doménové řadiče
Porty	Popis
88 (modul Kerberos)	Protokol modulu Kerberos se používá
v operačním systému Windows 2000 a nověj-
ších pro přihlašování a získávání lístků pro pří-
stup na servery.
123 (protokol NTP)	Tento port poskytuje časovou synchronizaci pro
síťové klienty prostřednictvím protokolu NTP
(Network Time Protocol).
135 (RPC endpoint mapper/DCOM)	Tento port umožňuje klientům rozhraní RPC ob-
jevit porty, na kterých naslouchá server rozhraní
______________________________________RPC.
389 (protokol LDAP)	Tento port je hlavním způsobem, používaným
klienty k přístupu do služby Active Directory 2a
účelem získání uživatelských informací,
e-mailových adres, služeb a dalších informací
adresářové služby.
Zpřísňování režimu na serveru 199
Porty 	Popis	_
464 (Změny hesla modulu Kerberos)	Tento port poskytuje uživatelům bezpečné me-
tody pro změnu hesel pomocí modulu Kerberos.
636 (protokol LDAP přes protokol SSL) Tento port je potřeba v případě, že protokol
LDAP bude pro svůj provoz využívat protokol
SSL, aby tak poskytl šifrování a vzájemné ově-
řování.
3268 (globální katalog)	Tento port poskytuje prostředky, které umožní
klientům vyhledávat informace služby Active Di-
rectory, které se týkají několika domén.
3269 (globální katalog přes protocol SSL) Tento port je zapotřebí, protože globální kata-
log používá protokol SSL k poskytování šifrová-
ní a vzájemneno ověřování.
implementace
a scénáře
Tácjri-QkuniriV
Poznámka Jestliže váš doménový řadič hostí službu DNS, pak potřebujete otevřít také port 53.
Souborové a tiskové servery
Souborové a tiskové servery jsou zodpovědné za uložení zdrojů a řízení přístupu
k nim. Tyto servery hostí podnikové dokumenty, obchodní tajemství, finanční dala
atd. Jestliže nejsou tyto počítače zabezpečeny, je celý podnik v ohrožení Tyto počí-
tače musí být stabilní, chráněné a dostupné, aby mohly uživatelům a aplikacím po-
skytovat přístup ke zdrojům na nich uloženým.
Stejně jako doménové řadiče, i tyto servery’ musí být fyzicky chráněny. Kdyby7 se
někomu podařilo „ukořistit' váš souborový server, mohl by teoreticky použít další
nástroje, aby získal přístup ke zdrojům na něm. Proto byste měli podniknout kroky,
které takové situaci předejdou.
Tabulka 5.11 obsahuje bezpečnostní nastavení pro souborové a tiskové servery,
která se liší od nastavení uvedených v části týkající se členských serverů. Jinými
slovy, základní nastavení zabezpečení souborových a tiskových serverů by mělo
být nadstavbou nad výše popsaným základním nastavením zabezpečení členských
serverů. Tato nastavení je nejlepší vytvořit v objektu GPO a ten následně připojit
k organizační jednotce, která obsahuje souborové servery.
o-------------------------------------------------------------------------
Další informace Další informace o zpřísňování režimu na souborových a tiskových serverech
W v různých podnikových prostředích najdete v příručce Windows Server 2003 Security Guide
na internetové adrese http://www.mi crosoft.com/downloads/detai1s.aspx?Fami tyID=
8a2643c1-0685-4d89 b655-521ea6c7b4db&di spiay1ang=en.
196
Kapitola 5 - Zpřísňování režimu klientů a serverů
Porty potřebné pro členské servery
Aby7 mohl členský server fungovat v síti s ostatními počítači, musí být otevřené určit-
porty. V tabulce 5.8 je jejich seznam. Jak se budeme věnovat dalším rolím serveru
budou i další porty, které je třeba přidat v zájmu zajištění funkcionality.
TABULKA 5.8: Porty členských serverů
Port	Popis
137	(názvová služba protokolu NetBIOS) Používá jej hlavní služba procházení. Musí být
otevřen kvůli protokolu WINS a hlavnímu
serveru procházení.
138	(datagramová služba protokolu NetBIOS) Musí být otevřen, aby mohly aplikace jako je
služba Messenger nebo služba Computer
Browser přijímat příchozí datagramy.
139	(služba relací protokolu NetBIOS)	Pokud nepoužíváte aplikace nebo operační
systémy, které potřebují podporovat připojení
protokolu SMB, musí být tento port uzavřen.
Jestliže používáte operační systém Windows
NT 4.0, Windows Millennium Edition, Win-
dows 98 nebo Windows 95, musí být tento
port na vašich serverech otevřený.
445 (server protokolu CIFS/SMB)	Tento port je používán pro základní síťovou
komunikaci operačních systémů rodiny Win-
dows, včetně sdílení souborů, sdílení tiskáren
a vzdálené správy.
3389 (protokol RDP - Remote Desktop Protocol) Musí být otevřen v případě, že pro sdílení
aplikací, vzdálenou plochu nebo vzdálenou
asistena používáte Terminálovou službu.
Doménové řadiče
Srdcem jakéhokoliv prostředí pracujícího nad službou Active Directory jsou domé-
nové řadiče. Tyto počítače musí bvt stabilní, chráněné a dostupné, aby mohly po-
skytovat klíčové služby pro adresářovou službu, ověřovaní uživatelů, přístup ke
zdrojům atd. Jestliže dojde ke ztrátě nebo kompromitaci doménového řadiče, ná-
sledky pro klienty, servery a aplikace, které v rámci ověřování, zásad skupiny a ad-
resáře protokolu LDAP závisí na doménových řadičích, mohou být kritické.
Nejenom, že by doménové řadiče měly mít prostřednictvím konfigurací zabezpečeni
zpřísněný režim, ale musí být také fyzicky zabezpečené na místech, která jsou prl'
stu pna pouze kvalifikovaným pracovníkům. Jestliže jsou doménové řadiče uložene na
nezabezpečeném místě, měli byste na ně aplikovat dodatečné bezpečnostní konfigu'
race, abyste zamezili potenciálním škodám způsobeným fyzickými hrozbami.
Úrovně zabezpečení prostředí řadiče domény
Stejně jako je tomu u zpřísňování režimu na členském serveru, tak i doménové řadiče
mají různé úrovně zabezpečení (podle prostředí, ve kterem jsou nasazené). T^0
Zpřísňování režimu na serveru	197
úrovně jsou stejné jako ty, které jsou definované v oddíle „Členské servery4’ této kapi-
toly: Starší klient, Podnikový klient a Vysoké zabezpečení.
Bezpečnostní nastavení doménových řadičů
Nastavení zabezpečení, která se vztahují konkrétně na doménové řadiče, je nejlepší
vytvořit v objektu GPO a ten následně připojié k organizační jednotce Doménové
řadiče. Tato nastaveni doménových řadičů by měla vycházet z těch, která jsme pro-
šli v oddílu zabývajícím se členskými servery. Doménový řadič má ve srovnání
s členským serverem samozřejmě také další funkce a vlastnosti. Z toho vyplývá po-
třeba otevřít další porty a nastavit dodatečné konfigurace zabezpečení. Abyste se
ujistili, že neomezujete žádné klíčové funkce vašeho doménového řadiče, seznam
nastavení zabezpečení pečlivě zkontrolujte.
Tabulka 5.9 obsahuje nastavení, která se liší od těch uvedených v tabulce 5.7. Ji-
nými slovy, základní nastavení zabezpečení doménových řadičů by mělo být nad-
stavbou nad výše popsaným základním nastavením zabezpečen^ členských serveru.
implementace
a scénáře
Další informace Další informace o zpr sňování režimu na doménových řadičích v různých pod-
nikových prostředích najdete v příručce Windows Server 2003 Security Guide na internetové
adrese http://www.microsoft.com/downlodds/detdi1s.dspx?Fdmi1yID=8a2643cl-0685 -
4d89-b655-521ed6c7b4db&di spiayldng=en.
TABULKA 5-9: Bezpečnostní nastavení doménových řadičů			
Nastavení zabezpečení	Konfigurace staršího klienta	Konfigurace podniko- vého klienta	Konfigurace vysokého zabezpečení
User Rights (Uživatelská oprávnění)			
Access this Computer from the network	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators, Authenticated Users, ENTERPRISE DOMAiN CONTROLLERS
Add workstations to domain	Administrators	Administrators	Administrators
Allow log on locally	Administrators	Administrators	Administrators
A-low log on through Terminál Services	Administrators	Administrators	Administrators
Change the systém time	Administrators	Administrators	Administrators
Enable Computer and user accounts to be trusted for delegation	Nedefinováno (Použít výchozí)	Nedefinováno (Poubt výchozí)	Administrators
Load and unload device drivers	Administrators	Administrators	Administrators
Restore files and direc tories	Administrators	Administrators	Administrators
Shutdown the systém	Administrators	Administrators	Administrators
202
Kapitola 5 - Zpřísňování režimu klientů a serverů
pečného prostředí stolních počítačů a laptopů s operačním systémem Windows v
Professional. Klienty rozdělíme do dvou kategorií: podnik a vysoké zabezpečení-
	Podnik Podnikové prostředí je tvořeno doménou systému Windows 2000 neb
Windows Server 2003 služby Active Directory. Klienti v tomto prostředí bud
spravováni pomocí zásad skupiny, které jsou aplikovány na kontejnery. p,ra<
visté, domény a organizační jednotky. Zásady skupiny poskytují centralizován -
způsob správy zásad zabezpečeni napřič celvm prostředím.
	Vysoké zabezpečení Prostředí s vysokým zabezpečením má pro klienta zpřísne
na nastavení zabezpečení. Když se použijí nastavení vysokého zabezpečení, dojde
k omezení uživatelské funkcionality na funkce, které jsou potřebné pro nezbytné
úlohy. Přistup je omezen na schválené aplikace, služby a infrastrukturní prostředí
Pokrýt všechny teoretické scénáře či prostředí je samozřejmě nemožné. Nicméně
my vam nabídneme nastavení zabezpečení, která byla v produkčním prostředí ově-
řena, testována a schválena inženýry inny Microsoft, konzultanty a zákazníky. Ta-
bulka 5.14 obsahuje nastavení, která jsou dostupná ve standardní šabloně
zabezpečení a doporučené konfigurace pro následující čtyři scénáře:
	Podnikové stolní počítače
	Podnikové přenosné počítače
	Vysoce zabezpečené stoln1 počítače
	Vysoce zabezpečené přenosné počítače
/jRk Další informace Podrobnější informace o níže uvedených nastaveních pro zpřísňování režimu na
klientech s operačním systémem Windows XP najdete v dokumentu Windows XP Security Guide
verze 2 na internetové adrese http://www.microsoft.com/downloacls/cletdils.dspx?
Fami ly Id=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&di spi ay 1 ang=en. Podrobnou dis-
kusi o všech bezpečnostních nastaveních dostupných v operačním systému Windows XP
s balíčkem Service Pack 2 najdete v příručce Threats and Countermeasures Guide na interne-
tové adrese http://go.microsoft.com/fwl ink/?LinkId=l5159.
-y Důležité Před tím než na vaše produkční klienty implementujete jakákoliv bezpečnostní na-
stavení nebo doporučené konfigurace, nezapomeňte je otestovat pro vaše prostředí- Aplika-
ce, operační systémy a další síťová omezení mohou v některých případech způsobit pn
použití doporučených nastavení problémy.
TABULKA 5.14: Doporučená bezpečnostní nastavení pro čtyři typy klientů
Bezpečnostní	Podnikový stolní Podnikový pie-	Vysoce zabezpe- Vysoce zabezpe-
nastavení	počítač	nosný počítač	čený stolní počítač čený přenosný po-
čítač
_________________________________________________________________ __ _________ '
Auditing (Auditováni)
Account Logon	Úspěšné pokusy Úspěšné pokusy	Úspěšné pokusy Úspěšné pokusy
Events	Neúspěšné pokusy Neúspěšné pokusy	Neúspěšné pokusy Neúspěšné pokuty
Account	Úspěšné pokusy Úspěšné pokusy	Úspěšné pokusy Úspěšné pokusy
Management	Neúspěšné pokusy Neúspěšné pokusy	Neúspěšné pokusy Neúspěšné poki;s^
Zpřísňování režimu na klientu
203
Bezpečnostní nastavení	Podnikový stolní počítač	Podnikový pře- nosný počítač	Vysoce zabezpe- Vysoce zabezpe- čený stolní počítač čený přenosný po- čítač	
Directory Service Access	Bez auditování	Bez auditování	Bez auditování	Bez auditování
Logon Events	Úspěšné pokusy Úspěšné pokusy Úspěšné pokusy Úspěšné pokusy Neúspěšné pokusy Neúspěšné pokusy Neúspěšné pokusy Neúspěšné pokusy			
Object Access	Úspěšné pokusy Úspěšné pokusy Úspěšné pokusy Úspěšné pokusy Neúspěšné pokusy Neúspěšné pokusy Neúspěšné pokusy Neúspěšné pokusy			
Policy Change Privilege Use	Úspěšné pokusy Chyba	Úspěšné pokusy Chyba	Úspěšné pokusy Cnyba	Úspěšné pokusy Chyba
Process Tracking	Bez auditování	Bez auditování	Bez auditování	Bez auditování
System Events	Úspěšné pokusy	Úspěšné pokusy	Úspěšné pokusy Úspěšné pokusy Neúspěšné pokusy Neúspěšné pokusy	
User Rights (Uživatelská oprávnění)				
Access this Com- puter from the network	Administrators, Administrators, Backup Operators, Backup Power	Operators, Users, Users	Power Users, Users		Administrators, Users	Administrators, Users
Act as part of the operating systém	Nikdo	Nikdo	Nikdo	Nikdo
Adjust memory quotas for a proc- ess	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators, Local Service, Network Service	Administrators, Local Service, Network Service
Allow log on lo- cally	Users, Administrators	Users, Administrators	Users, Administrators	Users, Administrators
Allow log on through Terminál Services	Administrators, Remote Desktop Users	Administrators, Remote Desktop Users	Nikdo	Nikdo
Backup files and directories	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators	Administrators
Change the sys- tém time	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators	Administrators
Create a pagefile	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators	Administrators
Create a perma- Nedefinováno nent shared object (Použit výchozí)		Nedefinováno (Použít výchozí)	Nikdo	Nikdo
Create a token ob- ject	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Nikdo	Nikdo
j	Jtebug programs	Administrators	Administrators	Administrators	Administrators	
				
Implementace
a scénáře
cki iruiw
200
Kapitola 5 - Zpřísňování režimu klientů a serverů
TABULKA 5.11: Nastavení zabezpečení pro souborové a tiskové servery
Bezpečnostní nastavení Konfigurace staršího	Konfigurace podniko-	Konfigurace vysokého
klienta	vého klienta	zabezpečení
Security Options (Možnosti zabezpečení)
Microsoft network	Vypnuto	(jen tiskové	Vypnuto (jen	tiskové	Vypnuto (jen	tiskové
server: Digitally sign	servery)	servery)	servery)
Communications (al-
ways)
System Services (Systémové služby)	"
Distributed Filé System Vypnuto	Vypnuto	Vypnuto
Filé Replication	Vypnuto	Vypnuto	Vypnuto
Print Spooler	Automaticky (jen tisko- Automaticky (jen tisko- Automaticky (jen tisko-
vé servery)	vé servery)	vé servery)
Webové servery
Internetová informační služba firmy Microsoft je služba, která na serveru s operač-
ním systémem rodiny Windows poskytuje webové služby. Webové servery musí
být dobře zabezpečeny a současné musí poskytovat legitimním klientům přístup na
intranetové či veřejné webové servery’, které se na nich nacházejí.
blužba IIS není součástí výchozí instalace serverů rodiny Windows Server 2003. Když ji
ale instalujete, provede se tato instalace v režimu „locked“ - vysoce bezpečném reži-
mu, který službu IIS chrání prot1 hrozbám. Kromě doporučených nastavení (předsta-
vených v této části) se ujistěte, že váš webovy server je monitorován pomocí
některého ze systémů detekce neoprávněného vniknutí a implementováním správ-
ných procedur reakce na incidenty.
Bezpečnostní nastavení webovych serverů
Bezpečnostní nastavení webových serverů je nej lepší vytvořit v objektu GPO a ten
následně připojit k organizační jednotce, která obsahuje webové servery. Tabulka
5.12 obsahuje nastavení, která se lišt od těch uvedených v tabulce 5.7. Jinými slovy,
základní nastavení zabezpečení webových serverů by mělo být nadstavbou nad vý-
še popsaným základním nastavením zabezpečení členských serverů.
./Další informace Další informace o zpřísňování režimu na webových serverech v různých podni-
kových prostředích najdete v příručce Windows Server 2003 Security Guide na internetové ad-
rese http://www.microsoft.com/downloads/detdi1s.aspx?Fami1yID=8a2643c1- 0685 •
4d89-b655-521ea6c7b4db&di spiaylang=en.
Zpřísňování režimu na klientu
TABULKA 5.12: Nastavení zabezpečení pro webové servery
Bezpečnostní nastavení Konfigurace staršího
klienta
User Rights (Uživatelská oprávnění)
Konfigurace podniko-
vého klienta
pěny access to
this Computer
from the network
ANONYMOUS
IOGON; Pevný účet
Administrátor; Sup-
port- 388945a0;
Guest;SUPPORT_
388945a0; Guest;
všechny servisní účty
kromě účtu operačního
systému;
ANONYMOUS
LOGON; Pevný účet
Administrátor; Sup-
port- 388945a0;
Guest;SUPPORT_
388945a0; Guest;
všechny servisní účty
kromě účtů operačního
systému;
Konfigurace vysokého
zabezpečení
ANONYMOUS
LOGON; Pevný účet
Administrátor; Sup-
port- 388945a0;
Guest;SUPPORT_
388945a0; Guest;
všechny servisní účty
kromě účtů operačního
systému;
implementace
a scénáře
System Services (Systémové služby)
HTTP SSL	Automaticky	Automaticky	Automaticky
IIS Admin Service	Automaticky	Automaticky	Automaticky
World Wide Web Pub-	Automaticky	Automaticky	Automaticky
lishing Service
Porty potřebné pro webové servery
Webove servery by měly mít dostupné pouze určité porty, aby byla snížena jejich
zranitelnost vůči útokům z lokální sítě a Internetu. Čím méně portů je otevřeno, tím
lepe. Tabulka 5.13 obsahuje seznam dodatečných portů, které je pro webové serve-
ry potřeba otevřít.
TABULKA 5.13: Porty pro webové servery
Porty	Popis
80 (protokol HTTP) Standardní port protokolu HTTP port, který slouží k poskytování webo-
vých služeb uživatelům. Není povinný a lze jej snadno změnit. Změníte-li
port protokolu HTTP, nezapomeňte přidat nový port do tohoto seznamu
_	a ve službě IIS nakonfigurujte dané nastavení. 
443 (protokol HTTPS) Poskytuje protokolu HTTP vyšší úroveň zabezpečení, která poskytuje in-
tegritu, šifrování a ověřování webového provozu.
5-5 Zpřísňování režimu na klientu
V rámci ochrany proti vnějším útočníkům by měl být zpřísňován režim nejen na
serverech, ale také na klientech. Klienti by také měli mít omezené služby, porty,
aplikace, skupiny atd., aby byla maximálně snížena bezpečnostní rizika. Potlačeni
bezpečnostních rizik by pokud možno nemělo být oběti znamenající snížení funk-
cionality. Jestliže je na nějakém klientu zabezpečeni nastaveno příliš přísně, muže
se stát, že uživatelé nebudou moci plně používat aplikace a síťovou komunikaci.
Na příkladech pro Čtyři různá prostředí budeme demonstrovat širokou škálu dopo-
rilcení pro klientskou konfiguraci. Doporučení se zaměřuji na tvorbu a správu bez-
204
Kapitola 5 - Zpřísňování režimu klientů a serverů
				
Bezpečnostní nastavení	Podnikový stolní počítač	Podnikový pře- nosný počítač	Vysoce zabezpe- Vysoce zabezpe. čený stolní počítač čený přenosný hq čítač	
Děny access to this Computer from the network	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Everyone	Everyone
Děny log on through Terminál Services	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Všichni uživatelé	Všichni uživatelé
Enable Computer and user accounts to be trusted for delegation	Nikdo	Nikdo	Nikdo	Nikdo	' '
Force shutdown from a remote sys- tém	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators	Administrators
Generate security audits	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	NETWORK SERVICE, LOCAL SERVICE	NETWORK ~ SERVICE, LOCAL SERVICE
Increase schedul- ing prionty	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators	Administrators
Load and unload device drivers	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators	Administrators
Log on as a batch job	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Nikdo	Nikdo
Log on as a Ser- vice	Nedefinováno (Použn výchozí)	Nedefinováno (Použít výchozí)	Nikdo	Nikdo
Manage auditing and security log	Nedefinováno (Použr výchozí)	Nedefinováno (Použít výchozí)	Administrators	Administrators
Modify firmware environment val- ues	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators	Administrators
Perform volume Nedefinováno maintenance tasks (Použít výchozí)		Nedefinováno (Použít výchozí)	Administrators	Administrators
Profile single process	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators	Administrators
Profile systém per- formance	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators	Administrators
Replace a process level token	LOCAL SERVICE, NETWORK SERVICE	LOCAL SERVICE, NETWORK SERVICE	LOCAL SERVICE, NETWORK SERVICE	LOCAL SERVICE, NETWORK SERVICE
Zpřísňování režimu na klientu
205
	- - ' Bezpečnostní nastavení	Podnikový stolní počítač	Podnikový pře- nosný počítač	Vysoce zabezpe- Vysoce zabezpe- čený stolní počítač čený přenosný po- čítač	
Restore files and directories	Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí)	Administrators	Administrators, Users
Shut down the systém Také ownership of files or other ob- jects	Nedefinováno (Použít výchozí) Nedefinováno (Použít výchozí)	Nedefinováno (Použít výchozí) Nedefinováno (Použít výchozí)	Administrators, Users Administrators	Administrators, Users Administrators
Security Options (Možnosti zabezpečení)				
Accounts. Guest account status	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Accounts: Limit lo- Zapnuto cal account use of blank passwords to console logon		Zapnuto	Zapnuto	Zapnuto
Accounts: Rename Doporučeno administrátor ac- count		Doporučeno	Doporučeno	Doporučeno
Accounts: Rename Doporučeno guest account		Doporučeno	Doporučeno	Doporučeno
Devices: Allow un- dock without hav- ing to log on	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Devices: Allowed to formát and eject removable media	Administrators, Interactive Users	Administrators, Interactive Users	Administrators	Administrators
Devices: Prevent users from install- jng pnnter drivers	Zapnuto	Vypnuto	Zapnuto	Vypnuto
Devices: Restrict CD-ROM access to locally logged— on user only	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Devices: Restrict floppy access to locally logged— on user only	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Devices: Unsigned driver installation behavior	Zobrazit upozor- nění a povolit in- stalaci	Zobrazit upozor- nění a povolit in- stalaci	Nepovolit instalaci Nepovolit instalaci	
Implementace
a scénáře
206
Kapitola 5 - Zpřísňování režimu klientů a serverů
Bezpečnostní	Podnikový stolní	Podnikový pře-	Vysoce zabezpe-	Vysoce zabezpe-
nastavení	počítač	nosný počítač	čený stolní počítač čený přenosný
čítač
Domain member:	Nedefinováno	Nedefinováno	Zapnuto	Zapnuto
Digitally encrypt or	(Použít výchozí)	(Použít výchozí)
sign secure chan-
nel data (always)
Domain member: Zapnuto	Zapnuto	Zapnuto	Zapnuto
Digitally encrypt
secure channel
data (when possi-
ble)
Domain member: Zapnuto	Zapnuto	Zapnuto	Zapnuto
Digitally sign se-
cure channel data
{when possible)
Domain member: Vypnuto	Vypnuto	Vypnuto	Vypnuto
Disable machine
account password
changes
Domain member: 30 dní	30 dní	30 dní	30 dní
Maximum ma-
chine account
password age
Domain member: Zapnuto	Zapnuto	Zapnuto	Zapnuto
Require strong
(Windows 2000 or
later) session key
Interactive logon: Zapnuto	Zapnuto	Zapnuto	Zapnuto
Do not display last
user name
Interactive logon: Vypnuto	Vypnuto	Vypnuto	Vypnuto
Do not require
CTRL+ALT+DEL
Zpřísňováni režimu na klientu
Bezpečnostní
nastavení
Podnikový stolní
počítač
Podnikový pře-
nosný počítač
Vysoce zabezpe- Vysoce zabezpe-
čený stolní počítač čený přenosný po-
čítač
Interactive logon:
Message text for
users attempting
to log on
Tento systém je
vyhrazen pouze
pro autorizované
uživatele. Osoby,
které se pokusí
o neautorizovaný
přístup, budou
stíhány. Jestliže
nejste autorizo-
ván, okamžitě
ukončete vaši re-
laci! Klepnutím na
tlačítko OK dáváte
najevo váš sou-
hlas s podmínka-
mi.
Tento systém je
vyhrazen pouze
pro autorizované
uživatele. Osoby,
které se pokusí
o neautorizovaný
přístup, budou
stíhány. Jestliže
nejste autorizo-
ván, okamžitě
ukončete vaši re-
laci! Klepnutím na
tlačítko OK dáváte
najevo váš sou-
hlas
s podmínkami.
Tento systém je
vyhrazen pouze
pro autorizované
uživatele. Osoby,
které se pokusí
o neautorizovaný
přístup, budou
stíhány. Jestliže
nejste autorizo-
ván, okamžitě
ukončete vaši re-
laci! Klepnutím na
tlačítko OK dáváte
najevo váš sou-
hlas
s podmínkami.
Tento systém je
vyhrazen pouze
pro autorizované
uživatele. Osoby,
které se pokusí
o neautorizovaný
přístup, budou
stíhány. Jestliže
nejste autorizo-
ván, okamžitě
ukončete vaši re-
laci! Klepnutím na
tlačítko OK dáváte
najevo váš sou-
hlas s podmínka-
mi.
Interactive logon:
Message title for
users attempting
to log on
JESTLIŽE BUDETE
POKRAČOVAT
BEZ PLATNÉHO
OVĚŘENÍ, BUDE
VAŠE CHOVÁNÍ
KVALIFIKOVÁNO
JAKO TRESTNÝ
ČIN.
JESTLIŽE BUDETE
POKRAČOVAT
BEZ PLATNÉHO
OVĚŘENÍ, BUDE
VAŠE CHOVÁNÍ
KVALIFIKOVÁNO
JAKO TRESTNÝ
ČIN.
JESTLIŽE BUDETE
POKRAČOVAT
BEZ PLATNÉHO
OVĚŘENÍ, BUDE
VAŠE CHOVÁNÍ
KVALIFIKOVÁNO
JAKO TRESTNÝ
ČIN.
JESTLIŽE BUDETE
POKRAČOVAT
BEZ PLATNÉHO
OVĚŘENÍ, BUDE
VAŠE CHOVÁNÍ
KVALIFIKOVÁNO
JAKO TRESTNÝ
ČIN.
Interactive logon: 2	2	0	1
Number of previ-
ous logons to
cache (in čase
domain controller
is not available) 
Interactive logon: 14 dní	14 dm	14 dní	14 dm
Prompt user to
change password
before expiration
Interactive logon: Vypnuto	Vypnuto	Zapnuto	Vypnuto
Require Domain
Controller authen-
tication to unlock
workstation
Interactive logon: Zamknout stanici Zamknout stárna Zamknout stanici Zamknout stanid
^rnart card re-
ntoval behavior
208
Kapitola 5 - Zpřísňování režimu klientů a serverů
Bezpečnostní	Podnikový stolní nastavení	počítač	Podnikový pře- Vysoce zabezpe- Vysoce zabezpe nosný počítač čený stolní počítač čený přenosný pg čítač
Microsoft network Nedefinováno Client: Digitally (Použít výchozí) sign Communica- tions (always)	Nedefinováno Zapnuto	Zapnuto (Použít výchozí)
Microsoft network Zapnuto dient: Digitally sign Communica- tions (if server agrees)	Zapnuto	Zapnuto	Zapnuto
Microsoft network Vypnuto dient: Send unen- crypted password to third—party SMB servers	Vypnuto	Vypnuto	Vypnuto
Microsoft network 15 minut server: Amount of idle time required before suspending session	15 minut	15 minut	15 minut
Microsoft network Zapnuto	Zapnuto	Zapnuto	Zapnuto
server: Digitally
sign Communica-
tions (always)
Microsoft network Zapnuto Zapnuto Zapnuto Zapnuto
server: Digitally
sign Communica-
tions (if Client
agrees)
Network access: Vypnuto	Vypnulo	Vypnuto	Vypnuto
Allow anonymous
SID/Name transla-
tíon
Network access: Zapnuto	Zapnuto	Zapnuto	Zapnuto
Do not allow
anonymous enu-
meration of SAM
accounts
Network access: Zapnuto	Zapnuto	Zapnuto	Zapnuto
Do not allow
anonymous enu-
meration of SAM
accounts and
shares
Zpřísňování režimu na klientu
209
				
Bezpečnostní	Podnikový stolní	Podnikový pře-	Vysoce zabezpe-	Vysoce zabezpe-
nastavení	počítač	nosný počítač	čený stolní počítač	čený přenosný po-
				čítač
Network access:	Zapnuto	Zapnuto	Zapnuto	Zapnuto
Do not allow stor-				
age of credentials				
or .NET Passports				
for network au-				
thentication				
Network access:	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Let Everyone per-				
missions apply to				
anonymous users				
Network access:	comcfg, dfs$	comcfg, dfs$	comdg, dfs$	comcfg, dfs$
Shares that can be				
accessed anony-				
mously				
Network access:	Klasický: ověřovat	Klasický: ověřovat	Klasický: ověřovat	Klasický: ověřovat
Sharing and secu-	místní uživatele	místní uživatele	místní uživatele	místní uživatele
rity model for local jejich uživatelským jejich uživatelským jejich uživatelským jejich uživatelským				
accounts	jménem	jménem	jmenem	jménem
Network security:	Zapnuto	Zapnuto	Zapnuto	Zapnuto
Do not store LAN				
Manager hash				
value on next				
password change				
Network security:	Odesílat pouze	Odesílat pouze	Odesílat pouze	Odesílat pouze
LAN Manager au-	odpovědi NTLM	odpovědi NTLM	odpovědi NTLM	odpovědi NTLM
thentication level	verze 2	verze 2	verze 2 a odmítat	ve^ze 2 a odmítat
			odpovědi LM	odpovědi LM
			& NTLM	& NTLM
Network security:	Nedefinováno	Nedefinováno	Požaduje podepi-	Požaduje podepi-
LDAP dient sign-			sování	sování
ing requirements				
Network security:	Požadovat důvěr-	Požadovat důvěr-	Požadovat důvěr-	Požadovat důvěr-
Minimum session	nost zprávy, Poža-	nost zprávy, Poža-	nost zprávy, Poža-	nost zprávy, Poža-
security for NTLM	dovát integritu	dovát integritu	dovát integritu	dovát integritu
SSP based (includ-	zprávy, Požadovat	zprávy, Požadovat	zprávy, Požadovat	zprávy, Požadovat
ing secure RPC)	zabezpečení relací zabezpečení relací zabezpečen relac zabezpečení relaci			
clients	NTLMv2, Požado-	NTLMv2, Požado-	NTLMv2, Požado-	NTLMv2, Požado-
	vat 128bitové šif-	vat 128bitové šif-	vat 128bitové šif-	vat 128bitové šif-
	rování	rovaní	rování	rování
imDlementace
a scénáře
210
Kapitola 5 - Zpřísňování režimu klientů a serverů
Bezpečnostní
nastavení
Podnikový stolní
počítač
Podnikový pře-
nosný počítač
Vysoce zal >ezpe-	Vysoce zabezpe
čený stolní počítač čený přenosný pg
čítač
Network security:
Minimum session
security for NTLM
SSP based (indud-
ing secure RPC)
servers
Požadovat důvěr-
nost zprávy, Poža-
dovat integritu
zprávy, Požadovat
zabezpečení relací
NTLMv2, Požado-
vat 128bitové šif-
rování
Požadovat důvěr-
nost zprávy, Poža-
dovat integritu
zprávy, Požadovat
zabezpečení relací
NTLMv2, Požado-
vat 128bitové šif-
rování
Požadovat důvěr-
nost zprávy, Poža-
dovat integritu
zprávy, Požadovat
zabezpečení relací
NTLMv2, Požado-
vat 128bitové šif-
rování
Požadovat důvěr?
nost zprávy, p0^
dovát integritu
zprávy, Požadovat
zabezpečení relací
NTLMv2, Požado-
vat 128bitové šif-
rování
Recovery console: Vypnuto
Allow automatic
Vypnuto
Vypnuto
Vypnuto
administrativě
logon
Recovery console: Zapnuto	Zapnuto	Vypnuto	Vypnuto
Allow floppy copy
and access to all
drives and all
folders
Shutdown: Allow systém to be shut down without having to log on	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Shutdown: Clear Virtual memory page filé	Vypnuto	Vypnuto	Zapnuto	Zapnuto
System cryptogra- Vypnuto	Vypnuto	Vypnuto	Vypnuto
phy: Use FIPS
compliant algo-
rithms for encryp-
tion, hashing, and
signing
System objects: Tvůrce objektu Tvůrce objektu Tvůrce objektu Tvůrce objektu
Default owner for
objects created by
members of the
Administrators
group
System objects: Zapnuto	Zapnuto	Zapnuto	Zapnuto
Require čase in-
sensitivity for non-
Windows subsys-
tems
Zpřísňování režimu na klientu
211
Bezpečnostní	Podnikový	stolní	Podnikový pře-	Vysoce zabezpe-	Vysoce zabezpe-
nastavení	počítač	nosný počítač	čený stolní počítač	čený přenosný po-
čítač
System objects:	Zapnuto	Zapnuto	Zapnuto	Zapnuto
Strengthen default
permissions of in-
ternal systém ob-
jects (for example,
Symbolic Links)
Event Log (Protokol událostí)
Maximum applica- 20480 KB	20480 KB	20480 KB	20480 KB
tion log size	_
Maximum security 40960 KB	40960 KB	81920 KB	81920 KB
log size
"Maximum systém 20,480 KB	20,480 KB	20,480 KB	20,480 KB
log size	_______
Prevent local	Zapnuto	Zapnuto	Zapnuto	Zapnuto
guests group from
accessing applica-
tion log
Prevent local Zapnuto	Zapnuto	Zapnuto	Zapnuto
guests group from
accessing security
i°g
Prevent local Zapnuto	Zapnuto	Zapnuto	Zapnuto
guests group from
accessing systém
k)g_
Retention method Podle potřeby Podle potřeby Podle potřeby Podle potřeby
for application log
Retention method Podle potřeby	Podle potřeby	Podle potřeby	Podle potřeby
for security log
Retention method Podle potřeby	Podle potřeby	Podle potřeby	Podle potřeby
for systém log
System Services (Systémové služby)
Alerter	Vypnuto	Vypnuto	Vypnuto	Vypnuto	_ _
Application Layer	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Gateway Service
Application	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Management
ASP.NET State	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Service
I
Implementace
a scénáře
cizuninv
212
Kapitola 5 - Zpřísňování režimu klientů a serverů
Bezpečnostní nastavení	Podnikový stolní počítač	Podnikový pře- nosný počítač	Vysoce zabezpe- Vysoce zabezpe. čený stolní pootač čený přenosný D čítač	
Automatic Up- dates	Automaticky	Automaticky	Automaticky	Automaticky"'''"
Background Intel- ligent Transfer Ser- vice	Ručně	Ručně	Ručně	Ručně
ClipBook	Vypnuto	Vypnuto	Vypnuto	Vypnuto
COM+ Event Sys- tem	Ručně	Ručně	Ručně	Ručně
COM+ System Application	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Computer Browser Vypnuto		Vypnuto	Vypnuto	Vypnuto
Cryptographic Ser- vices	Automaticky	Automaticky	Automaticky	Automaticky
DHCP Client	Automaticky	Automaticky	Automaticky	Automaticky
Distributed Link Tracking Client	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Distributed Link Tracking Server	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Distribution Trans- action Coordinator	Vypnuto	Vypnuto	Vypnuto	Vypnuto
DNS Client	Automaticky	Automaticky	Automaticky	Automaticky __
Error Reporting Service	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Event Log	Automaticky	Automaticky	Automaticky	Automaticky	
Fax Service	Ručně	Ručně	Vypnuto	Vypnuto 	
FTP Publishing	Vypnuto	Vypnuto	Vypnuto	Vypnuto	_
Help and Support	Vypnuto	Vypnuto	Vypnuto	Vypnuto
HTTP SSL	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Human Interface Device Access	Vypnuto	Vypnuto	Vypnuto	Vypnuto
IIS Admin Service	Vypnuto	Vypnuto	Vypnuto	Vypnuto
IMAPI CD— Burning COM Ser- vice	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Indexing Service	Vypnuto	Vypnuto	Vypnuto	Vypnuto
IPSec Services Automaticky Automaticky Automaticky Automaticky
Zpřísňování režimu na klientu
213
Bezpečnostní nastavení	Podnikový stolní počítač	Podnikový pře- nosný počítač	Vysoce zabezpe- čený stolní počítá	Vysoce zabezpe- č čený přenosný po- čítač
Logical Disk Manager	Ručně	Ručně	Ručně	Ručně
Logical Disk Manager Adminis- trativě Service	Ručně	Ručně	Ručně	Ručně
Messenger	Vypnuto	Vypnuto	Vypnuto	Vypnuto
MS Software Shadow Copy Pro- vider	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Netlogon	Automaticky	Automaticky	Automaticky	Automaticky
NetMeeting Re- mote Desktop Sharing	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Network Connec- tions	Ručně	Ručně	Ručně	Ručně
Network DDE	Ručně	Ručně	Vypnuto	Vypnuto
Network DDE DSDM	Ručně	Ručně	Vypnuto	Vypnuto
Network Location Awareness (NLA)	Ručně	Ručně	Ručně	Ručně
Network Provi- sioning Service	Vypnuto	Vypnuto	Vypnuto	Vypnuto
NTLM Support Provider	Automaticky	Automaticky	Automaticky	Automatiky
Performance Logs andAlerts	Ručně	Ručně	Ručně	Ručně
Plug and Play	Automaticky	Automaticky	Automaticky	Automaticky
Portable Media Seriál Number	Vypnuto	Vypnuto	Vypnuto	Vvpnuto
Print Snooler	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Protected Storage	Automaticky	Automaticky		Automaticky
Remote Access Auto Connection Manager	Vypnuto	Vypnuto		Vypnuto
Remote Access Connection Man-	Vypnuto	Vypnuto		Vypnulo
ager
C (D CA
Q.(XJ </r
Kapitola 5 - Zpřísňování režimu klientů a serverů
				
Bezpečnostní nastavení	Podnikový stolní počítač	Podnikový pře- nosný počítač	Vysoce zabezpe- Vysoce zabezpe. čený stolní počítač čený přenosný nn čítač	
Remote Desktop Helper Session Manager	Vypnuto	Vypnuto		Vypnuto
Remote Proceduře Vypnuto Call (RPC)		Vypnuto	Vypnuto	Vypnuto	"
Remote Proceduře Vypnuto Call (RPC) Locator		Vypnuto	Vypnuto	Vypnuto
Remote Registry Service	Automaticky	Automaticky	Vypnuto	Vypnuto
Removable Stor- age	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Routing and Re- mote Access	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Secondary Logon	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Security Accounts Manager	Automaticky	Automaticky	Automaticky	Automaticky
Server	Automaticky	Automaticky	Vypnuto	Vypnuto
Shell Hardware Detection	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Smart Card	Vypnuto	Vypnuto	Vypnuto	Vypnuto
SSDP Discovery Service	Vypnuto	Vypnuto	Vypnuto	Vypnuto
System Event No- tification	Automaticky	Automaticky	Automaticky	Automaticky
System Restore Service	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Task Scheduler	Vypnuto	Vypnuto	Vypnuto	Vypnuto
TCP/IP NetBIOS Helper Service	Automaticky	Automaticky	Automaticky	Automaticky
Telephony	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Telnet	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Terminál Services	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Themes	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Uninterruptible Power Supply	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Volume Shadow Copy	Vypnuto	Vypnuto	Vypnuto	Vypnuto
WebCIient	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Zpřísňování režimu na klientu 215
Bezpe&iostní nastavení	Podnikový stolní počítač	Podnikový pře- nosný počítač	Vysoce zabezpe- Vysoce zabezpe- čený stolní počítač čený přenosný po- čítač	
Windows Audio	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Windows Fire- wall/lnternet Con- nection Sharing (ICS)	Vypnuto	Vypnuto	Zapnuto	Zapnuto
Windows Image Acquisition (WIA)	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Windows Installer Automaticky		Automaticky	Automaticky	Automaticky
Windows Man- agement Instru- mentation	Automaticky	Automaticky	Automaticky	Automaticky
Windows Man- agement Instru- mentation Driver Extensions	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Windows Time	Automaticky	Automaticky	Automaticky	Automaticky
Windows User Mode Driver Framework	Vypnuto	Vypnuto	Vypnuto	Vypnuto
Wireless Zero con- figuration	Ručně	Ručně	Ručně	Ručně
WMI Performance Adapter	Vypnuto	Vypnuto		Vypnuto
Workstation	Automaticky	Automaticky		Automaticky
Implementace
a scénáře
Porty potřebné pro klienty
Aby bylo možné posílat a přijímat zprávy elektronické pošty a přistupovat k síťo-
vým zdrojům, musí být klienti schopni základní síťové komunikace. K zajištění této
komunikace je potřeba otevřít určité porty (viz tabulka 5.15). Tyto porty umožní
bezpečnou komunikaci, pokud váš klient ovšem nepotřebuje komunikovat něja-
kým jiným způsobem nebo nehosti aplikaci, která vyžaduje další porty.
Klientské skupiny s omezením
Místní skupiny, které existují na klientských počítačích, by měly být řízeny tak, aby
se zajistilo, že do správcovských skupin na všech počítačích patří jen ti uživatelé,
ti kterých je to žádoucí. Jestliže tyto skupiny nejsou řízeny pomocí zásad skupiny,
bude moci místní správce určovat, kdo bude mít správcovskou kontrolu nad počí-
tačem, což může v konečném efektu vést ke vzniku nedostatečně bezpečných kon-
figurací a k ohrožení počítače.
216
Kapitola 5 - Zpřísňování režimu klientů a serverů
TABULKA 5.15: Porty potřebné pro klienty
Porty	Popis
137	(názvová služba NetBIOS)	Používá jej služba hlavního serveru prochází
Tento port musí být otevřen kvůli službě WlNs
a hlavním serverům procházení.
138	(datagramová služba protokolu NetBIOS) Musí být otevřen, aby mohly aplikace jako je
služba Messenger nebo služba Computer
Browser přijímat příchozí datagramy.
139	(služba relací protokolu NetBIOS)	Pokud nepoužíváte aplikace nebo operační
systémy, které potřebují podporovat připojení
protokolu SMB, musí být tento port uzavřen.
Jestliže používáte operační systém Windows
NT 4.0, Windows Millennium Edition, Win-
dows 98 nebo Windows 95, musí být tento
port na vašich serverech otevřený.
445 (protokol SMB)	Tento port je používán pro základní síťovou
komunikací operačních systémů rodiny Win-
dows, včetně sdílení souborů, sdílení tiskáren
a vzdálené správy.
3389 (protokol RDP - Remote Desktop Protocol) Musí být otevřen v případě, že pro sdílení apli-
kací, vzdálenou plochu nebo vzdálenou asis-
tenci používáte Terminálovou službu.
Tabulka 5.16 obsahuje doporučení pro místní skupinu a doporučení informující
o tom, kteří uživatelé by měli patřit do jednotlivých skupin.
TABULKA 5.16: Doporučení pro klientské skupiny s omezením
Místní skupina	Členové
Administrators	Administrátor	(místní)
Domain Admins
Backup Operators	Nikdo
Network Configuration Operators	Nikdo
Power Users	Nikdo
Remote Desktop Users	Nikdo
Klientské počítače pro správce
a zaměstnance oddělení IT
Standardní nastavení klientského počít ače nemusí fungovat pro počítač, který použft a
správce nebo někdo ze zaměstnanců odděleni IT. Tito uživatele potřebují vi< e prh le-
govaný přístup k jejich vlastním počítačům, včetně možnosti instalovat aplikace, upr3'
vovat jejich vlastní registry, spouštět nástroje pro správu a pravděpodobně i zálohovat
své počítače- Tyto úlohy si na počítači vyžadují určité konfigurace služeb, portu a skU'
pin s omezením. Následující oddíl nabízí doporučené konfigurace pro počítače pou?1'
Zpřísňováni režimu na klientu
217
váné správci a zaměstnanci oddělení IT. Uvedeme pouze ta nastavení, která se liší od
výše uvedených nastavení standardních klientských počítačů.
Bezpečnostní nastavení pro správce a zaměstnance oddělení IT
Správci a zaměstnanci oddělení IT potřebují přístup ke klíčovým oblastem jejich počí-
tačů, aby mohli pracovat se soubory, složkami a hodnotami registru. Když probíhá in-
stalace aplikace, která potřebuje aktualizovat tyto oblasti jejich počítačů, nesmí jim
vtom zabezpečení nijak bránit. Namísto toho, abychom zde uvedl seznam konkrét-
ních nastavení zabezpečení a jejich doporučených hodnot (které by bylo ale prakticky
nemožné určit bez znalosti konkrétní aplikace nebo úlohy), podíváme se na některé
klíčové úlohy a sféry odpovědnosti správce a na to, jak zabezpečení uvolnit natolik,
aby byly tyto funkce povoleny.
Místní služby a software
Správci potřebují přistupovat k určitým službám, které by mohly být jinak vypnuty.
Následující služby je potřeba nastavit na volbu ručně nebo automaticky:
Implementace
a scénáře
zásad skupiny
	Alerter
	Distributed Link Tracking Client
	Help and Support
	IIS Admin Service
	IMAPI CD Burning COM Service
	Messenger
	MS Software Shadow Copy Provider
	Remote Proceduře Call (RPC)
	Remote Proceduře Call (RPC) Locator
	Removable Storage
	Server
	Uninterruptible Power Supply
Někteří správci by také mohli chtít instalovat další software pro správu jiných klien-
tů, serverů nebo zdrojů služby Active Directory, včetně následujících:
	Nástroje pro správu (Admnpak .msi)
	Konzola GPMC (Gpmc .msi)
® Windows Support Tools (složka \Support\Tools na instalačním CD produktu
Windows XP)
*	Nástroje Windows XP Resource Kit Tools, které se nacházejí na disku CD-ROM,
který je součástí publikace Microsoft Windows XP Professional Resource Kit, Third
L dition (Microsoft Press, 2005)
Tyto aplikace můžete nainstalovat pomocí zásad skupiny nebo uživatelem daného
počítače. K provedení těchto instalací musí mít uživatel správcovská oprávněni.
Kapitola 5 - Zpřísňování režimu klientů a serverů
Konfigurace místní skupiny
Pin
•o-
Doporučená konfigurace místní skupiny pro standardní klientský počítač nedáy-
správci dostatek kontroly nad jeho počítačem na to, aby mohl plnit jeho pracov *
povinnosti. Proto je třeba zvážit jinou konfiguraci, kterou lze zavést pomocí skun^
s omezením nebo na všech počítačích ručně. Tabulka 5.17 obsahuje některé dopo
ručené konfigurace pro místní skupiny na klientských počítačích správců a zamést
nanců oddělení IT.
TABULKA 5.17: Doporučení pro skupiny s omezením na klientech správců a za-
městnanců oddělení IT
Místní skupina	Členové
Administrators	Administrátor (místní)
Domain Admins
Domain\<uživatelské jméno> (<uživatelské jméno> je
uživatelský účet správce daného klienta)
Backup Operators	Administrators (místní)
Network Configuration Operators	Administrators (místní)
Klientské počítače pracovníků odborné pomoci
Nadstandardní kontrolu nad svými počítači potřebují také zaměstnanci odborné
pomoci. Neměli by ale mít také pravomoci jako správci. V závislosti na struktuře
vašeho centra odborné pomoci můžete mít pro různé zaměstnance odborné pomo-
ci různé množiny parametrů. Někteří zaměstnanci mohou mít například povoleno
instalovat aplikace, zatímco jim ne. Zde je několik doporučených konfiguraci pro
počítače používané zaměstnanci odborné pomoci, které jim poskytnou potřebná
přístupová prava. Tato nastavení obsahují pouze ta, která se liší od výše uvedené
sady nastavení pro běžné klientské počítače.
Bezpečnostní nastavení pro pracovníky odborná pomoci
Pracovníci odborné pomoci potřebují přistupovat k určitým službám, které by moh-
ly byt jinak vypnuty. Následující služby je potřeba nastavit na volbu ručně nebo au-
tomaticky:
	Alerter
	Distributed Link 1 racking Client
	Help and Support
	IIS Admin Service
	IMAP1 CD-Burning COM Service
	Messenger
	MS Software Shadow Copy Provider
	Remote Proceduře Call (RPC)
	Remote Proceduře Call CRPC) Locator
	Removable Stoiage
Zpřísňování režimu na klientu
219
Někteří pracovníci odborné pomoci by také mohli chtít instalovat další software pro
správu klientů, serverů nebo objektů služby Active Directory. Zde je seznam apli-
kací, které potřebuje používat většina pracovníků odborné pomoci:
	Nástroje pro správu (Admnpak.msi)
	Konzola GPMC (Gpmc. ms i)
	Windows Support Tools (složka \Support\Tool s na instalačním CD produktu
Windows XP)
	Nástroje Windows XP Resource Kit Tools, které se nacházejí na disku CD-ROM,
který je součástí publikace Microsoft Windows XP Professional Resource Kit. Thi-
rd Edition (Microsoft Press, 2005)
Tip Přestože tyto nástroje poskytují úplnou kontrolu nad všemi aspekty služby Active Directory
a zásad skupiny, budou na pracovníky odborné pomoci delegovány službou Active Directory
a konzolou GPMC pravomoci, které z velké části omezí jejich vliv na službu Active Directory.
Tyto aplikace je možné nainstalovat pomoci zásad skupiny nebo uživatelem dané-
ho počítače. Aby mohl tyto nástroje nainstalovat uživatel, musí mít odpovídající
správcovská oprávnění.
Konfigurace místní skupiny
Doporučená konfigurace místní skupiny pro standardní klientský počítač nedává pra-
covníkům odborné pomoci dostatek kontroly nad jejich počítači na to, aby mohli plnit
své pracovní povinnosti. Proto je třeba zvážit jinou konfiguraci, kterou lze zavést po-
mocí skupin s omezením nebo ručně pro jednotlivé počítače. Tabulka 5.18 obsahuje
doporučené konfigurace pro místní skupiny na klientských počítačích pracovníků
odborné pomoci.
TABULKA 5.18: Doporučení pro skupiny s omezením na klientech pracovníků
odborné pomoci
Místní skupina	Členové
Administrators	Administrátor (místní)
Domain Admins
Domain\<uživatelské jméno> (cuživatelské jméno> je uži-
vatelský účet správce daného klienta. To je potřeba
v případě, že zaměstnanec odborné pomoci potřebuje na
svůj počítač ručně instalovat software.)
Backup Operators	Administrators (místní) nebo Power Users
Network Configuration Operators Administrators (místní) nebo Power Users
Power Users	Domain\<uživatelské jmeno> (cuživatelské jméno je uži-
vatelský účet správce daného klienta. To je potřeba v přípa-
dě, že zaměstnanec odborné pomoci potřebuje upravovat
místní zdroje, ale nepotřebuje instalovat aplikace.
Implementace
a scénáře
zásad skupiny
Kapitola 5 - Zpřísňování režimu klientů a serverů
5.6 Řešení problémů
Když přijde na řešení problémů s nastaveními zabezpečení, která chcete zavést
bo jste již zavedli na vaše počítače, cesty vedoucí k nalezení zdroje problému jsOu
různé. Problém může být způsoben službou nebo portem, který jste nedopatřený
zablokovali, nebo se může stát, že klient není schopen vůbec přijímat nastavení
blon zabezpečení přes nějaký objekt GPO.
Problémy se mohou týkat komplikací s ověřením uživatele v síti nebo dokonce
nemožnosti nastartování počítače. Při takovém množství potenciálních problémo-
vých oblastí je naprosto nevyhnutelné mít k dispozici sadu nástrojů pro pomoc
s řešením možných potíží. Nejdříve se ale krátce podívejme na různé oblasti Securi-
ty Templates (Šablony zabezpečení) a zásad zabezpečení, kterým je dobré při hle-
dání zdroje problémů věnovat pozornost.
Oblasti zabezpečení a potenciální problémy
Security Templates (Šablony zabezpečení) a zásady zabezpečení jsou primárními
způsoby konfigurace vašich klientu a serverů př zabezpečování a zpřísňování re-
žimu. Některé oblastí zabezpečení pokrývají jak Security Templates, tak i zásady
zabezpečení, zatímco jiné oblasti jsou nakonfigurovány pouze v jednom místě. Ne-
sledujícím oblastem zabezpečeni byste měli věnovat zvýšenou pozornost:
	Account Policy (Zásady účtů) Zásady účtu se konfigurují pouze v šablonách
zabezpečení. Uživatele mohou mít problémy při změnách hesel nebo přihlašo-
vání, jestliže zapomněli svá hesla, neboť zásady účtu určují omezení pro hesla
a množství pokusů o přihlášení. Je důležité skloubit trénink uživatelů s případ-
nými změnami, k nimž dochází v této části bezpečnostní šablony. Jestliže se po-
žadavky na heslo změní z jednoduchých (nebo žádných) na složité, musí
uživatelé znát parametry pro vytvořeni hesla nového. Chybové hlášky jsou
v tomto případě poměrně jasné. Informují o tom, že heslo nesplňuje požadavky
na syntaxi (viz obrázek 5.9) nebo že byl uživatelský účet uzamčen (na rozdíl od
špatného hesla) - viz obrázek 5.10.
	Audit Policy (Zásady auditování) Zasady auditování je možné na konfigurovat
v šabloně zabezpečení nebo v zásadách zabezpečení. Zásady auditování obvyk-
le nezpůsobí žádné viditelné problémy. Jestliže jsou ale zásady přístupu
k objektům nastaveny na serveru pro velké množství objektů na hodnoty
Úspěšné pokusy a Neúspěšné pokusy, výkon serveru se může dramaticky snížit.
To platí především v případe, že přístup k objektům byl nakonfigurován pr°
doménový řadič, kde bylo nastaveno auditování většiny objektu služby Active
Directory. Máte-li pocit, že auditování snižuje výkon vašeho serveru nebo klien-
ta, můžete je snadno vypnout a následně si ověřit, zda došlo ke zvýšení výkonu.
Další možností je použít nástroj System Monitor k určení, která aplikace nebo
služba způsobuje snížení výkonu.
Řešeni problémů
221
Change Passwor d
The password supplied does not meet the nomum compte'1 ty requirements. Please
select another password that meets all of the followtng criteria: k at leasc 7 characters;
has not been ušed m the previous 24 passwords; must not háve been changed wlthin
the last 1 days; does not contan your account or fuD name; contans at least chree of
the following fcur character groups: Enghsh jppercase characters (A through Z); English
lowercase characters (a through z); Numer ais (0 through 9); Non alpfiabeti: characters
(such as h %). Type a password which meets these requirements in both text
boxes.
OBRÁZEK 5.9: Chybová zpráva, která se objeví, když uživatel zadá heslo, jež nesplňuje
požadavky určené zásadami hesel
Implementace
a scénáře
zásad skupiny
OBRÁZEK 5.10: Chybová zpráva, která se objeví, když dojde k uzamčení účtu uživatele
User Rights Assignment (Přiřazení uživatelských práv) Uživatelská práva se
konfigurují pouze v šablonách zabezpečení. Protože uživatelská práva řídi roz-
sah akcí, které uživatele mohou a nemohou provádět na klientu či serveru, jsou
často zdrojem mnoha problému. Nezapomínejte, že uživatelská práva ovlivňují
nejen účty uživatelů a skupin, ale jsou také nezbytné pro účty služeb. Jsou-li
uživatelská oprávnění nastavena příliš restriktivně nebo je nějaký uživatel v zá-
sadách opomenut, může nastat mnoho problémů se základní funkcionalitou
serveru či klienta. Selhat mohou aplikace, zálohy i základní ověřování uživatele.
V závislosti na lom, která oblast funkcionality selže, můžete použít různé meto-
dy k identifikaci problému. Dobrým výchozím bodem jsou protokoly událostí
použití objektů nebo použití práva. Jestliže máte nakonfigurováno použití
oprávnění na Success - Úspěšné pokusy i lailure - Neúspěšné pokusy, měli
byste' získat užitečné informace, ktere vám pomohou vypátrat nesprávně nasta-
vená uživatelská oprávnění, abyste pak mohli přidat správného uživatele či
skupinu a zajistit mu odpovídající přístup a oprávnění.
Security Optíons (Možnosti zabezpečení) Možnosti zabezpečení se nastavují
především v šablonách zabezpečení, ale některá bezpečnostní nastavení je možno
nakonfigurovat i pomocí průvodce Security Configuration Wizard. Jak jsme již dří-
ve v této kapitole uvedli, pokrýt zde všechny možnosti zabezpečení není možné.
Některá více běžná a vlivná nastaveni mohou ale v případě špatné konfigurace
vést k určitým obvyklým komplikacím. Jestliže mate problémy s přistupováním ke
zdrojům přímo nebo prostřednictvím aplikací, zkontrolujte nastavení anonymního
přístupu a přihlašování SMB. Máte-li problémy s ověřováním, možná bude potřeba
pozměnit nastavení systému LAN Manager, aby byla odstraněna omezení tykající
se základního přihlašování a ověřovaní.
Event Log (Protokoly událostí) Nastavení protokolů událostí lze nakonfigurovat
pouze v šablonách zabezpečení Jestliže nastavíte soubory protokolů na příliš ma-
lou velikost, nebudete schopni prohledávat události do liloubky, neboť protokoly
budou často přepisovány. Soubory protokolů byste měli nakonfigurovat tak, aby
222
Kapitola 5 - Zpřísňováni režimu klientů a serverů
omezený^
-piriy
- -ože
mohly být dostatečně velké pro uložení všech dat, která jsou zaznamenána
jednotlivými archivacemi. Protokoly událostí je dobré periodicky ukládá
aby byla velikost souborů s protokoly rozumná a nedocházelo ke ztrátě dat ’
Restricted Groups (skupiny s omezeným členstvím) Skupiny s omezen'
členstvím můžete konfigurovat pouze v šablonách zabezpečení. Skun'
s omezeným členstvím je potieba před implementací pečlivě otestovat. ProtoK
při použití nových zásad může dojít k odstranění existujících skupin a uživatelů'
hrozí v takové situaci jisté komplikace. Jestliže do právě implementovaných zá’
sad zapomenete zahrnout uživatele nebo skupinu, může dojít k selhání aplikací
služeb nebo přístupu ke zdrojům. Jedním ze způsobů jak identifikovat příčinu
problému je nakonfigurovat auditování přístupu k objektům, abyste následně
mohli vypátrat zdroj selhání.
	Services (Systémové služby) Systémové služby je možné konfigurovat jak
v bezpečnostních šablonách, tak i pomocí nástroje Security Configuration Wi-
zard. Vzhledem k tomu, že následky zavedení zásad zabezpečení bez předcho-
zího testovaní mohou být katastrofální, měli byste vaši novou konfiguraci
otestovat ještě předtím, než začnete zakazovat služby. Na vědomí musíte brát
nejen vypínané služby, ale také všechny služby, které jsou na nich závislé. Tato
řetězová reakce není vždy na první pohled patrná. V ideálním případě byste
měli pro modifikace služeb použít nástroj Security Configuration Wizard. Tako-
vý přístup má dvě vyhody. Zaprvé, průvodce poskytuji1 velmi dobré popisy zá-
vislostí mezi jednotlivými službami. Za druhé, průvodce má funkci pro nkvrácápí
do předchozího stavu, což je užitečné obzvlášť v situaci, kdy zavedete nastave-
ní, která způsobí mnoho problému.
	Registry Registr cílového počítače lze konfigurovat prostřednictvím šablon za-
bezpečení i pomocí zásad. Security Templates (Šablony zabezpečení) mohou
konfigurovat seznamy DACL klíčů registru, zatímco průvodce Security Configu-
ration Wizard (Průvodce konfigurací zabezpečení) může konfigurovat důležitá
nastavení registru, která určují způsob sirové komunikace počítačů s operačním
systémem rodiny Windows. Výsledky’ nesprávného nastavení registrů se nemusí
projevil ihned. Například problémy se seznamy DACL nebo určitými nastavem-
ni se mohou poměrně dobře „skrývat“. Pii hledám zdroje problému můžete
použit auditování, ale vzhledem k tomu, že počty nastavení registrů jednoho
počítače se pohybují v tisících, bude hledání problému často náročné. Nejlepším
způsobem, jak řešit problémy s konfiguracemi registrů je pečlivě vaše konfigura-
ce dokumentovat a používat nástroje uvedené v následující části. S jejich pomo-
cí si můžete ověnt, zda jsou nastavení registrů a seznamu DACL nastavena
v souladu s dokumentaci
	Systém souborů Oprávněni souborového systému lze konfigurovat v šablona*1
zabezpečení. Stejně jako je tomu u seznamů DACL registru, tak i seznamy DACL
souborových systému mohou přinést komplikace při řešení s nimi souvisejících
problémů, jestliže jste problém způsobili prostřednictvím zavedení objektu GPO-
Nejlepším zdrojem informací je opět auditování přístupu k objektům. Pro objekt
systému souboru můžete nakonfigurovat auditování úspěšných i neúspěšných p°'
kusů, abyste tak viděli, kdy k němu byl uživateli či skupině zamítnqt přístup. Do-
Řešení problémů
223
kumentace a použití nástrojů popsaných v následujícím oddíle může také pomoci
zajistit, že nastavení vašich šablon zabezpečení splňuje vaše požadavky.
	Porty Porty můžete řídil prostřednictvím objektů GPO i nástrojem Security Con-
figuration Wizard. Jestliže objekty GPO používáte k řízení portů brány firewall
operačního systému Windows, obraťte se na 11. kapitolu, kde najdete tipy pro
konfiguraci a řešení problémů. Používáte-li k řízení portů nástroj Security Configu-
ration Wizard, musíte zajistit, že porty, které chcete zakázat nebo povolit, jsou
správně nastaveny. Bránu firewall daného počítače může zkontrolovat ručně nebo
je možné použít nástroje Netstat či Portqry (zmiňované dříve v této kapitole).
Nástroje
Když v rámci zpřísňování režimu na klientech a serverech vyl vaříte a zavádíte bez-
pečnostní nastavení, předpokládáte, že se nastavení aplikují správně a že nebudete
muset v důsledků vašeho návrhu čelit žádným negativním následkům. Občas se ale
stane, že výsledky nejsou přesně takové, jako jste očekávali. Jestliže projdete
všechny části Security Templates (Šablony zabezpečení) a zdá se vám, že nastaveni
jsou správná, budete ke zjištění zdroje problému vaší implementace zabezpečení
potřebovat některé nástroje. Následující sekce popisují některé nástroje, které vám
mohou pomoci dohledat vadné konfigurace zabezpečení cílového počítače.
Další informace Další informace o tom, jak příkaz secedit používat pro analýzu počítače,
získáte zadáním příkazu secedit /? do příkazového řádku.
Implementace
a scénáře
zásad skupiny
Konfigurace a analýza zabezpečení
Modul Security Configuration and Analysis (Konfigurace a analýza zabezpečení) je
grafickou verzí příkazu secedit. Tento nástroj graficky porovnává nastaveni nachá-
zející se v šabloně zabezpečení s nastaveními existujícími na analyzovaném počíta-
či. Chcete-li na nějakém počítači prostřednictvím modulu Security Configuration
and Analysis (Konfigurace a analýza zabezpečení) spustit analýzu, postupujte takto:
1. Klepněte na tlačítko Start a poté na položku Run (Spustit).
2.	Do dialogového okna Run (Spustit) zadejte mmc a poté klepněte na tlačítko OK.
3.	V panelu nabídek zvolte Filé (Soubor), Add or Remove Snap-ln (Přidat nebo ode-
brat modul snap-in).
4.	V dialogovém okně Add or Remove Snap-ln klepněte na tlačítko Add (Přidat).
5.	V dialogovém okně Add Standalone Snap-(n (Přidat samostatný modul snap-in
vyberte v seznamu modulů položku Security Configuration and Analysis (Konfigu-
race a analýza zabezpečení) a poté klepněte na tlačítko Add (Přidat).
6.	Klepněte na tlačítko Close (Zavřít) a poté klepněte na tlačítko OK.
7.	Klepněte pravým tlačítkem myši na uzel Security Configuration and Analysis (Kon-
figurace a analýza zabezpečení) a zvolte Open Database (Otevřít databázi).
8.	Zadejte název databáze a poté klepněte na tlačítko Open (Otevřít).
9.	Vyberte šablonu zabezpečení, kterou chcete pro auditování použít, a znovu klep-
něte na tlačítko Open ( Otevřít).
224
Kapitola 5 - Zpřísňování režimu klientů a serverů
10.	Po vytvoření databáze klepněte pravým tlačítkem na uzel
and Analysis (Konfigurace a analýza zabezpečení) a zvolte
puter (Analyzovat počítač).
11.	Zadejte cestu k souboru protokolu chyb a klepněte na tlačítko OK.
12.	Po skončení analýzy si v jednotlivých uzlech projděte výsledky.
Security Configurati
položku Analyse
Gpresult
Gpresult je již starším nástrojem, ale stále je velmi užitečný při hledání a řešení pro
blému s nastaveními objektů GPO. Nástroj není zaměřen pouze na zabezpečení ale
může vám poskytnout informace o tom, které objekty GPO se vztahují na určitý
počítač a která nastavení (včetně bezpečnostních nastavení) na něm existují.
Další informace Další informace o použití příkazu Gpresult najdete v 16. kapitole.
Množina RSoP
Někdy budete potřebovat zjistit nastavení objektů GPO pro počítač, který není při-
pojen k síti nebo k němuž nemáte přístup. Sada zásad RSoP vám s tím muže po-
moci. Včetně poskytnutí podrobností o bezpečnostních nastaveních, která budou
na počítač aplikována prostřednictvím objektů GPO.
Da*šl 'nf°rmace Da,š> informace o použití nástroje sady zásad RSoP najdete v 16. kapitole.
5.7 Shrnutí
Zpřísňování režimu klientů a serveni vyžaduje porozumění dostupným metodám
pro tvorbu bezpečnostních nastaveni efektivním a konzistentním způsobem. Ke
zpřísňování režimu klientu a serverů jsou určeny dva nástroje: Security Templates
(Šablony zabezpečení) a zásady zabezpečeni. Security Templates mohou konfigu-
rovat většinu bezpečnostních nastavení pro zpřísňování režimu klientů a serverů.
Zásady zabezpečení se tvoří prostřednictvím nástroje Security Configuration Wizard
(Průvodce konfigurací zabezpečení), jehož použiti je intuitivnější a je založeno na
rolích serveru, administiativních funkcích a dalších aspektech serverů.
Ať už používáte Security Templates (Šablony zabezpečení), zásady zabezpečení nebo
obojí, měli byste se pokud možno při závidění těchto nastavení snažit používat zásady
skupiny. Jak jsme se již dříve v této knize dozvěděli, klíčovým aspektem zpřísňovaní
zabezpečení je způsob jakým ve službě Active Directory navrhnete vaše organizační
jednotky a připojíte vaše objekty GPO. Při existenci stovek bezpečnostních nastaveni
dostůj mých v jedné šabloně zabezpečení nebo v zásadách se musíte při tvorbě za-
kladla úrovně zabezpečeni spoléhat na bezpečnostní doporučení popsaná v této kapi-
tole. Jakmile nastavení zabezpečení zavedete, potřebujte již jen monitorovat ovlivněné
počítače, zda na nich nedochází k nežádoucímu chováni či chybám.
Správa a údržba
základních
komponent
systému
Windows
Kapitola 6 - Správa a údržba základních komponent systému Windows
Obsah kapitoly:
6.1	Konfigurace nastavení kompatibility aplikací.........................226
6.2	Konfigurace nastavení správce příloh.................................229
6.3	Konfigurace požadavků na informace prohlížeče událostí...............233
6.4	Řízení instalace serveru IIS.........................................234
6.5	Konfigurace přístupu do konzoly MMC a její použití...................235
6.6	Optimalizace zabezpečení a funkcí programu NetMeeting................238
6.7	Použití centra zabezpečení v doménách................................239
6.8	Správa přístupu k naplánovaným úlohám a do plánovače úloh............240
6.9	Správa možností souborového systému, disku a průzkumníka Windows.....241
6.10	Optimalizace konfigurace instalační služby systému Windows..........246
6.11	Optimalizace automatických aktualizací pomocí Windows Update........253
6.12	Shrnutí.............................................................261
Zásady skupiny jsou jedním z nejefektivnějších způsobů, jak spravovat a udržovat
konfiguraci podnikových systémů. Nejenže pomoci zásad skupiny můžete specifi-
kovat konfigurací komponent a funkcí systému Microsoft Windows, ale s jejich po-
mocí může také řídit přístup ke komponentám a funkcím. To vám umožňuje
systémovou konfiguraci optimalizovat a vytvořit si vlastní nastavení pro různá umís-
tění a uživatelské skupiny.
JRL Další informace Některé komponenty operačního systému Windows jsou podrobně popsaný
v jiných kapitolách této knihy. Konfiguracím aplikace Microsoft Internet Explorer se věnuje
kapitola 8. Konfigurace terminálových služeb jsou probírány v kapitole 12.
Související informace
	Další informace o přizpůsobení uživatelských nastavení a dat najdete v kapitole 7.
	Další informace o konfiguraci aplikace Internet Explorer najdete v kapitole 8.
	Další infonnace o přizpůsobeni systémů různým pracovištím najdete v kapitole 12.
6.1 Konfigurace nastavení
kompatibility aplikací
Když na operačních systémech Microsoft Windows XP nebo Windows Server 2003
spouštíte lóbitové programy a programy systému MS-DOS, běží ve speciálním re-
žimu kompatibility. Operační systém Windows vytvoří virtuální počítač, který na-
podobuje rozšířený režim 386 používaný operačním systémem Windows 3-1 a dana
aplikace běží v tomto kontextu. Stejně jako je tomu u většiny komponent operační'
ho systému Windows, tak i kompatibilitu aplikací lze konfigurovat pomocí zásad
Konfigurace nastavení kompatibility aplikací
227
skupiny. Chcete-li například rozšířit a vylepšit stabilitu systému, můžete uživatelům
zakázat spouštění lóbitovych aplikací a aplikací systému MS-DOS. Odpovídající zá-
sady můžete aktivovat na doménové úrovni. Jestliže ale chcete, aby uživatele
a počfcače organizační jednotky DevTest měli spouštění těchto aplikací pro účely
testování povoleno, můžete nastavení zásad, které spouštění těchto programu
v organizační jednotce DevTest zakazují, přetížit. Nyní se podíváme na tyto a další
konfigurační scénáře kompatibility aplikací.
Optimalizace kompatibility aplikací
prostřednictvím zásad skupiny
01
Kdvž spouštíte lóbitove programy a programy systému MS-DOS, běží ve virtuálním
stroji jako samostatná vlákna, což znamená, že sdílejí společný paměťový prostor.
Způsobů, s jejichž pomocí můžete předejít problémům i zajistit kompatibilitu, je ně-
kolik. Patří mezi ně i změna nastaven1 aplikace pomocí Průvodce ověřením kompati-
bility programu.

u
ias
D. cb cn
E r:
_ N
Další informace Více informací o kompatibilitě aplikací najdete v publikaci Microsoft Win-
dows XP Professional Administrátorů Pocket Consultant, Second Edition (Microsoft Press,
2004).
Zásady, které maií vliv na kompatibilitu aplikaci, jsou uloženy na dvou následujících
místech: Computer Configuration1^ Administrativě TemplatesX Windows ComponentsX
Application Compatibility (Konfigurace počítáče\Šablony pro sprdviASoučásti systé-
mu WindouAKompatibilua aplikací) a User Configurati on XAdministrativě Templa-
tes\ Windows ComponentsXApplication Compatibility (Konfigurace uživatel \Sab-
lonypro sprcíviASoučdsti systému U indows\Kompatibihta aplikací). To znamena, že
některé aspekty kompatibility aplikací můžete konfigurovat jak na úrovni počítače
tak na uživatelské úrovni.
Virtuálnímu počítači (proces Ntvdm.exe) můžete pro subsystém MS-DOS zakázat
spi luštění tak, že ve složce Computer Configuration nebo User Configuration akti-
vujete zásady Prevent Access To 16-bit Applications. Jakmile tylo zásady povolíte,
nebude uživatelům umožněno spouštět žádné lóbitové programy či programy sys-
tému MS-DOS. Dále to znamená, že nepoběží ani žádné 32bitové aplikace, které
maj lóbitové nstalačni programy nebo komponenty.
Poznámka Když se zásady nacházejí v obou složkách Computer Configuration a User Confi-
guration, nastavení zásad počítače implicitně přetíží uživatelské zásady. Nicméně přednost
při zpracování zásad může tento efekt změnit. Další informace najdete v oddíle s názvem
„Změna parametrů pro zpracování zásady" kapitoly 3.
Tip Mějte na paměti, že skupina počítačů, na které se nastavení zásad aplikují, se určuje pro-
střednictvím požadavků zásad. Jestliže z *sady požadují minimálně operační systém Windows
Server 2003, aplikují se pouze na operační systém Windows Server 2003, nikoliv na Windows
2000 či Windows XP Professional.
228
Kapitola 6 - Správa a údržba základních komponent systému Windows
Konfigurace dodatečných nastavení
kompatibility aplikací
Při práci s kompatibilitou aplikací se vám mohou hodit i další zásady ze složky cGrn
puter ConfigurationX Administrativě Tem platesX Windows Components\Applicali0n
Compatibility. Mezi tyto zásady patří:
 Tum Off Application Compatibility' Engine (Vypnout modul kompatibility
aplikací) Tyto zasady zablokují modul kompatibility aplikací, který se používá
pro nahrávaní lóbitových programu a programu systému MS-DOS a spouští ie
v režimu kompatibility. Operační systém Windows také nebude da’e blokovat in-
stalaci programů se známými problémy s kompatibilitou (které mohou snížit vý-
kon nebo způsobit výskyt chyby STOP - modrá obrazovka). Tyto zásady se
mohou hodit při vylepšovaní výkonu ohledně nahrávání a spouštěni aplikací na
webových nebo aplikačních serverech, které často nahrávají a spouštějí lóbitové
programy a progiamy systému MvDOS. Musíte si ale být jistí, že lóbitové pro-
gramy a programy systému MS-DOS, které spouštíte, jsou plně kompatibilní.
>	\ Tip Když pracujete s aplikačními servery, které využívají Internetovou informační službu (IIS),
budete jistě chtít spravovat kompatibilitu aplikací trochu více do hloubky než u jiných typů
serverů. V okamžiku, kdy nějaká webová aplikace spustí externí program, rozběhne se au-
tomaticky modul kompatibility bez ohledu na to, zda je program .exe 16 nebo 32 bitový.
Uvedené chování je navrženo právě tak, aby bylo zajištěno, že budou mít externí programy
kompatibilní prostředí. Některé webové aplikace ale mohou volat externí programy několi-
krát za vteřinu a všechna další volání modulu kompatibility mohou degradovat výkon serve-
ru a prodloužit dobu odezvy. Jestliže jste externí programy, které budou používány na
vašich webových aplikačních serverech, důkladně otestovali, můžete modul kompatibility
vypnout a docílit tak zvýšení výkonu serveru.
	Tum Off Program Compatibility Wizard (Vypnout průvodce ověřením
kompatibility programu) Zabraňuje uživatelům ve spouštění Průvodce ověře-
ním kompatibility programu, který může automaticky upravit nastavení kompa-
tibility programu. Dokud nevypnete také zasady Remo\ e Program Compatibility
Property Page, budou moci uživatelé1 i nadále měnit nastavení kompatibility
programu ručně. Dříve nakonfigurovaná nastavení kompatibility platí i nadále.
	Remove Program Compatibility Property Page (Odebrat stránku vlastnos-
tí kompatibility programu) Zabraňuje uživatelům v ručním pozměňovaní na-
stavení kompatibility programu. Tyto zásady nemají vliv na přístup do Průvodce
ověřením kompatibility programu a veškerá drive nakonfigurovaná nastaveni
kompatibility platí i nadáli.'
	Tum On Application Help Log Events (Zapnout události protokolu nápo-
vědy k aplikaci) Umožňuje zaznamenávání událostí do aplikačních protokolů-
Tyto události jsou spouštěny pokaždé, když nápověda aplikace - Application
Help - zabraní uživateli vé spuštění lóbitového programu nebo programu sys-
tému MS-DOS, který není kompatibilní s aktuální verzí operačního systému
Windows. Jestliže jsou tylo zasady vypnuty nebo nejsou nakonfigurovány, ne-
budou do protokolů zaznamenávány žádné události související s voláním App^'
Konfigurace nastavení správce příloh
229
cation Help. Bez ohledu na konfiguraci těchto zásad se při zablokování pro-
gramu modulem Application Help uživateli zobrazí informační zpráva.
5.2 Konfigurace nastavení správce příloh
počítače s operačními systémy Windows Server 2003 Service Pack 1 (SPI) nebo no-
vější a Windows XP Professional Service Pack 2 (SP2) nebo novější používají správ-
ce příloh pro monitorování a řízení přístupu k souborovým přílohám. Předtím než
se v zásadách pokusíte konfigurovat tuto komponentu operačního systému Win-
dows, měli byste dobře rozumět tomu, jak vlastně funguje.
Práce se správcem příloh
Účelem správce příloh je posílit zabezpečení prostřednictvím vyčlenění typů soubo-
rů. které by mohly znamenat nebezpečí, a poté k těmto souborům řídil přístup. Ve-
likost rizika se určuje vzhledem k zóně zabezpečení sítě Internet, ze které byla
příloha získána. Definovány jsou čtyři zóny zabezpečení sítě Internet:
Implementace
a scénáře
	Servery s omezeným přístupem Jedná se o takové servery, které byly, vzhle-
dem k jejich obsahu nebo potenciálnímu nebezpečí pro váš počítač, přímo
identifikovány jako servery s omezeným přístupem. Servery s omezeným přístu-
pem mají implicitně nastavenou nadstandardní úroveň zabezpečení.
	Důvěryhodné servery Jedná se o servery, které byly označeny jako důvěry-
hodné. Důvěryhodné servery sc považují za bezpečné a implicitně mají nasta-
yenou nižší než standardní úroveň zabezpečení.
	Místní intranet Všechna umístěni v místní síti, včetně intranetovych serveru,
serverů ignorovaných serverem proxy a všech síťových cest. Místní intranctové
servery se považují za velmi bezpečné a mají implicitně úroveň zabezpečeni
mnohem nižší, než je standardní.
	Internet Servery v Internetu, které nejsou přirazeny do žádné z ostatních zón
zabezpečeni. Internetové servery mají implicitně střední úroveň zabezpečeni
Správce příloh přiřazuje přílohám (na základě zóny, ze ktere pochází) jednu ze
tří úrovní nebezpečí:
	Vysoké nebezpečí Tato úrov eň znamená, že příloha je v případě otevření pro sys-
tém potenciálně nebezpečná. Implicitně se typy souborů označené jako vysoce
nebezpečné zablokují u serverů s omezeným přístupem a u internetových serverů
se vyžaduje, aby byl uživatel před jejich stažením upozorněn. Interní seznam vyso-
ce nebezpečných typů soubcnů je následující: . a d e, .adp, .app, .asp, .bas, .bat,
.cer, .chm,	.cmd,	.com,	.cpi,	.crt,	.csh, .exe, .fxp,	.hlp,	.hta,	.inf,	.ins,	.isp,
. íts, .js, .jse, .ksh,	.Ink,	.mad, .maf, .mag, .mam,	.maq,	.mar,	.mas,	.mat,	.mau,
.mav, .maw,	.mda,	.mdb,	.mde,	.mdt,	.mdw, .mdz, .msc,	.msi,	.msp,	.mst,	.ops,	.pcd,
.pif, .prf,	.prg,	.pst,	.reg,	.scf,	.ser, .set, .shb, .shs,	.tmp,	.url, .vb,	.vbe,
• vbs, .vsmacros, .vss, .vst, .vsw, .ws, .wsc, .wsf, a .wsh.
Střední nebezpečí Tyto přílohy znamenají pro systém v případě otevření
středně velké nebezpečí. U internetových serverů a serveru s omezeným přístu-
pem se implicitně vyžaduje, aby byl uživatel před jejich stažením upozorněn.
Všechny typy souboru, které nejsou správcem příloh označeny jako vysoce ne-
230
Kapitola 6 - Správa a údržba základních komponent systému Windows
bezpečné nebo málo nebezpečné, jsou automaticky označeny jako středně
bezpečné.
 Nízké nebezpečí Tyto přílohy v případě otevřeni neznamenají pro systém
s největší pravděpodobností žádnou hrozbu. Všechny typy souborů označené
jako málo nebezpečné jsou ze všech umístění implicitně otevírány bez upozor-
nění. Operační systém Windows obsahuje zabudovaný seznam typů souboru
které jsou označeny jako málo nebezpečné. Tento seznam se vztahuje na dvě
aplikace - Notepad (Poznámkový blok) a Image and Faxes Vievver (Prohlížeč
obrázku a faxů). Otevřete-li na serveru s omezeným přístupem nebo na interne-
tovém serveru pomocí Poznámkového bloku soubor s příponou .log, .text
nebo .txt, je soubor považován za málo nebezpečný. Otevřete-li na serveru
s omezeným přístupem nebo na internetovém serveru pomocí prohlížeče ob-
rázků a faxu soubor s příponou .dib, .emf, .gif, .ico, . jfif, .jpg, .jpe, .jpeg
. png, .tif, .ti f f nebo .wmf, je soubor považován za málo nebezpečný. Přiřa-
zení dalších typů souborů k aplikacím poznámkový blok či prohlížeč obrázku
a faxu neznamená, že tento typ souboru přibude do seznamu souborů znamenají-
cích nízké nebezpečí.
,	\ Tip Konfigurovaní zásad souvisejících se správcem příloh je obzvláště užitečné v případě, že
počítač nemá antivirový software nebo má takový antivirový software, který není nastaven,
aby kontroloval přílohy před jejich otevřením. V obou případech můžete správce příloh pou-
žít pro monitorování přístupu k přílohám a přístup podle potřeby zablokovat nebo uživatele
před otevíráním souborů upozorňovat.
Konfigurace úrovní nebezpečí a vztahů důvěry
v zásadách skupiny
V zásadách skupiny můžete prostřednictvím uživatelské konfigurace nastavit způsob,
jakým bude správce příloh fungovat. Přestože existuje mnoho způsobit, jak nastavení
správce příloh konfigurovat, obvykle využijete jeden ze dvou následujících. Pivním
způsobem je používat pro určování způsobů zacházení s přílohami výchozí úrovně
nebezpečí a výchozí vztahy důvěry. Druhým způsobem je nadefinovat typy soubo-
rů, kleré jsou vysoce, středně a málo nebezpečné (a přetížit tak zabudovaný se-
znam typu souborů) a následně nastavit vztahy důvěry. V obou případech můžete
také nastavit upozorňování prostřednictvím antivirového softwaru.
Vztahy důvěry jsou jedním z aspektů správce příloh, kterému jsme se zatím nevě-
novali. Správce příloh může vyhodnotit nebezpečí, které daná příloha znamená,
podle typu souboru a také podle aplikace, která se soubor pokouší otevřít. Aplika-
cím, které se soubor snaží otevřít, je přiřazena určitá výchozí preference. To zna-
mená, že ověřená aplikace (např. Word.exe) muže otevřít souborovou přílohu,
kterou nedůvěryhodná aplikace (např. Malware.exe) otevřít nedokáže. Vztahy dů-
věry můžete nakonfigurovat ještě dalšími dvěma způsoby. Správce příloh bude
kontrolovat pouze typ souboru, a proto bude míru nebezpečí určovat přednostně
podle typu souboru. Dáváte-li přednost tomu, aby správce příloh kontroloval apli'
kaci i typ souboru, bude nebezpečí určováno podle aplikace a typu souboru.
U této konfigurace používá operační systém Windows tu přísnější z obou podmí-
nek, což činí tuto možnost nejvíce omezující (a současně nejbezpečnější).
Konfigurace nastavení správce příloh
231
Chcete-li konfigurovat zásady správce příloh, postupujte následovně:
1.	Otevřete objekt GPO, s nímž chcete pracovat. Vstupte do složky User Configuration
\Administrativě TemplatesX Windows Components\Attachment Manager (Konfi-
gurace počíiače\šablonypro správu\S< nicásti systému Windows\Správcepřílohy
2.	Výchozí úroveň nebezpečí je pro souborové přílohy přijaté ze serverů s omezeným
přístupem či z Internetu nastavena na hodnotu „střední Při této úrovni nebezpečí
jsou uživatelé před stažením souboru ze serveru s omezeným přístupem či z Inter-
netu upozorňováni. Chcete-li nastavit jinou úroveň nebezpečí, poklepejte na po-
ložku Default Risk Level For l ile Attachments (Výchozí úroveň rizikovosti pro
přílohy). Nastavte ji na hodnotu Enabled a poté zvolte úroveň nebezpečí (viz ob-
rázek 6.1). Klepněte na tlačítko OK.
Poznámka Chcete-li předejít tomu, aby uživatelé stahovali soubory ze serverů s omezeným
přístupem, můžete výchozí úroveň nebezpečí nastavit na vysoké nebezpečí. Tím stahovaní
souborů ze serverů s omezeným přístupem zabráníte a současně zajistíte, že uživatele bu-
dou upozorňováni před stažením souborů ze serverů zóny Internet.
Implementace
a scénáře
OBRÁZEK 6.1: Zapnutí a nastavení zasad Default Risk Level For Filé Attachments
3.	Chcete-li konkrétně nadefinovat typv souborů, které jsou vysoce nebezpečné,
a přetížit tak výchozí seznam, poklepejte na položku Inclusion List For High
Risk Filé Types (Seznam typů souborů s vysokou rizikovost'). V dialogu zvolte
položku Enabled a poté zadejte seznam středníkem oddělených přípon, které
by mely být v případě získávání souborových příloh ze serverů s omezeným
přístupem a serverů Internetu považovány za vysoce nebezpečné iviz obrázek
6.2). Klepněte na tlačítko OK.
232
Kapitola 6 - Správa a údržba základních komponent systému Windows
OBRÁZEK 6.2: Přetížení výchozího seznamu vlastním seznamem typů souborů
4.	Chcete li konkrétně nadefinovat typy souborů, které jsou vysoce nebezpečné,
a přetížit tak výchozí seznam, poklepejte na položku Inclusion List 1 or Moderate
Risk Filé Types (Seznam typů souborů se střední rizikovostí). V dialogu zvolte po-
ložku Enabied a poté zadejte seznam středníkem oddělených přípon, které by mě-
ly být v případě získávání souborových příloh ze serverů s omezeným přístupem
a serverů Internetu považovány za středně nebezpečné. Klepněte na tlačítko OK.
5.	Chcete-li konkrétně nadefinovat typy souborů, které jsou vysoce nebezpečné,
a přetížit tak výchozí seznam, poklepejte na položku Inclusion Lisí For Low Risk Fi-
lé Types (Seznam typu souborů s nízkou rizikovostí). V dialogu zvolte položku
Enabied a poté zadejte seznam středníkem oddělených přípon, které by měly být
v případě získávaní souborových příloh ze serverů s omezeným přístupem
a serverů Internetu považovaný za málo nebezpečné. Klepněte na tlačítko OK.
6.	Operační systém Windows při určování míry nebezpečí implicitně upřednostňu-
je aplikaci, která se pokouší souborovou přílohu otevřít. Jestliže chcete nastavit
jiný princip určován důvěryhodnosti, poklepejte na položku Trust Logic For Fi-
lé Attachments (Logika důvěryhodnosti puloh). Zvolte položku Enabied a poté
v seznamu Detennine Risk By (Způsob určení rizikovosti) vyberte požadovanou
možnost (viz obrázek 6.3). Klepněte na tlačítko OK.
7.	Operační systém Windows před otevřením souborových příloh implicitně nevo-
lá antivirové programy. Většinu antivirových programů lze nastavit tak. aby sou-
bory před otevřením automaticky kontrolovaly. Jestliže ale uživatel vypne nebo
jinak přetíží tuto funkci, antivirový program soubory před otevřením prohlížet
nebude. Chcete-li zajistit, aby byly před otevřením souboru notifikovány všech-
ny dostupné antivirové programy, poklepejte na položku Notify Antiv irus Pro-
grams When Opening Attachments (Při otevírání příloh upozornil antivirové
programy). Zvolte Enabied a poté klepněte na tlačítko OK.
Konfigurace požadavků na informace prohlížeče událostí
implementace
a scénáře
OBRÁZEK 6.3: Určení způsobu určováni důvěryhodnosti, který přetíží výchozí nastavení
J*. Poznámka Antivirové programy můžete nakonfigurovat tak, aby po přijeti kontrolovaly
soubory doručené v emailových zprávách. Jestliže byl soubor již jednou zkontrolován, antivi-
rový program jej již nemusí znovu prohlížet.
6.3 Konfigurace požadavků na informace
prohlížeče událostí
Počítače s operačním systém Windows udržují několik druhu protokolu, do nichž za-
znamenávají důležité události. Mezi zaznamenávané události patří systémové chyby
a varovan stejně jako informace o stavu, které jsou později důležité při dohledávaní
a řešení problémů. Některé z podrobnosti zaznamenávaných spolu s událostmi jsou
nastavitelné pomocí zásad skupiny. Právě jim se budeme právě teď věnovat.
Pou žití požadavků na informace
prohlížeče událostí
Většina událostí, které se zaznamenávají do protokolu počítače, obsahuje v popisné
části následující text:
for more Information, see Help and Support Center at
http://go.microsoft.com/fwl i nk/events.asp.
Když klepnete na adresu URL v teto zprávě, počítač provede následující akce:
1.	Spustí Help and Support Center (Centrum pro nápovědu a odbornou pomoc)
(XSystemRootXXPCHealth\HelpCtr\Binari es\He1pCtr.exe).
2.	Předá centru pro nápov ědu a odbornou pomoc parametr příkazového řádku
-url hep://services/centers/support?topic=Xs.
3.	Otevře určenou adresu URL (http://go.microsoft.com/fwl ink/events.asp).
Kapitola 6 - Správa a údržba základních komponent systému Windows
Jestliže má vaše organizace nastavený webový server zodpovědný za zpracování p0
žadavků na informace o událostech nebo byste chtěli použit jiná nastavení, můžet
prostřednictvím zásad skupiny určit program, který se má spustit, jeho parametry
kazové řádky a adresu URL, která by se měla otevřít. Související zásady se ale vztahu"
jen na počítače s operačním systémem Windows XP Professional s aktualizací SP2
bo Windows Server 2003 saktualizací SPI.
ne-
Přizpůsobení podrobností pro události
prostřednictvím zásad skupiny
Chcete-li prostřednictvím zásad skupiny konfigurovat způsob zpracování požadav-
ků na informace o událostech, postupujte takto:
1.	Otevřete objekt GPO, se kterým chcete pracovat. Vstupte do složky Computer
ConfigurationX Administrativě Tem platesX Windows ComponentsXEvent Viewer
(Konfigurace počítačéXŠablony pro správu\Součásti systému Windows\Prohlížeč
událostí).
2.	Adresu URL, která se má otevírat, určíte tak, že poklepete na položku Events.asp
URL. Poté zvolíte možnost Énabled a do pole Events. asp URL (URL-adresa soubo-
ru Event.asp) za dáte ve formátu URL celou cestu k webové stránce (např.
http: //Corpl ntranet/hel p/events .asp). Práci ukončíte klepnutím na tlačítko OK.
3-	Program, který se má spouštět, určíte tak, ze poklepete na položku Events.asp
Program. Poté zvolíte možnost Enabled a do pole Events.asp Program (Program
souboru Event.asp) zadáte celou systémovou cestu k programu, který se má
spouštět (např. %SystemRooU\system32\custhelp.exe). Práci ukončíte klepnutím
na tlačítko OK.
4.	Parametiy příkazového řádku, které se mají p edávat výše uvedenému programu,
určíte tak, že poklepete na položku Events.asp Program Command-line Parame-
ters (Parametry příkazového řádku programu Event.asp). Pote zvolíte možnost
Fnabled a do pole Events.asp Program Command-Line Parameters za dáte bud pa-
rametr, který se má použít, nebo smažete stávající parametry. Práci ukončíte
klepnutím na tlačítko OK.
6.4	Řízení instalace serveru IIS
Internetová informační služba (Microsoft IIS) může v případě instalace na nevhodný
počítač (počítač, který není přímo určen jako webový nebo aplikační server) zna-
menat bezpečnostní hrozbu. Abyste zabránili instalaci serveru IIS na počítač
s operačním systémem Windows Server 2003, můžete použít zásady Prevent IIS In-
stallation. Tyto zásady zabrání v instalaci serveru IIS všem uživatelům (včetně
správců). Ačkoliv' tento krok může blokovat instalace komponent systému Win-
dows či programů, které IIS potřebují k jejich fungovaní, nemá žádný vliv na IIS
v případě, že IIS je již na počítači nainstalována.
Abyste lépe porozuměli tomu, jak lze zásady Prevent IIS Installation použít, před-
stavte si situaci, kdy chcete rozšířit zabezpečení tím, že v celé doméně zakážete in-
stalaci Internetové informační služby. Na doménové úrovni zapnete zásady Prevent
IIS Installation, ale současně chcete, aby počítače a uživatelé v organizační jednotce
Konfigurace přístupu do konzoly MMC a její použití 235
Servery mohli IIS instalovat. Proto nastavení zásad, které instalaci zakazují, přetížíte.
K tomu stačí v organizační jednotce Servery zablokovat zasady Prevent IIS Instal-
lation. Instalaci Internetových informačních služeb zakážete následovně:
1.	Otevřete objekt GPO, se kterým chcete pracovat. Vstupte do složky Computer
ConfigurationX Administrativě Tem pla tes X Windows Com ponentsX Internet Infor-
mation Services (Konfigurace počítače\Šablony pro správu\Součásti systému
Windows\Internetová informační služba).
2.	Poklepejte na položku Prevent IIS Installation (Zabránit instalaci internetové in-
formační služby), vyberte volbu Enabied a poté klepněte na tlačítko OK.
ff Poznámka Jestliže jsou zapnuty zásady Prevent IIS Installation a vy se pokusíte nainstalovat
aplikaci, která vyžaduje IIS, instalace může selhat bez toho, abyste obdrželi varování o tom,
že k chybě došlo v důsledku zákazu instalace IIS. Při řešení problémů tohoto druhu musíte
zkontrolovat všechny komponenty potřebné pro instalaci dané aplikace. Jestliže je instalace
Internetových informačních služeb potřebná, ale nelze ji provést, zkontrolujte množinu RSoP
počítače (viz oddíl „Zjišťování nastavení zásad a doby poslední aktualizace’’ kapitoly 3).
Implementace
a scénáře
6.5	Konfigurace přístupu do konzoly MMC
a její použití
Konzola MMC (Microsoft Management Console) je správcovská platfonna, která po-
skytuje sjednocené rozhraní pro správu aplikací. Jako taková je konzola MMC pou-
žívána především správci, ale mohou ji používat i ti, na které byla delegována
nějaká administrátorská oprávnění. Téměř všechny nástroje v nabídce Nástroje pro
správu využívají pro poskytnutí požadované funkčnosti konzolu MMC (prostřednic-
tvím přídavných komponent - tzv. modulu snap-in).
/Poznámka Konzolu MMC lze upravit tak, aby obsahovala určité nabídky, příkazové zkratky,
speciální správcovské náhledy atd. Jakmile si vytvoříte upravenou konzolu, můžete ji distribuo-
vat mezi své správce a uživatele, na které jste delegovali správcovská oprávnění. Podrobnosti
najdete v knize Microsoft Windows Server2003 inside Out (Microsoft Press, 2004).
Zásady skupiny nabízejí několik způsobů, jak řídit přístup do konzol a k modulům
snap-in. Cílem je posílit zabezpečeni tím, že se uživatelům, delegovaným správcům
a dalším správcům zakáže provádět operace, které by dělat neměli. Dejme tomu, že
si nepřejete, aby členové organizační jednotky Zákaznická podpora mohli pracovat
s důvěryhodností adresářů nebo pi ístupem k certifikační autoritě. V rakovém přípa-
dě můžete pro organizační jednotku Zákaznická podpora nakonfiguroval objekt
GPO. který uživatelům (a správcům) patřícím do této organizační jednotky zabrání
v přístupu k modulům Active Directory Domains And Trusts and Certification
Authority. Jakýkoliv pokus uživatelů a správců této organizační jednotky o přístup
k těmto modulům bude následně zamítnut.
Nastavení zásad skupiny pro konzolu MMC se nacházejí ve složce User Configurati-
on\Administrativě TemplatesXWindows ComponentsX Microsoft Management Conso-
le (Konfigurace uživatele\Šablony pro správu\Součásti systému \XTindows\Konzol a
Microsoft Management Console). Pomocí zásad, které se zde nacházejí, můžete:
36
Kapitola 6 - Správa a údržba základních komponent systému Windows
zabránit uživatelům pracoviště, domény nebo organizační jednotky ve tvorbv
nových konzol nebo přidávání a odstraňování modulů snap-in do konzol existu
	označit určité moduly snap-in jako povolené nebo zakázané,
	vyžadovat explicitní oprávnění pro přístup k modulům snap-in.
Následující oddíl se zabývá uvedenými možnostmi konfigurace.
Blokování autorského režimu konzoly MMC
Konzoly MMC mohou běžel buď v uživatelském, nebo autorském režimu. V uživatel-
ském režimu muže používat již vložené moduly snap-in, ale nemůžete je přidávat
V autorském režimu můžete vytvářet vlastní konzoly nebo do existujících konzol při-
d rvát moduly snap-in.
Chcete-li zabránit tomu, aby uživatelé pracoviště, domény nebo organizační jednotky
vytv třeli nové konz< >Iy nebo přidávali a odstraňovali moduly snap-in z existujících
konzol, poklepejte na položku Restrict The User From Fntering Author Mode (Zabrá-
nit uživatelům přeni do autorského režimu), zvolte možnost Enabled a poté klepněte
na tlačítko OL. Tyto zásady se nacházejí ve složce User Cpnfigura lion X Adm inistra ti ve
Tem pla tes X Windows Com ponentsX Microsoft Management Console (Konfigurace
uzu atele\Šablony pro správu\Součásti systému Winclou)s\Konzola Microsoft Ma-
nagement Console).
Poznámka Zablokujete-li uživatelům vytváření nových konzol, zakážete jim také otevíráni
nové konzoly z příkazového řádku a dialogu Spustit.
Určování zakázaných a povolených modulu snap-in
A zásadách skupiny můžete zakázat nebo povolil použiti určitých modulu snap-in
Když je modul snap-in zakázaný, nelze jej přidávat do uživatelských konzol a nezob-
razuje se v žádné z konzol, jejichž je součástí. Jestliže je modul snap-in explicitně po-
volený, může s ním pracovat jakýkoliv opráy nený uživatel. Do té doby než zablokuje-
te autorský režim, může daný modul snap-in přidávat do vlastních konzol jakýkoliv
oprávněný uživatel.
Všechny dostupné moduly snap-in mají v rámci umístěni User Configurati-
on\Administrativě TemplatesX Windows ComponentsX Microsoft Management Conso-
le (Konfigurace uživateleXŠabkmy pro správu\Současti systému Windows\Konzola
Microsoft Management Console) ve složce Restricted Pemutted Snapins (Zakázané
nebo povolené moduly snap-in) odpovídající nastavení zásad. Chcete-li nějaký mo-
dul snap-in explicitně povolit, poklepejte na odpovídající nastavení zásad a poté
zvolte možnost Enabled. Chcete-li nějaký modul snap-in explicitně zakázat, pokle-
pejte na odpovídající nastavení zásad a poté zvolte možnost Disabled. Jestliže jste
dříve zapnuli nastavení Restrict Users Using Only Explicit Pennitted Snap-ins (Ome-
zit přístup uživatelů pouze k výslovně povoleným modulem snap-in), budou
všechny moduly snap-in implicitně zakázány a vy budete muset konkrétní moduly
pomoci odpovídajících nastavení zásad explicitně povolit.
Konfigurace přístupu do konzoly MMC a její použití
237
Příklad
Představte si situaci, kdy chcete zakázat použití modulu snap-in Active Directory'
Domains And Trusts v organizační jednotce Služby zákazníkům. Najděte objekt
GPO této organizační jednotky a poklepejte na položku Active Directory Domains
And Trusts ve složce User ConfigurationXAdministrativě TemplatesX Windows Com-
ponentsX Microsoft Management Console X Rest ricted Perm itted, v dialogu Policy Set-
ting zvolte možnost Disabled a poté klepněte na tlačítko Ok.
Jakmile dojde k aktualizaci zásad, nebudou moci uživatelé (a správci) organizační
jednotky Služby zákazníkům přidávat modul snap-in Active Diiectory Domains And
Trusts do vlastních konzol nebo vytvářet l onzoly nové, které by tento modu obsaho-
valy. Dále dojde k tomu, že všechny existující konzoly obsahující tento modul snap-in
iej nebudou zobrazovat. Tím pádem bude uživatel této organizační jednotky sice
schopen v nabídce Nástroje pro spiavu vybrat položku Active Directory Domains And
Trusts a otevřít odpovídající konzoly, zakazaný modul snap-in se však nezobrazí.
Implementace
a scénáře
skuninv
Vyžadování explicitních oprávnění
pro všechny moduly snap-in
Další možností, jak na konfigurovat použití modulů snap-in, je implicitně zakázat
přístup ke všem modulům snap-in a povolit přístup pouze k těm modulům, jejich/
použití bylo explicitně povoleno. Ve složce User ConfigurationXAdministrativě
TemplatesXWindows ComponentsXMicrosoft Management Console (Konfigurace
užiratele\Šablony pro Správu\Součástí systému \Xmdous\Konzola Microsoft Ma-
nagement Console) poklepejte na položku Restrict Users To The Fxplicitly Permit-
ted List Of Snap ins (Omezit přístup uživatelů pouze k výslovně povoleným
modulům snap-in), vyberte možnost Enabled a poté klepněte na tlačítko OK.
Ačkoliv je konfigurace nastavení zásad Restrict Users To The Fxplicitly Permitted
List Of Snap-ins poměrně přímočará, neměli byste se do ní pouštět bez pečlivé pří-
pravy a plánování. Zde je několik doporučeni:
	Přístup na úrovni domény zakazujte jen výjimečně. Přístup ke všem modu-
lům snap-in byste na doménové úrovni meh zakazovat jen výjimečně ( spíše ni-
kdy). Jestliže toto učiníte, aniž byste předtím nejdřív povolili potřebné moduly
snap-in, mohli byste sobě a všem ostatním správcům zabránit v prováděni důleži-
tých správcovských úloh, které realizujete prostřednictvím nástrojů pro správu
a konzol.
	Pečlivě vybírejte organizační jednotky, kterým omezíte přístupová práva.
Organiza< ni jednotky, pro které chcete vyžadoval explicitní oprávněni pro použiti
modulu snap-in, byste měli vybírat pečlivě. Předtím než použití modulů snap-in
začnete omezovat, měli byste vybrat moduly snap-in, jejichž používání bude povo-
leno, a poté explicitně povolit jejich použití. Explicitní povolení modulu snap-in je
nezbytné k tomU, abyste zajistili, že správci a všichni ostatní ověření uživatele bu
dou moci provádět základní úlohy správy
38
Kapitola 6 - Správa a údržba základních komponent systému Windows
6.6	Optimalizace zabezpečení
a funkcí programu NetMeeting
Mnoho organizaci používá pro pořádání videokonferencí aplikaci Microsoft Net
Meeting®. NetMeeting má mnoho funkcí, včetně ploch pro poznámky, disku e
a sdílení plochy. Ne všechny z těchto funkcí jsou pro všechny organizace použitel-
né, ale možná budete mít zájem je trochu upravit k obrazu svému. Chcete-li napří-
klad' zvýšit zabezpečení, můžete v programu NetMeeting zablokovat funkci Remote
Desktop Sharing. Nebo je také možné nastavit limit kapacity vašeho připojení, který
jste na konferenci ochotni obětovat, abyste Lak programu NetMeeting zabránili
v přetížení sítě. Ačkoliv7 tyto možnosti můžete konfigurovat na jednotlivých počíta-
čích přímo v programu NetMeeting, můžete tato a další nastavení konfigurovat
i přes zásady skupiny a zajistit tak, že budou aplikována na všechny počítače a uži-
vatele v rámci pracoviště, domény nebo organizační jednotky.
Konfigurace programu NetMeeting
prostřednictvím zásad skupiny
Co se týče nastavení zásad, je program NetMeeting značně neobvyklý. Namísto to-
ho, aby požadovaly konkrétní operační systém, požaduje většina nastavení zásad
týkajících se programu NetMeeting konkrétní verzi programu NetMeeting - obvykle
NetMeeting 3-0 nebo novější. To ale neznamená, že daná nastavení zasad budou
aplikována na počítače s operačními systémy, které nedisponují podporou služby
Active Directory® a zásad skupiny. Uvedené požadavky v podstatě znamenají, že
daná nastavení zasad jsou použitelná pro počítače s operačními systémy Windows
2000 nebo novějšími, které mail program NetMeeting ve verzi 3.0 nebo novější.
Většina nastavení zásad programu NetMeeting jsou určena k tomu, aby vám pomohla
zvýšil zabezpečení a optimalizovat výkon dostupné síťové kapacity. Ve složce Com-
puter ConfigurationX Administrativě TeinplatesX Windows ComponentsXNetMeeting
najdete nastavení zasad s názvem Disablc Remote Desktop Sharing. Jestliže jej zapne-
te, uživatelé nebudou moci konfiguroval sdílení vzdálené plochy ani použn at
funkci sdíleni vzdálené plochy ke vzdálenému ovládaní svých počítačů.
Ve složce User ConfigurationX Administrativě TemplatesXWindows ComponentsXNet-
Meeting (Konfigurace uživateleXŠahlony pro správuXSoučásti systému Windows^
NetMeeting) najdete mnoho < Jal ších nastaveni, včetně:
	Enable Automatic Configured (Povolit automatickou konfiguraci) Toto na-
stavení definuje adresu URL, ze které by se měla získávat automatická konfigu-
race pro relace programu NetMeeting. Jestliže jste na vašem intranetu vytvořili
například konfigurační stránku programu NetMeeting, zadejte odpovídající adre-
su URL (např. http://1ntranet/netmeeti ng/autoconfig.htm).
	Set The Intranet Support Web Page (Nastavit stránku odborné pomoci ve
vnitřní síti WWW ) Určuje adresu URL, ke které bude program NetMeeting při-
stupovat v případě, že uživatelé spustí příkaz nápovědy pro stránky odborné
pomoci. Jestliže jste na vašem intranetu vytvořili například konfigurační stránku
Použití centra zabezpečení v doménách
239
programu NetMeeting, zadejte odpovídající adresu URI (např. http://Intranet/
help/netmeeting.asp).
	Set Call Security Options (Nastavit možnost zabezpečení voláru) Může pří
chozí a odchozí hovory programu NetMeeting zablokovat nebo nastavit jejich
zabezpečení. Když tyto zásady zapnete, můžete podle potřeby nastavit možnost
Call Security na hodnotu Disabled nebo Required.
	Limit The Size Of Sent Files (Omezit velikost odesílaných souborů) Určuje
omezení pro soubory posílané mezi uživateli v rámci programu NetMeeting.
Když tyto zásady zapnete, můžete prostřednictvím možnosti Maximum Size In
Kbytes určil pro posílané soubory maximální přípustnou velikost (v kilobajtech
- KB). Výchozí hodnota je 500 KB, což znamená, že lze posílat pouze soubory
menn než 500 KB.
	Limit The Bandwídth Of Audio And Video (Omezit šířku pásma pro zvuk
a video) Omezuje celkovou kapacitu připojení, kterou program NetMeeting vyu-
žívá pro přenos zvuku a obrazu. Program NetMeeting může toto nastavení použít
k tomu, aby určil, které zvukové a obrazové formáty použije, aby nepřekročil po-
volený limit využití kapacity sítě. Toto nastavení zásad se nachází v podadresáři
Audio & Video složky User ConfigurationXAdministrativě TemplatesXWindows
ComponentsXNetMeeting. Výchozí hodnota je 621 700, což znamená, že celková
využitelná kapacita pro zvuk a obraz je omezená hodnotou 621 700 KB za vteřinu.
Implementace
a scénáře
zásad skupiny
Další nastavení zásad se používají k vypnutí nebo zablokováni použití funkci, jestli-
že chceme zvýšit zabezpečení, snížit využití síťové kapacity nebo obojího.
V podadresářích Application Sharing. Audio & Video a Options Pages najdete další
nastavení zásad, která se vám při konfiguraci prostředí mohou hodit.
6.7	Použití centra zabezpečení v doménách
Centrum zabezpečení je dodatečnou funkcí pro zabezpečeni počítačů s operačním
systémem Windows XP Professional s aktualizací SP2 nebo novějším. Centrum za-
bezpečení monitoruje stav bezpečnostních nastavení počítače pro automatické ak-
tualizace, antivirovou ochranu a bránu firewall systému Windows a upozorňuje
uživatele v případě, že tyto funkce nejsou správně nastaveny.
Ačkoliv je Centrum zabezpečení automaticky zapnuté a používané v pracovních sku-
pinách, pro počítače s operačním systémem Windows XP Professional SP2 patřící do
domén implicitně zapnuté ani nakonfigurované není. Chcete-li použití Centra zabez-
pečení v doménách povolit, musíte ve složce Computer ConfigurationXAdministrativě
TemplatesXWindows ComponentsXSecurity Center zapnout nastaveni Turn On Se-
curity Center (Domain PCs Only). Poté co dojde k restartování odpovídajících počí-
tačů, budou mít všichni uživatelé daného pracoviště, domény či organizační
jednotky k dispozici funkce Centra zabezpečeni. Poté co jsou jeho funkce povole-
ny, můžete do Centra zabezpečen, přistupovat prostřednictvím Panelu nástrojů nebo
poklepáním na ikonu Centrum zabezpečení (červený štít se znakem x) nacházející
se v systémové liště.
40
Kapitola 6 - Správa a údržba základních komponent systému Windows
Poznámka Když Centrum zabezpečení povolíte, objeví se v notifikační oblasti hlavního
nelu Windows nová ikona Jestliže se vyskytnou problémy s monitorovanými oblastmi
bezpečení počítače, jsou uživatelé upozorněni bublinou se zprávou.
6.8	Správa přístupu k naplánovaným
úlohám a do plánovače úloh
Plánovač úloh se používá pro plánování jednorázových i opakujících se úloh, které
chcete automaticky spouštět kvůli prováděni údržby nebo jiných rutinních operací
Úlohy můžete prostřednictvím Průvodce naplánovanou úlohou a nástroje příkazové-
ho řádku Schtasks. exe naplánovat tak, aby se spouštěly na místních nebo vzdálených
systémech. Poté co jsou úlohy nakonfigurovaný, může je dále spravovat jejich autor
a každý s odpovídajícími přístupovými oprávněními, jako napr doménoví správci.
/íJK Další informace Jestliže se chcete dozvědět více o technikách pro tvorbu a správu napláno-
váných úloh v rámci vašeho podniku, obraťte se na knihu Microsoft Windows Command-Line
Administrátorů Pocket ďonst/Ztonř(Microsoft Press, 2004).
V zásadách skupiny můžete spravovat různé oblasti Plánovače úloh. Použít lze zásady
ve složce Computer ConfigurationXAdministrativě TemplatesXWindows Compo-
nentsXTask Scheduler (Konfigurace počitače\Šablony pro sprdrn\Suiičásti systému
WiWoícsXPLmovač úloh) nebo User ConfigurationXAdministrative TemplatesXWin-
dows ComponentsXTask Scheduler (Konfigurace uživatele\Šablonypro sprátu\Sou-
části systému U mdozrsXPlánovač úloh). Oboje tvto zásady jsou identické. Můžete je
využít pro správu Plánovače úloh na úrovni lokálního počítače, na uživatelské
úrovni, nebo na obou - s ohledem na nastavení zpětného zpracování (viz 3- kapi-
tola). Implicitně mají opět přednost nastavení počítače před uživatelskými nastave-
ními. Jestliže dojde ke konfliktu mez počítačovými a uživatelskými nastaveními,
nastavení počítače zvítězí.
Klíčové zásady Scheduled Tasks - Plánovače úloh, které můžete použít pro zvýšení
zabezpečení a pro zajištění toho, aby úlohy správy fungovaly tak, jak mají, zahrnují:
	Hide Properties Pages (Skrýt stránky vlastností) Zabraní tomu, aby uživate-
lé mohli prohlížet nebo měnit vlastnosti naplánovaných úloh.
	Prevent Task Run or End (Zakazat příkazy Spustit ulohu a Ukončit úlohu)
Zakáže všem uživatelům ruční spouštění a zastavování naplánovaných úloh.
	Prohibit Drag-and Drop (Zakázat přetahování myší) Zabraní všem uživate-
lům v přesouvání a kopírováni naplánovaných úloh. Dále zakáže uživatelům
přetahování naplánovaných úloh mezi složkami systému.
	Prohibit New Task Creation (Zakázat vytvořeni nové úlohy) Zabraní všem
uživatelům v plánování nových úloh. Tyká se to vytváření úloh prostřednictvím
Průvodce naplánovanou úlohou, kopírováním, přesouváním a přetahováním-
Nedokáže ale zabránit správcům v použitu plánovače At.exe, s nímž se pracuje
v příkazového řádku.

Správa možností souborového systému, disku a průzkumníka Windows
241
	Prohibit Task Deletion (Zakázat odstranění úlohy) Zabrání všem uživatelům
v mazání existujících úloh. Dále uživatelům nepovolí ani vyjímaní nebo přeta-
hování úloh ze složky Scheduled Tasks.
/jř’ poznámka Pod vlivem uvedených nastavení (jsou-li zapnutá) jsou také správci, jejichž účty
spadají pod odpovídající objekt GPO. Výsledkem je, že tito správci nemusí být schopni měnit
V důležité aspekty naplánovaných úloh a pracovat s nimi.
6.9 Správa možností souborového systému,
disku a průzkumníka Windows
Průzkumník Windows poskytuje přístup k souborům, složkám, diskovým jednotkám
a síťovým umístěním. Pomocí Průzkumníka Windows můžete konfigurovat a pracovat
se síťovými disky, sdílenými složkami, zabezpečením souborového systému atd. V ně-
kterých případech se může stát, že budete v zájmu bezpečnosti a zachovaní systémové
integrity potřebovat omezit dostupné funkce Průzkumníka Windows, související ná-
hledy a dialogy (napi . Tento počítač a Místa v síti). Mezi běžfjé scénáře patří:
	Skrytí určitých diskových jednotek
	Zablokování přístupu k jednotkám
1^
	Vypnutí funkcí souvisejících s vypalováním disků CD
	Odstranění karty Zabezpečení
	Omezení maximální povolené velikosti obsahu Kose
Následující oddíl se těmto konfiguračním možnostem věnuje podrobně. Většina
souvisejících zásad funguje v operačním systému Windows 2000 a novějších ver-
zích, ale existují určité výjimky. Informace ohledné podporovaných operačních sys-
témů najdete v části Explain Text dané zásady.
Tip Kromě skrývání a blokování přístupu k jednotkám můžete zablokovat instalaci
z vybraných či všech přenosných médií. Podrobnosti najdete v oddíle „Zablokování instalace
z disket, disků CD, disků DVD a dalších přenosných medií" této kapitoly.
Skrývání jednotek a souvisejících náhledů
Průzkumníka Windows
Skrytím jednotky dojde k odstranění odpovídající ikony z těchto nástrojů: Průzkumník
Windows, Tento počítač a dalších souvisejících náhledu. Cílem skrytí jednotek je ztížit
uživatelům přístup do oblastí počítače, kde nemají co dělat. Skrytím jednotek ale uži-
vatelům nezabráníte ve spouštění programu ani v přístupu k nim pomocí souborových
cest. Uživatelé mohou i nadále spouštět programy a otevírat soubory nacházející se na
skrytých discích a v dialogu Spustit či příkazovém řádku mohou používal souborové
cesty, které obsahují skryté jednotky.
Chcete-li prostřednictvím zásad skupiny v Průzkumníkovi Windows skrýt jednotky
a související náhledy, postupujte takto:
242
Kapitola 6 - Správa a údržba základních komponent systému Windows
Najděte objekt GPO, s nímž chcete pracovat. Otevřete složku User ConfigUr
tionX Administrativě TemplatesXWindows ComponentsXWindows Explorer
figurace užwatele\Šablony pro spravu\Součásti systému WxndowsWruzku^
Windows).
2.	Poklepejte na nastavení Hide These Specified Drn es In My Computer (Skrýt t 4
jednotky v okně Tento počítač).
3.	Zvolte možnost Enabled a poté vyberte jednotky, které chcete skrýt (viz obrázek
6.4). Jestliže chcete skryté jednotky znovu zobrazit, zvolte možnost Do Not Rest-
rict Drives (Neomezovat jednotky).
/ Tip Nastavení Hide These Specified Drives In My Computer (Skrýt tyto jednotky v okně Tento
počítač) je navrženo tímto způsobem: jednotky A a B reprezentují svazky pro přenosná mé-
dia, jednotka C je hlavní systémová jednotka a jednotka D je jednotka CD-ROM či DVD-
ROM. Jestliže mají počítače v odpovídajícím pracovišti, doméně či organizační jednotce jinou
konfiguraci jednotek, musíte při výběru jednotek, které chcete skrýt, postupovat opatrně.
OBRÁZEK 6.4: Výběr jednotek, které mají byt skryty
4.	Pote co klepnete na tlačítko OK, zvažte, zda pro tyto jednotky chcete také za-
blokovat přístup. Jestliže ano, přečtěte si následující oddíl.
Blokováni přístupu k jednotkám a souvisejícím
náhledům Průzkumníka Windows
Chcete-li zvýšit zabezpečeni počítače, je zablokováni přístupu k jednotkám a souvise-
jícím náhledům Průzkumníka Windows krok logicky následující skrytí jednotek. Po-
dobně jako je tomu u skrývání jednotek, nemá zablokování přístupu k jednotkám vliv
na práci programu se soubory na těchto discích. Uživatelé mohou i nadále spouštět
programy a prostřednictvím aplikací (jako je napr Microsoft Word) otevírat soubory
na zablokovaných discích. Narozdíl od skrytých jednotek, nemohou uživatelé použí-
vat v dialogu Spustit nebo v dialogu Připojit síťovou jednotku souborové cesty obsahu-
jící zablokované jednotky. Dalším rozdílem je. ze ačkoliv uživatelé mohou procházet
adresářovou strukturu zablokovaných jednotek, nemohou otevírat adresáře a přistu-
povat k jejich obsahu. S ohledem na uvedené byste měli v případě že chcete zaji$'
Správa možností souborového systému, disku a průzkumníka Windows 243
tit, aby uživatelé nemohli přistupovat k určité diskové jednotce, provést její skrytí
i zablokováni.
Jednou z nejčastějších situací, ve které byste mohli chtít zablokovat přístup k jed-
notkám, je když se jednotky A a B používají na počítacích v laboratořích, kioscích ne-
bo jiných citlivých místech vaší organizace. Omezením přístupu k těmto jednotkám
zablokujete přístup k jednomu z nejjednodušších způsobů tvorby kopií souboru a je-
jich vynášení na disketách či jiných přenosných médiích nastavených pro použití
s jednotkami A a B. Chcete-li použít zásady skupiny pro zablokování přístupu k jed-
notkám v programu Průzkumník Windows a souvisejících náhledech, postupujte ná-
sledovně:
1.	Najděte objekt GPO, s nímž chcete pracovat. Otevřete složku User Configura-
tion\Administrativě Templates\Windows Components\Windows Explorer (Kon-
figurace užíváte le\Šablony pro spravu\Součásti systému \Vindows\Pruzkumník
IT vndows).
Implementace
a scénáře
zásad skupiny
2.	Poklepejte na položku Prevent Access To Drives From My Computer (Zabránit
v přístupu k jednotkám ze složky Tento počítač).
3.	Zvolte možnost Enabled a poté vyberte jednotky, které mají být zablokovány
(viz obrázek 6.5). Jestliže chcete přístup ke všem jednotkám povolit, vyberte
možnost Do Not Restrict Drives.
OBRÁZEK 6. 5: Výběr jednotek, které mají být zablokované
í. Klepněte na tlačítko OK.
Odstranění funkcí pro pálení disků CD a DVD
z Průzkumníka Windows a ze souvisejících náhledů
Operační systémy Windows XI’ Professional a Windows Server 2003 obsahuji funkce,
které vám umožňují vytvářet a upravovat přepisovatelne disky CD a DVD. Jakmile má
nějaký počítač vypalovací jednotku pro disky CD nebo DVD, může tyto zabudované
lunkce využívat pro tvorbu a úpravy přepisovatelných disků CD a DVD. Vezmeme-li
v úvahu, že většina disků CD má kapacitu až 700 MB dat a většina jednovrstvých dis-
ků DVD dokáže pojmout až 4,7 GB dat, je tu velký potenciál pro zneužití a velká
44	Kapitola 6 - Správa a údržba základních komponent systému Windows
pravděpodobnost toho, že disky CD a DVD budou použité pro uložení důležitých
dokumentu, zdrojového kódu atd. v případě, že není implementována odpovídajíc,
ochrana dal
Chcete-li uživatelům zabránit v použití zabudov aných funkci pro vypalování na
disky CD a DVD, postupujte takto:
1.	Najděte objekt GPO, s mm/ chcete pracovat. Otevřete složku User ConfigurationX
Administrativě TemplatesX Window s ComponentsX Window s Explorer (Konfigura-
ce užwatele\Šablony pro spravu\Soucásti systému Windows\Průzkumník Win-
dows).
2.	Poklepejte na nastavení Remove CD Burning Features (Odebral funkci zápisu na
disk CD).
3.	V dialogu Policy Settings zvolte možnost Enabied a poté klepněte na tlačítko OK.
Upozornění Odstraněním zabudovaných funkcí pro vypalování disků CD a DVD uživatelům
>/" nezabráníte vtom, aby si nainstalovali a používali externí programy, které slouží pro tyto
účely. Chcete-li zajistit, aby uživatelé nemohli tento druh softwaru instalovat, musíte nakon-
figurovat také zásady pro softwarová omezení. Více informací o zásadách pro softwarová
omezení najdete v kapitole 9.
Odstranění karty Zabezpečení z Průzkumníka
Windows a souvisejících náhledů
Když uživatele pracují s dialogem Vlastnosti souboru, složek, zástupců a jednotek,
umožňuje jim záložka Zabezpečení prohlížet seznam uživatelů a skupin, ktere mají
k těmto zdrojům přístup ‘ pokud na počítači fungují nějaká omezení ohledně
oprávnění). Jestliže mají uživatelé odpovídající přístupová oprávnění, mohou mož-
nosti karty Zabezpečení používat také k úpravě nastavení zabezpečení. V některých
prostředích je přístup k nastavením zabezpečení objektů souborového systému
dobrou věcí, neboť uživatele mohou ihned zjistit, kdo má k čemu přístup, a dobiat
se k tomu, proč s určitým souborem nebo složkou nemohou pracovat. V jiných, ví-
ce zabezpečených, prostředích může přístup k nastavením zabezpečení znamenat
potenciální bezpečnostní hrozbu. Dejme tomu, že například nechcete, aby Honza
věděl, že Petr má přistup do zabezpečené složky Finance. Může k tomu existovat
dobrý důvod a vy pravděpodobně nechcete, aby Honza přišel za Petrem a žádal ho
o zprostředkoxaní přístupu k souborům v daném adresáři.
Jestliže chcete uživatelům zakázat přístup ke kartě Zabezpečení pro soubory, slož-
ky, zástupce a diskové jednotky, postupujte takto:
1.	Najděte objekt GPO, s nimž chcete pracovat Otevřete složku User Configůra-
tionXAdministrativě TemplatesX Windows ComponentsX Windows Explorer (Kon-
figurace uživatele\Šablony pro spravu\Soucasti systému \\ indows\Prt-zkurnmí
U indows).
2.	Poklepejte na nastavení Remove Security Tab (Odebrat kartu Zabezpečení).
3-	V dialogu Policy Settings, vyberte možnost Enabied a poté klepněte na tlačítko OK-
Správa možností souborového systému, disku a průzkumníka Windows
245
Upozornění Stejně jako u mnohých dalších nastavení zasad souvisejících se zabezpečením
byste měli dobře zvážit, zda a kde nastavení Remove Security Tab použijete. Jestliže tyto zá-
sady zapnete na doménové úrovni, může to mít dalekosáhlé důsledky, neboť doménoví
správci nebudou moci konfigurovat a pracovat s bezpečnostními nastaveními objektů sou-
borového systému. Tento druh zásad byste měli obvykle konfigurovat na úrovni organizační
jednotky nebo místního počítače.
Omezeni maximální povolené velikosti
obsahu koše
Když dojde k odstranění dokumentů a dalších typů souborů z adresáře, nejsou ob-
vyklo smazaný definitivně. Namísto toho (v případě standardní konfigurace) jsou
smazané soubory přesunuty do koše a definitivně odstraněny jsou pouze, když po-
užijete funkci Vysypat kos Výchozí hodnota pro maximální povolenou velikost ob-
sahu koše je 10 procent celkového prostoru diskové jednotky. Každý oddíl počítače
má svůj vlastní koš a vy můžete zvětšovat a zmenšovat jeho maximální povolenou
velikost pro jednotlivé oddíly samostatně. Když velikost obsahu koše naroste do
maximální hodnoty, je potřeba jej vysypat předtím, než do něj mohou být vkládány
další soubory. Jestliže se uživatel v takové situaci pokusí smazat soubory, zobrazí se
upozornění informující o tom, že je potřeba vysypat koš.
implementace
a scénáře
zásad skupiny
Prosířednictvím zásad skupiny můžete omezit maximální povolenou velikost kose
na určité procento diskového prostoru dané jednotky. Hodnota, kterou v zásadách
nastavíte, nemůže být uživateli změněna, proto si můžete být jisti tím, že koš bude
mít konstantní maximální velikost. Pro lepši pochopení celého principu fungováni
uvažujme následující situaci. Všechny počítače v organizační jednotce Expedice ma-
jí ve standardní konfiguraci jeden pevný disk o velikosti 60 GB Maximální povolená
velikost koše je proto 6 GB smazaných souborů. Standardní konfigurace počítačů or-
ganizační jednotky Expedice využívá 52 GB diskového prostoru. Jak roste množství
souborů nahraných do systému, zvyšuje se pravděpodobnost, že plný koš by mohl
způsobit, že disková jednotka nebude mít dostatek volného místa, což by mělo vážný
dopad na výkon systému. Abyste se vylinuli možným problémům s diskovým prosto-
rem. nastavíte maximální povolenou velikost koše na 2 procenta diskového prostoru
nebo (v tomto případě) na 1,2 GB.
Chcete-li pro koš nastavit pevnou maximální přípustnou velikost, postupujte takto:
1.	Najdete objekt GPO, s nímž chcete pracovat. Otevřete složku User Configura-
tionX Administrativě TemplatesXWindows ComponentsXWindows Explorer (Kon-
figurace užu'atcle\Šahlony pro spvávu\Součásti systému U Índows\Pmzkumník
Windows).
2.	Poklepejte na položku Maximum Allowed Recycle Bin Size (Maximální povole-
ná velikost koše).
3.	Vyberte možnost Fnabled a poté pomoci pole Maximum Recycle Bin Size na-
stavte (jako procenta celkového diskového prostoru) maximální povolenou ve-
likost koše (viz obrázek 6.6).
4.	Klepněte na tlačítko OK
6
Kapitola 6 - Správa a údržba základních komponent systému Windows
OBRÁZEK 6.6: Nastavení maximální povolené velikosti koše
6.10 Optimalizace konfigurace instalační
služby systému Windows
Komponenta operačního systému Windows, která ma na starosti instalaci programů,
se nazývá instalační služba systému Windows. Zasady skupiny obsahují mnoho nasta-
veni zásad, která vam dávají možnost pozměnit chování instalační služby systému
Windows. Instalační služba systému Windows provádí bohem instalace programů
mnoho úloh, včetně těchto:
	Vytvoření bodu obnovení pro případné obnoveni systému
	Vytvoření nebo aktualizace souborové mezipaměti (filé cache)
	Vytvoření kopií souboru pro případný návrat do předchozího stavu
	Kontrola uživatelských oprávnění a režimu instalace
	Provedení samotné instalace
	Zaznamenání výsledků instalace do protokolu
Následující oddíly se budou věnovat nastavením zásad a konfiguračním možnostem
souvisejícím s výše uvedenými operacemi. Většina souvisejícím zásad funguje na
operačním systému Windows 2000 nebo novějším a s libovolnou verzi instalační
služby systému Windows, ale existují určité výjimky. Informace ohledně podporo-
vaných operačních systémů najdete v časti Explain Text dané zásady.
Řízení bodů obnovy nástroje Obnoveni systému
pro instalace software
Jestliže je v operačním systému Windows XP Professional zapnuta obnova systému,
vytvoří se před započetím instalace bod obnovy. Tento kontrolní bod vam pomůže
vrátit systém do stavu, ve kterém byl před nainstalováním daného programu. Nevý-
hodou ovšem je, že každý bod zabírá určitý diskový prostor, a když potřebujete na-
Optimalizace konfigurace instalační služby systému Windows
247
instalovat nebo zaktualizovat mnoho programů, skončíte s velkým množstvím bodů
obnovy, které s největší pravděpodobností nebudete nikdy potřebovat.
Pomoci zasad můžete nakonfigurovat počítače tak, aby se body obnovy’ nástroje
Obnovení systé mu nevytvářely. Stačí zapnout nastavení Turn Off Creation Of Sys-
tem Restore Checkpoints (Nevytvářet kontrolní body Obnovy systému), nacházející
sc ve složce Computer ConfigurationXAdministrativě TemplatesXWindows Compo-
nentsX Windows Installer (Kon igurace pocítače\šab1ony pro správu\Součdsti systé-
mu Wlndows\Instalační služba systému Windows).
Konfigurace použití souborové mezipaměti
Jestliže dojde k aktualizaci nebo instalaci programu, který používá souborovou mezi-
pamcť (např. Microsoft Office 2003 nebo libovolná z komponent balíku Microsoft Of-
fice 2003), instalační služba systému Windows verze 3.0 nebo novější bud vytvoří
souborovou mezipaměť, nebo provede aktualizaci existující mezipaměti tak, aby se
v ní odráželo, které komponenty byly nainstalovány či aktualizovány, lato mezipaměť
slouží k tomu, aby se během aktualizace snížilo množství požadavku na uživatele kvů-
li poskytnuti instalačních médií. Namísto hledání instalačních medií využije instalační
služba systému Windows souborovou mezipaměť ke zjištěn umístěni, verze či stavu
instalovaných programových komponent a poté aplikuje aktualizace.
Implementace
a scénáře
zásac skupiny
Implicitně je maximální velikost souborové mezipaměti omezena na 10 procent dis-
kového prostoru dané jednotky. Na počítačích s malými disky nemusí být povolená
velikost dostačující k tomu, aby mohla instalační služba systému Windows vytvořit pl-
nou souborovou mezipaměť. Na počítačích s velkými disky se zase může stát, že sou-
borová mezipaměť naroste do nežádoucí velikosti.
Způsob použití souborové mezipaměti můžete změnit pomocí zasad. Postupujte
následovně:
1.	Najděte objekt GPO, s nímž chcete pracoval. Otevřete složku Computer Configu-
rationX Administrativě TemplatesXWindows ComponentsXWindows Installer (Kon-
figurace pocitače\Šablony pro sprátm\Součástt systému WindowsMnstalačni
služba systému Windows).
2.	Poklepejte na položku Baseline l ile Cache Maximum Size (Maximáln. velikost
základního souboru mezipaměti).
3.	Zvolte možnost Enabied a poté v poli Baseline Filé Cache Maximum Size na-
stavte (v podobě procent z celkového diskového prostoru) maximální přípust-
nou velikost souborové mezipaměti (viz obrázek 6.7). Při práci mějte na paměti
následující věci:
	Hodnota 0 souborovou mezipaměť vypne, a proto nebude pri aktualizacích
použita. Případná existující mezipaměť ale nebude smazána. Existující sou-
borová mezipamět se odstraní pouze v případě, že spustíte nástroj Vyčištění
disku a zvolíte si, že soubory chcete odstranit (jedná se položku Instalační
soubory sady Office), nebo když program, k němuž soubory patří, odinstalu-
jete.
	Hodnota 100 dovolí instalační službě systému Windows použil veškery do-
stupný prostor na diskové jednotce pro soubory mezipaměti.
4. Klepněte na tlačítko OK.
48
Kapitola 6 - Správa a údržba základních komponent systému Windows
OBRÁZEK 6.7: Nastavení maximální povolené velikosti souborové mezipaméti
Řízení tvorby souboru pro návrat
do předchozího stavu
Soubory pro návrat zpět umožňují instalační službě systému Windows v případě
nedokončené instalace vrátit systém/program zpět do stavu, v němž byl před aktua-
lizací komponenty/programu. Když instalujete programy (včetně ovladačů a aktua-
lizačních balíčků), může instalační služba systému Windows automaticky vytvořit
soubory pro návrat zpět. V některých pi ípadech jsou uživatelé vyzváiii k tomu, aby
potvrdili, že tyto soubory chtějí opravdu vytvořil. Jindy jsou automatické soubory
vytvořeny automaticky. Ačkoliv se soubory pro návrat zpět povazují za dočasné,
obvykle na počítači zůstanou až do doby, než jsou ručně odstraněny nebo souvise-
jící program odinstalujete.
<£ i \ Upozornění Funkce návratu zpět může být použita také k nekalým účelům. Jestliže dostane
' uživatel se zlými úmysly možnost přerušit nějakou instalaci, vznikne nebezpečí, že získá in-
formace o počítači a dostane se k systémovým souborům.
Zasady Computer Configuration nebo User Configuration můžete nastavit tak. aby se
soubory pro návrat zpět nevytvářely. Narozdíl od většiny ostatních zásad se v případě
zablokování funkce pro návrat zpět v 'ibovolném umístěni považují nastavení zásad za
zapnutá i v případě, že jsou v jiném umístění explicitně zablokována. Jestliže napří-
klad zapnutím odpovídajících zásad funkci návratu zpět v zásadách User Configurati-
on zakážete a někdo jiný tyto zásady v rámci Computer Configuration zablokuje,
nastavení zásad se považují za zapnutá a funkce návratu zpět je tedy vy pnuta.
Jestliže chcete zabránit vytváření souborů pro návrat zpět, poklepejte buď ve složce
Computer ConfigurationX Administrativě TemplatesX Windows ComponentsX Windows
Installer (Konfigurace počitače\Šablony pro spravu\Součásti systému W"indows\lM~
talační služba systému Windows), nebo ve složce User ConfigurationX Administrativě
TemplatesXWindows ComponentsXWindows Installer (Konfigurace uživatele\Šablo-
ny pro správuXSoučásti systému Windows\Instalační služba systému Windows) na
Optimalizace konfigurace instalační služby systému Windows
nastavení Prohibit Rollback (Zakázat vraceni zpět). V dialogu Policy Settings zvolte
možnost Enabled a poté klepněte na tlačítko OK.
Zvýšení uživatelských oprávnění pro instalaci
Zda a případně jak bude program nainstalován, určuji oprávnění uživatele provádějí-
cího instalaci a druh instalovaného programu. Programy, které byly přiřazeny uživateli
(jsou dostupné pres plochu), byly přirazeny počítači (instalují se automaticky) nebo
jsou clostupné přes položku Přidat či odebrat programy Panelu nástrojů mají zvýšená
oprav není pro instalaci a je možné je instalovat, aktualizovat nebo záplatovat i v rámci
adresářů, ke kterým by uživatel jinak neměl přístup. Ostatní druhy programů se ale
instalují s normálními systémovými oprávněními a lze je nainstalovat pouze do ad-
resářů, ke kterým má aktuální uživatel odpovídající přístupová oprávněni.
Na systémech, které mají vysoké zabezpečeni nebo velmi restriktivní nastavení,
můžete dojit ke zjištění, že uživatelé nemohou instalovat programy potřebné pro je-
jich práci. Toto chovaní můžete přetížit pomocí zásad Always Install With Elevated
Privileges (Vždy nainstalovat se zvýšenými oprávněními). Toto nastavení umožňuje
uživatelům, kteří nejsou správci, instalovat programy, které vyžaduji přístup do chrá-
něných adresářů. Pamatujte si ale, že toto nastavení se vztahuje pouze na programy in-
stalované uživatelem, a nikoliv na programy distribuované nebo poskytované správ-
cem. Distribuované a poskytované programy lze instalovat do chráněných složek bez
ohledu na konfiguraci této zasady.
Chcete-li nastavení zásad Always Install With Elevated Privileges použít, musíte je zap-
nout ve složkách Computer ConfigurationX Administrativě TemplatesXWindows Com-
ponentsX Windows Installer (Konfigurace počítačeXŠablony pro spravu\Současti
systému Wmdows\Instalační služba systému Windows) a User ConfigurationX Admi-
nistrativě TemplatesXWindows ComponentsX Windows Installer. Nastavení Always
Install With Elevated Privileges se tedy zapíná a konfiguruje takto:
1.	Najděte objekt GPO, s nímž chcete pracovat. Otevřete složku Computer Configu-
rationXAdministrativě TemplatesXWindows ComponentsXWindows Installer (Kon-
figurace počitačc\Šablony pro sprdvu\Současti systému Windows\ Instalační
služba s ystem u Wi ndows).
2.	Poklepejte na položku Always Install With Elevated Privileges (Vždy nainstalovat
se zvýšenými oprávněními). V dialogu Policy Settings vyberte možnost Enabled
a poté klepněte na tlačítko OK.
3.	Otevřete složku User ConfigurationXAdministrativě TemplatesXWindows Compo-
nentsX Windows Installer (Konfigurace uživatele\Šablonypro sprdvu\Současti sys-
tému Windows\lnstalačníslužba systému Windows).
4.	Poklepejte na položku Always Install With Elevated Privileges (Vždy nainstalo-
vat se zvýšenými oprávněními). V dialogu Policy Settings vyberte možnost Ena-
bled a poté klepněte na tlačítko OK.
Řízení uživatelské instalace a fungování programů
Během instalace lze programy nastavit tak, aby je mohli používat všichni uživatelé da-
ného počítače, nebo jen uživatel, který program instaluje. Při standardní konfiguraci
operačního systému Windows mohou uživatelé instalovat a spouštěl jak programy
Kapitola 6 - Správa a údržba základních komponent systému Windows
povolené jen pro jednoho uživatele, tak programy povolené pro celý počítač. To ale
není vždy žádoucí. Někteří uživatelé mohou mít ve svém profilu například nekorripa
tibilní konfiguraci aplikace, což může v práci počítače a aplikace vyvolat problémy.
Abyste těmto problémům zabránili, můžete nastavit omezeni, která zajistí, že uživatelé
budou moci spouštět pouze programy povolené pro celý počítač, a nikoliv programy
vyhrazené jen pro jednoho uživatele. V tento moment přichází ke slovu nastavení
Prohibit User Installs. Pomocí těchto zásad můžete určit, zda jsou instalace pro jedno-
ho uživatele povoleny, ignorovány nebo zakázány. Například u počítačů, které jsou
používány iako kiosky nebo terminálové servery, můžete chtít povolit pouze insta-
lace a použití programů pro celý počítač.
Chcete-li nakonfigurovat nastavení Prohibit User Installs (Zakázat uživatelské insta-
lace), postupujte takto:
1.	Najděte objekt GPO, s nímž chcete pracovat. Otevřete složku Computer Configu-
ration \ Administrativě TemplatesX Windows ComponentsX Windows Installer (Kon-
figurace počítače\Šablonypro správu\Součásti systému Windoivs\histalačnísluž-
ba systému Windows).
2.	Poklepejte na položku Prohibit User Installs (Zakázat uživatelské instalace).
3-	Zvolte možnost Enabied a poté v seznamu User Install Behavior (Vzhled uživa-
telské instalace) vyberte požadované chování systému při instalaci (viz obrázek
6.8). Dostupné možnosti jsou následující:
	AUow User Installs (Povolit uživatelské instalace) Instalační služba sys-
tému Windows pracuje s instalacemi pro jednoho uživatele i s instalacemi
pro počítač. Jestliže instalační služba systému Vvmdows detekuje instalaci
pro jednoho uživatele, skryje případné instalace daného programu, které by-
ly provedeny způsobem „pro počítač“. To je implicitní chování.
	Hide User Installs (Skrýt uživatelské instalace) Instalační služba systému
Windows ignoruje aplikace instalované pro jednoho uživatele. Pro uživatele
jsou viditelné pouze instalace pro počítač, a to i v případě, že tito uživatelé
mají ve svých profilech registrované instalace pro jednoho uživatele.
	Prohib it User Installs (Zakázat uživatelské instalace) 1 nstalační služba sys-
tému Windows zablokuje instalace programů pro jednoho uživatele a ignoruje
programy, které byly případně dříve nainstalované pro jednoho uživatele.
Jestliže se uživatelé pokusí provést instalaci pro jednoho uživatele, zobrazí in-
stalační služba systému Windows chybovou zprávu a zastaví msta láci.
4. Klepněte na tlačítko OK.
Optimalizace konfigurace instalační služby systému Windows
251
implementace
a scenáře
•4*>w<el< i min v
OBRÁZEK 6.8: Nastavení chování systému ohledně instalací pro jednoho uživatele
Zablokování instalace z disket, disku CD,
disků DVD a dalších přenosných médií
V některých prostředích můžete chtít povolit uživatelům pouze instalaci těch progra-
mů, které jim byly distribuovány nebo nabídnuty (viz kapitola 11). Chcete-li uživate-
lům zabránit v instalaci programů z disket, disku CD a DVD či jiných přenosných
médii, zapněte nastavení zásad Prevent Removable Media Source For Any Install (Za-
kazar jakoukoli instalaci z vyměnitelného média) nacházející se ve složce User Confi-
gurationXAdministrative TemplatesXWindows ComponentsXWindows Installer (Kon-
figurace uživatéle\Šablony pro správú\Součcísti systému Windows\lnstalační služba
systému Windows).
Tip Kromě zákazu použití přenosných médií můžete také skrýt a zablokovat přístup ke kon-
krétním jednotkám. Podrobnější informace najde v oddíle „Správa možností souborového
systému, disku a průzkumníka Windows" této kapitoly.
Konfigurace protokolování instalační služby
systému Windows
Kdykoliv instalujete nějaký program, vytvoří instalační služba systému Windows in-
stalační protokol a zaznamenává do něj různé druhy zpráv a událostí, které souvisí
s instalací. Tento protokol (s názvem Msi.log) je uložen ve složce %SystemDri-
ve%\Temp. Protokol implicitně zaznamenává následující druhy zpráv a událostí:
Zprávy o stavu
Varovné zpráxy
	Chybové zprávy'
	Začátek instalace a akce související s protokolováním
Způsob, jakým se protokoly vytvářejí a používají, můžete změnit prostřednictvím zá-
sad. Postupujte takto:
52	Kapitola 6 - Správa a údržba základních komponent systému Windows
1.	Najděte objekt GPO, s nímž chcete pracovat. Otevřete složku Computer Configu
rationX Administrativě TemplatesXWindows ComponentsXWindows Installer (Kon
figurace počítačeXŠablony pro správuXSoučásti systému WindowsXlnstalačni
služba systému IVindows).
2.	Poklepejte na položku Logging (Protokolování).
3.	Zvolte možnost Enabled a poté pomoci pole Logging specifikujte požadovaný
způsob protokolování. K dispozici mate tyto indikátory (viz obrázek 6.9), které
můžete libovolně kombinovat:
	i	Zaznamenávání	zpráv o stavu.
	w	Zaznamenávání	nekritických varovných zpráv.
	e	Zaznamenávání	všech zpráv.
	a	Zaznamenávání	zahájení instalace a akci souvisejících	s	protokolováním.
	r	Zaznamenávání	podrobnosti o instalaci a akcích souvisejících	s	protokolo-
váním.
	u Zaznamenávání uživatelských požadavku.
	c Zaznamenávání výchozích parametru uživatelského rozhraní.
	m Zaznamenávání chyb z nedostatku paměti.
	p Zaznamenáváni nastaveni terminálových služeb.
	v Zapnuti podrobného protokolovaní.
	o Zaznamenávání chyb z nedostatku místa na disku.
4.	Klepněte na tlačítko OK.
Tip V zájmu podpory řešení problému s nezdařenými instalacemi můžete nastavit protoko-
lování tak, aby se zaznamenávaly všechny zprávy a události související s instalací. Do políčka
stačí zadat řetězec iwearucmpvo.
OBRÁZEK 6.9: Konfigurace možnosti protokolování instalaci
Optimalizace automatických aktualizací pomocí Windows Update
253
,11 Optimalizace automatických aktualizací
pomocí Windows Update
Počítače s operačním systémem Windows 2000 nebo novějším mohou k údržbě
operačního systému využívat automatické aktualizace. Automatické aktualizace jsou
mechanismem pro automatickou distribuci a instalaci kritických aktualizací, bez-
pečnostních záplat, kumulativních aktualizačních balíčku a balíčků senice pack
(poskytují soubor důležitých aktualizaci). Automatickou aktualizaci můžete ve spo-
lupráci se systémem Windows Update používat k údržbě programů Office, Micro-
soft Exchange, Microsoft SQL Sen er™ a ovladačů pro hardware.
Automatické aktualizace mají architekturu klient/server. Klientská část sídlí na míst-
ním poč ítači a má na starosti stahování a instalaci aktualizací. Serverová část sídlí na
vzdáleném počítači a je zdrojem, z něhož se získávají aktualizace. Mnoho oblastí
tohoto procesu lze konfigurovat a optimalizovat. Zde je seznam toho, co je možné
ovliv nit:
	Optimalizace způsobu, jakým jsou aktualizace stahovaný a instalovány.
	Okamžitá instalace aktualizací nebo její naplánovaní.
	Zablokování přístupu k systému Window s Update.
	Určení serveru, který sc má při aktualizaci používat.
Nastavení zásad pro automatické aktualizace se nacházejí ve složkách Computer
ConfigurationXAdministrativě TemplatesXWindows ComponentsXWindows Update
a User ConfigurationXAdministrativě TemplatesXWindows ComponentsXWindows
fcpdate. Následující oddíly se věnují nastavením zásad a konfiguračním možnostem
souvisejícím s těmito úlohami. Mnoho zásad systému Windows Update je navrženo
bud pro operační systém Windows XP Professional SP2 a novější, nebo pro ope-
rační systém Windows Server 2003 SPI a novější, proto se o podrobnostech ohled-
ně kompatibility informujte v části Explain Text
Zapnutí a konfigurace automatických aktualizací
Ačkoliv můžete automatické aktualizace konfigurovat pro jednotlivé počítače své or-
ganizace samostatně, lepším postupem je spravovat tuto funkcionalitu pro celé skupi-
ny počítačů najednou prostiednictvim zásad skupiny. Pomocí zásad skupiny můžete
vytvořit určitou konfiguraci automatických aktualizaci pro všethny počítače pracoviš-
tě, domény nebo organizační jednotky. Kdykoliv pak potřebujete zmt nit způsob pou-
žití automatických aktualizací, štaci na jednom místě změnit odpovídající nastavení
zasad a můžete si byt jisti, že nová nastavení budou po aktualizaci zasad aplikována
na všechny určeně počítače.
Chcete-li určit, zda a iak budou počítače přijímat aktualizace, použijte nastavení Con-
figuře Automatic Updates (Konfigurace automatických aktualizací), které najdete ve
složce Computer ConfigurationXAdministrativě TemplatesXWindows ComponentsX
Windows Update {Konfigurace počítače\Šablony pro správuXSoučásti systému Win-
dou's\Wir.dou's Update). Pomocí základních nastavení Disabled a Enabied můžete
použití automatických aktualizací buď zakázat, nebo povolit. Zde je několik doporu-
čeni:
Implementace
a scénáře
zásaďskupiny
Kapitola 6 - Správa a údržba základních komponent systému Windows
	Na produkčních serverech nebo jiných typech důležitých serverů může být žádou
cí nastavení Configure Automatic Updates vypnout, aby nedocházelo k Automatic
ké instalaci aktualizací s tím, že aktualizace budou stahovány a instalovaný ručně'
Vyžádaná ruční instalace u produkčních serverů je dobrou praxí, neboť aktuali
zace budete možná chtít nejprve otestovat na vývojových serverech.
	Pro většinu počítačů koncových uživatelů a členských serverů byste měli nasta
ven Configure Automatic Updates zapnout a poté zvolit konkrétní aktualizační
techniku, která okamžitou instalaci povolí nebo ji naplánuje na přijatelný čas
Protože některé instalace určitých aktualizací vyžadují restanování počítače, bu-
dete často upřednostňovat naplánování instalace.
Automatické aktualizace můžete vypnout tímto způsobem:
1.	Najděte objekt GPO, s nímž chcete pracovat. Otevřete složku Computer Con-
figurationX Administrativu FemplatesX Windows ComponentsX Windows Update.
2.	Poklepejte na položku Conrigure Automatic Updates.
3.	Zvolte možnost Disabled a poté klepněte na tlačítko OK.
,č' Poznámka Když jsou automatické aktualizace vypnuté, nejste na nové aktualizace upozor-
ňováni. Můžete je ale stahovat ručně z webového serveru Windows Update Web na adrese
http://Windowsupdate.microsoft.com/.
Zapnout a konfigurovat automatické aktualizace můžete následovně:
1.	Najděte objekt GPO, s nimž chcete pracovat. Otevřete složku Computer Con-
figurationX Administrativě TemplatesXWindows ComponentsX Windows Update.
2.	Poklepejte na položku Configure Automatic Updates.
3-	Zvolte možnost Enabled a v seznamu Configure Automatic Updating polt vy-
berte jednu z následujících možností (viz obrázek 6.10?:
	2 Notify For Download And Notify For Install (2 Upozornit před staže-
ním aktualizací a před jejich instalací) Operační systém Windows informu-
je aktuálního uživatele před lim, než se pokusí stáhnout jakékoliv aktualizace.
Jestliže uživatel rozhodne, že se aktualizace ma stáhnout, má stále ještě mož-
nost aktualizaci zamítnout. Akceptované aktualizace se nainstalují. Zamítnuté
aktualizace se nenainstalují, ale zůstanou v systému, aby mohla být instalace
provedena později.
	3 Auto Download And Notifý For Install (3 Výchozí nastavení Automa-
ticky stahovat aktualizace a upozorňovat před jejich instalací) Toto je
přednastavená možnost. Operační systém Windows v daném intervalu (frek-
vence zjišťovaní nových aktualizací) stahuje všechny aktualizace, a když jsou
připraveny k instalaci, infonnuje uživatele. Uživatel má opět možnost aktuali-
zace přijmout nebo zamítnout. Akceptované aktualizace se nainstalují. Zamít-
nuté aktualizace se nenainstalují, ale zůstanou v systému, aby mohla byt
instalace provedena později.
	4 Auto Download And Schedule For Install (4 Automaticky stahovat
aktualizace a instalovat je podle plánu) Aktualizace se stahují automatic-
ky v daném intervalu (frekvence zjišťováni nových aktualizací) a poté se in-
Optimalizace automatických aktualizací pomocí Windows Update
255
stalují podle určeného plánu, což múze být jednou denně v určený čas nebo
jednou týdně v určený čas určeného dne.
 5 Allow Local Admín To Choose Setting (5 Povolit mistrům správcům
vybrat režim nastavení). Místní správce může pro jednotlivé počítače auto-
matické aktualizace konfigurovat prostřednictvím karty Automatické aktualiza-
ce dialogu System. Nicméně místní správci nemohou automatické aktualizace
pomocí teto karty vypnout.
OBRÁZEK 6.10: Konfigurace možností automatických aktualizací
(D
OJ
C Qj in
S“’
Q.ro w
E-gj
• J
4.	Jestliže jste se rozhodli instalaci aktualizace naplánovat, vyberte pomocí pole Sche-
dulcd Install Day požadovanou možnost. Možnost 0 zvolte v případě, že chcete,
aby aktualizace mohly byl instalovány jakýkoliv den v týdnu. Chcete li pro instala-
ci vyhradit určitý den, zvolte 1 pro instalování aktualizací \ neděli, 2 pro instalo-
vaní v pondělí atd.
5	Jestliže jste se rozhodli instalaci aktualizace naplánovat, zvolte pomocí pole Sche-
dulud Install Time požadovaný čas. Výchozí hodnota je 03:00 (3 a.m.J. Možnost 0
zvolte v případě, že chcete, aby aktualizace mohly bvt instalovaný kdykoliv. Chce-
te-li určit konkrétní čas, zadejte odpovídající hodnotu. < as se zadává pomocí
24hpdinové notace.
6.	Když budete hotovi, klikněte na tlačítko OK.
7.	Implicitně se všechny druhy aktualizaci instalují pouze, když dojde k vypnutí a re-
start ování systému. Některé aktualizace je ale možné na instalovat ihned, bez po-
třeby přerušení běhu systémových služeb či restajtování systému. Jestliže chcete
povolit okamžitou instalaci aktualizací, které nezasahují do systémových služeb
ani nevyžadují restart systému, poklepejte na položku Allow Automatic Updates
Immediate Installation (Povolit okamžitou instalaci automatických aktualizací).
Zvolte možnost Enabled a poté klepnete na tlačítko OK.
8.	Implicitně dostávají upozornění na aktualizace pouze správci počítače. Jestliže
chcete, aby mohl upozorněni dostávat libovolný uživatel přihlášený na počítači,
poklepejte na položku Allow Non-Administrators To Receive Update Notificati-
Kapitola 6 - Správa a údržba základních komponent systému Windows
ons (Povolit upozornění automatických aktualizací i pro uživatele, kteří
správci). Zvolte možnost Enabied a poté klepněte na tlačítko OK.
nebou
Řízení automatického stahování
a upozornění na instalaci
V případě, že jste nakonfigurovali automatické aktualizace na automatické stahová
ní a instalaci, bude proces automatické aktualizace probíhat následovně:
1.	Automatické aktualizace budou v dané frekvenci automaticky kontrolovat, zda
jsou k dispozici aktualizace. Pokud systém najde nové aktualizace, stáhne je.
2.	V případě zapnutého upozorňovaní na instalace, automatické aktualizace upo-
zorní uživktele, že je k dispozici aktualizace. Jestliže ie potřeba restartovat počí-
tač, uživatel vyzván k potvrzení této akce.
3.	Máte-li instalace plánované, automatické aktualizace instalaci naplánují. Jestliže
je potřeba restartovat počítač, implicitně se to provádí automaticky.
Pomoci zásad skupiny můžete automatické stahování a instalační proces řídit
v každém z těchto kroků. Následující oddíl se teto problematice věnuje podrobněji.
Nastavení frekvence zjišťování nových aktualizaci
pro automatické aktualizace
Když nakonfigurujete automatické aktualizace tak, aby se aktualizace stahovaly au-
tomaticky, provádí se to v intervalu nazývaném frekvence zjišťování nových aktua-
lizaci Implicitně je tento interval 22 hodin, což znamená, že počítači budou nove
aktualizace kontrolovat přibližně každých 22 hodin. Aby se zajistilo, že příliš mno-
ho počítačů nebude používat stejný interval, používá operační systém Windows ča-
sový posun od 0 až do 20 procent. Výsledkem je, že počítače, které používají
výchozí interval, reálně kontrolují aktualizace v intervalu 18 až 22 hodin. Chcete-li
použít jiný interval, postupujte takto:
1.	Najděte objekt GPO, s nimž chcete pracovat. Otevřete složku Computer Con-
figurationX Administrativě TemplatesXWindows ComponentsX Windows Update
(Konfigurace počítače\Šablony pro správiASoučdsti systému Wlndows\Wmdciv^
UpdateJ.
2.	Poklepejte na položku Automatic Updates Detection Frequency (Frekvence zjiš-
ťování nových aktualizací).
3.	Zvolte možnost Enabied a poté do pole zadejte požadovaný interval (viz obrá-
zek 6.11). Povolené hodnoty jsou od 1 hodiny až do 22 hodin.
4.	Klepněte na tlačítko OK.
Optimalizace automatických aktualizací pomocí Windows Update 257
Implementace
a scénáře
zásad skupiny
OBRÁZEK 6.11: Nastavení požadované frekvence zjišťování nových aktualizací
Optimalizace upozorňování uživatelů na instalace
Prostřednictvím upozornění na nstalace je uživatel informován, že byla stažena nová
aktualizace a je připravena k instalaci. Jestliže se uživatel rozhodne aktualizaci mo-
mentálně neinstalovat, operační systém Windows změní dialog Shut Down Windows
tak, aby obsahoval položku Install Updates And Shutdown. Je to výchozí možnost,
která nabízí uživateli instalaci aktualizací těsně před vypnutím jeho počítače.
Pro počítače koncových uživatelů a členské servery budete možnost Install Updates
And Shutdown pravděpodobně preferovat jako implicitní řešení. Na produkčních ser-
verech a dalších důležitých serverech se ale tomuto chování budete chtít nejspíše vy-
hnout. Žádoucí může byt například otestovaní aktualizací v testovacím prostředí před
jejich nasazením do produkce. V takovém případě dáte přednost následujícímu řešení:
	Hide the Install Updates And Shutdown option (Skrýt volbu Nainstalovat ak-
tualizace a vypout). Jestliže nechcete. aby bvla tato možnost v dialogu Shut Down
Windows dostupná, zapněte ve složce Computer ConfigurationXAdministrativě
TemplatesX Windows ComponentsXWindows Update (Konfigurace počítá-
če\$ablonypro spravu\Soui asti systému Windows\ U vndows Update)molnost Do
Not Display ‘Install Updates And Shutdoxvn’ Option (Nezobrazovat v dialogu pro
vypnuti počítače možnost Nainstalovat aktualizace a vypnout). Možnost Install
Updates And Shutdown bude před uživateli skryta a nebudou mít možnost ji
zvolit.
	Make sure the Install Updates And Shutdown option isn’t selected by de-
fault (Ujistěte se, ze možnost Nainstalovat aktualizace a vypnout není ve
výchozím nastavení povolena). Jestliže nechcete, aby byla tato možnost byla
výchozí volbou, zapněte ve složce Computer ConfigurationXAdministrativě Tem-
platesXWindows ComponentsX Windows Update možnost Do Not Adjust Default
Option. Možnost Install Updates And Shutdown (Neměnit v dialogu pro vypnutí
počítače výchozí možnost na Nainstalovat aktualizace a vypnout) pak nebude au-
tomaticky výchozí možnosti. Výchozí volbou bude možnost, kiera byla uživate-
lem naposledy použita.
Í8 Kapitola 6 - Správa a údržba základních komponent systému Windows
Optimalizace naplánovaných instalací
Jestliže je po naplánované automatické aktualizaci vyžadován restart počítače, naj
staluje počítač aktualizace podle rozvrhu a poté počítač i>o 5minutovém čekání re
startuje (jen v případě potřeby). Pro ilustraci uvedeme příklad. Představte si, že jste
naplánovali automatické aktualizace lak. aby se instalace prováděly každý čtvrtek
v 5 hodin ráno. Aby byla instalace aktualizaci dokončena, musí být systém restarto
ván. K restartování počítače dojde v 5:05.
Proces restartování počítače můžete prostřednictvím zásad skupiny řídit několika způ-
soby. Jestliže chcete použít jinou prodlevu před restartem, poklepejte ve složce
Computer ConfigurationX Administrativě TemplatesXWindows ComponentsX Win-
dows Update na položku Delay Restart For Scheduled Installations (Zpoždění re-
startování po naplánovaných instalacích). Zvolte možnost Enabled, pomocí pole
nastavte požadovanou hodnotu prodlevy a poté klepněte na tlačítko OK. Jestliže
chcete počítač restartovat například po 15 minutách, nastavte hodnotu na 15 (viz
obrázek 6.12).
	* Poznámka Povolené hodnoty prodlevy pro restart počítače jsou mezi 1 a 30 minutami. Jedna
' minuta je nejblíže okamžitému restartu počítače po dokončení instalace.
OBRÁZEK 6.12: Nastaveni prodlevy pro restart počítače u plánovaných instalací aktualizací
V případě, že je na počítači přihlášen nějaký uživatel, můžete automaticky restart po
instalaci aktualizace vypnout. Ve složce Computer ConfigurationXAdministrativě
TemplatesXWindows ComponentsX Windows Update poklepejte na položku No Auto-
Restart For Scheduled Automatic Updates installations. Zvolte možnost Enabled a poté
klepněte na tlačítko OK. Jestliže nastaveni No Auto-Restart For Scheduled Automatic
Updates Installations (Zakázat automatické restartování po instalaci automatických ak-
tualizací) zapnete, počítač se nebude po dokončení instalace aktualizací automaticky
restartovat v případě, že je na něm právě přihlášen nějaký uživatel. Namísto toho au-
tomatické aktualizace upozorni uživatele, že je nutný restart počítače a vyčká, dokud
uživatel počítač nerestartuje sám. Restartováním počítače se aktualizace aplikují.
Optimalizace automatických aktualizací pomocí Windows Update
259
poznámka Jestliže nastavení No Auto-Restart For Scheduled Automatic Updates Installations
nastavíte na Disabled nebo Not Configured, bude se počítač po plánované instalaci automa-
ticky restartovat. Prodleva bude v tomto případě 5 minut.
Další nastavení zásad, které můžete použít pro řízení restartů, jsou:
	Re-prompt for Restart With Scheduled Installations (Opakovat dotaz na
restartování pro naplánované instalace) Když jsou automatické aktualizace
nastaveny na plánované instalace aktualizací, zajišťuje toto nastavení, že přihlášení
uživatelé jsou po určitém časovém intervalu znovu upozorněni na potřebu restartů
v případě, že byl restart předtím odložen. Jestliže je nastavení vypnuté nebo není
konfigurované, výchozí interval pro opětovné zobrazení upozornění je 10 minut.
	Reschedule Automatic Updates Scheduled Installations (Změnit plán na-
plánovaných automatických aktualizací) Toto nastavení určuje dobu, po
kterou budou automatické aktualizace po spuštění systému čekat předtím, než
budou pokračovat s plánovanou instalací, která byla předtím vynechána.
implementace
a scénáře
zásad skupiny
Blokování přístupu k automatickým aktualizacím
Ve výjimečných případech se může stát, že si nebude přát, aby uživatelé určité do-
mény nebo organizační jednotky mohli automatické aktualizace využívat. Jestliže se
počítače používají například pouze s nastaveními pro laboratoř nebo kiosek, může-
te chtít automatické aktualizace zcela zakázat. To lze udělat pomocí zásad skupiny
na úrovni domény nebo organizační jednotky.
Obvyklejším řešením je spíše vypnutí automatických aktualizací pro jednotlivé místní
počítače než na úrovni domény nebo organizační jednotky. Jestliže se například počí-
tač s nastaveními pro laboratoř nebo kiosek nemá aktualizovat, můžete automatické
aktualizace prostřednictvím zásad místního počítače zcela vypnout (dokud konfigu-
rujete počítač samostatně nebo pro počítač, který je členem nějaké domény, neexis-
tují žádná nadřazená nastavení zásad pracoviště, domény či organizační jednotky).
Pro zablokováni přístupu k automatickým aktualizacím se používá nastaveni Remove
Access To Use All Windows Update Features (Odebrat přístup k používání funkcí
Windows Update) nacházející se ve složce User ConfigurationXAdministrativě Tem-
platesX Windows ComponentsXWindows Update (Konfigurace uživatele\Šablony
pro správu\Součásti systému Windows\ytt\náGw$ Update). Zvolte možnost Enabied,
poté klepněte na tlačítko OK Kdvž toto nastaveni zapnete, vypnou se všechny
funkce systému Windows Update. Uživatelé mají zablokovaný přistup k systému
Windows Update a automatické aktualizování je zcela zablokováno.
Určení aktualizačního serveru
Proces Windows Update je konstruován tak, aby se aktualizace stahovaly implicitně
z Internetu. Tento proces funguje dobře, pokud má organizace několik mála počí-
tačů, ale v případě, že organizace disponuje stovkami či tisícovkami počítačů, je
tento proces velmi neefektivní. Spravujete-li velké množství počítačů, je pro získá-
vám aktualizací lepši použít centrální aktualizační server, který bude obsahovat ak-
tualizace z webových serveru Microsoft Update Web. Tuto aktualizační službu pak
můžete používat pro automatické aktualizování počítačů vaší sítě. Tak budete mít
namísto stovek či tisíců počítačů stahujících stejné nebo podobné aktualizace
kapitola
I
Správa
uživatelských
nastavení a dat
Obsah kapitoly:
7.1	Základy uživatelských profilů a zásad skupiny............................264
7.2	Konfigurace cestovních profilů...........................................268
7.3	Optimalizace konfigurací uživatelských profilů...........................270
7.4	Přesměrování složek a dat uživatelských profilů..........................281
7.5	Správa uživatelských a počítačových skriptů..............................290
7.6	Shrnutí..................................................................296
60
Kapitola 6 - Správa a údržba základních komponent systému Windows
z Internetu jeden dedikovaný server, které stáhne aktualizace pro celou organizaci
Klientské počítače vaší organizace se poté k tomuto serveru připojí a získají z ně'
aktualizace. Statistiky o aktualizacích se následně přenášejí zpět na tento server ne
bo na jiný určený server zodpovědný za evidenci statistik. To znamena, že můžete
mít jednoserverovou nebo dvouserverovou aktualizační konfiguraci.
Chcete-li vaše pracoviště, doménu nebo organizační jednotku nakonfigurovat tak
aby používaly společný aktualizační server, postupujte takto:
1.	Nakonfigurujte server Windows jako aplikační server se službou US. Server by
měl mít operační systém Windows 2000 Server SP3 nebo Windows Server 2003
a musí mít přístup na Internet pres port 80.
2.	Služba DNS musí byl nastavena tak, aby povolovala interní přístup na server
prostřednictvím jeho úplného doménového názvu.
3.	Najděte objekt GPO, s nímž chcete pracovat. Otevřete složku Computer Con-
figurationX Administrativě TemplatesXWindows ComponentsXWindows Update
(Konfigurace počitače\Šahlony pro spraiui\Sou časti systému Windows\Windows
Update.).
4.	Poklepejte na položku Specify Intranet Microsoft Update Service Location (Ur-
čení umístění intranetového serveru služby Microsoft Update).
5.	Zvolte možnost Enabled a do polí dialogu poté zadejte úplný doménový název
aktualizačního serveru (viz obrázek 6.13).
6. Klepnete na tlačítko OK.
OBRÁZEK 6.13: Zadání názvu společného aktualizačního serveru
Chcete-li své pracoviště, doménu nebo organizační jednotku nakonfigurovat tak, aby
používaly aktualizační server a statistický server, postupujte takto:
1.	Nakonfigurujte dva servery Windows jako aplikační servery se službou IIS. Servery
by mely mít operační systém Windows 2000 Server SP3 nebo Windows Server
2003. Aktualizační server musí mít přístup na Internet přes jx>rl 80.
2.	Služba DNS musí být nastavena tak, aby povolovala interní přístup na servery
prostřednictvím jejich úplného doménového nazvu.
Shrnutí
261
3.	Najděte objekt GPO, s nímž chcete pracovat. Otevřete složku Computer Con-
oguratíonX Administrativě Templa tes X Windows ComponentsX Windows Update
(Konfiguracepvdtače\Šablony pro správu\SoučásH systému U indowsW, indows
UpdateJ.
4.	Poklepejte na položku Specify Intranet Microsoft Update Service Location (Ur-
čení umístění intraneiového serveru .služby Microsoft Update).
5.	/volte možnost Enabled a do pole Set The Intranet Update Service zadcite úpl-
ný doménový název aktualizačního serveru (viz obrázek 6.14).
Implementace
a scénáře
.Aeort clziininw
OBRÁZEK 6.14: Zadám samostatných serverů pro aktuahzace a statistiky
6.	Do pole Set The Intranet Statistics Server zadejte úplný doménový název serveru
pro statistikyk
7.	Klepněte na tlačítko OK.
6.12 Shrnutí
Operační systém Windows obsahuie mnoho komponent a aplikací, mezi ktere patří
například NetMeeting. Windows Explorer, Plánovač úloh, Správce příloh či konzola
MMC (Microsoft Management Console). Prostřednictvím zasad skupiny můžete
snadno optimalizovat funkce a možnosti těchto a dalších komponent operačního
systému Windows a povolit či zakázat tak jejich použití, zvýšit zabezpečení, zlepšit
výkon atd. Tímto způsobem můžete standardizovat způsob, kterým budou skupiny
uživatelů pracovat a přistupovat ke komponentám systému indows. Konfigurovat
můžete také výchozí nastavení a možnosti nebo můžete omezit přístup a zakázat
určité funkce některých komponent.
264
Kapitola 7 - Správa uživatelských nastavení a dat
Co se týče správy uživatelů a počítačů, jedinou konstantou je změna. Změny se dějí ve
všech organizacích, ať už malých nebo velkých. Někdo může namísto stolního počítá
če začít používat laptop Jiný uživatel se přihlásí ze vzdálené pobočky. A další uživatel
se třeba přesune k jinému PC. Jestliže není prostředí konzistentní, stráví tito uživatelé
více času řešením problém u, které v této souvislosti vyvstanou, než prací. Nehledě na
to, že se mohou setkat také s problémy při přístupu ke svým datům. To není dobré pro
samotné uživatele a ani pro tym lidí, který ma na starosti jejich podporu.
Jako správce nebo pracovník podpory máte mnoho možností jak potlačit, a v mru y
hých případech i eliminovat, problémy, kterým musí uživatelé čelit v souvislosti se
změnami v jejich prostředí. Nejobvyklejší řešení je použít pro tento druh uživatelů ces-
tovní nebo povinné profily, aby jejich plocha vypadala stejně bez ohledu na počítač
který právě používají. Cestovní profily jsou ale pouze část řešeni. Chcete-li vytvořit
opravdu konzistentní prostředí, musíte vzít v uváhu více než jen profil uživatele. Musí-
te zkontrolovat obecná nastavení plochy, nabídky Start, TaskBar - hlavního panelu
a Control Panel (Ovládací panel). V potaz musíte vzít i to, zda by v zájmu centralizace
správy a přístupu měly být přesměrovány související složky a data. Přesměrovat může-
te například nabídku Start, složky Documents (Dokumenty) a Data aplikací, aby uživa-
telé měli konzistentní přístup ke svým datům v rámci celé organizace.
Související informace
	Další informace o správě komponent operačního systému Microsoft Windows
prostřednictvím zásad skupiny najdete v kapitole 6.
	Další informace o konfiguraci profilu uživatelů a souborů offline najdete v kapitole
37 knihy MicrosoJí V indows Server 2003 Inside Ont (Microsoft Press, 2004).
	Další informace o konfiguraci stínových kopií najdete ve 22. kapitole knihy
Microsoft Windows Server 2003 Inside (Jut.
7.1 Základy uživatelských profilů
a zásad skupiny
Kdvkoliv se nějaký uživatel přihlásí na počítač, vygeneruje se nebo vyhledá odpo-
vídající uživatelský profil. Tento profil se nachází fyzicky na disku a obsahuje důle-
žitá globální nastaveni a uživatelská data. Nejzákladnějším druhem profilu je místní
profil. V případě lokálního profilu jsou uživatelská data a globální nastaveni ulože-
na na místním počítači a jsou dostupná pouze na něm. Účty můžete takt nastavit
tak. aby měli uživatelé cestovn či povinné profily.
Cestovní i povinné profily uživatelům nabízejí přistup k profilům z určeného serveru,
a proto mohou svá data a globální nastavení získat odkudkoliv v rámci sítě. Rozdíl me-
zi cestov nimi a povinnými profily je v možnosti provádět trvalé změny do uživatel-
ských nastavení. S cestovními profily mohou jednotliví uživatelé měnit svá vlastni
globální nastaveni a tyto změny jsou trvalé. U povinných profilů definuji nastaveni
uživatele správci a pouze správci mohou tato nastavení natrvalo změnit. Uživatele ale
mohou nastaveni měnit dočasně. Jestliže ma například uživatel Karel povinný profil
dokáže se přihlásit na počítač a změnit pomocí nastavení dialogu Obrazovka vzhled
plochy. Když se ale Karel odhlásí, zrněny' se neuloží a následující uživatel, který se
Základy uživatelských profilů a zásad skupiny 265
přihlásí na daný počítač (i v případě, že je to opět Karel), uvidí původní globální
nastavení specifikovaná pro povinný profil.
Počítače s operačním systémem Windows 2000 či novějším implicitně ukládají data pro-
filů lokálně do složky uživatele, která se nachází na cestě XSystemDri ve%\Documents
and Setti ngs\%UserName%. Výjimkou jsou počítače, které byly inovovány ze systému
Windows NT®, které mají místní profily uloženy na cestě $SystemRoot£\Profi 1 es\
SJUserNamefc, protože se jedna o původní umístění profilu v operačním systému Win-
dows NT. Nicméně, veškerá data, která se nacházejí ve složce XSystemDri ve$\Docu-
ments and Settings\XUserName%\Local Settings jsou specifická pro místní počítače
a nespadají do cestovního profilu. Z toho vyplývá, že v místním uživatelském profilu
máte uložené dvě kategorie dat. data, která jsou mobilní a data, která mobilní nejsou
Mobilní data zahrnují následující adresáře nacházející se ve složce XUserName^:
	Data apl i kácí, což je úložiště aplikačních dat. Celá cesta je XSystemDri veX\Docu-
ments and Settings\$UserName$\Data aplikací.
Implementace
a scénáře
	Cooki es se používá k uložení souborů cookie vašeho internetového prohlížeče.
	Desktop (Plocha) se p<lužívá k uloženi zástupců na ploše a konfigurace plochy.
	Favorites (Oblíbené položky), která se používá k uložení oblíbených položek
z vašeho prohlížeče.
	Documents ( Dokumenty), která se používá k uložení dokumentu.
	Recen t, která se používá k uložení zástupců naposledy otev řcných souborů.
	Network Neighborhood (Okolní síť), která se používá k uložení síťových připojení
pro Místa v sítí.
	Okolní tiskárny, která se používá k uložení informací o síťových tiskárnách.
	SendTo (Odeslat), která se používá k uloženi systémových souborů, ktere jsou
zdrojem pro možnosti příkazu SendTo (Odeslat).
	Nabídka Start, která se používá k uložení konfigurace nabídky Start.
	Šablony, která se používá k uloženi souborů se šablonami dokumentů.
Data, která nejsou mobilní, zahrnují následující adresáře, jež se nacházejí ve složce
XUserName$\Local Settings:
	Složka Data aplikací místního počítače, která je í iložištěm pro data aplikaci dané-
ho počítače. Cesta je XSystemDriveX\Documents and Settings\$UserName%\Local
Settings\Data apli kácí.
	Historie, která se používá k uloženi historie prohlížeče.
	I emp, která se používá k uloženi dočasných programových souborů.
	Temporary Internet Files, jež se používá k uloženi dočasných souborů prohlíže-
v
ce.
Nejdůležitějšími aspekty uživatelských profilů, které by měl správce dobře znát, je
umístění, kde se nachází systémová nastavení a jak funguje přesměrování. Profily
uživatelů mají dvé základní části:
	Globální nastavení Globální nastavení se načítají ze souboru Ntuser.dat (pro
místní a cestovní profil - roaming) nebo ze souboru Ntuser.man (stálý - povin-
266
Kapitola 7 - Správa uživatelských nastavení a dat
ný - mandatory profil) do podstromu HKEY_CURRENT_USER registru počítače. Tatf
nastavení určují konfiguraci plochy, hlavního panelu, nabídky Start, Control pa
nel a mnoha dalších částí operačního systému. Nastavení větve
HKEY__CURRENT—USER si můžete prohlédnout pomocí programu Registry Editor (vjz
obrázek 7.1). Program Registry Editor spustíte zadáním příkazu regedit do pfp
kazové r.idky nebo do dialogového okna Run (Spustit).
Data uživatelů Uživatelská data jsou k dispozici prostřednictvím skupiny složek
uvnitř profilu. Uživatelé se do těchto složek mohou dostat mnoha různými způ-
soby. Mezi složky patři dříve zmiňované Data aplikací. Cookies, Favořtes - Ob-
líbené položky, Desktop - Plocha a Documents - Dokumenty. Složka
Documents (Dokumenty) takt obsahuje další standardní složky jako např. My
Pictures (Obrázky) či Music (Hudba). Ačkoliv můžete složky s daty určitého
uživatele prohlížet (viz obrázek 7.2), mnohé ze složek jsou implicitně skryté.
Chcete-li je vidět, musíte změnil konfiguraci Průzkumníka Windows. V nabídce
Nástroje zvolte Možnosti složky. V dialogovém okně klepněte na kartu Zobrazit
a poté zaškrtněte položku Zobrazovat skryte soubory a složky.
Registry Editor	I- ío" DC
Ffe Edt Vtew Favorites Help
- _J HKEY.CURRENT.USER	*	Name	1/pe	Data	A
1 i AppEvents	^Defaufc)	REG.SZ	(vakje not set)	
Ijl Console	hrel-wdei	REG SZ	212 208 200	
I Cohtrd Panel ♦ _J Accesstity & I Appearance	SjActJveTItie J*] AppWorkSpace	REG.SZ REG.SZ	084 227 128 128 128	
* í I NewSchemes		REG SZ	0 78152	
	Í^ButtonAltemateFace	REG.SZ	181 181 181	
Cdors	^ButtonDkShadow	REG.SZ	113111 100	
_J Grrent	^jbuttonFace	REG.SZ	236 233 216	
I lursors		REG.SZ	255255255	
_J Custom Cdors	^*’]t5ut*'x L tK	REG.SZ	241239 226	
S I Desktop	íjEuttonShadow	REG.SZ	172 168 153	
I doni load	•^ButtonText	REG SZ	000	
♦ InpOt Method	11J iraaentA.tr. Ttle	REG.SZ	61 149255	
♦ I li temabonai	^GradentlnactíveTItie	REG.SZ	157 185235	
_J lOProcs	* ] eayText	REG SZ	172168 153	
_J Leyboard	*b]Hfcght	REG SZ	49 106 197	
il Mkrosoft Input Devices	J]r*ghtText	REG.SZ	255 255 255	
j Mouše	^jHotTrackingCdor	REG.SZ	0 0128	
Gj Patterns	-*1 Jlnact-veBorder	REG.SZ,	212 208200	
t _J PowerCfg _) Screen Save« 30FryvxjObj í»| Screensaver.IDPipes J Screen Saver,8eaer	•^JlnactiveTitie fAJlrset.eTdeText íálnfoText	REG.SZ REG.SZ REG.SZ	12? 150 223 216 228248 000	
_J Screen Savei Marquee	*•) -foWindow	REG.SZ	255 255 225	
_J Screen Saver.Mys&fy	-jMenu	REG.SZ	255 755 255	
ÚJ Screen Saver. Stars	Í^MenuBar	REG.SZ	236 233 216	
_J SOKXl	“ ]Mend*oht	REG.SZ	49 106 197	
1 Er.vronmer1	"jMenuText	REG SZ	000	V
C	>	<			>
My C "npiteriHKEY.CURRENT.USERKontrd PaneJ\Coíors
OBRÁZEK 7.1 : Globální nastavení všech uživatelů se nahrávají z profilu do registru
Jak vidíte, mnoho vizuálních hledisek systémové konfigurace vy chází z globálních na-
stavení uživatelského profilu. Tato nastavení určují například režim zobrazeni, do-
stupné tiskárny, zástupce na ploše a mnoho dalšího. Uz ne tak evidentní je, jak se
v souvislosti s profilem uživatele získávají uživatelská data. Zde přichází na řadu pře-
směrování. Jak můžete vidět na obrázku 7.2, adresářový náhled obsahuje větve
Desktop (Plocha) a Documents (Dokumenty). V Dokumentech najdete složky Music
(Hudba) a My Pictures (Obrázky). Všechny tyto složky se ale ve skutečnosti nacházejí
v profilu uživatele. Kdykoliv vstoupíte do složky Desktop (Plocha), Documents, Music
(Hudba) nebo My Pictures (Obrázky), operační systém Windows vás přesměruje tam,
kde se odpovídající data opravdu nachází. Na tom je založen princip samostatných
Základy uživatelských profilů a zásad skupiny
ploch, nabídek Start a osobních složek jednotlivých uživatelů přihlašujících se na
určitý počítač.
X
Fjvorites Took Hdp
► wrstanek.CPANDL
AíH  C.lDocunents and Settanq wrsí.jneK.'1PAMX
Fokters	__*
_J Desktop	íi
ti —} My Documents
* '4/Musk
j My Pi t res
B My Computer
♦	3'A Floppy (A:)
-	System (C:)
i _JData
Datatotestthesystemovertimeokay
B O Documents and Settings
♦ _jab
i ______AJmcastrator
♦	_J AI Users
0 O AI Users.WINDOWS
j andyj
•	Tera A User
i	Oetadt User WINDOWS
» _j LocaiService
t l_J LocalServtce.NT AUTHORITY
i	.'JetwortSe-yfce
I	Netwuóď ervice.NT AUTHORITY
♦	i wrstanek
8 t-J
Apf kdtun Data
j CoUges	v
* rtanekCPANDL
AppKabjn Data
Desktop
LouiiScttL q .
My Recent Docunents
PintMood
Start Menu
NTUSER.DAT
DAT He
763 KB
htuser.n
Cor figur abcn Settings
1KB
SendTo
Templates
NTU5ER DAT.LOG
Te*t Doojmeht
1KB
-a ntuser.pol
H POCFle
 o re
OBRÁZEK 7.2: Data uživatelů uložená v podadresářích profilu
Přístup ke globálním i ustavením a přesměrování osobních datových složek je tím, co
umožňuje fungování cestovních a povinných profilů. Zásady skupiny zde hrají roli
v tom, že vám umožňují vzdálit se od vašeho stálého počítače a zachovat při tom zá-
kladní funkčnost uživatelského profilu. Pomocí zásad skupiny můžete upravit vzhled
systému Windows a změnit různá nastavení a vlastnosti plochy, nabídky Start, hlavní-
ho junelu, Control Panel atd. Tato vlastní nastavení pak přetíží nastavení uživatelské-
ho profilu. Se zásadami skupiny male více kontroly nad přesměrováním uživatelských
dat. Tylo dodatečné možnosti nabízejí centrální správu a uložení dat uživatelů nebo
optimalizaci založenou na členství ve skupinách. Pomocí' zásad skupiny můžete na-
příklad určit, že složka Documents členů skupiny Podpora Cheb bude uložena na ser-
veru ChebSvrOS, zatímco složka Documents členu skupiny PodporaPlzen bude
uložena na serveru PlzenSvrO3.
Přidanou hodnotou přesměrování je skutečnost, že ke přesměrovaným složkám se
přistupuje stejným způsobem jako k síťovým sdíleným složkám: Data nacházející se
v přesměrovaných složkách jsou ve skutečnosti umístěna ve sdílených složkách na ur-
čeném serveru. Jakmile uživatel přistoupí do přesměrované složky, lokální počítač jej
plynule připojí na sdílenou složku určeného serveru. Z toho vyplývá, že ačkoliv se
zdá, že se uživatel muže přihlásit kdekoliv a přistupovat k datům ve svých osobních
složkách, data jsou ve skutečnosti přesměrována na pevně dané místo v síti.
Klíčovým přínosem je v tom případě to, že přesměrované složky se nepřesunuji
společně s uživatelskými daty cestovního profilu, což může značně urychlit přihla-
šování a odhlašování. Dalším přínosem je zjednodušení zálohování uživatelských
dat, neboť máte centrální umístění pro tvorbu záloh. Hlavní nevýhoda se týká note-
booků. V rámci standardní konfigurace mají mobilní uživatelé připojení k síti pří-
Kapitola 7 - Správa uživatelských nastavení a dat
4.	Klepněte na tlačítko OK. Složka profilu se vytvoří při následujícím přihlásí
ení
uživatele do sítě. Jestliže je uživatel momentálně přihlášen, bude se muset od
hlásit a znovu přihlásit
Jak je uvedeno ve 13- kapitole publikace Microsoft Wi ndows Command-Line Adminis
tratoťs Pocket Consultanf (Microsoft Press, 2004), změnu uživatelských nastavení pro,
filu můžete provést také přes příkazový řádek. Jediným příkazem můžete dokonce
změnit nastavení profilů pro všechny uživatele vybraného pracoviště, domény či or-
ganizační jednotky. Zde je příklad:
dsquery user "OU=Tech, DC=cpandl, DC=com" । dsmod user -profile
"\\CBServer08\profi 1es\$username$"
Kdybyste napsali tento příkaz a stiskli klávesu Enter, změnila by se pro všechny
uživatelské účty organizační jednotky Tech v doméně Cpand 1 .com cesta k profilu na
\\CBServer08\profi 1es\^username^. Uvozovky a znaky dolaru jsou v tomto příkla-
du nezbytné pro zajištění správné interpretace příkazu.
Poznámka Když se uživatelé přihlašují na počítač nebo spouštějí více relací terminálových
služeb, mohou se změny v cestovních profilech ztratit nebo být přepsány, neboť na profilo-
vém serveru se odrazí pouze profil poslední relace. Abychom pochopili, proč ktomuto do-
chází, uvažujme následující situaci: Máte současně otevřené dvě terminálové relace. V první
relaci vytvoříte perzistentní síťovou jednotku. Když se z první relace odhlásíte, odrazí se tato
změna ve vašem profilu, ale následně se odhlásíte i z druhé relace, její profil se nahraje na
server a přepíše změny z první relace. Při příštím přihlášení se samozřejmě k vašemu velkému
překvapení síťová jednotka nepřipojí. Abyste se takové situaci vyhnuli, musíte se naposledy
odhlásit z té relace, jejíž nastavení chcete uložit.
7.3 Optimalizace konfigurací
uživatelských profilů
Předtím než se podíváme na konkrétní příklady optimalizace nastavení systému
Windows a práce s uživatelskými ‘lity, zastavme se u nastavení zásad souvisejících
s profily samotnými. Nastavení zásad, která řídí konfiguraci uživatelských profilu, se
nacházejí ve složce Computer Configuration\Administrative Templates\System\
User Profiles (Konfigurace počítače\Šablony pro správu\Systém\Profily uživa-
telů) a User Configuration\Administrative Templates\System\User Profiles (Kor-
figurace už i va tel e\Ša bl ony pro správu\Systém\Prof i ly už i vat el ú). Při čtení teto
části mějte na paměti následující:
	Místní uživatelský profil se vytváří či načítá při každém přihlášení uživatele na
nějaký počítač.
	Změny v globálních nastaveních a datech uživatelů se ukládají do místního uži-
vatelského profilu a do cestovního profilu se přenášejí, když se uživatel odhlásí.
	Data profilu uživatele jsou přístupná pouze pro uživatele, ke kterému profil patří.
	Data uživatelského profilu, která jsou mobilní, zahrnuji vše ve složce ^SystemDri -
ve%\Documents and Setti ngs\$UserName$ kromě nastavení specifických pro místní
Optimalizace konfigurací uživatelských profilů
počítač umístěná ve složce ^SystemDri ve%\Documents and Setti ngs\%UserNare%\
Local Settings.
Jak uvidíte dále, nastavení systému a zásad mohou toto chování mnoha způsoby
změnit.
Změna způsobu použití
místních a cestovních profilů
Uživatelský profil se implicitně načítá či vytváří pokaždé, když se uživatel přihlásí
na počítač. Jestliže je daný uživatelský účet nastaven tak, aby používal místní profil,
\ytvoří se z výchozího profilu uživatele mistři profil nebo se načte profil existující.
V případě, že je uživatelský účet na staven tak, aby se používal cestovní nebo po-
vinný profil, vytvoří se lokální kopie profilu uloženého na serveru. Jestliže je server
s profily během přihlašování nedostupný, může se použít lokální kopie profilu.
V případě, že lokální kopie profilu není k dispozici, použije se výchozí profil.
Způsob použití lokálních a cestovních profilů lze ovlivnit mnoha zásadami. Tyto zása-
dy se nacházejí ve složce Computer Configuration (Konfigurace počítače) umístěné
v\Administrative Templates\System\User Profiles (AŠablony pro správuXSystémX
Profily uživatelů) a zahrnují:
	Only Allow Local User Profiles (Povolit pouze místní uživatelské profily)
	Delete Cached Copies Of Roamíng Profiles (O< Istraňovat kopie cestovních profilů
z mezipaměti)
	Do Not Detect Slow Network Connection (Nezjišťovat pomalá síťová připojeni
	Log Users Off When Roaming Profile Fails (Při chybě cestovního profilu odhlásit
uživatele)
	Prompt User When Slow Link Is Dctected (Upozornit uživatele na pomalé síťové
připojení)
	Slow Network Connection Timeout For User Profiles (Časový limit pro staženi pro-
filu uživatele s pomalým síťovým připojením)
	Timeout For Dialog Boxes (Časový limit pro dialogová okna)
	Wait For Remote User Profile (Čekat na vzdálený profil uživatele)
Následující oddíl se zabývá nastaveními těchto zásad a jejich použitím.
Povolit pouze místní uživatelské profity
Nastavení Only Allow Local User Profiles (Povolit pouze místní uživatelské profily)
braní uživatelům používat cestovní profil. Jestliže se uživatel s cestovním profilem
přihlásí poté, co bylo aktivováno toto nastavení (a došlo k aktualizaci zásad počíta-
če), obdrží nový profil založený na výchozím profilu uživatele daného počítače.
Tento profil bude následně používán pro všechna následující přihlášení tohoto uži-
vatele na daný počítač.
Odstraňovat kopie cestovních profilů z mezipaměti
Když zapnete nastavení Delete Cached Copies Of Roaming PÝofiles (Odstraňovat ko-
pie cestovních profilů z mezipaměti), všechny lokální kopie cestovních profilu se po
268
Kapitola 7 - Správa uživatelských nastavení a dat
stup pouze ke svým přesměrovaným darům. Tomuto problému se lze vyhnout . a
že pro sdílenou složku, kde se nacházejí uživatelská data, nakonfigurujete mezipa
meť pro soubory offline.
Operační systémy Windows 2000, Windows XP a Windows Server 2003 jsou impli
citně nakonfigurovány tak, aby bylo pro práci offline prováděno manuální ukládán'
dokumentů do mezipaměti. Uživatelé mohou soubor učinil dostupným pro práci
offline tak, že na nej klepnou pravým tlačítkem a zvolí možnost Makc Availahle Offli-
ne (Zpřístupnit offline). Lepším způsobem ale je nakonfigurovat pro soubory, které
uživatelé otevírají ze sdílené složky, automatické ukládaní do mezipaměti. Správce
musí tuto konfiguraci provést následovně. Klepněte pravým tlačítkem na sdílenou
složku a zvolte položku Properties (Vlastnosti). V dialogovém okně přejdete na kartu
Sharing (Sdílení) a poté klepněte na položku Offline Settings (Nastavit režim offline)
Vyberte možnost Seleti All Files And Programs That Users Open From The Share Will
Be Automatically Availahle Offline (V režimu offline budou k dispozici pouze soubory
a programy otevřené uživateli ze sdílené složky) a poté dvakrát klepněte na tlačítko
OK. Další informace najdete v 37. kapitole knihy Microsoft Windows Server 2003 In-
síde Qtd
7.2 Konfigurace cestovních profilů
Nastavení cestovních profilů je složitý proces. Nejdříve musíte v síti nakonfigurovat
sdílený adresář, který bude pro cestovní profily sloužit jako úložiště. Poté musíte
nakonfigurovat uživatelské účty, které budou cestovní profily používat namísto
standardních místních profilů.
Konfigurace síťové sdílené složky
pro cestovní profily
Síťově sdílena složka, kten< se používá pro cestovní profily, se může nacházet na li-
bovolném serveru v organizaci. Nicméně trocha plánování není nikdy na škodu.
Protože profily mohou být poměrně objemné, budete se obvykle snažit uživatelům
zabránit v aktualizaci a stahování profilů přes vzdálené sítě. Do úvahy vstupuje sa-
mozřejmě mnoho dalších faktorů, například to, zda budete složky s daty uživatelů
také přesměrovavat, ale obvykle se budete snažit, aby se serxer s profily nacházel
z geografického hlediska tam, kde uživatelé.
J\ Upozorněn-' Na rozdíl od přesměrovaných složek, síťová sdílená složka používaná pro profily
 by neměla být nakonfigurována tak, aby používala soubory offline nebo šifrování. Z toho
plyne, že byste měli vypnout mezipaměť pro soubory offline (viz článek 842007 databáze
Microsoft Knowledge Base) a Šifrovaní systému souborů.
Chcete-li vytvořit pro cestovní profily sdílenou složku, postupujte následovně:
1.	Prostřednictvím správcovského účtu se přihlaste na server s profily.
2.	V průzkumníkovi Windows nalistujte složku, již chcete sdílet. Klepněte na ni pra-
vým tlačítkem a poté zvolte položku Sharing and Security (Sdíleni a zabezpečenO-
3.	Vyberte možnost Share this Folder (Sdílet tuto složku) a poté klepněte na tlačít-
ko Pcrmissions (Oprávnění).
Konfigurace cestovních profilů
269
4.	Implicitně je nastaveno, že skupina Everyone má oprávněni pro čtení dané
složky. Oprávnění upravte tak, aby skupina Authenticated Users měla veškerá
oprávnění. Tím zajistíte, že do sdílené složky budou moci přistupovat klientské
počítače a uživatelé s odpovídajícími oprávněními s ohledem na jejich profily.
5.	Dvakrát klepněte na tlačítko OK.
Konfigurace uživatelských účtů
pro cestovní profily
Jakmile vytvoříte a nakonfigurujete sdílenou složku pro profily, můžete nakonfigu-
rovat uživatelské účty, které budou cestovní profily využívat. Pro konfigurování ces-
tovních profilu se obvykle používá nástroj Active Directory Users And Computers
(Uživatelé a počítače služby Active Directory) nebo Server Manager. V těchto ná-
strojích se používá v rámci cesty do složky profilu proměnná prostředí %UserName%.
Podadresář pro uživatele vytvoří server na zaklade nazvu účtu.
Tip Proměnná %UserName% říká serveru, že má vytvořit podadresáře podle n ’zvu konkrétní-
ho uživatelského účtu. Jestliže nastavíte cestu k profilu například na \\CBServer01 \
Prof i ly\%UserName% a konfigurujete účet pro uživatele ZachM, bude cesta k profilu nasta-
vena na \\HKServer08\Profi 1es\ZachM. Podadresář ZachM se vytvoří automaticky a ces-
tovní profil se do této složky následně uloží. Když operační systém Windows vytvoří
uživatelský adresař, nastaví implicitně oprávnění systému NTFS tak, aby měl práva pro čtení
a správu jeho obsahu pouze daný uživatel. Jestliže chcete, aby k profilu měli přístup i správ-
ci, musíte povolit nastavení zásad Add The Administrators Security Group To Roaming User
Profiles (Přidat skupinu Administrators do profilů cestujících uživatelů) v Group Policy (Zása-
dy skupiny) (viz oddíl „Změny v přístupu k datům uživatelského profilu" této kapitoly).
Jestliže pro konfigurování cestovních profilů používáte nastroj Active1 Directory Users
And Compulers (Uživatelé a počítače služby Active Directoiy), postupujte takto:
1.	Spusťte nástroj Active Directory Users And Computers (Uživatelé a počítače
služby Active Directory). Klepnete na tlačítko Start, přejdete do složky Všechny
programy, Nástroje pro správu, Active Directory1 Users And Computers (Uživate-
lé a počítače služby Active Directory).
2.	Poklepejte na uživatelský účet, se kterým chcete pracovat. Klepněte na kartu
Profil (Profile).
Implementace
a scénáře
Tip Upravovat můžete i několik účtů najednou. Stačí podržet klávesu Ctrl nebo Alt a vybrat
účty, s nimiž chcete pracovat. Následně klepněte pravým tlačítkem a zvolte možnost Proper-
ties (Vlastnosti). Když klepnete na kartu Profil a uděláte změny v cestě k profilu, bude změ-
na platná pro všechny vybrané účty.
3.	Do pole Profile Path (Cesta k profilu) zadejte ve formátu UNC (Uniform Naming
Convention) cestu k serveru, sdílené složce a také cestu k adresáři ve formátu
\\NazevServeru\Sdi 1 enaSlozka\%UserName% (NazevServeru je zde název serveru,
Sd i 1 enaSl ozka je název sdílené složky určené pro uložení cestovních prohlů
a %UserName% je proměnná prostředí, která zajišťuje jednoznačnost cesty jednot-
livých uživatelů).
74
Kapitola 7 - Správa uživatelských nastavení a dat
2.	Poklepejte na položku Slow Network Connection Timeout For User Profily
(Časový limit pro stažení profilu uživatele s pomalým síťovým připojenínp
a poté zvolte možnost Enabied (Povoleno.) (viz obrázek 7.3).
3.	Do dialogového okna zadejte hodnoty, které chcete pro detekci pomalých při
pojení používat. Pole Connection dpeed (Rychlost připojení) použijte pro konfi
guraci detekce pro sítě protokolu IP. Pole Time použijte pro nastavení deteko
pro sítě, které na protokolu IP nepracují.
4.	Klepnete na tlačítko OK.
OBRÁZEK 7.3: Konfigurace detekce pomalého připojení pro uživatelské profily
Tip Nastavení Slow Network Connection Timeout For User Profiles (časový limit pro stažení
profilu uživatele s pomalým síťovým připojením) je ignorováno pokud jste zapnuli nastavení
Do Not Detect Slow Network Connection (Nezjišťovat pomalá síťová připojení) nebo když je
detekce pomalého připojení vypnuta jiným způsobem. Dále si zapamatujte, že když zapnete
nastavení Delete Cached Copies Of Roaming Profiles (Odstraňovat kopie cestovních profilů
z mezipaměti), nebudou dostupné žádné lokální kopie profilů. V takovém případě bude po-
čítač) používat dočasný profil (založený na výchozím profilu uživatele). Pokud jste ovšem ne-
zapnuli také nastavení Log Users Off When Roaming Profile Fails (Při chybě cestovního
profilu odhlásit uživatele).
Časový limit pro dialogová okna
Použijete-li nastavení Prompt User When Slow Link Is Detected (Upozornit uživate-
le na pomalé síťové připojení), systém čeká 30 vteřin na odpověď uživatele. Jestliže
uživatel nereaguje, provede se přednastavená akce, což je buď načtení lokální ko-
pie profilu (je-li to možné), nebo systém počká, než se načte cestovní profil (je-li to
nutné). Výzva se uživateli zobrazí i v dalších dvou případech:
	Jestliže se systém nemůže během přihlašovaní nebo odhlašování dostat k serve-
rovemu profilu uživatele. Okno s upozorněním říká uživateli, že bude načten
místní profil (je-li k dispozici).
Optimalizace konfiguraci uživatelských profilů
275
	Jestliže je místní kopie profilu uživatele novější než verze profilu nacházející se
na serveru. Okno s upozorněním říká uživateli, že bude načten místní profil (je-
li k dispozici).
Čekací dobu můžete upravit takto:
1.	Najděte objekt GPO, s nímž chcete pracovat. Otevřete složku Computer Conf i gura -
tion\Admini strati ve Templates\System\User Profiles (Konfigurace počíta-
če\Šablony pro správu\Systém\Profily uživatelů).
2.	Poklepejte na položku Timeout For Dialog Boxes (Časový limit pro dialogová
okna) a zvolte možnost Enabled (Povolit) (viz obrázek 7.4).
3.
Implementace
a scénáře
zásad skupiny
OBRÁZEK 7.4: Konfigurace čekací doby pro okno s upozorněním na pomalé připojení
Zadejte požadovanou čekací dobu, např. 60 vteřin.
Tip Nastavit můžete libovolnou hodnotu mezi 0 a 600. Počítejte ale stím, že nastaven Ti-
meout For Dialog Boxes (časový limit pro dialogová okna) bude ignorováno v případě, že je
zapnuté nastavení Do Not Detect Slow Network Connection (Nezjišťovat pomalá síťová při-
pojení) nebo je detekce pomalého připojení vypnuta jiným způsobem
4.	Klepněte na tlačítko Oh.
Čekat na vzdálený profil uživatele
Chcete-li si vynutit, aby počítač používal cestovní nebo povinný profil ze serveru, mů-
žete zapnout nastavení Wait For Remote User Profile (Čekat na vzdálený profil
uživatele). Počítač bude pak čekat na načtení cestovního čí povinného profiha, i když
bude síťové připojeni pomalé. Jestliže toto nastavení vypnete nebo je nenakonfiguru-
jete a detekce pomalého připojení je zapnuta, uživatel je v případě zjištěni pomalého
připojení upozorněn a má možnost použít místní nebo cestovní profil (za předpokla-
du, že jsou dispozici a žádná nastaveni zásad neomezuji jejich použití). \ případě, že
uživatel na upozorněni neodpoví implicitně se načte lokálni kopie profilu (je-li to
možné) nebo se počká na sražení cestovního profilu (je-li to nutné).
Typickou situací jc, když se uživatelé často přesouvají z jednoho počítače na jiný a vy
chcete použít nastavení Wait For Remote User Profile (Čekat na vzdálený profil užívá-
72
Kapitola 7 - Správa uživatelských nastavení a dat
e je
odhlášení uživatele odstraní. Cestovní profil pak existuje pouze na serveru, kde '
standardně uložen. Toto nastavení se používá především v prostředích, kde se klatfe
velký důraz na bezpečnost. Bohužel má také několik slabin. Nemá vliv na lokální ko-
pie profilů vytvořené před tún, než vstoupilo toto nastavení v platnost. Tyto profily na
počítači zůstanou, dokud se uživatel na daný počítač nepřihlásí a neodhlásí (odhlašo-
vací proces musí proběhnout standardně - bez problémů s aktualizováním nebo
uvolňováním). Protože během odhlašování dochází k mazání lokální kopie profilu
není v případě nedostupnosti vzdáleného serveru k dispozici žádná místní kopie pro-
filu. V takové situaci dostane uživatel dočasný uživatelský profil (založený na vý-
chozím profilu uživatele), který se během odhlašování odstraní.
Nastavení Delete Cached Copies Of Roaming Profiles (Odstraňovat kopie cestov-
ních profilu z mez paměti) byste neměli zapínat na přenosných počítačích a na po-
čítačích, které budou do sítě přistupovat přes pomalé připojení. Po odpojení
uživatele přenosného počítače ze sítě již neexistuje žádný způsob jak se k cestov-
nímu profilu dostat a protože není k dispozici ani lokální kopie, bude uživateli při-
dělen dočasný profil. Dále je třeba zmínit, že jestliže nastavení Delete Cached
Copies Of Roaming Profiles (Odstraňovat kopie cestovních profilů z mezipaměti)
zapnete a počítač je na konfigurován pro rozpoznávání pomalých připojení, budete
čelit podobným problémům. Když se uživatelé připojují do sítě přes pomalé připo-
jení, je implicitní chování systému takové, že použije lokální kopii profilu. Ale
vzhledem k tomu, že tato kopie neexistuje, použije se namísto ní dočasný profil.
Nezjišťovat pomalá síťová připojení
Když zapnete nastavení Do Not Detect Slow Network Connection (Nezjišťovat po-
malá síťová připojenO, detekce pomalého připojení se vypne a počítač ignoruje na-
stavení, která mu říkají jak se v případě pomalého připojeni choval. Toto nastavení
je užitečné když mažete lokální kopie profilu a chcete zajistit, že cestovní profil bu-
de k dispozici i v případě, že bude uživatel připojen přes pomalé připojení. Nevý-
hodou samozřejmě je, že přihlašování a odhlašování muže trvat dlouhou dobu
(kvůli načítání profilu nebo provádění aktualizace přes pomalé připojení).
Poznámka Pravděpodobnost problémů způsobených pomalými připojeními se zvyšuje, když
se uživatelé připojuj přes pomalé sítě nebo když používáte sdílené složky systému souborů
DFS. Jedním z řešení je vypnout detekci pomalého připojení. Také můžete přidat cíl kořeno-
vého adresáře DFS na klientskou síť.
Při chybě cestovního profilu odhlásit uživatele
Když zapnete nastavení Log Users Off When Roaming Profile Fails (Při chybě ces-
tovního profilu odhlásit uživatele), bude uživatel automaticky odhlášen v případě,
že počítač nedokáže načíst jeho cestovní profil. To znamená, že uživatel se nebude
moci přihlásit, jestliže bude sener s profily nedostupný nebo bude profil obsahovat
chyby, které znemožní jeho správné načtení.
Log Users Off When Roaming Profile Fails (Při chybě cestovního profilu odhlásit
uživatele) je určené do prostředí, kde chce mít správce stoprocentní jistotu, že uži-
vatelé načítají své profily ze serveru. V takovém vysoce zabezpečeném prostředí
nemusí být žádoucí, aby uživatelé používali dočasný místní profil. Namísto toho,
Optimalizace konfigurací uživatelských profilů
273
aby uživatelům bylo umožněno přihlásit se s dočasným profilem (založeným na vý-
chozím profilu uživatele), budou automaticky odhlášeni.
Upozornit uživatele na pomalé síťové připojení
Když zapnete nastavení Prompt User When Slow Link Is Detected (Upozornit uži-
vatele na pomalé síťové připojení), bude uživatel upozorněn pokaždé, když dojde
ke zjištění pomalého připojení a bude mu nabídnuto, zda chce použil místní kopii
profilu (je-li k dispozici) nebo počkat na načtení cestovního profilu. Jestliže je na-
stavení vypnuté nebo není nakonfigurované a dojde k detekci pomalého připojení,
provede počítač jednu z těchto akcí:
	Jestliže jste explicitně neurčili, že by měl počítač čekat na vzdálený uživatelský
profil, pokusí se počítač načíst lokální kopii profilu (je-li k dispozici).
	Jestliže jste určili, že by měl počítač čekat na vzdálený uživatelský profil, pokusí
se počítač načíst cestovní profil (je-li k dispozici).
Implementace
a scénáře
Implicitně systém čeká 30 vteřin na to, jak se uživatel rozhodne. Jestliže uživatel na do-
taz nereaguje, provede se jedna z výše uvedených akcí. Doby čekaní můžete upra-
vit pomocí nastaveni Timeout For Dialog Boxes (Časový limit pro dialogová okna).
Poznámka Nastavení Prompt User When Slow Link Is Detected (Upozorni uživatele na pomalé
síťové připojení) se ignoruje v případě, že jste zapnuli nastavení Do Not Detect Slow Network
Connection (Nezjišťovat pomalá síťová připojení) nebo je detekce pomalého připojení vypnuta
jiným způsobem. Dále si zapamatujte, že když zapnete nastavení Delete Cached Copies Of Ro-
aming Profiles (Odstraňovat kopie cestovních profilů z mezipaměti), nebudou dostupné žádné
lokální kopie profilů. V takovém případě bude počítač používat dočasný profil (založený na vý-
chozím profilu uživatele). Pokud jste ovšem nezapnuli také nastaveni Log Users Off When Ro-
aming Profile Fails (Při chybě cestovního profilu odhlásit uživatele).
Časový limit pro stažení profilu uživatele
s pomalým síťovým připojením
Jak je uvedeno v oddíle „Konfigurujeme detekci pomalého připojení třetí kapitoly,
počítače používají pro zjištění toho, zda je používané připojení pomalé, určitý algo-
ritmus. Pro počítače připojené pomocí protokolu TCP IP je doba odezvy měřena
pomocí nástroje ping a následně zasláním paketu se zprávou. Implicitně klientský
počítač interpretuje připojení jako pomalé, jestliže je rychlost připojení menší než
500 kilobitů za vteřinu (což lze na rychlé síti také interpretovat jako vysokou laten-
ci/sníženou reakčnost). Pro počítače, které protokol TCP/IP nepoužívají, se měří
pouze doba odezvy serveru. Implicitně klientský počítač interpretuje připojeni jako
pomalé v případě, že server neodpoví během 120 milisekund.
Jestliže pro dynamickou adresaci protokolu IP používáte protokol DHCP nebo se
klienti připojují na síť pomocí wtáčeného připojení, bude možná zapotřebí zmiňo-
vané výchozí hodnoty zvýšit. Výchozí hodnoty změníte následovně:
1. Najděte objekt GPO, s nímž chcete pracovat. Otevřete složku Computer
Configuration\Administrative Templates\System\User Profiles (Konfigurace
počítače\Šablony pro správu\Systém\Profily uživatelů).
Kapitola 7 - Správa uživatelských nastavení a dat
Windows automatické vytváření složek profilu podle potřeby a poté nakonfigurov'
bezpečnostní oprávnění na složkách profilu tak, aby k nim správci mohli přistupoVat
Ohledně uživatelů, kteří složku cestovního profilu ještě nemají, můžete systému Win
dows přikázat, aby na nových složkách profilu nastavil oprávnění tak, aby měli plnou
kontrolu jak správci, tak i uživatel. Stačí zapnout nastavení Add The Administrators Se-
curity Group To Roatning User Profiles (Přidat skupinu Administrators do profilů ces-
tujících uživatelů) nacházející se ve složce Computer Configuration\Administrdtive
Templates\System\User Profiles (Konfigurace počítače\Šablony pro správu\Sys-
tém\Profily uživatelů). Toto nastavení zasad nemá vliv na existující složky ces-
tovních profilů a musí být nastavené na cílových klientských počítačích, nikoliv na
serveru uchovávajícím složky profilu.
Chcete-li správcům povolit přístup k existujícím složkám profilu, postupujte takto:
1.	Prostřednictvím účtu s oprávněními správce se přihlaste na sen er s profily.
2.	V průzkumníku Windows otevřete složku profilu uživatele. Klepněte na ni pravým
tlačítkem a poté zvolte Properties (Vlastnosti).
3.	Až se zobrazí varování oznamující, že pro přístup ke složce profilu nemáte dosta-
tečná oprávnění, ale máte možnost převzít vlastnictví, klepněte na tlačítko OK.
4.	V dialogovém okně Properties ( Vlastnosti) přejděte na kartu Security (Zabezpeče-
ní) a poté klepněte na tlačítko Advanced (Upřesnit).
5.	V dialogovém okně Advanced Security Settings (Upřesnit nastavení zabezpečení)
klepněte na kartu Owner (Vlastník).
6.	V části Change Owner To (Změnit vlastníka na) klepnete na položku Admmistra-
tors a poté zaškrtněte pole Replace Owners On Subcontainers And Objects (Na-
hradit vlastníka v podřízených kontejnerech a objektech).
7.	Klepněte na tlačítko OK. Až budete požádáni, abyste potvrdili, že chcete převzít
vlastnictví složky, klepněte na tlačítko Yes (Ano).
8.	Budete vyzváni k zavření a opětovnému otevřeni dialogového okna Properties
(Vlastnosti). Třikrát klepnete na tlačítko OK, zavřete tak všechna otevřená dialogo-
vá okna.
9-	V průzkumníku Windows klepnete pravým tlačítkem na složku profilu uživatele
a poté zvolte Properties (Vlastnosti).
10.	V dialogovém okně Properties (Vlastnosti) přejděte na kartu Security ( Zabezpeče-
ní) a poté klepněte na tlačítko Advanced (Upřesnit).
11.	V dialogovém okně Advanced Security Settings ( Upřesnit nastavení zabezpečení)
klepněte na tlačítko Přidat (Add).
12.	Do dialogového okna Select Users, Computers, Or Groups zadejte přihlašovací
jméno uživatele a poté klepněte na tlačítko Check Names. Jestliže je vše v pořádku,
klepněte na tlačítko OK
13.	V dialogovém okně Permissions Fntry For, zvolte v části Apply Onto položku This
Folder, Subfolders And Files a poté zvolte možnost Allow for Full Control. Klepně-
te na tlačítko OK.

Optimalizace konfigurací uživatelských profilů
279
Upozornění Položka Apply These Permissions To Objects And/Or Containers Within This Con-
/ f J tainer Only dialogového okna Entry For není vybrána implicitně. Tuto možnost byste neměli
používat. Jestliže ji použijete, nebudou oprávnění nastavena správně. Kdybyste tuto mož-
nost zapnuli, pak by přihlašující se uživatel uviděl chybovou hlášku spojenou s neschopností
číst obsah složky Application DataMdentities. Jestliže nějaký uživatel uvidí během přihlašo-
vání tuto chybu, bude potřeba otevřít dialogové okno Advanced Security Settings For
(Upřesnit nastavení zabezpečení pro), zvolit jeho uživatelské jméno a poté klepnout na tla-
čítko Edit. Poté deaktivujte možnost Apply These Permissions To Objects And/Or Containers
Within This Container Only a klepněte na tlačítko OK.
14.	V dialogovém okně Advanced Security Settings For (Upřesnit nastavení zabezpe-
čení pro) zvolte možnost Replace Permission Entries On All Child Objects a poté
klepněte na tlačítko OK. Až budete požádáni o potvrzení operace, klepněte na tla-
čítko Y es.
15-	Klepněte na tlačítko OK.
fí' Poznámka Jestliže se uživateli zobrazí upozornění oznamující, že cestovní profil je nedo-
stupný, znamená to, že bezpečnostní oprávnění nebyla nastavena správně. Zopakujte kroky
8 až 12 a označte možnost Replace Permission Entnes On All Child Objects.
Omezení velikosti profilu a obsažených složek
Uživatelské profily mohou narůst do značné velikosti, proto se může někdy hodit
omezení velikosti cestovních profilů nebo složek, ktere obsahují. Tímto omezením
nejenom ušetříte prostor na serveru s profily, ale také urychlíte proces přihlašování
a odhlašování. Nezapomínejte, že některé složky profilu můžete také přesměrovat
(např. Documents (Dokumenty) nebo Data aplikací), aby se připojovaly prostřed-
nictvím sdílených adresářů (namísto jejich neustálého přesouvání spolu s profilem
uživatele). Omezení velikosti profilu by pak nemuselo být bezpodmínečně nutné.
Omezení velikosti profilu
Nastavíte-li pro velikost profilu nějakou mez, pak každý uživatel, který ji překročí,
dostane* během odhlašovaní tuto varovnou zprávu: „You háve exceeded your profi-
le storage space. Before you can log off, you need to move some items from your
profile to network or local storage.“ Dialogové okno s varováním obsahuje seznam
souborů v uživatelově profilu a také poskytuje podrobnosti o současné velikosti je-
ho profilu a maximální povolené velikosti. Uživateli není povoleno odhlásit se, do-
kud nesmaže nějaké soubory a neuvolní tak dostatek místa pro splnění požadavků
na maximální povolenou velikost profilu.
Chcete-li omezit velikost uživatelských profilů pro pracoviště, doménu či organi-
zační jednotku, postupujte následovně:
1. Najděte objekt GPO, s nímž chcete pracovat. Otevřete složku UserConfiguration\
Admini strati ve Templ a tes\System\User Profiles.
2. Poklepejte na položku Limit Profile Size a poté zvolte možnost Enabled (viz ob-
rázek 7.5).
Implementace
a scénáře
zásad skupiny
[76 Kapitola 7 - Správa uživatelských nastavení a dat
tele) a lokální kopie jejich profilu není vždy aktuální. Použití lokální kopie profflu
se upřednostňuje, když je pro vás prioritou rychle přihlášení.
Poznámka Nastavení Wait For Remote User Profile (Čekat na vzdálený profil uživatele) je j
norováno, pokud jste zapnuli nastavení Do Not Detect Slow Network Connection (Nezjišfo
vat pomalá síťová připojení) nebo když je detekce pomalého připojení vypnuta jiným
způsobem. Dále si zapamatujte, že když zapnete nastavení Delete Cached Copies Of ROa.
ming Profiles (Odstraňovat kopie cestovních profilů z mezipaměti), nebudou dostupné žád-
né lokální kopie profilů.
Změny ve způsobu aktualizace
a upravování dat profilu
Změny v globálních nastaveních a uživatelských datech jsou uloženy nejprve do
místního uživatelského profilu. Pro uživatele používajícího cestovní profil se změny
zapíší do profilu na serveru, až když se odhlásí (v případě, že to není blokováno).
Používáte-li terminálové služby, mohou být při odhlášení uživatele některé oblasti
registru (pod větvi HKEY_CURRENT_USER) zablokované. Muže se to stát například,
když registry čte nebo mění nějaký jiný program či služba. Počítač by v takové situ-
aci nemohl do profilu zapsat uzamčená nastavení.
Operační systémy Windows XP a Windows 2003 se snaží tento problém obejít tak,
že nastavení registru ukládají po 60 vteřinách a pote aktualizují cestovní profil.
Operační systém Windows 2000 se k registrům snaží přistupovat okamžitě během
odhlašovaní a následně provádí potřebné změny v cestovním profilu. Jestliže jsou
nastavení registru uzamčena, operační systém Windows 2000 se je opakovaně po-
kusí synchronizovat (dokud nedosáhne počet pokusu maximální povolené hodnoty
- výchozí je 60). Pro tyto pokusy je vvhrazena jedna minuta, tím pádem se pokusy
opakují zhruba po vteřině.
Toto chovaní mohou změnit následující zásady:
	Maximum Retries To Unload And Update User Profile (Maximální počet
pokusů o uvolnění a aktualizaci uživatelského profilu) Jestliže zapnete toto
nastavení, můžete určit kolikrát se má systém o uložení změn v nastaveních regist-
ru pokusit. Výchozí hodnota je 60. Jestliže toto nastavení vypnete nebo nena konfi-
gurujete, systém akci zopakuje óOkrát. Jestliže počet opakování nastavíte na 0,
systém se pokusí uložit nastavení registru do profilu jen jednou. Máte-li servery
používající terminálové služby nebo je v paměti počítače uloženo velké množství
uživatelských profilů, můžete počet opakování zvětšit. Toto nastavení nemá vliv
na to, kolikrát se systém pokusí zaktualizovat soubory uživatelského profilu.
	Prevent Roaming Profile Change*- From Propagating To The Server (Zabránit
v šíření změn cestovních profilů na server) Když zapnete toto nastavení, za-
bráníte uživatelům provádět trvalé změny v jejich cestovních profilech. Po přihlá-
šení získá uživatel cestov ní profil jako obvykle. Změny, které do něj udělá, se ale
po odhlášení neuloží. Ačkoliv je toto nastavení podobné použiti povinných profi-
lu, mezi použitím povinného profilu a zákazem provádění změn v cestovních pr^'
Filech existuje zásadní rozdíl: Když použijete povinný profil, po odhlášení $e
v profilu neuloží žádné změny, proto nedojde k aktualizaci místní kopie profilu ani
Optimalizace konfigurací uživatelských profilů
277
vzdálené kopie profilu. Zakážete-li změny v cestovních profilech, nekopírují se lo-
kální změny profilu do protihi vzdáleného. Změny jsou tím pádem znovu k dispo-
zici, když se uživatel příště přihlásí na daný počítač. Toto nastavení můžete použít,
když například nechcete, aby byly změny v lokálním profilu a uživatelských sou-
borech kopírovány zpět na server a uloženy7 do uživatelova cestovního profilu.
Změny v přístupu k datům uživatelského profilu
CestQvní profily jsou uložené, na k tomu určených serverech. Implicitně může k da-
tům profilu uživatele přistupovat pouze uživatel, pro kterého byl daný profil vytvo-
řen. Operační systém Windows 2000 s aktualizací SP3 nebo starší a systém
Windows XP bez aktualizace umožňuje přístup do složky profiki také tvur-
ci/vlastníkovi. Uživatel ze skupiny Server Operators či Account Operators muže na-
příklad připravit složku pro profil nějakého uživatele a jako tvůrce/vlastník pak
bude mít možnost přístupu k datum profiJu tohoto uživatele. Operační systémy
Windows Server 2003, Windows 2000 s aktualizací SP4 nebo novější a Windows XP
s ak uahzací SPI nebo novější tento potenciální problém řeší tím, že kontrolují, zda
konkrétní uživatel je tím jediným, kdo ma oprávnění na své složce profilu
a v případě, že prava na uživatelské složce umístěné na serveru nejsou taková, jaká
man podle systému Windows byt, je použili cestovního profilu zamítnuto. Požadav-
ky systému Windows ohledně oprávněni jsou následující: vlastníkem složky profilu
uživatele smí být pouze člen skupiny Administrators. Proto v případě, že složku
vlastní kdokoliv jiný než aktualn uživatel nebo člen .skupiny Administrators, je po-
užiti cestovního profilu zakázáno a uživatel je nucen použit lokální prolil. Žádné
změny v místním profilu nejsou distribuovány zpět na server s prolily.
Když se uživatel s cestovním profilem přihlásí na počítač s operačním systémem
Windows Server 2003 a systém zjistí, že složka cestovního profilu nemá požadova-
ná oprávnění, zobrazí se následující chybová zpráva:
Implementace
a scénáře
Tóe/ari ckimínv
Windows did not load your roaming profile and is attempting to log you on
with your local profile. Changes to the profile will not be copied to the
server when you logoff. Windows did not load your profile because a server
copy of the profile folder already exists that does not háve the correct
security. Either the current user or the Administrátorů group must be the
owner of the folder. Contact your network administrátor.
Jestliže není toto chován- žádoucí, můžete (pomocí zásad skupiny) systému \X indows
Server 2003 říci, aby oprávnění na složkách cestovního profilu nebyla kontrolována.
Stačí zapnout nastavení Do Not Check For User Ownership Of Roaming Profile Fol-
ders (Neprovádět kontrolu vlastnictví ve složkách cestovních profilu) nacházející se ve
složce Computer Configuration\Administrati ve Templates\System\User Profiles
(Konfigurace počí tače\Šablony pro správu\Systém\Prof i 1 y uži vatel ú). Jsou-li tyto
zásady zapnuté, operační systémy Windows Server 2003. Windows 2000 s aktualizací
SP4 nebo novější a Windows XP s aktualizaci SPI nebo novější nebudou před aktuali-
zací dat v existujících složkách uživatelského profilu kontrolovat bezpečnostní
oprávnění.
Jedním z nejběžnějších důvodů pro předběžné vytvoření složek uživatelských profilu
je snaha o zajištění toho, aby mohl pověřeny správce podle potřeby přistupovat
k datum profilu. Způsobem jak tento problém obejit je povolit operačnímu systému
Kapitola 7 - Správa uživatelských nastavení a dat
OBRÁZEK 7.5: Omezení velikosti profilu na konkrétní povolenou velikost
a konfigurace upozornění
3.	Jestliže uživatel překročí povolenou velikost a pokusí se odhlásit, uvidí stan-
dardní varovnou zprávu. Prejete-li si zobrazovat jiný text, zadejte jej do pole Cu-
stom Message.
4.	Zapnete-li toto nastavení zásad, limit se implicitně nastaví na 30 MB (30 000 KB).
Jestliže datové složky profilů (např. Documents (Dokumenty) a Data aplikací) pře-
směrujete na síťové sdílené adresáře, muže být tato hodnota dostačující. Jestliže da-
tové složky profilů nepřesměruietc, výchozí hodnota (ve většině případů)
dostačující nebude. V obou případech byste si konfiguraci maximální povolené
velikosti měli dobře rozmyslet a teprve potom ji pomocí pole Max Profile Size na-
stavit na odpovídající hodnotu (v kilobajtech).
5.	Globální nastavení jsou implicitně uložena v uživatelském profilu v souboru
Ntuser.dat. Velikost souboru Ntuser.dat se do velikosti profilu uživatele neza-
počítává. Jestliže ale chcete velikost tohoto souboru do limitu zahrnout, zapněte
nastaveni Include Registry In Filé List.
6.	Varování se uživatelům implicitně zobrazí až při odhlašování a následně dostanou
možnost odstranit soubory z jejich profilu. Jestliže uživatele chcete upozornit po-
každé, když překročí povolenou velikost profilu, zapněte nastavení Notify User
When Profile Storage Space Ls Exceeded a pomocí póle Remind User Every X
Minutes nastavte v jakém intervalu má být uživatel na prohřešek upozorňován.
Tip Upozorňování uživatelů na to, že překročili Dovolený limit, může být sice užitečné, ale
opakované upozorňování může být také poměrně obtěžující. Jestliže tedy chcete uživatele
upozorňovat opakovaně, doporučujeme nečinit tak v příliš krátkých intervalech (přijatelná
doba je například 120 minut).
7.	Klepněte na tlačítko OK.
Zmenrení množství složek obsažených v profilech
Jiným způsobem jak omezit velikost profilu uživatele je vyjmout z něj určité složky
a zahranit jejich přesouvám spolu s profilem. Jak jsme již dříve zmínili, složky na-
Přesměrování složek a dat uživatelských profilu 281
cházející se na cestě XSystemDrive^XDocuments and SettingsUUserNane£\Local
Settings nejsou mobilní. Jestliže chcete vyjmout i jiné složky, můžete to následují-
cím způsobem specifikovat prostřednictvím zásad:
1.	Najděte objekt GPO, s nímž chcete pracovat. Otevřete složku User ConfigurationX
Administrative Templates\System\User Profiles (Konfigurace uživatele\Šab-
lony pro správu\Systém\Profily uživatelů).
2.	Poklepejte na nastavení Exclude Directories In Roaming Profile (Vyjmout složky
z cestovního profilu) a poté zvolte možnost Enabied (viz obrázek 7.6).
Exclude directories in roaming profile Rrcprrties ? X
Implementace
a scénáře
elziirúrw
OBRÁZEK 7.6: Vyjmutí složek z cestovního profilu vytvořením seznamu názvů složek
oddělených středníky
3.	Složky, které nechcete přesouvat spolu s cestovním profilem, určíte tak, že zadáte
jejich název do odpovídá jícího pole. Chcete-li vyjmout více složek, jejich názvy
musejí být odděleny středníky. Názvy složek zadávejte vždy relativně ke kořeno-
vému adresáři profilu, což je XSystemDri ve^XDocuments and Setti ngsX^UserNameX.
Jestliže chcete vynechat například dvě složky s názvy Staré a Nové (obě se na-
cházejí na ploše), zadejte do pole Desktop - PlochaXNové;PlochaXStaré.
4.	Klepněte na tlačítko OK.
7.4 Přesměrování složek
a dat uživatelských profilů
V mnoha podnicích uživatelé používají nebo mají přístup k několika počítačům.
V kanceláři mohou mít například jak přenosný, tak i stolní počítač. Nebo mohou
mít v kanceláři pouze stolní počítač a na další počítače se přihlašují, aby pracovali
na vývoji či testování. Může se také stát, že se budou muset přihlásit na počítač ji-
ného uživatele, protože jejich PC bude nefunkční. Ať je příčina jakákoliv, zajistit
uživateliim spolehlivý přístup k jejich datům je důležitým úkolem a pomoci vám
v tom mohou přesměrované složky. Přesměrované složky přinášejí uživatelům kon-
zistentní přístup k datům bez ohledu na to, jaký počítač pravě používají k připojení
do sítě, ale také usnadňují práci správcům tím, že poskytují centralizované úložiště
Kapitola 7 - Správa uživatelských nastavení a dat
složek uživatelských profilů a dat, které lze snadno spravovat a zálohovat. Tyto vý
hody pramení z toho, že při použití přesměrovaných složek sídli uživatelská data
na centrálním serveru či serverech (nikoliv na jednotlivých koncových počítačích)
Princip fungování přesměrování složek
Jak bylo řečeno v části věnující se uživatelským profilům a zasadam skupiny, přesmě-
rované složky umožňují plynule přesměrování složek a dat, která by jinak byla součás-
tí profilu uživatele. Co se týče cestovních profilů, přesměrované složky snižují síťový
provoz během přihlašování a odhlašování, neboť není nutné přesouvat či aktualizovat
přesměrované složky, což může v konečném etektu přihlašování a odhlašování urych-
lit. Těží z toho uživatelé i správci. Uživatelé získají lepší přístup ke svým datům, zrychlí
se proces přihlašování a odhlašování a celkově se potýkají s menším množstvím pIo.
blémů souvisejících s profily. Správci získají lepší kontrolu nad uživatelskými daty
a centralizovaný přístup k nim, což usnadňuje zálohování a obnovu dat.
Přesměrovaní složek můžete prostřednictvím nastavení oblasti User Configuration
(Konfigurace uživatele) nakonfigurovat pro doménové uživatele na úrovni domény
nebo organizační jednotky. Jak je vidět z obrázku 7.7, přesměrovat můžete následu-
jící složky profilu uživatele:
	Data aplikací Jedná se spise o úložiště aplikačních dat specifických pro jednotlivé
uživatele XSystemDrive%\Documents and Settings\%UserName%\Data aplikací než
o úložiště dat specifických pro počítač na cestě %SystemDri ve%\Documents and
Settings\%UserName%\Local Settings\Data aplikací. Mnoho aplikací využívá
úložiště dat pro jednoho uživatele, kletá mohou někdy narůst do značné velikosti.
Co se týče produktu Microsoft Office, úložiště dat jednoho uživatele obsahuje uži-
vatelské slov niky, adresař atd Proto se pro všechny1 počítače, na něž se uživatel
přihlásí, často používá společný adresaí s aplikačními daty.
	Desktop (Plocha) Kompletní plocha uživatele včetně nastavení, zástupců
a souboru či složek, které se na ni nacházejí. Uživatelé často ukládají soubory
j složky na ploenu, proto je dobrou praxí přesměrovat data jejich plochy spolu
s daty složky Documents. U cestovního profilu je přesměrování plochy užitečné
i v tom, že všichni zástupci a nastavení (např. tapeta či panel rychlého spuštění)
zůstanou stejná i v7 případě, že uživatel přechází od jednoho počítače ke dru-
hému. Pokud zástupce ukazuje na existující umístěni (např. soubor ve složce
profilu uživatele nebo ve sdíleném síťovém adresáři), pak bude fungovat. Jestli-
že má uživatel například zástupce ukazujícího na dokument uložený ve složce
Documents, zástupce bude fungovat. Na druhou stranu zástupce, který ukazuje
na dokument nacházející se v nějaké složce na jednotce D, která existuje pouze
na přenosném počítači daného uživatele, fungovat nebude.
	Documents (Dokumenty) Kompletní obsah složky Documents včetně všech
souborů a složek. Implicitně jsou do této složky zahrnovány všechny automa-
ticky vytvořené podadresáře. Máte možnost vyjmout složku My Pictures (Obráz-
ky), ale všechny7 ostatní podadresáře složky Documents jsou přesměrované,
včetně složek Přijaté soubory, Music (Hudba;, My Data Sources, My Deliveries,
My DVDs, My eBooks, My Videos, My Virtual Machines a My Web Sites.
	Nabídka Start Celá nabídka Start včetně nabídky Programy a s ní souvisejících
položek, zkratek a aplikací nacházejících se ve složce Po spuštění. Nabídku Start
Přesměrovaní složek a dat uživatelských profilů
283
můžete přesměrovat například v situaci, kdy uživatelé přistupují k aplikacím
přes síť nebo máte v cele pobočce či oddělení nasazené identicky nakonfiguro-
vané pracovní stanice. Když používáte přesměrování, tal si můžete být jisti, že
uživatelé mají prostřednictvím nabídky Start přístup k používaným aplikacím.
Poznámka Narozdíl od ostatních druhů přesměrování složek, přesměrování nabídky Start
nekopíruje obsah místní verze uživatelské nabídky Start. Uživatelé jsou místo toho přesmě-
rováni do standardní nabídky Start, kterou správce předtím vytvořil a uložil na serveru.
OBRÁZEK 7.7: Přesměrování složky
Implementace
a scénáře
zásad skuninv
Žádné další složky jiz přesměrovat nelze. To znamená, že přesměrovatelné nejsou
následující složky:
	Okolní síť
	Okolní tiskárny
Recent
	SendTo
	šablony
Přesměrované složky jsou ve skutečnosti složky připojené prostřednictvím sdílených
síťových míst. Kdykoliv' pracujete na přesměrován složek, měli byste zvážit i da š:
možnosti konfigurace:
	Použití souboru offline Přesměrované složky implicitně nejsou pro použití oifli-
ne k dispozici. Uživatelé je mohou pro použití offline zpřístupnit tak, že klepnou
pravým tlačítkem na soubor a zvolí možnost Make Available Offline. Použití sou-
boru offline mohou nakonfigurovat také správci přímo pro sdílenou složku nachá-
zející se na serveru. Stačí klepnout pravým tlačítkem na sdílenou složku a poté
zvolit Properties (Vlastnosti). V dialogovém okně Properties (Vlastnosti) přejděte
na kartu Sdílení a poté klepněte na tlačítko Caching. Zvolte možnost Select All
Files And Programs That Users Open From The Share Will Be Automatically
84
Kapitola 7 - Správa uživatelských nastavení a dat
Available Offline a následně dvakrát klepnete na tlačítko OK. Další informace
naleznete ve 37. kapitole knihy Microsoft Windows Server 2003 Inside Oui
	Použití stínových kopií Stínové kopie sdílených složek usnadňují získáván'
předchozích verzi souborů a obnovov ání omylem smazaných souborů. Jestliže stí
nové kopie nakonfigurujete na sdílených složkách přiřazených k přesměrovaným
složkám, budou mít uživatelé přistup k předchozím verzím všech svých datových
souborů a složek. To jim umožní vrátit se zpět k předchozím verzím souborů, aniž
by přitom potřebovali pomoc správce. Další informace naleznete ve 22. kapitole
knihy Microsoft Windows Server 2003 Inside OiU.
Konfigurace přesměrování složek
Přesměrování složek se konfiguruje pomocí nastavení umístěných ve složce User
Configtiration\Windows Settings\Folder Redirection. Zde najdete nastavení zásad
pro Data aplikací, Plochu, Documents (Dokumenty) i Nabídku Start, která lze kon-
figurovat několika způsoby. Jestliže nějaký adresář nechcete pro určité pracoviště,
doménu či organizační jednotku přesměrovávat, můžete přesníčrování pro objekt
GPO pracoviště, domény či organizační jednotky, s nímž právě pracujete, přesmě-
rování vypnout prostřednictvím nastaveni Nol Configured (Není nakonfigurováno).
Chcete-li přesměrovat určitou složku pro konkrétní pracoviště, doménu či organi-
zační jednotku, můžete použit jedno z těchto nastavení:
	Basic — Základní Používá sc- k přesměrování uživatelů do stejného základního
umístěn.
	Advanced — Pokročilé Používá se k přesměrování uživatelů v závislosti na pří-
slušnosti k bezpečnostní skupině
Následující oddíly se zabývají tím, jak lze tato nastavení a s nimi související mož-
nosti využít v různých situacích.
Použití základního přesměrování složek
Základní přesměrováni složek se používá k přesměrování všech uživatelů určitého
pracoviště, domény či organizační jednotky na stejné místo. Základní přesměrování
se používá především v malých organizacích nebo organizacích, jejichž struktura
organizačních jednotek je za ložena na fyzickém umístěni - základní přesměrovaní
muže používat také například malá obchodní skupina či samostatné oddělení. Zá-
kladní přesměrování mohou používat i organizace, v nichž se zaměstnanci organi-
zační jednotky nacházejí vždy ve stejné lokalitě.
Základní přesměrování se konfiguruje následov ně:
1.	Najděte objekt GPO, s nímž chcete pracov.it. Otevřete složku User Configuration\
Windows Settings\Folder Redirection.
2.	Čtyři složky, které lze přesměrovat, jsou uvedeny samostatně. Klepněte pravým
tlačítkem na složku, kterou chcete přesměrovat, a pote zvolte Properties (Vlastnos-
ti).
3.	V seznamu Settings (Nastav cní) zvolte položku Basic - Redirect Everyone’s Folder
To The Same Location (viz obrázek 7.8).
Přesměrování složek a dat uživatelských profilů
285
Implementace
a scénáře
zásad skupiny
OBRÁZEK 7.8: Konfigurace základního přesměrování složek
4.	V části Target Folder Location vyberte jednu z těchto možností:
	Redirect To The User’s Home Directory Vztahuje se pouze na přesměrová-
ní složky Documents. Jestliže jste v nastaveni účtu uživatele nakonfigurovali
jeho domovský adresář, můžete toto nastavení použít k přesměrovaní složky
Documents na stejné místo jaké používá tento domovský adresář. Jestliže je
jednotka, na které se nachází domovský adresář uživatele například X, pak bu-
de jednotka X a složka Documents ukazovat na stejné místo (dané nastavením
doménového účtu uživatele).
Upozorněni Toto nastavení použijte pouze v případě, že domovský adresář již existuje.
Jestliže domovský adresář neexistuje, bude toto nastaveni ignorováno a složka nebude pře-
směrována.
	Create A Folder For Each User Under The Root Path K názvu určeného
sdíleného síťového adresáře připojí uživatelské jméno. Složky jednotlivých uži-
vatelů se tedy stanou podadresáři určeného sdíleného síťového adresáře. Jestli-
že například chcete, aby byla složka Documents (Dokumenty) přesměrována
do \\CBServer08\User0ata, bude tato složka obsahovat pro každého uživatele
jeden podadresář, jehož název bude vycházet z názvu uživatelského účtu
(XUserName%) a data složky Documents budou umístěna v odpovídajícím pod-
adresáři. Tato možnost není k dispozici pro přesměrování Nabídky Start.
	Redirect To The Following Location Umožňuje vám pro všechny uživatele
specifikovat umístění složky a kořenovou cestu do sdílené složky se soubo-
ry. Jestliže nepoužijete proměnnou prostředí %UserName%, budou všichni uži-
vatelé přesměrováni do jedné složky. Jestliže proměnnou ^UserName^
použijete, vytvoří se pro jednotlivé uživatele samostatné složky.
Poznámka Pro učebny, kiosky a některé kanceláře se pravděpodobně budete snažit zajistit,
aby všichni uživatelé určité organizační jednotky nebo všichni členové určité bezpečnostní sku-
piny používali naprosto stejnou složku. V tomto případě můžete přesměrování nastavit do jed-
noho místa. Chcete-li například, aby každý, kdo se přihlašuje na počítač v učebně, měl
Kapitola 7 - Správa uživatelských nastavení a dat
k dispozici stejnou nabídku Start a plochu, můžete Nabídku Start a Plochu přesměrovat do ur
čité složky. Abyste zajistili, že nabídku Start a plochu budou moci měnit pouze správci, můžete
změnit zabezpečení přesměrovaných složek tak, aby nad nimi měla plnou kontrolu skupina
Administrators a skupina Authenticated Users (nebo jiná bezpečnostní skupina) měla práva pro
čtení.
	Redirect To The Local User Profile Location Způsobí, že výchozí umístění
profilu uživatele se bude používat iako úložiště pro uživatelská data. Tato
možnost je implicitně použita v případě, že nejsou zapnuty žádné zásady pro
přesměrování. Jestliže použijete tuto možnost, složky nebudou přesměrová-
ny do sdílené síťové složky a vy v podstatě zablokujete přesměrování složek.
5.	Do p< >le Root Path zadejte cestu, která bude sloužit jako kořenový adresař. Jestliže
použijete možnost Create A Folder For Each User Under 'fhe Root Path, můžete
zadat například \\CBServerO8\UserData a vybrán^ složka se přesměruje do uži-
vatelsky jednoznačné složky nacházející se na cestě \\CBServerO8\UserData.
6.	Potřebné složky a podadresáře se vytvoří automaticky při příštím přihlášeni da-
ného uživatele. Momentálně přihlášení uživatelé se musejí nejprve ohlásit
a znovu přihlásit. Uživatelé mají implicitně k dispozici výhradní přístup k jejich
přesměrovaným datum a obsah existujících složek se při jejich příštím přihlášení
přesune do nového umístění. Chcete-li způsob chování změnit, klepněte na kar-
tu Settings a poté nakonfigurujte dodatečná nastavení (viz oddíl „Konfigurace
nastavení souvisejících s přesměrováním“ této kapitoly).
7.	Klejinete na tlačítko OK.
Použití pokročilého přesměrování složek
Pokročilé nastavení se používá k přesměrování uživatelských dat na základě přísluš-
nosti k bezpečnostním skupinám. Použijete-li tuto možnost, můžete pro každou bez-
pečnostní skupinu nastavit alternativní cílovou složku. Složku Documents
(Dokumenty) můžete například přesměrovat odlišně pro skupiny Prodej, Design
a Podpora. Uživatele skupiny Prodej mohou mít složku Documents přesměrovanou
do \\HKServerl2\Prodej. Uživatele skupiny Design ji mohou mít přesměrovanou do
\\HKServerO4\Design. A nakonec uživatele skupiny Podpora mohou mít složku Do-
cuments přesměrovanou do \\HKServer02\Podpora. Stejně jako u základního pře-
směrovaní, tak i zde určená složka obsahuje podadresáře pro jednotlivé uživatele.
Ve většině případů se pokročilá konfigurace hodí spíše pro velké podniky, neboť
umožňuje zaměřit se na použiti bezpečnostních skupin pracovišť, domén a organi-
začních jednotek. Tím pádem můžete nastavit pro každou bezpečnostní skupinu
organizační jednotky vyhrazené místo a vyhnout se přiřazování jednoho umístění
všem uživatelům organizační jednotky. Pamatujte si ale, že zásady skupiny, s nimiž
pracujete, se vztahují pouze na uživatelské účty nacházející se v kontejneru, pro
který zasady skupiny konfigurujete. Přesměrování se neaplikuje, jestliže nastavíte
zásady přesměrování pro skupinu, která není definována v pracovišti, doméně či
organizační jednotce, se kterou pracujete.
Chcete-li konfigurovat pokročilé přesměrování uživatelských profilu, postupujte takto:
1. Najděte objekt GPO, s nímž chc ete pracovat. Otevřete složku konfigurace
uživatele User ConfigurationX Windows SettingsUol der Redirection.
i
Přesměrování složek a dat uživatelských profilů
287
Zobrazí se čtyři složky, které je možné přesměrovat. Klepnete pravým tlačítkem
na složku, kterou < hccte přesměrovat, a poté zvolte Properties (Vlastnosti).
V seznamu nastavení zvolte Advanced - Specify Locations For Various User
Groups (viz obrázek 7.9). Karta Target se přizpůsobí tak, abyste mohli nastavení
přesměrovaní nakonfigurovat podle členství v bezpečnostních skupinách.
Implementace
a scenáře
zásad skupiny
OBRÁZEK 7-9: Konfigurace cílových složek pro jednotlivé bezpečnostní skup iny pracoviště,
domény či organizační jednotky
Klepněte na tlačítko Add a zobrazí se dialogové okno Specify Group And Lo-
cation (viz obrázek 7.10).
OBRÁZEK 7.10: Určení členství v bezpečnostních skupinách a nastavení cílové složky
5.	Klepnete na tlačítko Browse a zobrazí se dialogové okno Select Group. Do vybra-
ného kontejneru zadejte název skupinového účtu a poté klepněte na tlačítko
88
Kapitola 7 - Správa uživatelských nastavení a dat
Check Names. V případě, že je nalezen jen jeden záznam, dialogové okno se
torna ticky odpovídajícím způsobem přizpůsobí a vámi zadaný vstup se podtrhne
Když klepnete na tlačítko OK, přidá se skupina do seznamu Security Group Ment-
bership v části Specify Group And Location dialogového okna.
6.	V části Target Folder Location zvolte jednu z následujících možností:
	Redirect To The Useťs Home Directory Tato možnost platí pouze pro
přesměrování složky Documents. Jestliže máte v nastavení účtu uživatele na-
staven domovský adresář, můžete použít toto nastavení pro přesměrování
složky Documents do stejného umístění jaké využívá domovský adresář.
Jestliže je písmeno jednotky domovského adresáře uživatele například X
bude síťová jednotka X a složka Documents ukazovat na stejné místo Speci-
fikované prostřednictvím nastavení doménového účtu uživatele.
/j\ Upozornění Toto nastavení použijte pouze v případě, že domovský adresář byl již vytvořen.
 / Jestliže nebyl domovský adresář ještě vytvořen, bude tato možnost ignorována a složka ne-
bude přesměrována.
	Create A Folder For Each User Under The Root Path K názvu určeného
sdíleného síťového adresáře připojí uživatelské jméno. Složky jednotlivých
uživatelů se tedy stanou podadresáři určeného sdíleného síťového adresáře.
Jestliže například chcete, aby byla složka Documents přesměrována do
\\CBServerO8\UserData, bude tato složka obsahovat pro každého uživatele
jeden podaclresar, jehož název bude vycházet z názvu uživatelského účtu
(^UserName^) a data složky Documents budou umístěna v odpovídajícím po-
dadresáři. Tato možnost není k dispozici pro přesměrování Nabídky Start,
	Redirect To The Foliowing Location Umožňuje vám pro všechny uživatele
specifikovat umístění složky a kořenovou cestu do sdílené složky se soubory.
Jestliže nepoužijete proměnnou prostředí %UserName%, budou všichni uživatelé
přesměrováni do jedné složky. Když proměnnou %UserNameX použijete, vytvoří
se pro jednotlivé uživatele samostatné složky.
	Redirect To The Local User Profile Location Způsobí, že výchozí umístění
profilu uživatele se bude používat jako úložiště pro uživatelská data. Tato
možnost je implicitně použita v případě, že nejsou zapnuty žádné zasady pro
přesměrovaní. Jestliže použijete tuto možnost, složky nebudou přesměrová-
ny do sdílené síťové složky a vy v podstatě zablokujete přesměrování složek.
7.	Do pole Root Path zadejte cestu, která bude sloužit jako kořenový adresář. Jestliže
použijete možnost Create A Folder For Each User Under The Root Path, můžete
zadat například \\CBServerO8\UserData a vybraná složka se přesměruje do uži-
vatelsky jednoznačné složky nacházející se na cestě \\CBServerO8\UserData.
8.	Až budete s konfigurací těchto nastavení hotovi, klepněte na tlačítko OK Kroky
4 až 7 můžete zopakovat a nastavit přesměrování vybraných složek pro ostatní
skupiny.
9.	Potřebné složky a podadresáře se vytvoří automaticky při příštím přihlášeni da-
ného uživatele. Momentálně přihlášení uživatelé se musejí neiprve odhlásit
a znovu přihlásit. Uživatelé mají implicitně k dispozici výhradní přistup ke svým
z
přesměrovaným datum a obsah existujících složek se při jejich příštím přihlášeni
Přesměrování složek a dat uživatelských profilů
289
přesune do nového umístění. Chcete-li způsob chování změnit, klepněte na kar-
tu Settings a poté nakonfigurujte dodatečná nastavení (viz následující oddíl/
10.	Klepněte na tlačítko OK
Konfigurace nastavení souvisejících s přesměrováním
Při konfiguraci přesměrování složek je karta Settings (viz obrázek 7.11) zdrojem
dodatečných konfiguračních možností. Po nastavení přesměrování se během příští-
ho přihlášení ovlivněného uživatele do site stane několik věcí:
1.	Automaticky se vytvoří potřebné adresáře a podadresáře.
2.	Oprávnení složky se nastaví tik, aby k ní měl přístup pouze odpovídající uživatel.
3.	Obsah existující složky se v síti přesune do nového umístěni Jestliže přesměru-
jete Documents (Dokumenty), zkopíruje1 se i složka Vly Picrures (Obrázky).
4.	Když někdy v budoucnu přesměrovaní složky ukončíte, data zůstanou ve sdíle-
né složce a uživatel bude i nadále přistupoval k datum na tomto místě.
implementace
a scénáře
Přesměrovaní můžete řídit prostřednictvím těchto nastavení:
	Grant The User Exclusive Rights To když je zapnuta tato možnost, při příštím
přihlášení uživatele se automaticky vytvoří potřebné adresáře a podadresáře.
Oprávnění složky je nastaveno tak, aby k ní měl užívalel výhradní přístup To
znamená, že operační systém Windows vytvoří složku a uživateli pro ni přidělí
plnou kontrolu.
Potřebné adresáře a podadresáře se při následujícím přihlášení uživatele auto-
maticky vytvoří i v případě, že se tato možnost nepoužívá. Existující oprávnění
na složce sc nezmění. Nově vytvořená složka bude mil díky dědičnosti stejná
oprávnění jako její rodičovská složka.
OBRÁZEK 7.11: Konfigurace dodatečných nastaveni přesměrovaní
Poznámka V rámci zásad skupiny máte ohledně zabezpečení přesměrované složky k dispozici
dvě základní konfigurační možnosti. Můžete systému Windows přikázat, aby dal uživateli
výhradní přístup nebo přijal oprávnění zděděná z rodičovské složky. V případě výhradního
přístupu mají všichni ostatní uživatelé (včetně správců) zablokovaný přístup k přesměrova-
Kapitola 7 - Správa uživatelských nastavení a dat
ným složkám a jejich datům. Jedním ze způsobů jak může správce získat přístup k přesměro-
vané složce je převzít vlastnictví. Chcete-li, aby přístup ke složce měl uživatel a správci, mů-
žete použít techniku popsanou v článku 288991 databáze Microsoft Knowledge Base. V pod-
statě jde o to, že zrušíte nastavení Grant The User Exclusive Access a na přesměrované složce
poté následujícím způsobem překonfigurujete oprávnění:
	Skupina Authenticated Users bude mít pro složku oprávnění Create Folders/Append
Data, Read Permissions, Read Attributes a Read Extended Attributes.
	Skupiny Administrators, System, a Creator Owner budou m t pro složku, podadresáře
a soubory oprávnění Full Control.
	Move The Contents Of Zvolíte-li tuto možnost, při příštím přihlášeni uživatele
se obsah existující složky přesune na nove určené místo. Jestliže má uživatel
místní profil na více počítačích, přesune se vždy jen obsah složky z počítače, na
který se uživatel přihlásil.
V případě, že tato možnost není vybrána, obsah existující složky se namísto pře-
sunu pouze zkopíruje. To znamena, že lokální kopie složky bude i nadále exis-
tovat. Toto chovaní se může jevit jako dobry způsob jak zajistit ponechání
lokální kopie dat na přenosném počítači, ale obecně je lepší data přesunout
a poté nakonfigurovat vytváření lokálních kopií souborů pro práci offline.
	Leave The Folder In The New Location When Policy Is Removed Když vy-
berete tuto možnost a v budoucnu přesunete složku přesměrovávat nebo dojde
k přesunu uživatelského učtu mimo objekt GPO, pro který je přesměrovaní na-
staveno, zůstanou daU ve sdílené složce. Uživatel bude nadule přistupoval
k datům nacházejícím se v tomto umístění.
	Redirect The Folder Back Zvolíte-li tuto možnost a v budoucnu přesměrování
složky zrušíte nebo dojde k přesunu uživatelského účtu mimo objekt GPO, pro
který je přesměrování nastaveno, bude při odhlášení uživatele ze sítě zaslána ko-
pie dat na místo, kde se nachází profil uživatele. V případě cestovního profilu to
znamená, že při odhlášení uživatele ze sítě se kopie pošle na server s profily. Jestli-
že má uživatel místní profil, kopie se při odhlášen' uživatele pošle na místní počí-
tač (jestliže se přihlásí na několik počítačů, každý z nich dostane svou kopii).
Dojde-li k přesunu uživatelského účtu mimo objekt GPO, pro který je přesměro-
vání nastaveno, přesunou se data v souladu s nastaveními pro přesměrování.
	Make My Pictures A Subfolder Of My Documents Když se používá tato mož-
nost, tak v případě, že přesměrujete složku Documents, zkopíruje se složka My
Pictures (Obrázky) jako její podadresář.
	Do Not Specify Administrativě Policy For My Picturc Zapnete-li tuto možnost,
tak v případě, že přesměrujete složku Documents, nebude složka My Pictures (Ob-
rázky) kopírována jako její podadresář.
7.5 Správa uživatelských
a počítačových skriptů
V této kapitole jsme dosud mluvili o optimalizaci uživatelského prostředí pomoci
různých způsobu manipulace s profily uživatelů a k nim příslušejících dat. Nyní se
podíváme na techniku pro optimalizaci uživatelského prostředí, která využívá skup-
Správa uživatelských a počítačových skriptů
ty. V operačním systému Windows Server 2003 můžete nakonfigurovat dva druhy
skriptů, které budou ovlivňovat konfiguraci plochy a uživatelského prostředí:
	Počítačové skripty, které se vykonávají během spouštění či vypínaní.
	Uživatelské skripty, ktere se vykonávají během přihlašování či odhlašování.
Tyto skripty lze v^Tvořit jako dávkové skripty příkazového řádku (s příponou . bat ne-
be; .cmd) nebo je můžete napsat také pomocí nástroje Windows Script Host (WSH).
WSH je komponenta operačního systému Windows Server 2003, která vám umožňuje
používat skripty naprané ve skriptovacím jazyce jakým je např. Microsoft JScript
(soubory s příponou . js) či Microsoft VBScript (soubory’ s příponou .vbs).
Práce s počítačovými a uživatelskými skripty
Prostřednictvím počítačových a uživatelských skriptu lze provádět téměř jakoukoliv
běžnou úlohu. Skripty vykonávané během spouštění a vypínám počítače můžete
využít pro úlohy týkající se celého systému (údržba, zálohy, hledání virů). Skripty
vykonávané během přihlašování a odhlašování uživatele můžete použít pro úlohy
vztahující se pouze na uživatele (spouštění aplikací, mazání dočasných složek, kon-
figurace tiskáren, připojováni síťových jednotek).
Zde jsou tři základní kroky pro použití skriptů spolu se zásadami skupiny:
1.	Vytvořte skripi a uložte jej s odpovídající příponou.
2.	Zkopírujte skript, který chcete použít, do složky, v niž jej bude možné použít se
zásadami skupiny.
3.	Přiřaďte skript do zásad skupiny jako skript pro spouštění, vypínáni, přihlašová-
ní nebo odhlašovaní.
Chcete-li používal skript při spuštění nebo vypínání, musí se počítač nacházet v pra-
covišti, doméně nebo organizační jednotce připojené k objektu GPO, který daný
skript obsahuje. Chcete-li používat přihlašovací skript nebo skript při vypínání, musí
byl daný uživatel umístěn v pracovišti, doméně nebo organizační jednotce připoje-
né k objektu GPO, který tento skript obsahuje.
Většinu skriptu vytvoříte rychle a snadno. Pomocí dávkového skriptu příkazového
řádku mi lžete například připojit uživatele ke sdíleným tiskárnám a jednotkám po-
mocí příkazu NET USE. Dejme tomu, že chcete docílit toho, aby se uživateli během
přihlášení připojila tiskárna CustSvcsPrntr nacházející se na tiskovém serveru
s názvem PrntSvrO3. Toho docílíte tak, že do souboru vytvořeného prostřednictvím
nástroje Poznámkový blok zadáte následující text:
net use Wprntsvr03\custsvcprntr /persistent:yes
Soubor poté uložíte na disk s příponou . bat a můžete jej začít považoval za skript. Ná-
sledně ten soubor zkopírujete do složky, v niž jej bude možné použít se zásadami
skupiny a přiřadíte jej jako přihlašovací skript. Od tohoto okamžiku může každý uži-
vatel. který se přihlásí do odpovídajícího pracoviště, domény nebo organizační jed-
notky, prostřednictvím tohoto přihlašovacího skriptu připojit uvedenou tiskárnu
Poznámka Skripty do složky zasad skupiny kopírovat nemusíte, aíe když to uděláte a zaiadí-
te je jako odpovídající druh skriptu, usnadní vám to jejich správu.
92
Kapitola 7 - Správa uživatelských nastaveni a dat
Konfigurace skriptu
vykonávaných při spuštěni a vypnutí počítače
Skripty vykonávané při spuštění a vypnutí můžete v rámci zásad skupiny přiřazovat
do odpovídající kategorie. Na základě teto definice pak všechny počítače určitého
pracoviště, domény či organizační jednotky automaticky vykon.-.vají během spouš-
tění či v ypínaní dané skripty.
Chcete-li nakonfigurovat skript, který se bude používat během spouštění či vypíná-
ní počítače, postupujte následovně:
1.	Požadovaný skript při vypínání či spuštění zkopírujte do síťově sdílené složky
nebo jiné složky, která je v rámci sítě snadno přístupná.
2.	Spusťte nastroj Group Policy' Object Editor. V konzole GPMC (Group Policy Ma-
nagement Console) klepněte pravým tlačítkem na objekt GPO, který chcete
upravit, a poté zvolte položku Edit.
3.	Ve větvi Computer Configuration (Konfigurace počítače) poklepejte na složku
Windows Settings a poté klepněte na položku Scripts.
a. Chcete-li pracovat se skripty při spuštění, klepněte pravým tlačítkem na položku
Startup a zvolte Properties. Když vás zajímají skripty při vypínání, klepněte pra-
vým tlačítkem na položku Shutdown a následně zvolte Properties.
5.	Zobrazí se všechny existující (dříve nadefinované) skripty seřazené podle priority
(viz obr. 7.12). Nejvýše uvedený skript má nejvyšší prioritu. Priorita hraje důležitou
roli, neboť skripty se pn vypínání a spuštění implicitně nespouštějí všechny najed-
nou. Místo toho běží jeden po druhém (synchronně) v pořadí určeném prioritou.
OBRÁZEK 7.12: Seznam existujících skriptů (řazených podle priority)
vykonávaných při vypínáni a spuštění
6.	Jestliže chcete změnit prioritu existujícího skriptu, označte v seznamu skript a poté
klepněte* na tlačítko Up nebo Down, v závislosti na tom, jakým směrem chcete
prioritu skriptu posunout.
Správa uživatelských a počítačových skriptů
293
7.	Chcete-li změnit parametry nějakého skriptu, vyberte skript a pak klepněte na
tlačítko Edit. Pak můžete podle libosti 'změnit název7 skriptu a nepovinno para-
metry, které budou skriptu předávány.
8.	Nový skript přidáte pomocí tlačítka Add (Přidat). Klepnete na ně a zobrazí se dia-
logové okno Add A Script (Přidat skript) (viz obrázek 7.137? Klepněte na tlačítko
Browse, nalistujte skript a klepněte na tlačítko Open. Skript se zkopíruje do složky
Machlne\Scripts\Startiip nebo Machine\Scripts\Shutdown odpovídajících zásad.
Zásady jsou implicitně uloženy podle identifikátoru GUID na doménových řadi-
čích ve složce XSystemRoot%\Sysvol\Domain\Poli cies.
Implementace
a scénáře
OBRÁZEK 7.13: Lokalizace skriptu a definování nepovinných parametrů
9.	V případě, že se rozhodnete skript odstranit, vyberte jej v seznamu a klepněte
na tlačítko Remove.
Konfigurace přihlašovacích skriptů a skriptu
vykonávaných při odhlašování
Skripty vykonávané při spuštění a vypnuti můžete v rámci zásad skupiny přiřazovat
do odpovídající kategorie. Na základě teto definice pak všechny počítače urc itého
pracoviště, domény či organizační jednotky automaticky vykonávají během přihla-
šování či odhlašovaní daně skripty.
Chcete-li nakonfigurovat skript, který se bude používat během přihlašování či od-
hlašování, postupujte následovně:
1.	Požadovaný přihlašovací skript či skript při odhlašování zkopírujte do sítové sd> e-
né složky nebo jiné složky, která je v rámci sítě snadno přístupná.
2.	Spustte nástroj Group Policy Object Editor. V konzole GPMC (Group Policy Ma-
nagement Console) klepněte pravým tlačítkem na objekt GPO, který chcete
upravit a poté Zvolte položku Edit.
3.	Ve větvi User Configuration poklepejte na složku Windows Settings a poté
klepněte na položku Scripts.
1. Chcete-li pracovat s přihlašovacími skripty, klepněte pravým tlačítkem na po-
ložku Logon a zvolte Propertics. Když vás zajímají skripty při odhlašování,
klepněte pravým tlačítkem na položku Logoff a následně zvolte Properties.
5.	Zobrazí se všechny existující (dříve nadefinované) skripty seřazené podle priori-
ty (viz obrázek 7.14). Nejvýše uvedený skript má nejvyšší prioritu. Priorita hraje
důležitou roli, neboť přihlašovací skripty a skripty při odhlašování se implicitně
spouštějí v7 pořadí daném prioritou. Narozdíl od skriptu při vypínaní a spuštění
94
Kapitola 7 - Správa uživatelských nastavení a dat
jsou přihlašovací skripty a skripty při odhlašování nesynchronní a mohou běžet
současně. Jestliže jste tedy nakonfigurovali více přihlašovacích skriptu či skriptů
při odhlášeni mohou běžet všechny najednou.
OBRÁZEK 7.14: Existující přihlašovací skripty a skripty při odhlášení, seřazené podle pnority
6.	Jestliže chcete změnit prioritu existujícího skriptu, označte v seznamu skript a poté
klepne te na tlačítko Up nebo Down, v závislosti na tom, jakým směrem chcete
prioritu skriptu posunout.
7.	Chcete-li změnu parametry nějakého skriptu, vyberte skript a pak klepněte na
tlačítko Fdit. Pak můžete podk libosti změnit název skriptu a nepovinné para-
metry. které budou skriptu předávány.
8.	Nový skript přidáte pomocí tlačítka Add. Klepněte na ně a zobrazí se dialogové
okno Add A Scripí (viz obrázek 7.15). k lepněte na tlačítko Browse, nalistujte skript
a klepněte na tlačítko Open. Sknpt se zkopíruje do složky User\Scripts\Logon
nebo User\Scripts\Logoff odpovídajících zásad. Zásady jsou implicitně uloženy
podle identifikátoru GUID na doménových řadičích ve složce XSystemRoot%\
Sysvol\Doma i n\Po1ici es.
OBRÁZEK 7.15: Lokalizace skriptu a definování nepovinných parametrů
9-	V případě, že se rozhodnete skript odstranit, vyberte jej v seznamu a klepněte
na tlačítko Remove.
Správa uživatelských a počítačových skriptů
295
Řízení viditelnosti skriptu
Při konfiguraci a práci s počítačovými a uživatelskými skripty byste neměli zapomínat
na několik podstatných skutečností. Oba druhy skriptu jsou při běhu pro uživatele ne-
viditelné, což slouží jako prevence přerušení běhu skriptů uživatelem a současně se
tak skryjí prováděné operace.
Běh skriptů uživatelům zviditelníte tak, že podle potřeby zapnete následující nasta-
vení zásad:
*
	Nastavení Run Startup Scripts Visible nacházející se ve složce Computer
Configuration\Adm’nistrative Templates\System\Scripts.
	Nastaveni Run Shutdown Scripts Visible nacházející se ve složce Computer
Configuration\Administrative Templates\System\Scripts.
	Nastavení Run Logon Scripts Visible nacházející se ve složce User
Configuration\Administrative Templates\ System\Scripts.
	Nastavení Run Logoff Scripts Visible nacházející se ve složce Konfigurace
uživatele User Configuration\Administrative Templates\System\Scripts.
Řízení časového limitu skriptu
Operační systém Windows automaticky používá pro běh skriptu výchozí časový li-
mit, který je 10 minut. V případě, že přihlašovací skript, skript při odhlašování,
spuštění či vypínání neskončí během 10 minut (600 vteřin), systém ukončí vykoná-
vaní skriptu a zaznamená do protokolu chybovou událost.
časový limit můžete upravit následujícím způsobem:
1.	Najděte objekt GPO, s nímž chcete pracovat. Otevřete složku Computer Confi gu ra -
ti on\Admini strative Templates\System\Scri pts.
2.	Poklepejte na položku Maximum Wait Time For Group Policy Scripts a potě
zvolte možnost Enabled (viz obrázek 7.16).
Implementace
a scénáře
OBRÁZEK 7.16: Konfigurace časového limitu pro počítačové a uživatelské skripty
Správa
konfigurací
aplikace
Internet
Explorer
96
Kapitola 7 - Správa uživatelských nastavení a dat
3.	Do pole Seconds zadejte čekací dobu ve vteřinách. Ve výjimečných případech
kdy chcete, aby systém Windows na vykonání skriptu čekal nekonečně dlouho’
použijte hodnotu 0.
Poznámka Hodnotu, kterou pro časový limit použijete, si dobře rozmyslete. Hraje totiž při bé-
hu skriptů velkou roli. Jestliže nastavíte dobu příliš krátkou, některé úlohy nikdy nedoběhnou
do konce, což může následně způsobit zbytečné problémy. Jestliže dobu nastavíte příliš dlou-
hou, hrozí nebezpečí, že uživatel bude muset čekat na přístup do systému neúnosně dlouho.
4.	Klepněte na tlačítko OK.
Řízení běhu skriptu a způsobu jeho provádění
Počítačové a uživatelské skripty jsou vykonávány trochu jiným způsobem. Operační
systém Windows implicitně koordinuje béh skriptů tak, aby skript}' při spuštění běželi
po sobe, v pořadí daném prioritou. To znamená, že systém počká, než jeden skript
skončí a až poté spustí další. Jestliže chcete, aby skripty při spuštění běžely současně
(což může urychlit proces spouštění počítače), zapněte nastavení Run Startup Scripts
Asynchronously nacházející se ve složce Computer Configuration\Administrative
Templates\System\Scri pts.
Přihlašovací skripty a skripty p í odhlašování nejsou implicitně synchronizované
a mohou běžet současně. Z toho vyplývá, že když máte více přihlašovacích skriptu
a skriptů při odhlašování, spustí se všechny ve stejný okamžik. Toto nastavení slouží
k tomu, aby během prihlašování/odhlašování nebyla žádná nebo jen minimální pro-
dleva. Jestliže si chcete být jisti, že se uživatel nedostane na plochu předtím, než skončí
všechny přihlašovací skripty, můžete nastavení změnit tak, aby přihlašovací skripty
běžely synchronně (po sobě). Stačí ve složce konfigurace počítače Computer Conf i gu-
ration\Administrative Templates\System\Scripts nebo User Configuration\Ad-
ministrative Templates\System\Scripts zapnout nastavení Run Logon Scripts
Asynchronously. Nastavení ve složce Computer Configuration má implicitně přednost
před nastavením složky User Configuration (Konfigurace uživatele).
7.6 Shrnutí
V této kapitole jste se dozvěděli, že uživatelská nastavení a data můžete spravovat
různými způsoby. Prostřednictvím cestovních profilů můžete zajistit, aby měli uživa-
telé přístup ke svým globálním nastavením a důležitým datum z jakéhokoliv místa
v síti. Tím docílíte nejen konzistentního vzhledu plochy uživatele bez ohledu na to,
jaký počítač momentálně používá, ale také zajistíte, že se uživatel vždy dostane ke
své složce Documents (Dokumenty), aplikačním datům a nastavením plochy.
Hlavní nevýhodou cestovních profilů je, že během přihlašování a odhlašování se
data uživatelů musí přesouvat po síti. Přihlašování a odhlašováni můžete urychlit
pomocí přesměrování složek. Přesměrování složek vám zprostředkuje plynulé pře-
směrování složek a dat, které by jinak byly součástí uživatelského profilu. Mezi tyto
složky patří Data aplikací, Documents (Dokumenty), Nabídka Start a Desktop (Plo-
cha). Protože jsou p-esměrovány do síťové sdílené složky, budou mít správci cent-
rální místo pro správu a získají lepší kontrolu nad daty uživatelů, což usnadní
Shrnutí
297
zálohování a obnovu dat. Prostřednictvím zásad můžete různými způsoby optimali-
zovat použit profilů.
Operační systém Windows Server 2003 vám také umožňuje konfigurovat dva druhy
skriptu pro automatizaci uživatelského prostředí a plochy: počítačové skripty, které
mohou byt prováděny při spuštění či vypínání počítače a uživatelské skripty, které
lze spouštět během přihlašovaní či odhlašován1. Počítačové a uživatelské skripty ize
také konfigurovat pomocí zasad.
)0
Kapitola 8 - Správa konfiguraci aplikace Internet Explorer
Obsah kapitoly:
8.1	Přizpůsobení rozhraní aplikace Internet Explorer......................300
8.2	Přizpůsobení adres URL, Oblíbených a Odkazu...........................305
8.3	Konfigurace globálních výchozích programů.............................309
8.4	Optimalizace připojení a nastavení serveru proxy......................311
8.5	Zpřísnění zabezpečení aplikace Internet Explorer......................316
8.6	Konfigurace dodatečných zásad možnosti Internetu......................323
8.7	Shrnutí...............................................................326
Aplikace Microsoft® Internet Explorer je velmi konfigurovatelný prohlížeč. Pomocí
zásad skupiny můžete optimalizovat prakticky jakoukoliv část teto aplikace a do-
sáhnout tak změny v uživatelském rozhraní, získat větší kontrolu nad zabezpečením
a soukromím nebo si jinak usnadnit svou správcovskou práci. Nejenom že můžete I
upravit vzhled a chování prohlížeče ve vašem prostředí, ale můžete se také dostat
k interním nastavením a určit jaká ma být konfigurace pro připojení, servery proxy,
soubory cookie, doplňky a další oblasti zabezpečení.
Související informace
	Další informace o Správci příloh a jiných komponentách operačních systémů
rodiny Microsoft Windows® najdete v kapitole 6.
	Další informace o kioscích a dalších druzích specifických prostředí najdete v ka-
pitole 12.	I
8.1 Přizpůsobení rozhraní
aplikace Internet Explorer
První oblastí aplikace Internet Explorer, na kterou se podíváme, je rozhraní. Roz-
hraní můžete měnit lak, že přidáte vlastní odkazy na panel Odkazy, nadefinujete si
vlastní loga, která nahradí logo Internet Explorer, nebo si vytvoříte vlastni panely.	I
Přizpůsobení textu záhlaví
Pomocí zásad Browser Title můžete upravit text, který se objevuje v záhlaví aplika-
ce Internet Explorer. Záhlaví implicitně zobrazuje název aktuální stránky a název
prohlížeče (íiapř. „Podniková stránka - Microsoft Internet Explorer“. Když si vytvo-
řítě vlastni zahlaví, můžete do textu přidat napiíkbd další podrobnosti o vaší firmě
(„Podniková stránka - Microsoft Internet Explorer - CPL s.r.o.“.
\ Poznámka Použití vlastního zahlaví je dobrý způsob jak upozornit zaměstnance na to, že
používají podnikové, a nikoliv osobní zařízeni. Vlastní záhlaví se objeví také v aplikaci Micro-
soft Outlook® Express (v případě, že ji máte nainstalovanou a používáte ji).
Vlastr i záhlaví můžete do aplikace Internet Explorer přidat následujícím způsobem:
Přizpůsobení rozhraní aplikace Internet Explorer 301
1.	V zásadách skupiny Group Policy otevřete složku User ConfigurationX Windows
SettingsX Internet Explorer MaintenanceX Browser User Interface (Konfigurace
uživa teleX Nastavení systému WindowsXÚdržba aplikace Internet ExplorerX Uži-
vatelské rozhraní prohlížeče) a poté poklepejte1 na položku Browser Title (Zá-
hlaví prohlížeče). Zobrazí se dialogové okno Browser Title z obrázku 8.1.
Implementace
a scénáře
iřúnv
OBRÁZEK 8.1 : Změna textu záhlaví
2.	Zaškrtněte políčko Customize Title Bars (Vlastní nastavení záhlaví) a do texto-
vého pole Title Bar Text (Text záhlaví) poté zadejte požadovaný text.
3.	Klepněte na tlačítko OK.
Přizpůsobení loga
Pomocí zásad Custom Logo můžete nahradit standardní loga aplikace Internet Ex-
plorer těmi, která jste si připravili ve vaší organizaci. Tak můžete sladit vzhled pro-
hlížeče s firemním logem a současně taktně upozornit zaměstnance na to, že
používají podnikové, a nikoliv osobní zařízení. V horním levém rohu okna aplikace
Internet Explorer je zobrazeno jedno ze dvou standardních log:
	Statické logo Zobrazuje se, když prohlížeč neprovádí žádnou akci
	Animované logo Zobrazuje se, když prohlížeč natahuje stránky nebo provádí
jiné operace
Loga musí odpovídat přesným specifikacím, proto byste při tvorbě log měli pokud
možno spolupracovat s oddělením, které má jejich produkci na starost. Potřebovat
budete dvě verze obou log: jedno o velikosti 22 x 22 bodu a druhé o velikosti 38 x
38 bodu. Loga musí být uložena jako rastrové obrázky v 256 nebo 16 barvách. Ob-
rázky v 256 barvách by měly být indexované pomocí tónovací palety systému Win-
dows, 16 barevné obrázky by měly být indexované pomoci 16 barevné palety
systému Windows. Animované rastrové obrázky by se měly skládat z několika
rastrových obrázků, které jsou na sobě vertikálně uloženy v jednom souboru. První
obrázek je zobrazen staticky (když se neprovádějí žádné akce) a zbývající obrázky
se postupně animuji v případě, že je prohlížeč používán.
)2	Kapitola 8 - Správa konfigurací aplikace Internet Explorer
Poznámka V sadě Internet Explorer Administration Kit (IEAK) najdete dva nástroje, které
vám mohou ohledně log pomoci. Prvním z nich je nástroj Animated Bitmap Creator
(Makebmp.exe), který můžete použít pro tvorbu animovaného loga. Druhým je Animated
Bitmap Previewer (Animbmp.exe), který můžete použít k testování animovaných log, abyste
se ujistili, že budou zobrazena podle očekávání. Sada IEAK je ke stažení na internetové ad-
rese: http://www.microsoft.com/windows/ieak/downloads/default.mspx.
Tip Když budete s tvorbou obrázků hotovi, měli byste soubory vyzkoušet nejprve na vašem
počítači, než je pomocí zásad skupiny použijete na všechny počítače určitého pracoviště,
domény či organizační jednotky. Jakmile zásadám skupiny oznámíte, kde se soubory pro lo-
ga nacházejí, stanou se tyto soubory součástí zasad skupiny a uloží se do ní. Protože se sou-
bory před použitím importují, nemusí být umístěny na místním počítači. Ideální je umístit
loga na síťový disk, abyste je mohli otestovat a poté je prostřednictvím stejných cest zahr-
nout do zásad skupiny.
Vlastní loga můžete přidat do aplikace Internet Explorer následujícím způsobem:
1.	V zásadách skupiny otevřete složku User Conf i gura tí on\Wi ndows SettingsMnternet
Explorer Mai’ntenance\Browser User Interface (Konfigurace uživatele\Nastavení
systému Windows\Údržba aplikace Internet Explorer\Uživatelské rozhraní
prohl i žeče) a pote poklepejte na položku Custom Logo (Upravit Logo). Otevře se
dialogové okno Custom Logo zachycené na obrázku 8.2.
OBRÁZEK 8.2 : Dialogové okno Custom Logo
2.	Chcete-li nastavit staticko logo, zaškrtněte poličko Customize The Static Logo
Bitmaps (Vlastni nastavení rastrových obrázků statického loga). Do pole Smáli
(22 x 22) Bitmap zadejte cestu k malému logu nebo klepněte na tlačítko Browse
a obrázek nalistujte. Do pole Large (38 x 38) Bitmap zadejte cestu k velkému
logu nebo klepněte na tlačítko Browse a obrázek nalistujte.
Přizpůsoben* rozhráni aplikace Internet Explorer	303
Poznámka Velikost obrázků musí přesně odpovídat požadavkům, jinak se jejich import do
y zásad skupiny nezdaří. Zobrazí-li se vám varovná zpráva informující o tom, že vybraný obrá-
zek je příliš velký, musíte vybrat jiný soubor s logem.
Chcete-li nastavit animovaně logo, zaškrtněte políčko Customize The Animated
Bitmaps(Vlastní nastavení rastrových obrázku animovaného loga). Do pole Smáli
(22 x 22) Bitmap zadejte cestu k malému animovanému logu nebo klepněte na tla-
čítko Browse a obrázek nalistujte. Do pole Large (38 x 38) Bitmap zadejte cestu
k velkému animovanému logu nebo klepněte na tlačítko Browse a nalistujte ho.
3.	Klepněte na tlačítko OK. Soubory s logy se importují a uloží do zásad skupiny.
Přizpůsobení tlačítek a panelů nástrojů
Panel nástrojů aplikace Internet Explorer můžete zcela přizpůsobit podle potřeby.
Lze do něj přidávat nová tlačítka pro spouštění aplikací, spouštění skriptů a prová-
dění dalších úloh. Vlastni tlačítka panelu nástrojů mají čtyři povinné části:
	Záhlaví Text, který se zobrazí, když se kurzor nachází nad tlačítkem.
	Akce Soubor se skriptem nebo spustitelný soubor, který chcete vykonat po
stisknutí tlačítka. Skripty mohou byt dávkové soubory (.cmd nebo .bat) nebo
soubory nástroje Windows Script Host (. js, .vbs, atd.). U obou typů souboru
potřebujete znát celou cestu k danému souboru.
	Barevná ikona Soubor s barevnou ikonou uložený s příponou . i co, který obsa-
huje obrázky symbolizující aktivní tlačítko. Soubor s ikonou by měl obsahoval tři
samostatné rastrové obrázky: jeden 256 barevný o velikosti 20 x 20, jeden barevný
16 barevný o velikosti 20 x 20, a jeden 16 barevný o velikosti 16 x 16. Všechny
obrázky musí používat paletu systému Windows s 256 nebo 16 barvami.
	Ikona ve stupních šedé Soubor uloženy s příponou .ico. který obsahuje ob-
rázky symbolizující tlačítko v neaktivním nebo výchozím stavu. Soubor s ikonou
by měl obsahovat tři samostatné rastrové obrázky: jeden ve stupních šedi o ve-
likosti 20 x 20 používající paletu systému Windows s 256 barvami, jeden ve
stupních šedi o velikosti 20 x 20 používající paletu systému Windows s 16
barvami a jeden ve stupních šedi o velikosti 16 x 16 používající paletu systému
Windows s 16 barvami.
Do plánování byste měli zahrnout i to, jakým způsobem bude tlačítko implemento-
váno a kdo navrhne potřebné soubory $ ikonami. Vzhledem k tomu, že vaše tlačít-
ko bude používáno mnoha uživateli pracoviště, domény či organizační jednotky,
dobře zvažte umístění na něj navázaných skriptu či spustitelných souboru. Soubo-
rová cesta, kterou použijete, by měla být dostupná všem uživatelům, kteří budou
nově vytvářenými zásadami ovlivněni. V případě potřeby můžete použit proměnné
prostředí (např. %SystemDriveX), abyste zajistili, že cesty k souborům budou konzis-
tentní pro různé uživatele. Za předpokladu, že uživatelé mají automaticky připojené
síťové disky, můžete použít i síťové cesty k souborům.
Dále musíte také úzce spolupracovat s týmem, který bude mít na starosti návrh ikon.
Pro různé stavy tlačítka a aplikace Internet Explorer se používají nižné styly ikon. Vel-
ké ikony o velikosti 20 x 20 se používají, když je aplikace Internet Explorer ve výcho-
zím stavu. Malé ikony o velikosti 16 x 16 se používají, když je aplikace Internet
Implementace
a scénáře
Kapitola 8 - Správa konfigurací aplikace Internet Explorer
Explorer v režimu „Celá obrazovka“ (v prohlížeči se zapina klávesou Fll). Barevné
ikony se používají, když je tlačítko aktivní. Ikony ve stupních šedi se používají, když
je tlačítko ve výchozím stavu.
Jakmile jste připraveni, můžete následujícím způsobem do aplikace Internet Explo-
rer přidat vlastní tlačítko:
1.	V zásadách skupiny otevřete složku User Conf iguration\Windows SettingsMnternet
Explorer Maintenance\Browser User Interface (Konfigurace uživatele\Nastavení
systému Windows\Údržba aplikace Internet Explorer\Uživatelské rozhraní
prohlížeče) a poté poklepejte na položku Browser Toolbar Customizations
(Úpravy panelu nástrojů prohlížeče). Zobrazí se vám dialogové okno Browser
Toolbar Customizations.
2.	Na panelu Buttons klepněte na tlačítko Add. Otevře se dialogové okno Browser
Toolbar Button Information (viz obrázek 8.3).
OBRÁZEK 8.3: Definováni povinných elementů vlastního tlačítka
3.	Do textového pole Toolbar Caption (Required) zadejte text tlačítka. Snažte se
použít krátký text - jedno nebo dvě slova. Text se objeví v podobě kontextové
nápovědy, poté co se kurzor myši dostane nad tlačítko.
4.	Do textového pole Toolbar Action. As Script Filé Or Executabk (Required) za-
dejte cestu ke skriptu či spustitelnému souboru, který chcete po klepnutí na tla-
čítko spustit. Jestliže neznáte cestu k souboru z paměti, můžete použít tlačítko
Browse a soubor nalistovat.
5.	Do textového pole Toolbar Color Icon (Required) zadejte cestu k souboru s barev-
nou ikonou, který jste připravili pro tlačítko nebo klepněte na tlačítko Browse
a soubor nalistujte.
6.	Do textového pole Toolbar Grayscale leon (Required) zadejte cestu k souboru
s šedou ikonou, který jste připravili pro tlačítko nebo klepněte na tlačítko
Browse a soubor nalistujte.
7.	Jestliže chcete, aby se vaše tlačítko implicitně zobrazovalo na panelu nástrojů,
použijte možnost This Button Should Be Shown On the Toolbar By Default.
Přizpůsobení adres URL Oblíbených a Odkazů 3Q5
Poznámka Jestliže automatické zobrazování tlačítka nenastavíte, budou muset uživatelé tla-
čítko zobrazovat ručně pomocí dialogového okna Customize Toolbar. Toto dialogové okno
se v aplikaci Internet Explorer otevírá přes nabídku Zobrazit, Panely nástrojů, Vlastní.
8.	Klepněte na tlačítko OK. Chcete-li přidat další tlačítka, zopakujte kroky 2 až 7.
Když se později rozhodnete, že tlačítka nechcete používat, můžete je odstranit ná-
sledujícím způsobem:
1.	’ V zásadách skupiny otevřete složku User Configuration\k'indows Setti ngsMnternet
Explorer Maintenance\Browser User Interface a poté poklepejte na položku
Browser Toolbar Customizations. Zobrazí se dialogové okno Browser Toolbar
Customizations.
2.	Na panelu Buttons klepněte na záznam reprezentující tlačítko, které chcete sma-
zat, a poté klepněte na tlačítko Remove.
3.	Klepnete na tlačítko OK.
8.2 Přizpůsobení adres URL
Oblíbených a Odkazů
Prostřednictvím zásad můžete nastavovat dva druhy adres URL dostupných
v aplikaci Internet Explorer:
	Důležité adresy URL Adresy URL pro domovskou stránku, stránku odborné
pomoci a vyhledávací stránku.
	Oblíbené položky a odkazy Dodatečné odkazy URL, které jsou k dispozici
prostřednictvím nabídky Oblíbeno.
Oba druhy adres URL mohou uživatelům ušetřit čas a zvýšit jejich produktivitu. Na-
stavením důležitých adres URL můžete uživatelům zprostředkovat přístup
k domovské stránce vaší organizace, stránkám odborné pomoci a hledaní. Vytvoře-
ním vlastních seznamu oblíbených položek a odkazů můžete uživatelům usnadnit
hledání často používaných interních a externích prostředků.
Přizpůsobení odkazů na domovskou stránku,
hledání a odbornou pomoc
Přizpůsobením odkazů na domovskou stránku, hledaní a odbornou pomoc můžete
uživatelům usnadnit život. Aby také ne, když budou mít na dosah ruky všechny
podstatné prostředky, které používají každý den.
Odkazy na domovskou stránku, hledání a odbornou pomoc aplikace Internet Ex-
plorer nakonfigurujete takto:
1.	Najděte zásady skupiny pro systém, se kterým chcete pracovat. Poté otevřete slož-
ku User Configurutíon\Windows SettingsMnternet Explorer Maintenance\URLs
(Konfigurace uživatele\Nastavení systému Windows\Údržba aplikace Internet
Explorer\Uživatelské rozhraní prohl 1žeče\Adresy URL).
Implementace
a scénáře
Kapitola 8 - Správa konfigurací aplikace Internet Explorer
2.	V pravém podokně poklepejte na položku Importe nt URLs. V dialogovém okně
můžete nastavit adresu domovské stránky, stránky pro vyhledávací lištu
a adresu URL stránky odborné pomoci (viz obrázek 8.4).
OBRÁZEK 8.4: Nastavení vlastních adres URL pro domovskou stránku, stránku
pro vyhledávací lištu a stránky odborné pomoci
3.	Chcete-li nastavit adresu domovské stránky, zaškrtněte políčko Customize Home
Page URL. Do textového pole Home Page URL zadejte ve formátu URL adresu do-
movské stránky, kterou chcete používat (např. http://intranet.adatum.coni/).
Domovská stránka se otevře pokaždé, když spustíte prohlížeč nebo když uživa-
tel klepne na tlačítko Domů v panelu nástrojů aplikace Internet Explorer.
Tip Jako adresu domovské stránky budete chtít pravděpodobně použít domovskou stránku in-
tranetu vaší organizace nebo stránku vašeho oddělení. Jestliže vaše organizace nemá intranet,
můžete domovskou stránku nastavit na adresu externí domovské stránky vaší organizace.
4.	Chcete-L nastavit adresu stránky pro vyhledávaní, zaškrtněte políčko Customize
Search Bar URL. Do textového pole Search Bar URL zadejte ve formátu URL adresu
stránky pro vyhledávání, kterou chcete používat (např. http://intranet.adat um.
com/hl edej . a sp). Okno pro vyhledávání se objeví v postranní liště aplikace Inter-
net Explorer pokaždé, když uživatel klepne na tlačítko Hledat.
Upozornění Když pracujete na vývoji vlastní vyhledávací stránky, měli byste vzít v úvahu dva
požadavky: Vyhledávací stránka musí být naformátována jako HTML a měla by obsahovat
odkazy do hlavní části okna. Jestliže vaše organizace již disponuje vyhledávací stránkou, mu-
síte vytvořit druhou verzi, která bude upravena tak, aby byla použitelná jako postranní lišta.
5.	Chcete-li nastavit adresu stránky odborné pomoci, zaškrtněte políčko Customize
Online Support Page URL. Do textového pole Online Support Page URL zadejte
ve formátu URL adresu stránky odborné pomoci, kterou chcete používat (např-
http://support.adatum.com/). Stránka podpory se otevře pokaždé, když uživa-
tel v nabídce Nápověda aplikace Internet Explorer zvolí položku Pomoc online.
6.	Klepněte na tlačítko OK.
Přizpůsobení adres URL Oblíbených a Odkazů
Přizpůsobení oblíbených položek a odkazů
Aplikace Internet Explorer nabízí několik způsobů přístupu k často používaným pro-
středkům. Kromě tlačítek či historie navštívených stránek můžete používat také se-
znamy Oblíbené a Odkazy. \ aplikaci Internet Explorer se k Oblíbeným a Odkazům
dostanete prostřednictvím nabídky Oblíbené. Tato nabídka nabízí možnosti, které
vam umožňují přidávat, organizovat a číst oblíbené položky. Odkazy jsou podadresá-
řem Oblíbených, které můžete také přizpůsobit.
Pomocí zásad skupiny můžete přidat oblíbené položky a odkazy, ktere uživatelům
usnadní přístup k běžně používaným prostředkům online (např. důležité dokumenty,
formuláře a podnikové telefonní seznamy). Tímto způsobem můžete uživatelům ušet-
řit čas a také zvýšit použití těchto důležitých prostředku. Všechny přidané obllíbené
položky a odkazy mohou buď nahradit existující odkazy URL, nebo se do seznamu za-
řadit jako nové. Adresy TRI. můžete přidávat jednotlivě nebo hromadné importovat
celou složku obsahující skupinu adres URL, které chcete používat. Tyto možnosti jsou
detailně popsány v následujících oddílech.
Tvorba individuálních oblíbených položek a odkazů
Chcete-li vytvořil oblíbené a odkazy postupně, postupujte takto:
1.	Najdete zásady skupiny pro prostředek, s nímž chcete pracovat. Poté otevřete
složku User Configuration\Windows SettingsMnternet Explorer
Maintenance\URLs (Konfigurace uživatele\Nastavení systému Windows\Údržba
aplikace Internet Expl orer\Uži vatel ské rozhraní prohl í žeče\Adresy URL).
2.	V pravém podokně poklepejte na položku Favorites And Links. Otevře se dialogo-
vé okno Favoritcs And Links dialog box (obrázek 8.5). Oblíbené položky a odkazy,
které přidáte, budou přístupné všem uživatelům spadajícím pod aktuální zásady.
OBRÁZEK 8.5: Konfigurování odkazů pro rychlý přístup k důležitým prostředkům online
3.	Když máte v úmyslu přidat více oblíbených položek a odkazu, můžete vytvořit
složku a umístit je do ní. Vámi vytvořena složka se v nabídce Oblíbené programu
Kapitola 8 - Správa konfigurací aplikace Internet Explorer
Internet Explorer objeví jako podnabidka. Chcete-h vytvořit podnabidku, otevře -
te nabídku Oblíbené a poté klepněte na tlačítko Add Folder. V dialogovém ok-
ně Details zadejte do pole Name název složky a poté klepněte na tlačítko OK.
4.	Chcete-li přidat jednotlivé položky nabídky, zvolte položku Favorites, Links nebo
složku a poté klepněte na tlačítko Add IJRL. Otevře se dialogové okno Details. Za-
dejte do nej název položky (např. Formulář pro nákup) a poté zadejte adresu
URL zdrojové stránky (např. http://finance.adatum.com/forms/purchase-
req.asp). Klepněte na tlačítko OK. Záznam se přidá do vybrané nabídky či
podnabídky.
Tip Jestliže si chcete ověřit, že jste adresu URL zadali správně, vyberte položku, klepněte na
tlačítko Test URL a adresa položky se načte do prohlížeče Internet Explorer. Jestliže se
v prohlížeči objeví požadovaná stránka, zadali jste adresu URL správně. V opačném případě
jste při psaní pravděpodobně udělali chybu a adresu URL byste měli upravit.
5.	Poté, co nadefinujete potřebné oblíbené položky a odkazy, můžete specifikovat
dodatečné možnosti pro přidávání položek do nabídky Oblíbené. Mezi ryto do-
datečné možnosti path:
	Plače Favorites And Links At The Top Of The List In The Order Spcci-
fied Below Položky budou umístěny na začátek seznamu oblíbených
a budou seřazeny v pořadí, ve kterém jste je do seznamu vložili. Použijete-li
tuto možnost, můžete pomocí tlačítek Up a Down změnit pořadí adresářů
a položek v seznamu.
	Delete Existing Favorites And Links, If Present Odstraní všechny existu-
jící oblíbené položky a odkazy a nahradí je vámi vytvořenými položkami.
Tato možnost odstraní položky vytvořené uživateli i správci.
	Only Delete The Favorites Created By The Administrátor Odstraní dříve
vytvořené oblíbené položky a odkazy, které byly vytvořeny správcem, ale
neodstraní položky vytvořené uživatelem. Tato možnost se hodí v případě,
že jste již dříve nakonfigurovali nějaké oblíbené položky a odkazy a nyní je
chcete nahradit aktuálními položkami.
6.	Klepnete na tlačítko OK
Import seznamů s oblíbenými položkami a odkazy
Dalším způsobem jak seznamy Oblíbené a Odkazy vytvořit, je importovat existující
složku, která obsahuje požadované adresy URL. Tato složka se pak stane podna-
bídkou nabídky Oblíbené programu Internet Explorer.
Složku můžete vytvořit a importovat následujícím způsobem:
1. Na síťovém nebo místním disku vytvořte složku a poté do něj přidejte zástupce
• IRL, které odkazují na místa, jež chcete mít k dispozici. Tito zástupci budou pře-
vedeni na položky tvořené podnabídky. Pro složku i její položky určete názvy,
pod kterými je chcete umístit do nabídky Oblíbené programu Internet Explorer.
2. V zasadach skupiny otevřete složku User Conf i gura t i on\Wi ndows SettingsMnternet
Exp I orer Mai ntenance\URLs a v pravém podokně poklepejte na položku Favorites
And Links.
Konfigurace globálních výchozích programů
3-	V dialogovém okně Favorites And Links (zachyceném na obrázku 8.5) označte
položku Favorites, Links nebo složku a poté klepněte na tlačítko Import.
V dialogovém okně Browse For Folder vyberte složku, kterou jste vytvořili
v kroku 1, a poté klepněte na tlačítko OK. Složka a její obsah se do vybrané po-
ložky vloží v podobě podnabídky.
/l\ Upozornění Při importu lze použít pouze správně naformátované zástupce URL Jestliže
> složka obsahuje jiný než tento typ souborů či zástupců, složka se jako podnabídka nezobrazí
a položky se neimportují.
4.	Až budete s definováním oblíbených položek a odkazů hotovi, můžete určit
dodatečné možnosti těchto položek, mezi které patří následující:
	Plače Favorites And Links At The Top Of The List In The Order Speci-
fied Below Položky budou umístěny na začátek seznamu oblíbených
a budou seřazeny v pořadí, ve kterem jste je do seznamu vložili. Použijete-li
tuto možnost, můžete pomocí tlačítek Up a Down změnit pořadí adresářů
a položek v seznamu.
	Delete Existing Favorites And Links, If Present Odstraní všechny existu-
jící oblíbené položky a odkazy a nahradí je vámi vytvořenými položkami.
Tato možnost odstraní položky vytvořené uživateli i správci
	Only Delete The Favorites Created By The Administrátor Odstraní drive
vytvořené oblíbené položky a odkazy; které byly vytvořeny správcem, ale
neodstraní položky vytvořené uživatelem. Tato možnost se hodí v případě,
že jste již dříve nakonfigurovali nějaké oblíbené položky a odkazy a nyní je
chcete nahradit aktuálními položkami.
5.	Klepněte na tlačítko OK.
8.3 Konfigurace
globálních výchozích programů
Operační systém Windows používá pro internetové služby jisté výchozí programy.
Tyto programy jsou definovány v uživatelském profilu a mohou být změněny po-
mocí zásad skupiny.
Výchozí programy můžete nastavit pro následující služby Internetu:
	HTML Editor Výchozí program pro tvorbu dokumentů HTML. Na systémech,
které mají nainstalovaný balík Microsoft Office, jsou standardní možnosti Micro-
soft Word a Poznámkový blok. Jestliže je na počítači nainstalován program
Microsoft FrontPage®, bude třetí možností.
	E-mail Výchozí program pro elektronickou poštu. Na počítačích s balíčkem Of-
fice jsou standardními možnostmi Microsoft Outlook, Outlook Express a služba
MSN Hotmail®.
	Newsgroups Výchozí program pro čtení internetových diskusních skupin. Na
počítačích s balíčkem Office jsou standardními možnostmi Outlook a Outlook
Express.
110
Kapitola 8 - Správa konfigurací aplikace Internet Explorer
	Internet Call Výchozí program pro konferenci po síti. Jedinou standardní mož-
ností je obvykle program Microsoft NetMeeting®.
	Calendar Plánovací program používaný spolu s aplikací Internet Explorer. Na
počítačích s balíčkem Office je standardní možností program Outlook.
	Contact List Výchozí adresářový program. Na počítačích s balíčkem Office jsou
Standardními možnostmi programy Outlook a Adresář
Tip Jestliže jsou na systému nainstalovány další aplikace, mohou být k dispozici i další mož-
nosti. V některých případech (jako u výchozího editoru jazyka HTML) se můžete použití vý-
chozího programu pro danou službu vyhnout tak, že pro ni vyberete prázdnou hodnotu.
Chcete-li prostřednictvím zásad skupiny nastavit výchozí programy, postupujte takto:
1.	V zásadách skupiny otevřete složku User Configuration\Windows Setti ngsMnternet
Explorer Maintenance\Programs a v pravém podokně pote poklepejte na po-
ložku Programs. Otevře se dialogové okno Programs.
2.	Jestliže chcete upravené nastavení programů přestat používat, vyberte možnost
Do Not Customize Program Settings a pote klepněte na tlačítko OK. Zbývající
kroky přeskočte.
3.	Jestliže chcete začít používat upravené nastavení programů, zvolte možnost Im-
port The Current Program Settings a poté klepněte na tlačítko Modify Settings.
Otevře se dialogové okno Internet Propertics (viz obrázek 8.6).
OBRÁZEK 8.6: Volba výchozích programů
4.	Prostřednictvím seznamů v části Internet Programs nastavte výchozí programy.
5.	Instalujete-li jiný software na procházení Internetu, lze jej během instalace nastavit
jako výchozí internetový prohlížeč. Chcete-li, aby program Internet Explorer při
spuštění kontroloval, zda je stale registrován jako výchozí prohlížeč, zaškrtněte
volbu Internet Explorer >hould Check To See Whether It Is The Default Browser.
6.	Dva krát klepněte na tlačítko OK.
Optimalizace připojení a nastavení serveru proxy
8.4 Optimalizace připojení
a nastavení serveru proxy
Když instalujete nové počítače nebo ve vaší síti provádíte změny, je pravděpodob-
né, že mnoho času strávíte konfigurováním pnpojení a nastavení serveru proxy.
Namísto toho, abyste se spoléhali na bitovou kopii (image) počítače, která nemusí
b\i aktuální nebo ručně měnili nastavení, můžete pro zavedeni změn použít zásad}
skupiny. To vam ušetří čas a umožní vam zamění se na důležitější úkoly.
Nastavení připojení pomocí zásad skupiny
Počítače mohou obsluhovat síťová připojení pro vytáčené připojení, širokopásmové
připojení a virtuální privátní sftě (VPN). Síťová připojení se konfigurují ručně pomo-
cí nástroje Síťová připojení dostupného v Ovládacích panelech a zásady skupiny
můžete použít pro zavedení nových konfigurací (aktualizace existujících konfigura-
cí, když potřebujete změnit a smazat existující konfigurace a nahradit je novými).
Kdykoliv prostřednictvím zásad skupiny pracujete s nastaveními připojení, měli byste
na testovacím systému vytvořit potřebná připojení a pote je zkontrolovat připojením
se do sítě přes vytáčené či širokopásmové připojení nebo pomocí VPN. Poté co nasta-
vení ověříte, můžete nastavení z testovacího systému importovat do zasad Connection
Settings. Dávejte pozor na to, abyste nastavení importovali do správné úrovně zá-
sad skupiny. Ve většině případů asi nebudete chtít nastavení zavést pro celou do-
ménu, ale spise jen pro odpovídající organizační jednotky služby Active Directory.
Při práci s nastaveními připojení byste měli vzít na zřetel několik věcí:
	Nastavení sítě LAN (Local area network) pro automatickou detekci a servery
proxy jsou importována spolu s nastaveními samotného připojení. Adresa skrip-
tu pro automatickou konfiguraci se ale ncimportuje. Tato nastavení se spravují
pomocí zasad Automatic Browser Conúguration.
	Když mají importovaná připojení stejné názvy jako existující připojení, existující
připojení se zaktualizují novými nastaveními, proto není třeba existující nastavení
mazal. Smazat je má smysl pouze v případě, když jste přesvědčeni o tom, že uživa-
telé nebo správci vytv ořili připojení, která mohou být do budoucna nepotřebná.
	Když zavadíte nastavení připojení, máte možnost existující nastaveni připojení
smazat. V takovém případě budou všechna připojení dříve vytvořená uživateli
a správci permanentně odstraněna.
Nastaveni připojení můžete zavést pomocí zasad skupiny nebo takto:
1.	Na testovacím systému vytvořte nezbytná připojení a pote je zkontrolujte (přes
vytáčené či širokopásmové připojeni nebo pomoci VLN).
2.	Poté co nastaveni ověříte, přihlaste se do systému, kde jste je vytvořili.
3.	V zásadách skupiny otevřete složku User Configuration\Windows Setti ngs\Internet
Explorer Maintenance\Connection. V pravém podokně poklepejte na položku
Connection Settings. Otevře se dialogové okno Connection Settings (viz obr. 8.7b
Implementace
—a-sctnačfi_
12
Kapitola 8 - Správa konfigurací aplikace Internet Explorer
OBRÁZEK 8.7: Import nastaveni připojení z testovacího počítače
4.	Zvolte možnost Import The Current Connection Settings From This Machine.
Chcete-li si prohlédnout nebo upravit nastavení, která budou importována,
klepnete na tlačítko Modify Settings a v kartě Connections dialogového okna In-
ternet Properties si prohlédněte či upravte nastavení. Dostupné možnosti jsou
identické s možnostmi na kartě Connections nástroje Internet Options.
5.	Jestliže nahrazujete dříve vytvořená připojení, můžete určit, že se mají existující
připojení odstranit. V dialogovém okně Connection Settings stačí vybrat mož-
nost Delete Existing Dial-Up Connection Settings.
6.	Klepnete na tlačítko OK.
V rámci zavádění nových nastaveni připojení můžete také určit, co budou uživatele
s nastaveními připojení moci dělat. Zasady pro řízení přístupu k připojením a správu
jejich nastavení najdete ve složce User Configuration\Administrative Templates\
Network\Network Connections zásad skupiny - Group Policy (Konfigurace uživa-
tel e\Šabl ony pro správu\Sí t\Si tová). K dispozici mate následující zásady:
	Ability To Rename LAN Connections Or Remote Access Connections Available
To All Users (Povolit přejmenovaní připojení k mistn* síti LAN nebo připojení
vzdáleného přístupu, dostupných pro všechny uživatele)
	Ability To Change Properties Of An All User Remote Access Connection (Povolit
měnit vlastnosti telefonního připojení všech uživatelů)
	Ability To Delete All User Remote Access Connections (Povolit odstraněn: připo-
jení vzdáleného přístupu všech uživatelů)
	Ability To Enable/Disable A LAN Connection (Možnost povolit a zakázat pi ipo
jení k místní síti)
	Ability To Rename All User Remote Access Connections (Povolit přejmenování
připojení vzdáleného přístupu všech uživatelů)
	Ability To Rename LAN Connections ( Možnost přejmenovat připojeni k síti LAN 1
Optimalizace připojení a nastavení serveru proxy
313
	Enable Windows 2000 Network Connections Settings For Administrators (Povolit
nastavení síťových připojení systému Windows 2000 pro správce)
	Prohibit Access To Properties Of A LAN Connection (Zakázat přístup k vlastnostem
připojení k síti LAN)
	Prohibit Access To Properties Of Components Of A LAN Connection (Zakázat
přístup k vlastnostem součástí připojení k síti LAN)
	Prohibit Access To Properties Of Components Of A Remote Access Connection
‘(Zakázat přistup k vlastnostem součástí připojení vzdáleného přístupu)
	Prohibit Access To The Advanced Settings Item On The Advanced Menu
(Zakázat přístup k položce Upřesnit nastavení v nabídce Upřesnit)
	Prohibit Access To The New Connection Wizard (Zakázat přístup k Průvodci
novým připojením)
	Prohibit Access To The Remote Access Preferences Item On The Advanced Menu
(Zakázat přístup k položce Předvolby vzdáleného přístupu v nabídce Upřesnit)
Implementace
a scénáře
	Prohibit Adding And Removing Components For A 1AN Or Remote Access
Connection (Zakázat přidávání či odebírání součástí sítě LAN a telefonického
připojení)
	Prohibit Changing Properties Of A Private Remote Access Connection (Zakázat
změny vlastností privátního telefonického připojení)
	Prohibit Connecting And Disconnecting A Remote Access Connection (Zakázat
připójení a odpojení vzdáleného přístupu)
	Prohibit Deletion Of Remote Access Connections (Zakázat možnost odstraňovat
vzdálená připojení)
	Prohibjí Fnabling/Disabling Components Of A LAN Connection (Zabránit povo-
lován: ci zakazování součástí připojení LAN)
	Prohibit Renaming Private Remote Access Connections (Zakázat přejmenování
soukromých připojení vzdáleného přístupu)
	Prohibit TCP/IP Advance d Configuration (Zakázat upřesnění konfigurace proto-
kolu TCP IP)
	Prohibit Viewing Of Status For An Active Connection (Zakázat /obražení stavu
aktivního připojení)
	Turn Off Notifications When A Connection Has Only Limited Or No Connec-
tivity (Vypnout upozorňovaní pro připojení se slabým nebo žádným spojením)
Zavádění nastavení serveru proxy
prostřednictvím zrsad skupiny
Požadavky aplikace Internet Explorer je možné směrovat na službu proxy, aby se
ověřilo, zda je k určitému protokolu povelený přístup. Když je protokol povolený,
pošle server proxy požadavek za klienta a výsledky předá zpět klientovi. Vzhledem
k tomu, ze server proxy používá protokol pro překlad síťové adresy (NAT) nebo ji-
ný podobný protokol, vlastní IP-adresa klienta vznášejícího požadavek není cílo-
vému serveru známa. Servery proxy můžete používat pro protokoly HTTP
4
Kapitola 8 - Správa konfigurací aplikace Internet Explorer
(Hypertext Transfer Protocol), SSL (Secure Sockets Layer), FTP (Filé Transfer Proto-
col), Gopher a Socks (protokol služby proxy tirmy Microsoft).
Nastavení serveru proxy se konfigurují ručně prostřednictvím dialogového okna Local
Area Network (LAN) Settings. Do tohoto okna se dostanete pomocí nástroje Internet
Options - na kartě Connections klepnete na LAN Settings, zvolte možnost Use A Proxy
Server For Your LAN a poté klepněte na tlačítko Advanced. Chcete-li zásad skupiny
použít k zavedení nových, aktualizaci existujících nebo nahrazení existujících kon-
figurací, použijte zásady Proxy Settings. Pro každou webovou službu (H'ITP, SSL.
FTP, Gopher a Socks) můžete použít samostatná nastavení nebo všechny druhy po-
žadavků vyřizovat jedním či více servery. Nakonfigurovat můžete také výjimky, aby
se server proxy pro určité služby, adresy IP nebo lokální síť nepoužíval.
Prostřednictvím zásad skupiny můžete nastavení serveru proxy nakonfigurovat takto:
1.	V zásadách skupiny otevřete složku User ConfigiiratiorAWindows Setti ngs\Internet
Explorer Maintenance\Connection a v pravém podokně poté poklepejte na po-
ložku Proxy Settings (Nastavení serveru Proxy).
2.	V dia lojovém okně Proxy Settings zachyceném na obrázku 8.8 zaškrtněte mož-
nost Fnable Proxy Settings. Na panelu Proxy bervers se nacházejí dva sloupce
textových polí:
	Address Of Proxy Udává adresu IP odpovídajícího serveru/serveru proxy.
Pro každou službu specifikujte adresu IP. Jestliže máte pro jednu službu ně-
kolik serverů proxy, zadejte adresy IP za sebou v pořadí, ve kterém je má
webový klient zkoušet použít. Adresy musí byl odděleny středníkem. Jestliže
pro některou ze služeb není nakonfigurován žádný server proxy, ponechte
textové pole prázdné.
	Port Udává číslo portu, na kterém server proxy reaguje na požadavky. Vět-
šina serverů proxy odpovídá prostřednictvím portu 80 na všechny požadav-
ky. Standardní porty jsou ale následující: port 80 pro protokol HTTP, port
443 pro bezpečnostní protokol SSL, port 21 pro protokol FTP, port 70 pro
protokol Gopher a port 1081 pro protokol Socks. Správná nastavení konzul-
tujte s webovým správcem vaší organizace.
3.	Implicitně je aktivní možnost Use The Same Proxy Server For All Addresses. To-
to nastavení vám umožňuje použít pro služby H'ITP, SSL, FTP. Gopher i Socks
stejnou adresu IP a port. Existují dvě možnosti:
	Jestliže má vaše organizace servery proxy, které obsluhují všechny požadavky,
zaškrtněte možnost Use The Same Proxy Server For All Addresses, zadejte
požadovanou adresu/adresy IP a určete číslo portu, na kterém bude ser-
ver/servery komunikovat.
	Jestliže chcete pro jednotlivé druhy služeb používat odlišné servery proxy,
pak políčko Use The Same Proxy’ Server For All Addresses nezaskrtávejte
a do textových polí zadejte odpovídající adresy IP a čísla portů.
Optimalizace připojení a nastavení serveru proxy
OBRÁZEK 8.8: Konfigurace nastavení serveru proxy pro jednotlivé druhy služeb
Poznámka Automaticky vybráno je i zaškrtávací políčko Do Not Use Proxy Server For Local
(Intranet) Addresses. Ve většině případů není žádoucí používat server proxy pro požadavky
na servery v rámci stejné sítě, proto je zapnutí této možnosti logické. Toto nastavení může
ale působit potíže v případě, že vaše interní síť používá více síťových segmentů. V takovém
případě musíte v seznamu Exceptions specifikovat rozsah adres IP pro každý segment sítě.
Na obrázku 8.8 je uveden příklad. V této situaci nechcete, aby se pro přístup na servery ve
stejném segmentu sítě používal server proxy, proto adresy IP v těchto síťových segmentech
nadefinujete jako výjimky.
4.	Jestliže má vaše síť několik segmentů nebo se server proxy nemá používat pro
přistup na určité rozsahy adres, zadejte do seznamu Exceptions odpovídající ad-
resy IP neb rozsahy adres IP. Tyto položky musí být odděleny středníkem. Jako
zástupný znak lze použit hvězdičku (*), která může reprezentovat rozsah od 0
do 255 (např. 192.*.*.*, 192.168.*.* nebo 192.168.10.* ).
5.	Jestliže má vaše síť určité přípony domény, které by neměly podléhat serveru pro-
xy, přidejte je do seznamu Exclusion také. Jak již bylo uvedeno dříve, jednotlivé
položky je třeba oddělovat středníkem. Zástupým znakem můžete vyjádřit všechny
názvy na určité doménové úrovni (např. *. *.cpané 1 .com, *. těch. cpa nd 1 .com nebo
*.cpandl.com).
6.	Klepněte na tlačítko OK.
Dalším krokem v procesu konfigurace proxy služby je zajistit, že nastavení proxy se
jednotně aplikují pro všechny uživatele určitého počítače. Někdy je také potřeba
zabránit uživatelům ve změně těchto nastavení. Toho dosáhnete zapnutím dalších
zásad, které nepřiřazují nastavení proxy pro jednoho uživatele ale pro jeden počítač
a brání tak uživatelům v přepsáni standardních firemních nastavení proxy-
Jestliže chcete nakonfigurovat nastavení služby proxy pro počítač, postupujte takto:
1. V zásadách skupiny otevřete složku Computer Configuration\Administrative
TemplatesXWindows ComponentsX!nternet Expl orer a v pravém podokně poté po-
klepejte na položku Make Proxy Settings Per-Machine (Rather Than Per-User).
2. Zvolte možnost Enabled a poté klepněte na tlačítko OK.
Kapitola 8 - Správa konfigurací aplikace Internet Explorer
se nacházejí ve složce User Configuratí on\Admini strati ve TemplatesXWindcv,s
ComponentsXInternet Explorer\Internet Control Panel.
	Security Zones: Do Not Allow Users To Add/Delete Sites Jestliže zapnete tyto
zásady, operační systém Windows na kartě Zabezpečeni dialogového okna Mqž-
nosti Internetu deaktiv uje tlačítko Servery, což uživatelům zabrání v upravování
nastaveni serverů pro zóny Místní intranet, Servery s omezeným přístupem a Důvě-
ryhodné servery. To znamená, že uživatelé nemohou přidávat servery, odstraňovat
servery ani měnit nastavení zóny intranetu. Tyto zásady se nacházejí ve složce
Computer ConfigurationXAdministrative Templates\Windows ComponentsMnter-
net Explorer.
	Security Zones: Do Not Allow Users To Change PoJicies Jestliže zapnete tyto
zásady, operační systém Windows zabráni uživatelům v tom, aby měnili nastavení
zón zabezpečení. Když je zapnuté toto nastav en: zásad, na kartě Zabezpečení dia-
logového okna Možnosti Internetu se deaktivují tlačítka Vlastní úroveň a Výchozí
úroveň, lak se zabrání tomu, aby uživatelé měnili správcem stanovena nastavení
zon zabezpečení. Toto nastavení zásad se nachází ve složce Computer Confi-
gurati on\Admi ni strati ve Templ a tes \ Windows ComponentsMnternet Explorer.
	Security Zones: Use Only Machine Settings Jestliže zapnete tyto zásady, ope-
rační systém Windows nastaví zóny zabezpečení pro počítač, nikoliv pro uživa-
tele. Tyto zasady slouží k tomu, aby byly zóny zabezpečení konzistentně
aplikovány pro všechny uživatele určitého počítače. Jestliže zapnete tyto zasady,
aniž byste současně změnili zóny zabezpečení, nastavení zón zabezpečení bude
moci změnit jakýkoliv uživatel a tyto změny pak ovlivní všechny ostatní uživate-
le daného počítače. Toto nastavení zásad se nachází ve složce Computer Confi-
gurationXAdministrative Templates\Windows ComponentsXInternet Explorer.
Prostřednictvím uvedených nastavení můžete posílit restrikce pro úpravy nastaveni
zon zabezpečení. Poklepejte na zásady, ktere chcete zapnout, zvolte možnost Ena-
bled a pote klepněte na tlačítko OK.
fPoznámka Operační systém Windows XP s aktualizací Service Pack 2 a novější obsahuje zasady
pro zamčení bezpečnostní zóny lokálního počítače. Tato speciální zóna zabezpečení se vztahu-
je pouze na zabezpečení lokálního počítače a je určena ktomu, aby braníla uživatelům
v provádění změn, které by mohly narušit zabezpečení jejich počítače. Všechny zásady nasta-
vené ve složce User ConfigurationXAdministrative TemplatesXWindows Compo-
nentsMnternet Expl orerMnternet Control Panel XSecuri ty PageXLockedDown
Local Machine Zone jsou pro lokální počítač uzamčeny a nastaveny podle konfigurace. Na-
místo konfigurování všech zásad samostatně můžete pomocí zásad Locked-Down Local Machi-
ne Zone Template nacházejících se ve složce User ConfigurationXAdministrative
TemplatesX Windows ComponentsXInternet ExplorerXInternet Control PanelXSecu-
ri ty Page nastavit bezpečnostní zónu lokálního počítače v souladu s některou úrovni zabez-
pečeni.
♦	Tip Na počítačích s operačním systémem Windows XP Professional s aktualizací Service Pack
2 nebo novější můžete zóny zabezpečení konfigurovat prostřednictvím šablon pro správu.
Odpovídající nastavení zásad najdete jak v kategorii Computer Configuration, tak
i v kategorii User Configuration pod složkou Administrativě Templ atesXWi ndows Com-
ponentsX Internet ExplorerXInternet Control PanelXSecurity Page. Když pro
Zpřísnění zabezpečení aplikace Internet Explorer 319
správu zon zabezpečení využijete šablony, můžete přetížit importovaná nastavení, která by ji-
nak byla aplikovaná. Nastaveni zón nakonfigurovaná přes šablony pro správu se použijí pouze
na počítače s operačním systémem Windows XP Professional s aktualizací Service Pack 2 nebo
novějším.
Zavádění zón zabezpečení
Prostřednictv frn zásad skupiny můžete pro jednotlivé zóny implementovat určitá stan-
dardní nastavení a tato nastavení pak zavést pro uživatele jednoho či více počítačů.
Před tím než to uděláte, musíte pro všechny čtyři zóny zabezpečeni nakonfiguroval
nastavení (začněte se zónou Internet). Nastavení můžete následně importovat do zá-
sad, aby mohla bvt zavedena pro celé pracoviště, doménu či organizační jednotku. Ta-
to importovaná nastavení se pak budou vztahovat na všechny počítače s operačním
systémem \X indows 2000 nebo novějším, ktere zpracují odpovídající objekt GPO. Je-
diná výjimka se týká počítačů s operačním systémem \\ indows XP Professional
Service Pack 2 nebo novějším a nastavení stránky zabezpečení Internet Control Pa-
nel. U těchto pQČítačů nastavení kategorii Computer Configuration a User Configu-
ration nacházející se ve složce Administrativě TempIates\Windows ComponentsX
Internet ExplorerMnternet Control Panel\Security Page přepíši importovaná
nastavení zóny zabezpečení.
Konfigurace zóny zabezpečen" Internet
Zóna zabezpečení Internet určuje opravném týkající se webového obsahu pro
všechny servery, které se nenacházejí v zadně z ostatních zón. Chcete-li nakonfigu-
rovat nastavení z'-ny Internet, postupujte následovně:
1.	V Control Panel otevřete nástroj Internet Options (Možnosti Internetu) a poté
přejdete na kartu Security (Zabezpečení). V seznamu zón vyberte Internet.
2.	Jestliže chcete získat původní nastavení úrovně, kterou jste změnili, klepněte na
tlačítko Default Level (Výchozí úroveň). Poté klepněte na tlačítko OK
a přeskočte zbývající kroky.
3-	Jestliže chcete nastavit jinou nebo vlastni úroveň, klepněte na tlačítko Custom
Level (Vlastní úroveň). Pomocí dialogového okna Security Configuration (Nasta-
vem zabezpečeni) (viz obrázek 8.9) můžete pro jednotlivé parametry nastavit
ylasiní úroveň nebo nastavení zóny nakonfigurovat v souladu s některou před-
nastavenou úrovní.
Implementace
a scénáře
zásadskuDinv
16
Kapitola 8 - Správa konfigurací aplikace Internet Explorer
/	Poznámka Počítače, které jsou změnami ovlivněny, musejí být restartovany, aby tyto zásady
ý	vstOL,Pi,y v P'atnost- Jestliže tyto zásady vypnete nebo je nenakonfigurujete, uživatelé stej-
z ného počítače budou moci měnit svoje vlastní nastavení serveru proxy. Tato nastavení pa^
mohou přepsat ta, která jsou nastavena prostřednictvím zásad skupiny.
8.5 Zpřísnění zabezpečení
aplikace Internet Explorer
Není mnoho důležitějších oblastí zabezpečení než aplikace Internet Explorer.
V případě správné konfigurace je Internet Explorer bezpečným prohlížečem, který
uživatelům poskytuje bezpečné prostředí k procházeni Internetu a vvebu. Jestliže
ale Internet Explorer nakonfigurujete špatně nebo nedostatečně, síť vaši organizace
muže podlehnout útokům či zneužití.
Jedním ze způsobů jak chránit vaši síť a počítače v ní, je optimalizovat zabezpečení
aplikace Internet Explorer s důrazem na zóny zabezpečení. Zóny zabezpečení slou-
ží k regulaci přístupu k určitým druhům weboveho obsahu, včetně ovládacích prv-
ku ActiveX®, modulů plug-in, souboru a písem ke stažení, programů jazyka Java
a skriptů. Zóny zabezpečeni můžete použít také ke koordinaci toho, jaké akce mo-
hou uživatelé provádět během prohlížení webového obsahu. Například můžete po-
volit spouštění programů ve vnitřním rámci prohlížeče (IFRAME), ale zakázat
instalaci položek na plochu.
Práce se zónami zabezpečení a nastaveními
Pomocí zásad skupiny lze zóny zabezpečení spravovat několika různými způsoby.
Zásady můžete využít, aby se podle zón zabezpečení kontrolovaly’ uživatelské aktivi-
ty, a nastavení jednotlivých zón zabezpečení můžete přizpůsobit podle potřeby.
Z oddílu „Práce se správcem příloh 4 6. kapitoly víte, že existují čtyři zóny zabezpečení;
	Servery s omezeným přístupem Jedna se o servery, který m nedůvěřujete.
	Důvěryhodné servery Jedna se o servery, kterým důvěřujete.
	Internet Servery v Internetu.
	Místní intranet Sen ery v interní síti vaší organizace.
Každá zóna zabezpečení má přiřazenou určitou úroveň zabezpečení, která se muže
pohybovat od nízké až po vysokou. Nízké zabezpečení znamená, že většina akcí je
povolena a bezpečnostní opatření jsou velmi volná. Vysoké zabezpečeni znamená,
že většina akcí je zakázána a bezpečnostní opatření jsou velmi přísná.
Každá úroveň zabezpečení se skládá z parametru, které jsou povolené, zakázané nebo
nastavené tak, aby o chování prohlížeče v dané situaci rozhodl uživatel. Tato nasupe-
ní můžete změnit tak, že pro určitou zónu nastavíte jinou úroveň zabezpečení nebo
definováním vlastní úrovně, kde si jednotlivé parametry nastavíte podle potřeby7 sami.
Zvýšenou pozornost byste měli věnovat těmto nastavením:
	Ovládací prvky ActiveX, moduly plug -in, aplety v jazyce Java a skripty Kdy-
koliv povolíte ovládací prvky ActiveX, moduly plug -in, aplety jazyka JaVa a skripty7,
vystavujete vaše počítače a vaši síť hrozbě utoku a zneužití. Většině problémů se
Zpřísnění zabezpečení aplikace Internet Explorer
škodlivým softwarem se můžete vyhnout právě tak, že použití ovládacích prvků
ActiveX, modulů plug-in, aplctů v jazyce Java a skriptů zakážete. Přestože se jedná
o velmi drastické opatření, uchyluje se k němu čím dál tím více organizací, aby tak
snížily dopad Škodlivého softwaru na jejich sítě.
	Stažení Tento parametr byste měli ve v etšině případu nastavit tak, aby se prohlížeč
zeptal uživatele, zda chce soubor stáhnout. Ačkoliv to může uživatele někdy obtě-
žovat, konečný efekt je ten. že uživatelé mají lepší přehled o tom, co se ukládá na
jejich počítače. Doporučujeme tedy nastavit parametry Automatické dotazování
při stahováni souborů a Stažení písma na hodnotu „Dotázat se".
	Ověření uživatele Parametr Přihlašován určuje, zda se v případě potřeby bu-
dou informace o uživatelském jménu a heslu odesílat na důvěryhodný server či
server s intranetovým obsahem. Hlavním nebezpečím tohoto nastavení je, že
k přihlašovacím jménům vaší sítě se mohou dostat vnější počítače a neověření
uživatelé mohou Lito jména použít při útoku na váš systém.
Poznámka Pro důvěryhodné servery nebo servery zóny sítě intranet mohou být informace
o aktuálním uživateli poskytovány automaticky, když klientský počítač obdrží výzvu
k poskytnutí ověřovacích parametrů. Nebezpečí spojené s povolením ověřování uživatele se
sice vztahuje pouze na důvěryhodné a intranetové servery, ale je třeba mít na paměti, že
definice serveru lokální sítě intranet je konfigurovatelná. Lokálními intranetovými servery
mohou být všechny servery, které nepatří do jiných zón, všechny servery, které obcházejí
server proxy a všechny síťové cesty.
Zapnete-li nastavení Přihlašování, znamenají pro vás všechny úrovně zabezpečení,
kromě úrovně Vysoká, potenciální bezpečnostní riziko. Pamatujte si následující:
	Při úrovni zabezpečení nastavené na Vysoká mohou servery s obsahem vyžadovat
uživatelské jméno a heslo, ale informace se nikdy nepředává automaticky.
	Pro střední a středně nízkou úroveň zabezpečení platí, že jméno a heslo aktuálního
uživatele se poskytuje intranetovým serverům (to mohou bvt intranetové servery,
síťové cesty - UNC a servery, pro které se nepoužívá server proxy L Až budete zva-
žovat bezpečnostní rizika, můžete snadno zapomenout na to, že mezi intranetové
servery patři i servery, které obcházejí službu proxy.
	Pro nízkou úroveň zabezpečení platí, že se přihlašovací infonnace poskytují ser-
verům z jakékoliv zóny. To může být velmi nebezpečné především v případě,
že uživatel komunikuje s externími servery.
Řízení přístupu ke konfiguraci zón zabezpečení
Hlavním způsobem jak zajistit, že zóny zabezpečení budou nakonfigurovány přes-
ně podle požadavků, je zavést omezení pro všechny, kdo by mohli změnit nastave-
ní zón zabezpečení a způsob jejich použiti. Práci s nastaveními zón zabezpečeni lze
řídit několika zásadami:
	Disable The Security Page Jestliže zapnete tyto zásady, operační systém Win-
dows odstraní z dialogového okna Možnosti Internetu kartu Zabezpečeni. Tím
zabraní uživatelům v tom, aby měnili nastavení zón zabezpečení. Tyto zásady
mají přednost a přetíží zasady: Security Zones: Do Not Allovs Users To Change
Policies a Security Zones: Do Not Allow Users To Add/Delete Sites. Tyto zásady
*20
Kapitola 8 - Správa konfigurací aplikace Internet Explorer
OBRÁZEK 8.9: Konfigurace vlastního nastavení
pomocí dialogového okna Nastavení zabezpečení
i. Jestliže chcete používat vlastní úroveň, nastavte jednotlivé parametry, a pole
klepněte na tlačítko Oř
Chcete-li nastavení zóny nastavit v souladu s určitou úrovní zabezpečení, vylxír-
te v seznamu Obnovit požadovanou úroveň, klepněte na tlačítko Původní a po-
té na tlačítko OK. Dostupné úrovně zabezpečení jsou Low, Middle-Low, Middle,
High (Nízká, Středně nízká, Střední a Vysoká).
Konfigurace zóny zabezpečení Místní intranet
Zóna zabezpečení Místní intranet určuje oprávnění týkající se webového obsahu
pro servery v lokální síti. Výchozí úroveň zabezpečení je Středně nízká. Chcete-li
nakonfigurovat nastaveni teto zóny, postupujte následovně:
1.	V dialogovém okně Internet Options (Možnosti Internetu) přejděte na kartu Se-
curity (Zabezpečení) a v seznamu zón vyberte Local intranet (Místní intranet).
2.	Úroveň zabezpečení nastavte jedním z následujících způsobů?
	Jestliže chcete získat původní nastavení úrovně, kterou jste změnili, klepněte
na tlačítko Default Level (Výchozí úroveň). Poté klepněte na tlačítko OK.
	Jestliže chcete nastavit jinou nebo vlastni úroveň, klepněte na tlačítko Cus-
tom Level (Vlastní úroveň). Pomoci dialogového okna Security Settings (Na-
v
stavení zabezpečení 1 můžete pro jednotlivé parametry nastavit vlastn úroveň
nebo nastavení zóny nakonfigurovat v souladu s některou přednastavenou
úrovní. Až budete s konfigurací hotovi, klepnete na tlačítko OK.
z
3.	Pomoci tlačítka Servery nadefinujte servery, které budou patřil do zóny Místní
intranet. Klepnutím na tlačítko otevřete dialogové okno Local intranet (Místní in-
tranet) (viz obrázek 8.10).
Zpřísnění zabezpečení aplikace Internet Explorer
321
OBRÁZEK 8.10: Seznam serverů zóny Local intranet
4.	Nyní můžete přidat či odebrat místní (intranetwé) servery, které nejsou zařaze-
ny v žádné z ostatních zón, v seznamu serverů, které obcházejí službu proxy
nebo v síťových cestách (UNC). Chcete-li zahrnout některé z uvedených pro-
středků, zaškrtněte odpovídající políčko.
5.	Jestliže chcete pro místní intranet specifikovat dodatečné servery nebo požadujete
pro všechny servery zóny místního intranetu bezpečné ověřování prostřednictvím
HTTPS (Hypertext Transfer Protocol Secure), klepněte na tlačítko Advanced
(Upřesnit). Zobrazí se dialogové okno, ve kterém můžete provést následující akce:
 Vložením adresy IP do pole Add This Web Server (Přidat tento \v ebový server)
do následující zóny a klepnutím na tlačítko Add (Přidat) můžete přidat nový
server.
	Vybráním serveru v seznamu Webové servery a klepnutím na tlačítko Remo-
vé (Odebrat) můžete server vyjmout.
	Zaškrtnutím políčka Require All Servers Authenticarion By Server (Vyžadovat
ověření všech serverů v teto zóně serverem) (hrtps:) si lze vyžádat ověřování
pomocí protokolu H1TPS.
6.	Dvakrát klepněte na tlačítko OK, čímž zavřete obě otevřená dialogová okna.
Implementace
a scénáře
? tninv
Konfigurace zóny zabezpečení Důvěryhodné servery
Zóna zabezpečení Trusted sites (Důvěryhodné servery) určuje oprávněni týkající se
weboveho obsahu pro servery, které jsou považovány za důvěryhodné a pro serve-
ry u nichž se předpokládá, že se na nich nenachází žádný závadný obsah. Výchozí
úroveň zabezpečení je Nízká. Chcete-li nakonfigurovat nastavení této zóny, postu-
pujte následovně:
1	V dialogovém okně Internet Options (Možnosti Internetu) přejděte na kartu Securi-
ty (ZabezpečenO a v seznamu zón vyberte Trusted sites (Důvěryhodné servery).
2.	Úroveň zabezpečení nastavte jedním z následujících způsobu:
	Jestliže chcete získat původní nastavení úrovně, kterou jste změnili, klepněte
na tlačítko Default Level (Výchozí úroveň). Poté klepněte na tlačítko OK-
	Jestliže chcete nastavit jinou nebo vlastn: úroveň, klepněte na tlačítko Vlastni
úroveň. Pomocí dialogového okna Security Settings (Nastavení zabczpečenO
můžete pro jednotlivé parametry nastavil vlastní úroveň nebo nastavení zóny
nakonfigurovat v souladu s některou přednastavenou úrovni Až budete
s konfigurací hotovi, klepněte na tlačítko OK.
122
Kapitola 8 - Správa konfigurací aplikace Internet Explorer
3.	Pomocí tlačítka Servery nadefinujte servery, které budou patřit do zóny Trusted
sites (Důvěryhodné servery). Klepnutím na tlačítko otevřete dialogové okn()
Trusted sites (Důvěryhodné servery) (viz obrázek 8.11).
OBRÁZEK 8.11: Specifikace serverů, které budou patřit do zóny Trusted sites
4.	\ dialogovém okně můžete přidávat a odebírat důvěryhodné servery. Bezpeč-
nostní nastavení teto zóny budou používat všechny webové servery, které do ní
patří. Chcete-li přidat nový server, vložte do pole Add This Sile To The Fol-
Invving Zone (Přidat tento webový server do následující zóny) adresu IP
a klepněte na tlačítko Add (Přidat). Chcete-li nějaký server odebrat, označte jej
v seznamu Webové sen ery a klepněte na tlačítko Remove (Odebrat).
5.	Zaškrtnutím dalšího políčka můžete vyžadovat ověření všech serverů v teto zó-
ně serverem, čínlž si můžete vyžádat ověřování pomocí protokolu HTTPS.
6.	Klepněte na tlačítko OK.
Konfigurace zóny zabezpečení Servery s omezeným přístupem
Zóna zabezpečení Restncted Sites (Sen ery s omezeným přístupem) určuje oprávnění
týkající se serveru, na kterých se muže nacházet závadný obsah. Omezený přístup
na servery uživatelům nicméně nezabraní v návštěvách neověřených serveru. Toto
omezeni slouží pouze k nastavení jiné úrovně zabezpečení pro tyto servery. Chce-
te-li uživatelům zabránit v návštěvách serverů s omezeným přístupem, musíte změ-
nit konfiguraci serveru proxy nebo brány firewall tak, aby přístup k těmto serverům
zablokovaly. Výchozí úroveň zabezpečeni je Vysoká. Chcete-li umístit nějaké serve-
ry na seznam serverů s omezeným přístupem, postupujte následovně:
1.	V dialogovém okně Internet Properties (Možnosti Internetu) přejděte na kartu
Security (Zabezpečen J a v seznamu zon vyberte Restricted Sites (Servery
s omezeným přístupem).
2.	Úroveň zabezpečení nastavte jedním z následujících způsobů:
	Jestliže chcete získat původní nastavení úrovně, kterou jste změnili, klepněte
na tlačítko Default Level (Výchozí úroveň). Poté klepněte na tlačítko OK.
Konfigurace dodatečných zásad možností Internetu
323
	Jestliže chcete nastavit jinou nebo vlastní úroveň, klepněte na tlačítko De-
fault Level (Výchozí úroveň). Pomocí dialogového okna Security Settings
(Nastavení zabezpečení) můžete pro jednotlivé parametry nastavit vlastni
úroveň nebo nastavení zóny nakonfigurovat v souladu s některou předna-
stavenou úrovní. Až budete s konfigurací hotovi, klepněte na tlačítko OK.
3.	Pomocí tlačítka Sites (Senery) nadefinujte servery, které budou patřit do zóny
Restricted Sites (Servery s omezeným přístupem). Klepnutím na tlačítko otevřete
dialogové okno Restricted Sites, které je podobné oknu z obrázku 8.11.
4	Chcete-li přidat nový server, vložte do pole Add This Web Site To The Zone (Přidat
tento webový server do následující zóny) adresu IP a klepněte na tlačítko Add
(Přidat).
S.	Chcete-li nějaký server odebrat, označte jej v seznamu Web Sites (Webové servery)
a klepněte na tlačítko Remove (Odebrat).
6	Dvakrát klepněte na tlačítko OK, čímž zavřete obě otevřena dialogová okna.
Implementace
a scénáře
—irsirw/
Import a zavádění nastavení zón zabezpečení
Pote co nakonfigurujete bezpečnostní nastavení pro všechny čtyři zóny, můžete je
importoval do zásad Security Zoncs And Content Ralings, abyste je pak mohli za-
vést plošně pro celé pracoviště, doménu nebo organizační jednotku. Import se pro-
x ádí následovně:
1.	Výše popsanými postupy nakonfigurujte všechny čtyři zóny zabezpečení. Až bu-
dete hotovi, nalistujte v zásadách skupiny složku User Configuration\Windows
SettingsMnternet Explorer MaintenanceXSecurity a poté poklepejte na nasta-
vení Security Zones And Content Ralings.
2.	Označte položku Import The Curreni Security Zone Settings And Privacy Set-
tings a klepněte na tlačítko Modify Settings. Nyní můžete zkontrolovat vámi na-
definovaná nastavení zón.
3.	Až budete hotovi, dvakrát klepněte na tlačítko OK a zásady budou aplikovaný.
8.6	Konfigurace dodatečných zásad
možností Internetu
Vesložce User Configuration\Administrative Templates\Windows ComponentsMnternet
Explorer najdete mnoho nastavení zásad určených pro správu Internet Options
(Možností Internetu). Jakoukoliv z těchto zásad můžete snadno zapnout tak, že na
ni poklepete, zvolíte možnost Enabled a klepnete na tlačítko OK. V některých pří-
padech bude potřeba určit dodatečné parametry (např. omezení velikosti souboru
nebo zapnutí či vypnuti určitého tlačítka).
Tabulka 8.1 popisuje základní zásady Internet Options (Možnosti Internetu). Jak zjistí-
te z údajů v tabulce, mnoho z nich je užitečných pro zabránění uživatelům v prováděni
určitých akci v aplikaci Internet Explorer a pro řízení chovám této aplikace.
Kapitola 8 - Správa konfigurací aplikace Internet Explorer
TABULKA 8 J: Klíčové zásady Možností Internetu
Složka	Název	Popis
User Configuration\ Administrativě Templates\ Windows Components\ Internet ExplorerMnternet Control Panel\Advanced Page	Allow Active Content From CDs To Run On User Machines	Při spouštění aktivního obsahu z disku CD se uživatelům implicitně zobrazuje dotaz, který jim umožňuje spuštěn, aktivního obsahu povolit nebo zrušit. Zapnutím těchto zásad přetížíte výchozí nastavení a povolíte spouštění aktivního obsahu z disků CD bez dotazování.
User Configuration\ Administrativě Templates\ Windows Components\ Internet ExplorerMnternet Control Panel\Advanced Page	Allow Software To Run Or Install Even If The Signatuře Is Invalid	Spouštění a instalace souborů sta- žených z Internetu a dalších spusti- telných souborů je implicitně zakázáno v případě, že nejsou správně podepsané. Zapnutím těch- to zásad přetížíte výchozí nastavení a povolíte spouštění souboru s neplatnými podpisy.
User Configuration\ Administrativě Templates\ Windows Components\ Internet Explorer\Toolbars	Configure Toolbar Buttons	Určuje, která tlačítka na standardní nástrojové liště aplikace Internet Ex- plorer budou aktivní. Pomocí těchto zásad můžete určit, zda budou urči- tá tlačítka implicitně zobrazena nebo skryta.
User Configuration\ Administrativě Templates\ Windows Components\ Internet Explorer	Disable Changing Connection Settings	Zabráni uživatelům v tom, aby měnili nastavení vytáčeného připojeni.
User Configuration\ Administrativě Templates\ Windows Components\ Internet Explorer	Disable Changing Proxy Set- tings	Zabrání uživatelům v tom, aby měnik nastavení serveru proxy.
User Configuration\ Administrativě Templates\ Windows Components\ Internet Explorer	Disable Internet Connection Wizard	Zabrání uživatelům v tom, aby spouštěli průvodce vytvořením no- vého připojeni.
User Configuration\ Administrativě Templates\ Windows Components\ Internet ExplorerMnternet Control Panel	Disable The Advanced Page	Odstraní z dialogového okna Mož- nosti Internetu kartu Upřesnit, čímž zabrání uživatelům v provádění úprav pokročilých nastavení.
Konfigurace dodatečných zásad možností Internetu
Složka	Název	Popis
User Configuration\ Administrativě Templates\ Windows Components\ Internet ExplorerXInternet Control Panel %	Disable The Connections Page	Z dialogového okna Možnosti Inter- netu odstraní kartu Připojení, čímž zabrání uživatelům v provádění úprav nastavení připojení, serveru proxy a nastavení automatické kon- figurace. Také uživatelům zablokuje přistup k Průvodci vytvořením připo- jení.
User Configuration\ Administrativě Templates\ Windows Components\ Internet ExplorerMnternet Control Panel	Disable The Programs Page	Z dialogového okna Možnosti Inter- netu odstraní kartu Programy, čímž zabrání uživatelům ve změně výcho- zích programů pro Internet.
User Configuration\ Administrativě Templates\ Windows Components\ Internet ExplorerMnternet Control Panel	Disable The Security Page	Z dialogového okna Možnosti Inter- netu odstraní kartu Zabezpečení, čímž zabrání uživatelům ve změně bezpečnostních nastavení.
User ConfigurationX Administrativě Templates\ Windows Components\ Internet Explorer	Do Not Allow Users To Enable Or Disable Add-ons	Vypne správu doplňků a zakáže uži- vatelům konfiguraci souvisejících na- stavení. (Správa doplňků uživatelům umožňuje řídit, zda mají být zapnuty či vypnuty doplňky prohlížeče.)
User ConfigurationX Administrativě TemplatesX Windows ComponentsX Internet ExplorerX Persistence Behavior	Filé Size Limits For	Umožňuje vám nastavit pře jednotli- vé zóny zabezpečeni omezen1' veli- kosti pro dynamické soubory mezipaměti. Omezení můžete nasta- vit pro doménu nebo pro dokument.
User ConfigurationX Administrativě TemplatesX Windows ComponentsX Internet ExplorerXBrowser Menus	Hide Favorites Menu	Odstraní z programu Internet Explo- rer nabídku Oblíbené, čímž uživate- lům zabrání v přístupu k seznamu oblíbených odkazů.
User ConfigurationX Administrativě TemplatesX Windows ComponentsX Internet Explorer	Pop-up Allow List	Umožňuje správcům určit seznam serverů, které mají povoleno použití místních oken bez ohledu na nasta- vení aplikace Internet Explorer. Za- pnutí této možnosti a vloženi interních serverů do seznamu je uži- tečné v případě, že tyto servery vola- jí metodu wi ndow. open () jazyka JavaScript nebo používají podobné metody pro otevírání oken.
Implementace
a scénáře
▼iearicknninv
Kapitola 8 - Správa konfigurací aplikace Internet Explorer
Složka	Název	Popis
User ConfiguratiorA	Turn Off Crash Detection Slouží k vypnutí detekce havárií. De-
Administrative Templates\	tekce havárií umožňuje prohlížeči
Windows Components\	vysledovat, které doplňky narušují
Internet Explorer	stabilitu prohlížeče. Uživatel pak
může nestabilní doplňky vypnout.
User Configuration\ Turn Off Pop-Up Management Zabrání uživatelům v konfiguraci
Administrativě Templates\	možností místních oken a skryje
Windows Components\	související dialogová okna. To zna-
Internet Explorer	mená, že když zapnete toto nasta-
vení, přestanou se zobrazovat
ovládací prvky pro správu oken,
upozornění a dialogová okna.
8.7	Shrnutí
Základní zásady skupiny pro práci s aplikací Internet Explorer se nacházejí ve složce
User Configuration\Internet Explorer Maintenance. Tyto zásady jsou uspořádány
do pěti hlavních kategorií: uživatelské rozhraní prohlížeče, adresy URL, programy,
připojení a zabezpečení. Tyto zásady mají také největš vliv na konfiguraci aplikace In-
ternet Fxplorer a její zabezpečení, proto se současně jedná o zásady, s nimiž budete
nejčastěji pracovat. Ve složce User Conf i guration\Admi ni strati ve Templ a tes \ Wi ndows
ComponentsMnternet Explorer najdete mnoho dalších zásad, které jsou určeny pře-
devším pro dolaďování nabídek, nástrojových lišt a souvisejících možností aplikace In-
ternet Explorer. Pro počítače s operačním systémem Windows XP Professional SP2
nebo novějším lze použít (pro konfiguraci zabezpečení a uzamykání internetových
zón zabezpečeno i zasady nacházející se ve složce UserConfiguration\Administra-
ti ve Templates\Windows ComponentsMnternet Explorer\Internet Control Panel.
Zavádění
a správa
softwaru
prostřednictvím
zásad skupiny
28
Kapitola 9 - Zavádění a správa softwaru prostřednictví m zásad skupiny
Obsah kapitoly:
9.1	Základy instalace softwaru prostřednictvím zásad	skupiny..............3^8
9.2	Plánování zavádění softwaru...........................................332
9.3	Zavadění softwaru prostřednictvím zásad skupiny.......................335
9.4	Konfigurace pokročilých a obecných možností instalace softwaru........343
9.5	Zavádění sady Microsoft Office a aktualizač...........................357
9.6	Správa zavedených aplikací............................................363
9.7	Shrnutí...............................................................376
Instalace a správa softwaru je náročná činnost (jak časově, tak z hlediska lidské
práce) bez ohledu na to, zda pracujete na zaváděni' nových aplikací, implemento-
vání aktual žací nebo instalaci záplat. Mezi všemi dostupnými produkty a nástroji,
které slouží k usnadnění instalace a správy software, je jen málo tak intuitivních
a mocných, jako jsou zásady Software Installation. Pomocí zásad Software Installation
(Instalace softwaru) můžete efektivně a centrálně spravovat celý životní cyklus své-
ho softwaru (od jeho instalace pres opravy, záplatováni, aktualizace a odstranění).
Efektivní centrální správa značně snižuje náročnost zavádění a správy softwaru, což
pro vaši organizaci může znamenal v konečném efektu i finanční úsporu.
Související informace
Další informace o zavádění zásad skupiny najdete ve 4. kapitole.
Další informace o Instalační službě systému Windows najdete na internetové adre-
se http://msdn.microsoft.com/li brary/default.asp?url=/library/en-us/msi/
setup/wi ndows.i nstal1er_start_page.asp.
Další informace o Zaváděni sady Microsoft Office 2003 pomocí zásad skupiny
najdete přímo v sadě Office 2003 Resource Kil nebo na internetové adrese
http://www.microsoft.com/resources/documentati on/offi ce/2003/al1/reskit/
en-us/depc04.mspx.
9.1 Základy instalace softwaru
prostřednictvím zásad skupiny
Zásady Software Installation nejsou náhradou podnikových řešení, jako je např.
Microsoft Systems Management Server (SMS). jsou spíše navrženy jako univerzální
a snadno použitelné řešení pro zavádění a správu softwaru v rámci oddělení. Ještě
předtím, než zabředneme do samotného procesu zavádění, podíváme se na to,
jak probíhá instalace software,
	co potřebujete vědět před instalací,
	jak nastavit zdroj instalace,
	jaka jsou omezení.
Základy instalace softwaru prostřednictvím zásad skupiny
329
Jak probíhá instalace software
Instalace softwaru prostřednictvím zásad skupiny funguje následovně: V objektu
GPO zásad skupiny pro vaši doménu služby Active Directory nadefinujete jednu
nebo více aplikací. Když uživatel nebo počítač zpracuje daný objekt GPO, nainsta-
lují se všechny aplikace, které jsou nadefinované v zásadách Software Installation
tohoto objektu. Jestliže je objekt GPO připojen například k organizační jednotce Fi-
nance a vy prostřednictvím zásad Software Installation (Instalace softwaru) zavádíte
Microsoft Office, nainstaluje se tento aplikační balík pro všechny uživatele a počíta-
če organizační jednotky Finance. V celém procesu hrají roli také určité podmínky,
které budou v rámci této kapitoly ještě zmíněny, ale uvedený mechanismus proces
instalace v podstatě vystihuje.
Software zavedený prostřednictvím zásad skupiny je softwarem spravovaným. Zásady
Software Installation se v rámci zasad skupiny nacházejí ve složkách Computer Con-
figurationX Software SettingsX Software Installation (Konfigurace počítáče\Na stavení
softwaruX Instalace softwaru) a User ConfigurationX Software SettingsX Software In-
stallation (Konfigurace uživateleXNastavení softwaruXInstalace softwaru) (viz obrá-
zek 9.1), což znamená, že software můžete zavádět bud pro jednotlivé počítače,
nebo pro jednotlivé uživatele.
implementace
a scénáře
OBRÁZEK 9.1: Umístění nastavení zásad Software Installation
Obecně se dá říci, že aplikace instalované pro jednotlivé počítače jsou dostupné všem
uživatelům -laného počítače a aplikace instalované pro jednotlivě uživatele jsou
k dispozici pouze jednotlivým uživateliim. Přístup samotných počítačů a uživatelů
k aplikacím sc odvíjí od toho, zda jsou připojeni na objekt GPO, který konfigurujete.
Přístupová práva k instalačnímu baličku aplikace a souvisejících instalačních souborů
mohou ovlivni, také samotné zavádění. Jestliže zavádíte software pro jednotlivé počí-
tače, musí mil odpovídající účty počítačů přístupová práva pro čtení. Jestliže zavádí-
te software pro jednotlivé uživatele, musí mít práva pio čtení uživatelské účty.
Poznámka Narozdíl od většiny ostatních zásad se zasady Software Installation aplikují pouze
v rámci zpracování na popředí, a nikoliv během aktualizace zásad na pozadí. Zaváděn pro
jednotlivé počítače probíhá během spuštění a zavadění pro jednotlivé uživatele probihá bě-
hem přihlášení.
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
Co potřebujete vědět před instalací
Předtím než budete moci začít zavádět svůj software, budete potřebovat instalační
balíček aplikace, kterou si přejete .zavést. Jak bude zmíněno v oddíle „Zavádění
softwaru prostřednictvím zásad skupiny“ této kapitoly, instalační balíček obsahuje
instalační soubor (balíček Instalační služby systému Windows s příponou .msi ne-
bo aplikační balíček s příponou . zap) a aplikační soubory, které jsou potřebné pro
instalaci softwaru.
Základní instalační balíček lze různě přizpůsobit. Obvykle se používají transfor-
mační soubory. Tyto soubory mají příponu .mst a používají se k úpravě instalační-
ho procesu ve smyslu jeho optimalizace pro různé uživatele a skupiny uživatelů.
Transfomiační soubory vám umožňují přizpůsobit téměř všechny aspekty balíčku
Instalační služby systému Windows. V případě aplikací, které mají standardní insta-
lační balíček, můžete získat nástroj pro tvorbu transformačních souborů. U většiny
přizpůsobených balíčků, které si takto vytvoříte, budete ale muset při tvoibě trans-
formačních souboru pravděpodobně spoléhat na nástroje od jiného dodavatele, než
je ten, který dodává samotnou aplikaci.
Poznámka Abyste mohli plně využít výhod zásadami řízené instalace a správy, musí být in-
stalační balíčky ověřené pomocí balíčkovacího formátu Instalační služby systému Windows.
Nicméně prostřednictvím zásad Software Installation je možné zavádět také jiné balíčky než
jen ty, které jsou ve formátu Instalační služby systému Windows. Háčkem ale je, že
v takovém případě nebudete m t k dispozici žádné z funkcí pro správu životního cyklu apli-
kací. Další informace najdete v oddíle „Zavádění softwaru pomocí jiných instalačních balíč-
ků" této kapitoly.
Tip Transformační soubory jsou natolik obvyklým způsobem optimalizace zavádění balíčku
Microsoft Office, že firma Microsoft poskytuje v sadě Microsoft Office Resource Kit nástroj
s názvem Custom Installation Wizard. Více se o něm dozvíte v oddíle „Použití transformač-
ních souborů pro optimalizaci zavádění sady Microsoft Office" této kapitoly.
Kromc samotného instalačního balíčku potřebujete ve své síti určit také distribuční
bod, aby byl balíček dostupný pro uživatele a počítače. Toto instalační umístění by se
mělo nacházet ve sdílené síťové složce, která je přístupná oro všechny uživatele
a počítače, na které software zavádíte. Tito uživatelé a počítače potřebují alespoň
oprávnění pro čtení složky a souborového systému, na němž se balíček a související
soubory nacházejí. V úvahu byste měli vzít také geografické umístění serveru, který
hostí sdílenou složku (především ve vztahu k umístění uživatelů a počítačů).
Tip Umístění zdroje instalace dobře zvažte. Jakmile umístění jednou nastavíte, nebudete mít
již možnost jej v objektu GPO změnit bez toho, abyste museli aplikace znovu zavést.
Při problémech s odezvou nebo kapacitou sítě se může stát, že bude potřeba umís-
tit instalační balíčky na server nacházející se ve stejném fyzickém umístění nebo ve
stejném pracovišti, jako se nacházejí uživatelé a počítače. V některých případech
můžete použít systém DFS (Windows Distributed Filé System) a tyto soubory geo-
graficky rozdistribuovat na několik serverů. Pomocí DFS můžete wtvořit logickou
adresářovou strukturu, která je nezávislá na skutečném umístění souborů v síti.
Základy instalace softwaru prostřednictvím zásad skupiny
331
Protože systém DFS nevyjadřuje skutečné, ale virtuální umístění souborů, nebudete
muset dodatečně měnit cestu k balíčku uvedenou v objektu GPO. Budete-Ii chtít něco
změnit, uděláte to v DFS. Můžete například vytvořit kořenový adresář DFS
WAppSvrX aplikace a v něm pro jednotlivé aplikace vytvořit podadresáře. Tyto pod-
adresáře můžete umístit na různé servery a nakonfigurovat několik fyzických spojeni
do stejných logických adresářů. Jestliže bude některý z těchto server i nedostupný,
postačí změnit odkaz tak, aby ukazoval na jiný server, aniž byste přitom museli za-
sahovat do nastavení objektu GPO.
V piípadě, že použijete systém DFS, který je součástí služby Active Directory, získá-
te několik dalších výhod:
	Možnost nakonfigurovat automatickou replikaci obsahu složky aplikace. Tato
funkce vám umožňuje nakopírovat nové instalační balíčky do určité složky
a následně je nechat automaticky překopírovat na ostatní servery, které tyto
soubory potřebují.
Implementace
a scénáře
TÁsad skupiny
	Protože systém DFS dokáže rozpoznávat jednotlivá pracoviště, budou se klient-
ské počítače vždy připojovat ke kopii složky systému DFS, která spadá pod je-
jich pracoviště. To znamená, že klient se bude vždy snažit stáhnout baliček ze
serveru, který je ze síťového hlediska blízko, Čímž se minimalizuje doba odezvy.
Jak nastavit zdroj instalace
Umístění instalačního balíčku na sdílené místo často obnáší proste zkopírovaní in-
stalačního souboru a potřebných aplikačních souboru do zvoleného umístění, ktere
bude zdrojem instalace. Pro nekteré aplikace (především aplikace firmy Microsoft)
je ale lepším řešením do sdílené složky, kterou chcete použít pro zavedeni balíčku,
provést tzv. instalaci pro správu.
Tip Fro většinu aplikací firmy Microsoft můžete instalac pro správu vyvolat tak, že příkazu
setup.exe předáte parametr /a.
Hlavní důvod použití instalace pro správu namísto vytvořen: prosté kopie instalač-
ních souborů aplikace z distribučního disku CD-ROM je ten, že instalaci pro správu
můžete v budoucnu dynamicky záplatovat a aktualizovat. Jakmile instalaci zaktuali-
zujete, můžete pomocí funkce Redeploy aplikovat aktualizace na všechny cílové
klienty (při následující aktualizaci zásad). Tím se značně zjednodušuje údržba apli-
kačního balíčku u klientu, které jej mají nainstalován. Druhá možnost - kopírování
a provádění aktualizace mimo zásady skupiny jednotlivě pro všechny počítače - je
náročná na čas i lidskou práci, proto se instalace pro správu obecně doporučuje.
Jaká jsou omezení
Přestože zásady Software Installation (Instalace softwaru) poskytují univerzální pro-
středky pro zavádění a správy softwaru, hodí se spíše pro zavadění softwaru na úrovni
oddělení než celého podniku. Proč? Protože se na tento přístup vztahují také určitá
omezení, která byste při uvažováni o plošném zavádění aplikací měli vzít v potaz.
Jedním z hlavních omezení je to, že zásady lze pro distribuci softwaru použít pouze
pro počítače s operačními systémy Windows 2000 či Windows XP Professional.
Serverové verze operačních systémů rodiny Windows sice mohou mít Instalační
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
službu sytému Windows, ale nemohou přijímat aplikace zaváděné prostřednictví
zásad. Počítače s operačními systémy Windows 95, Windows 98 a Windows NT
Workstation také nemohou přijímat aplikace zaváděné prostřednictvím zásad. Jestli
že máte ve své organizaci klientské počítače, na kterých běží některé z operačních
systémů, které zavádění aplikací tímto způsobem nepodporují, budete se muset
uchýlit k jinému řešení. Naskýtá se Microsoft Systems Management Server (SMsj
nebo Intel LANDesk.
Dalším omezením muže být způsob, kterým se zavaděné aplikace posílají po síti
U podnikových řešení jako je SMS můžete zavádění aplikace naplánovat a použít ví-
cesměrové vysílání Plánování vám umožňuje provést instalaci kdykoliv si přejete (na-
příklad uprostřed noci, kdy není nu síti žádný uživatel). Vícesměrové vysílání váin
umožňuje poslat po šiti jednu kopu softwaru a vyžádat si její příjem několika klienty’
současně. To znamená, že aplikaci můžete poslat do sítě jen jednou a nechat všechny’
klienty v síti, aby ji přijali.
Zásady skupiny naopak žádné plánování ani vícesmcrové vysílání nepodporují. Kli-
entské počítače zaváděnou aplikaci přijímají, když na stane určitá konfigurovatelná
událost (např. zapnutí počítače, přihlášení uživatele nebo aktivace uživatele), a ji-
nak už dobu instalace aplikace ovlivnit nemůžete. Jednotliví klienti také přijímají
vlastn. kopii aplikace zasílané po síti.
Další podstatné omezení souvisí s určováním, kdo má softwarový balíček obdržet.
Podniková řešení, jako je SMS nebo LANDesk, mají zabudované funkce, kterými je
možné vymezit, kten klientské počítače (v závislosti na jejich konfiguraci) dosta-
nou instalaci určitého softwaru. Zavádění můžete regulovat v závislosti na operač-
ním systému, hardwaru nebo existenci předchozí verze zaváděné aplikace.
V rámci zásad skupiny je hlav nim způsobem řízeni distribuce aplikací přiřazení ob-
jektu GPO a filtrování. Můžete například vytvořit objekt GPO, nakonfigurovat na-
stavení zasad Software Installation a poté tento objekt GPO připojit k organizační
jednotce Prodej. Tento objekt pak bude ovlivňovat všechny uživatele organizační
jednotky Prodej. Jak bylo řečeno v oddíle „Filtrovaní podle bezpečnostní skupiny,
uživatele či počítače“ kapitoly 3, bezpečnostní filtr můžete použít tak aby sc objekt
GPO vztahoval pouze na určité bezpečnostní skupiny v rámci pracoviště, domény
nebo organizační jednotky. Vyšší stupen kontroly můžete získat tak, že upravíte za-
bezpečeni na samotném instalačním souboru (viz oddíl „Řízení zavaděni pomocí
bezpečnostní skupiny“ této kapitoly).
Vytvořit můžete také filtr služby WMI a filtrovat zavádění aplikací podle operačního
Systému či hardwarové konfigurace nebo podle nainstalovaných aplikací. Ačkoliv’
můžete s filtry’ služby WMI dosáhnout dobrých výsledku, mohou být někdy zrádné
a před použitím je třeba je dobře otestovat. Další podrobnosti o filtrech služby WMI
najdete v oddíle? „Tvorba objektu GPO pro zavádění softwaru“ této kapitoly.
9.2 Plánováni zavádění softwaru
Přípravu před zaváděním softwaru a nastavení zdroje instalace máme za sebou, tak
se můžeme podívat na proces plánování. Pro zavádění všech druhů softwaru platí,
že plánování je potřeba věnovat dostatek času. Zavádění aplikací prostiednictv un
Plánování zavádění softwaru
zásad skupiny rozhodně není výjimkou. Klíčové faktory, které je potřeba zvážit,
jsou následující:
	Použiti speciálních objektu GPO pro zavádění softwaru
	Zda Software distribuovat pro jednotlivé uživatele nebo počítače
Tvorba objektů GPO pro zavádění softwaru
V rámci plánování byste se měli zamyslet nad tím, které objekt)7 zásad při zavádění
softwaru použijete. Snadno můžete podlehnout pokušení použít existující strukturu
pracoviště, domény či organizační jednotky, ale je dobré si uvědomit, že tento přístup
vás do jisté míry omezuje. Pro lepší pochopení uvedeme příklad: Do organizační
jednotky Prodej potřebujete zavést sadu aplikací Microsoft Office 2003. Upravíte ob-
jekt GPO organizační jednotky Prodej a nakonfigurujete zásad) Software Installati-
on. Poté zjistíte, že software potřebujete zavést i pro zbytek podniku. V tomto
okamžiku můžete buď upravit objekty GPO všech zbývajících organizačních jedno-
tek, nebo změnit způsob zaváděni softwaru, což je pravděpodobně lepší volbou.
Namísto upravování objektu GPO jednotlivých pracovišť, domén a organizačních
jednotek můžete vytvořit objekty GPO, které budou sloužit výhradně pro zavádění
softwaru. Když pak budete potřebovat zavést software do nějakého pracoviště,
domény nebo organizační jednotky, objekt GPO pro zavádění softwaru jednoduše
připojíte k pracovišti, doméně nebo organizační jednotce. Obecně se doporučuje
vytvořit jeden objekt GPO pro každou aplikaci nebo kategorii aplikací, kterou chce-
te zavádět. Jestliže potřebujete zavést například aplikaci Microsoft Visio, můžete vy-
tvořit objekt GPO s názvem Visio Deployment Policy, nakonfigurovat jej pro
zavádění programu Visio a poté objekt GPO připojit k odpovídajícím pracovištím,
doménám či organizačním jednotkám vaší organizace.
Při tvorbě a konfiguraci objektu GPO určeného pro zaváděni softwaru musíte vzít
v úvahu i to, komu je software určen. Zásady se implicitně vztahují na všechny uži-
vatele či počítače spadajícího do daného pracoviště, domény či organizační jednot-
ky, ke které jste objekt GPO připojili. Toto chování ale nemusí být vždy žádoucí.
Dejme tomu, že například chcete, aby všichni vývojáři měli kopii programu Visio,
ale vývojáři jsou roztroušeni po cele organizaci. Přichází následující dilema: jak za-
vést Visio pouze pro vývojáře, aniž byste přitom museli provádět individuální insta-
lace na počítačích všech vývojářů. Jedním způsobem, jak tento problém vyřešit, je
využit strukturu bezpečnostních skupin vaší organizace pro filtrovaní použiti zásad.
Jestliže u objektu GPO pro zavádění softwaru nakonfigurujete bezpečnostní filtro-
vání tak, aby se zásady aplikovaly pouze pro členy bezpečnostní skupiny Vývoj,
zavede se program Visio pouze pro vývojáře.
Některé situace jsou ale složitější. Muže se například stát, že program Visio budete
chtít zavést pouze na počítače s určitou konfigurací (např. pouze pro počítače řady
Dell Dimension 8300). V tomto případě (nebo kdykoliv budete chtít omezit použili
zásad pouze pro určitou systémovou konfiguraci, operační systém či hardware)
musíte použit filtr služby WMI. Vytvoříte filtr služby WMI, který rozpozná výrobce
a model počítače, a poté filtr připojíte k objektu GPO pro zavaděni softwaru tak,
aby se zásady aplikovaly pouze na počítače s touto konfigurací. Filtr služby WMI
by vypadal takto:
34
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
Root\cimV2;Select * FROM Win32_ComputerSystem WHERE Manufacturer="Del1
Computer Corporation" and Model="Drension 8300"
V tomto příklade se filtr služby WMI využije k prohledání objektu Wi n32_Computer-
System a výběru všech počítačů, které mají výrobce nastaveného na hodnotu Dey
Computer Corporation a model na hodnotu Dimension 8300. Předtím než takový
druh filtru použijete v produkčním prostředí, nezapomeňte jej otestovat.
Tip Při použití filtrů služby WMI budete pracovat se dvěma základními objekty: Wi n32
ComputerSystem a Win32_0peratingSystem. Užitečný nástroj pro seznámení s těmito ob-
jekty a souvisejícími hodnotami se nazývá Netsh Diag. Při práci s nástrojem Netsh Diag nepo-
třebujete vědět nic o službě WMI na to, abyste pochopili, které hodnoty můžete při
filtrování využít. Publikace Microsoft Windows Command-Line Pocket Consuitant (Microsoft
Press, 2004) popisuje techniky práce s nástrojem Netsh Diag a objekty Win32_Computer-
System a Wi n32_Opera tingSystem.
Konfigurace zavádění softwaru
Zásady Software Installation (Instalace softwaru) se aplikují pouze během zpraco-
vání zásad na popředí, a nikoliv během aktualizace zásad na pozadí. Aplikace mů-
žete zavádět několika způsoby:
	Přiřadit software ke klientským počítačům tak, aby se nainstaloval při spouštění
počítače.
	Rozdistribuovat software tak, aby jej počítač mohl nainstalovat př jeho prvním
použití.
	Přiřadit software k uživatelům tik, aby se nainstaloval během přihlašovaní uži-
vatele.
	Publikovat aplikaci tak, aby jej uživatelé mohli ručnč instalovat prostřednictvím
nástroje Přidat nebo odebrat programy.
Chcete-li instalaci softwaru kompletně zautomatizovat, můžete zaváděni provést
pomoci přiřazování. Software můžete přiřadit bud pro jednotlivé počítače, nebo pro
jednotlivé uživatele. Přiřazení softwaru pro jednotlivé počítače znamená, že soft-
ware se nainstaluje během příštího restartu odpovídajících počítačů. Protože se
software instaluje pro jednotlivé počítače, bude k dispozici všem uživatelům, kteří
se na dané počítače přihlásí.
Když aplikaci přiřadíte nějakému uživateli, je výchozí instalační režim během při-
hlášení daného uživatele takový, že proběhne pouze inzerce aplikace, nikoliv její
plná instalace. Inzerovaní (instalace aplikace proběhne při prvním použití) je
schopnost Instalační služby systému Windows, kterou lze využít pomocí zásad sku-
piny. Inzerování vám v podstatě umožní poskytnout instalaci na vyžádání, a když
se použije ve spojem se zásadami Software Installation, poskytuje způsob distribuce
softwaru pouze pro uživatele, kteří jej opravdu potřebují. Tento přístup může snížit
nutnost údržby softwaru tam, kde to není potřeba, a správce také nemusí explicitně
distribuovat aplikaci v okamžiku, kdy si uživatel vzpomene, že aplikaci konečně
potřebuje začít používat.
Inzerování funguje tak, že aplikace se nenainstaluje, dokud uživatel nevyžaduje ně-
co, k čemu je dmá aplikace potřeba - ať už se jedná o dokument, nebo
Plánování zavádění softwaru
335
o funkčnost. Abyste mohli využívat \yhod inzerování, musí být Instalační služba
systému Windows nastavená na poskytováni aplikace prostřednictvím inzerování
namísto plné místní instalace.
Aplikace může být inzerována třemi způsoby:
	Zástupci Balíček může nainstalovat zástupce na plochu uživatele nebo do na-
bídky Start. Když uživatel klepne za účelem spuštění aplikace na nějakého zá-
stupce, nainstaluje se cela aplikace.
	Přidružení souborů Balíček může zaregistrovat přípony souborů a přiřadit za-
váděnou aplikaci k určité souborové příponě (např. .doc pro aplikaci Word ne-
bo .vsd pro aplikaci Visio®). Když uživatel otevře nějaký soubor s příponou
spojenou s inzerovanou aplikací, tato aplikace se nainstaluje.
	Součásti COM Pro aplikace, které obsahují sdílené součásti COM, může balíček
inzerovat tyto součásti do registru, a zajistit tik instalaci při prvním použití.
Jestliže je například nainstalovaná aplikace Microsoft Outlook (ale aplikace
Word ještě nainstalováni není) a uživatel se rozhodne použit pro psán: emailů
program Word, aplikace se nainstaluje v okamžiku, kdy uživatel z programu
Outlook zavolá odpovídající součást.
Implementace
a scénáře
Další možností uživatelského přiřazení je nainstalovat aplikaci po přihlášení uživa-
tele. Přihlašovací proces ale pak kvůli instalaci aplikace zabere delší dobu.
Poslední možnosti zavádění je publikování aplikace a její zpřístupnění pro jednotli-
vé uživatele. Když aplikaci publikujete pro uživatele, dojde k jejímu inzerováni při
dalším přihlášení uživatele. Narozdíl od výše popsaného způsobů inzerování má ta-
to technika svá omezení. Aplikace se inzeruje do seznamu Přidat nebo odebrat
programy a současně je k dispozici k instalaci při prvním použití. To znamená, že
uživatel může nainstalovat aplikaci ručně pomoci nástroje Přidat nebo odebrat pro-
gramy nebo instalaci spustit pokusem o otevření souboru přidruženého k dané
aplikaci.
Důkaz úspěšného inzerování uvidíte, když se podíváte na vlastnosti zástupce inze-
rované aplikace. Například na obrázku 9.2 byla uživateli prostřednictvím zasad při-
řazena aplikace Visio 2003- V seznamu vlastností zástupce si všimněte hodnoty
položky Target Type. Uvedená hodnota znamená, že když uživatel klepne na toho-
to zástupce, začne instalace programu Visio.
Bez ohledu na metodu, kterou použijete, kroky vedoucí k samotnému zavedení
softwaru pomocí zasad jsou v podstatě stejné. Při rozhodovaní, zda zavádění soft-
waru směrovat na počítače, nebo na uživatele, vám může pomoci tabulka 9.1, která
shrnuje výhody a nevýhody přiřazování softwaru počítačům, přiřazování uživatelům
a publikování.
36
Kapitola 9 - Zaváděni a správa softwaru prostřednictvím zásad skupiny
OBRÁZEK 9.2: Prohlížení inzerovaného zástupce programu Visio
TABULKA 9.1: Přehled metod zavádění softwaru
Oblast	Přiřazení počítači	Přiřazení uživateli	Uživatelské publikování
Aktivace	Pro instalaa softwaru je nutný restart počítače	Pro instalad či inzera softwaru je nutné přihlá- šení uživatele	Instalace softwaru nebo zahájení instalace musí být provedeno uživatelem
Dostupnost	Dostupný všem uživate- lům počítače	Software je přiřazený uži- vateli a následuje jej všude, kam se uživatel přihlásí	Software je přiřazený uži- vateli při instalaci
Požadavky na uživatelskou aka	Instalace proběhne bě- hem spouštění, proto ne- ní potřebná žádná akce	Instalace proběhne bě- hem přihlášení nebo při prvním použití, proto ne- ní potřebná žádná akce	Uživatelská akce je nut- ná.
9.3 Zavádění softwaru prostřednictvím
zásad skupiny
Zaváděni softwaru prostřednictvím zásad skupiny většinou závisí na tom, kterou
technologii Instalační služby systému Windows pro zavadění použijete a na správě
životního cyklu. Zavést mi lžete ale také balíček, který nebyl připraven pomoci
technologie Instalačn služby systému Windows To znamená, že existují dva zá-
kladní přístupy k za vadění a správě softwaru:
	Zavádění softwaru pomocí balíčků Instalační služby systému Windows
	Zavádění softwaru pomocí jiných instalačních balíčků
Obě tylo techniky jsou popsány v následujících oddílech.
Zaváděni softwaru prostřednictvím zásad skupiny
337
Zavádění softwaru pomocí balíčků Instalační služby systému Windows
Balíčky Instalační služby systému Windows jsou navrženy za účelem zjednodušení
instalace softwaru. Technologie Microsoft Installer - Instalační služby systému Win-
dows - je závislá na dvou základních součástech:
	Soubor instalačního balíčku softwaru
Instalační služba softwaru
Soubor instalačního balíčku softwaru obsahuje databázi infonnací s podrobnostmi
o tom, jak by se měl software instalovat a odstraňovat. Tento soubor má příponu . msi
a používá jej Instalační služba systému Windows (Msi exec. exe). Instalační služba sys-
tému Windows je standardní komponentou na všech počítačích s operačním systé-
mem rodiny Windows. Služba při čter í balíčkových souboru s příponou . ms i využívá
dynamicky připojovanou knihovnu Msi .dl 1.
Obsah balíčku poskuje instalační službě informace o tom, které aplikační soubory by
měly být na místní počítač zkopírovány, které zástupce vytvořit, které položky registru
upravit atd. Stejné informace lze využít při rušeni instalace aplikace, aby bylo dosaze-
no kompletního odstraněni softwaru. Použití Instalační služby systému Windows má
mnoho výhod, mezi které patří i možnost oprav aplikací, které byly prostřednictvím
této služby nainstalovány. Jak to funguje? Balíček Instalační služby systému Windows
obsahuje všechny podrobnosti potřebné k instalaci a odinstalování odpovídající apli-
kace. Protože balíček obsahuje seznam všech souboru a informace o systémové kon-
figuraci potřebné k tomu, aby software mohl správně fungovat, instalační soubor je
možné použít také k opravě poškozené aplikace. Princip fungování je následující:
Uvažujme, že soubor nutný pro běh aplikace byl smazán nebo poškozen. Výsledkem
je, že uživateli se aplikaci nedaří spustit. Protože aplikace byla nainstalovaná pomocí
Instalační služby systému Windows, informace v instalačním souboru lze použít při
obnově poškozeného či chybějícího souboru.
Mezi další výhody zavádění softwaru pomocí Instalační služby systému Windows
patří:
Implementace
a scénáře
zásad skupiny
	Eska láce oprávnění Když k instalaci aplikací přirazených nebo publik ováných
pro uživatele použijete zásady, proběhne zpracování ve zvýšeném kontextu za-
bezpečení, aby aplikace mohli úspěšně nainstalovat i uživatelé, kteří nepatří do
místní skupiny Administrators ani do skupiny Power Users. Balíček se během
instalace aplikace nachází v kontextu privilegovaného uživatele s plnými pravý
k provádění instalaci aplikací.
Transformační soubory Pomoci zásad Software Installation můžete během
zavadění aplikace automaticky aplikovat jeden nebo více transformačních sou-
boru Instalační služby systému Windows. Transformační soubory vám umožňuji
přizpůsobit výchozí balíček Instalační služby systému Windows a upravit prvky
aplikace, které se instalují na uživatelský počítač.
	Inzerování Tato funkce (mluví se o ní také jako o instalaci při prvním použití)
je sc hopnost Instalační služby systému Windows, kterou lze podpořit zásadami
Software Installation. Když přiřadíte nějakou aplikaci uživateli, bude během při-
hlášení uživatele výchozím instalačním režimem inzerován (namísto spuštění
plné instalace). Inzerce jsou sady přiřazení, které mají určitý „aktivátor . Tím
38
Kapitola 9 - Zaváděni a správa softwaru prostřednictvím zásad skupiny
může být zástupce, přípona souboru (např. .doc pio soubory aplikace Microsoft
Word) nebo registrace objektu COM. Jestliže uživatel spustí jeden z těchto akts
vátorů, aplikační balíček se nainstaluje.
	Aktualizace Pomocí zásad Software Installation můžete mezi novými a starými
verzemi aplikací nastavit aktualizační vztahy. Jestliže jste dříve pomoci zásad za-
vedli například sadu Microsoft Office XP, můžete zavést sadu Microsoft OffiCe
2003 a mezi ní a předchozí verzí vytvořit aktualizační vztah. Všechny počítače
a uživatelé, pro které byla drive zavedena sada Microsoft Office XP získají po
zpracování zásad Software Installation novou verzi sady (Microsoft Office 2003).
	Automatické odstranění Pomocí zásad Software Installation můžete automa-
ticky odstranit (odinstalovat) aplikaci tehdy, když uživatel či počítač již nespadá
do vlivu objektu GPO, které aplikaci původně nainstaloval. Jestliže se některé-
mu uživateli například nainstaluje program Microsoft Excel na základě toho, že
se nachází v organizační jednotce Finance domény’ služby Active Directory, mů-
žete určit, že v okamžiku, kdy změní pracovní pozici a přestěhuje se do organi-
zační jednotky Marketing, aplikace Excel bude při dalším zpracování zásad
skupiny na popředí automaticky odinstalována.
Získání potřebného souboru Instalační služby systému Windows
Časem zjistíte, že téměř každa nová aplikace má soubor balíčku s příponou .msi,
který lze použit k instalaci a odinstalovaní aplikace. Když je součástí aplikace sou-
borový baliček s příponou .msi, označuje se jako nativní soubor Instalační služby
systému Windows. Použil nativní soubor Instalační služby systému Windows
k zavádění softwaru pomocí zásad skupiny je nejjednodušší technikou zavádění,
ale můžete si také vytvořit vlastní instalační soubor.
Jestliže chcete vytvořit soubor Instalační služby systému Windows, budete potřebo-
vat nástroj pro jejich tvorbu (např. „WISE for Windows Installer" od firmy Wise So-
lutions, lne.). Postup, který vede k vytvoření balíčku .msi, se liší v závislost1 na
tom, jaký nástroj použijete, ale základní princip je následující:
1.	Začnete s čistou instalací všech operačních systému, na které chcete software
zavést. Jestliže chcete software zavádět například na operační systém Windows
XP Professional, spusťte na počítači novou instalaci systému Windows XP Pro-
fessional. Neinstalujte žádný další aplikační software.
2.	Po dokončeni instalace operačního systému použijte nástroj pro tvorbu balíčků
k vytvoření snímku aktuálního stavu počítače. Tento snímek musíte vytvořit
před tím, než aplikaci nainstalujete.
3.	Nainstalujte aplikaci na počítač. Ve většině případů stačí provést standardní in-
stalaci softwaru. Při instalaci zvolte možnosti, které vašim uživatelům poskytnou
nej lepší podporu a konfiguraci.
4.	Po na instalování aplikace zoptimalizujte konfiguraci aplikace. Mažete vytvořit
nebo odstranit zástupce aplikace, přizpůsobit nástrojové lišty, nastavit výchozí
možnosti atd Aplikaci alespoň jednou spusťte pro případ, že obsahuje nějaké
součásti, které se instalují až po spuštění.
5.	Prostřednictvím nástroje pro tvorbu balíčků vytvořte druhy snímek systému. Bě-
hem tohoto procesu vytvoříte soubor Instalační služby systému Windows.
Zavádění softwaru prostřednictvím zásad skupiny 339
6.	Uvedený postup zopakujte pro všechny operační systémy, na které máte
v úmyslu software zavést. Jestliže chcete instalovat na systémy Windows 2000
i Windows XP Professional, budete obvykle potřebovat dva samostatné instalač-
ní soubory.
Jakmile mate připravené potřebné instalační soubory, můžete pomocí zásad provést
distribuci softwaru ve vaši organizaci.
Zavádění softwaru pomocí souboru
Instalační služby systému Windows
Až budete mít svůj soubor Instalační služby systému Windows a všechny potřebné
soubory zkopírujete do sdílené síťové složky, můžete pomocí zásad skupiny nakonfi-
gurovat instalaci softwaru. Jak bylo již řečeno v oddíle „Tvorba objektu GPO pro zavá-
dění softwaru“, ve většině případu byste měli vytvořit nový objekt GPO,
nakonfigurovat zásady Software Installation a poté objekt GPO připojit k odpovídá jí-
cím pracovištím, doménám či organizačním jednotkám, do kterých se má software
zavést.
Implementace
a scénáře
zásad skupiny
Chcete-li nakonfigurovat zasady Software Installation (Instalace softwaru) pro zave-
dení vašeho softwaru, postupujte takto:
1.	V zásadách skupiny otevřete nastavení Software Installation. Při zavadění softwaru
pro jednotlivé počítače použijte složku Computer ConfigurationXSoftware Set-
tings \ Software Installation (Konfigurace počítačeXNastavení softwaruXInstalace
softwaru). Při zavádění softwaru pro jednotlivé uživatele použijte složku User Con-
figurationX Software SettingsXSoftware Installation (Konfigurace uživateleX Nasta-
vení softwaruXInstalace softwaru).
2.	Klepněte pravým tlačítkem na nastavení Software Installation a zvolte položku
New, Package.
3.	Do dialogu Open zadejte cestu k síťové sdílené složce, kde se nachází váš balí-
ček, nebo umístěni balíčku určete tak, že jej nalistujete a označíte.
Upozornění Jestliže zavádíte balíček ze síťové sdílené složky, musíte při definování balíčku
v zásadách zadat cestu k této složce vždy ve standardu UNC. Proto lze obecně říci: nepouží-
vejte lokální cesty. Jestliže do zásad zadáte například cestu c:\packages\office2003\
pro.msi, protože se balíček nachází na disku C daného serveru, bude klient zpracovávající
tyto zásady hledat balíček na svém disku C.
4.	Klepněte na tlačítko Open. Jestliže síťovou cestu nelze z nějakého důvodů ově-
řit, objeví se varovná zpráva s dotazem, zda si přejete pokračovat. Odpovíte-li
Ano, použije se zadaná cesta. Odpovíte-li Ne, proces zavádění se přeruší a vy
budete muset začít znovu.
Upozornění Poté co klepnete na tlačítko Open, neexistuje již způsob, jak změnit instalační
cestu softwarového balíčku To znamená, že když vyberete špatnou cestu nebo ji potřebuje-
te později upravit, musíte baliček smazat a vytvořit znovu.
5.	V dialogu Deploy Software (Zavedení aplikace) (viz obrázek 9-3) jsou k dispozici
možnosti Published, Assigned a Advanced (Publikované, Přiřazené, Upřesnit).
Vyberte-li možnost Published, aplikace bude publikována bez úprav. Když vybc-
40
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
rete možnost Assigned, aplikace se přiradí beze /měn. Jestliže chcete zavést ap]p
kaci pomocí pokročilé konfigurace, zvolte možnost Advanced (viz od Jíl „Konfiguj
race pokročilých a obecných možnosti instalace softwaru“ léto kapitoly).
Poznámka Obecné výchozí nastavení dokáže určit, zda se má zobrazit dialog Deploy Soft-
ware. Jestliže se dialog nezobrazí, je výchozí možnost zavadění nastavena. Další informace
najdete v oddíle „Nastavení výchozích možností zavádění" této kapitoly.
OBRÁZEK 9.3: Volba metody zavádění
Jakmile jsou zásady nakonfigurovány, aplikace se odpovídajícím způsobem zavede
na všechny vybrané počítače či uživatele. Softwarové balíčky pro jednotlivé počíta-
če jsou implicitně poskytovány při spuštění počítače a softwarové balíčky pro jed-
notlivé uživatele jsou poskytovány během přihlášení uživatele. Jak bylo uvedeno ve
3- kapitole v oddíle „Manuální aktualizace zásad skupiny“, k vynucení restartu
a odhlášení můžete použít také nástroj příkazového řádku Gpupdate.
Zavádění softwaru pomoci jiných instalačních balíčků
Chcete-li zavádět software pomocí jiných instalačních balíčků (baličku, které nepatří
Instalační službě systému Windows), musíte vytvořit speciální textový soubor označo-
vaný jako soubor ZAP (Zero Administration Package). Jakmile budete mít potřebný
soubor ZAP, můžete prostřednictvím zásad skupiny nakonfigurovat zavádění softwa-
ru. Tento přístup má ale sva omezení a neposkytuje výhody spravované aplikace, ja-
kými jsou např. eska láce oprávnění, správa životního cyklu a automatické odstraňová-
ní. Konkrétně můžete provádět pouze publikování pro jednotlivé uživatele, což zna-
mená, že program se zařadí do seznamu Přidat nebo odebrat programy jako dostupná
aplikace a uživatel ji odtud bude moci nainstaloval. Jestliže uvedete infonnace o pří-
ponách souborů přiřazených zaváděné aplikaci, dosáhnete tak také omezené mož-
nosti instalace při prvním použití.
To je vše, co můžete dělat s instalačními balíčky, které nepatří Instalační službě systé-
mu Windows. Instalace aplikací proběhne prostřednictvím běžného instalačního sou-
boru a s běžnými oprávněními cli něho uživatele. To znamená, že instalaci nemůžete
upravil ani lak, že instalačnímu souboru předáte parametry. Nemůžete například
provádět instalaci se zvýšenými oprávněními, proto bude uživatel pravděpodobně
potřebovat oprávnění místního správce, aby aplikace mohl nainstalovat. Další věci
je, že nemate k dispozici výhody, jako je automatické opravovaní, aktualizace či
záplatování, které jsou dostupné v rámci Instalační služby systému Windows.
Zavádění softwaru prostřednictvím zásad skupiny
341
Poznámka Kvůli omezením se soubory ZAP nejlépe uplatní při zavádění aplikací, které není
potřeba aktualizovat nebo záplatovat. Jediný zpUsob, jak aplikovat záplatu na software za-
vedený pomocí souborů ZAP, je pomocí zásad odstranit existující software a poté pomocí zá-
sad znovu zavést jeho novou verzi.
Vytváření souboru formátu ZAP
Soubor ZAP je standardní inicializační soubor systému Windows s hlavičkou a sadou
dvojic klíč-hodnota. Tento soubor je možné vytvořit v běžném textovém editoru ( např.
Poznámkový blok) a musí se uložit s příponou .zap, aby jej zásady Software Ihstal-
lation dokázaly rozpoznat.
Aby byly soubory formátu ZAP platné, musí obsahoval alespoň tyto oddíly a klíče:
[Application]
FriendlyName="Appli cationName"
SetupComman !="\\Servernank \Sharename\Applicationinstaller.exe" /Paraneter
Řetězec Appl i cati onName je název, který se zobrazí v seznamu Přidat nebo odebrat
programy, \\Servername\Sharename\Applicationinstall.exe je celá síťová cesta
k instalačnímu souboru aplikace a Parameter je parametr, který chcete instalačnímu
souboru aplikace předat.
Abychom si ukázali, jak by obsah souboru vypadal pro nějakou skutečnou aplikaci,
uvazujme následující příklad:
[Appli cati on ]
FriendlyName="Microsoft Visio 2003”
SetupCommand=”\\cpandl.com\dfsroot\packages\Visio 2003\setup.exe" /unattend
V tomto příkladě se z doménové sdílené složky packages spouští soubor íetup.exe.
Při volání se mu předává přepínač /unattend, který spustí zavaděni aplikace
v bezobstužné m režimu. Všimněte si, že tento přepínač není závislý na instalačním
balíčku. Vaše aplikační baličky mohou podporovat jiné přepínače, s jejichž pomocí
docílile bezobslužné instalace.
implementace
a scénáře
záqad skupiny
Poznámka Při nastavováni instalační cesty byste měli dávat pozor na někoh.k věcí. Jestliže
cesta k souboru, který chcete spustit, obsahuje mezery nebo dlouhé názvy, musí byt uzavře-
na v uvozovkách. Nezapomeňte ani na to, že použijete-li v hodnotě klíče SetupCommand
písmena jednotek, zavádění aplikace se nezdaří.
Hodnoty FriendlyName a SetupCommand reprezentují minimální informace, které je
potřeba uvést v souboru ZAP k tomu, aby se aplikace úspěšně zavedla. Nepovinné
dvojice klíč, hodnota mohou posloužit k tomu, aby se uživateli v seznamu Přidat
nebo odebrat programy zobrazily dodatečné informace. Následující klíče dokáží
poskytnout dodatečné informace o aplikaci:
DispiayVersion = VersionNumberToDispiay
Publisher = SoftwarePublisher
URL = SoftwarePublishersURL
Hodnota VersionNumberToDi spi ay určuje revizní číslo softwaru, které se zobrazí
v seznamu Přidat nebo odebrat programy, SoftwarePubl isher je jméno výrobce
42
Kapitola 9 - Zavaděni a správa softwaru prostřednictvím zásad skupiny
softwaru a SoftwarePciblisherslIRL je URL-adrcsa webc>vé stránky výrobce softwa-
ru. Zde je příklad použití těchto klíčů:
DispiayVerš i on = 11.0
Publisher = Microsoft Corporation
URL = http://www.microsoft.com/office
Následující oddíl a dvojice klíč, hodnota vam zprostředkují částečnou funkcionalitu
instalace* při prvním použití (slouží k přirazení souborové přípony publikované
aplikaci):
[ext]
ext=
Řetězec ext zde vyjadřuje samotnou příponu, kterou chcete přiřadit publikované
aplikaci. V následujícím příkladě se souborová přípona .vsd adresuje pomocí oddíle
s názvem [ext]:
ext]
vsd=
Jestliže uživatel, pro kterého byla tato aplikace publikována prostřednictvím soubo-
ru ZAP, otevře nějaký soubor s příponou .vsd, aplikace se nainstaluje z cesty uve-
dené v klíči SetupCommand. Ale vzhledem k tomu, že zavadění pomocí souborů
ZAP neposkytuje eskalaci oprávnění, musí mít uživatel na svém po* ítači dostatečná
práva na to, aby instalace proběhla úspěšně.
V ukázce 9-1 je celý obsah souboru ZAP vycházející z výše uvedených příkladu.
UKAZKA 9.1: Vzorový soubor ZAP obsahující povinné a nepovinné hodnoty
[Appli ca ti on]
FriendlyName="Microsoft Visio 2003"
SetupCommand="\\cpandl.com\dfsroot\packages\Visio 2003\setup.exe” /unattend
DispiayVersion = 11.0
Publisher = Microsoft Corporation
URL = http://www.microsoft.com/office
[ext]
vsd=
Zavádění softwaru pomoc souboru ZAP
Jakmile připravíte soubor ZAP a do síťové sdílené složky zkopírujete všechny po-
třebné soubory, můžete v zásadách skupiny nakonfiguroval instalaci softwaru. Jak
bylo uvedeno v oddíle „Tvorba objektu GPO pro zavádění softwaru“, ve většině
případů byste měli vytvořit nový obiekt GPO, nakonfigurovat zásady Software In-
stallation a objekt GPO poté připojit k pracovištím, doménám či organizačním jed-
notkám, do kterých se bude software zavádět.
Chcete-li zásady Software Installation (Instalace softwaru) nakonfigurovat pro zave-
dení vašeho softwaru, postupujte následovně:
1.	Instalační soubory, které nespadalí pod Instalační službu systému Windows, je
možné instalovat pouze pro jednotlivé uživatele. Ve složce User Configurati-
Konfigurace pokročilých a obecných možností instalace softwaru
343
on\Software SettingsX Software Installation (Konfigurace uživateleX Nastavení soft-
waru \ Instalace softwaru) najděte položku Software Installation.
2.	Klepněte na ni pravým tlačítkem a zvolte příkaz New, Package (Nový balíček).
3.	Do dialogu Open (Otevřít) zadejte cestu k síťové sdílené složce, ve ktere se na-
chází váš balíček, nebo balíček nalistujte a vyberte.
/ jV Upozornění Jestliže zavádíte balíček ze síťové sdílené složky, musíte při definování balíčku
 v zásadách vždy zadat cestu k balíčku ve formátu UNC. Stručně řečeno, nepoužívejte místní
cesty. Jestliže do zásad zadáte například cestu c:\packages\visio\viso.zap, protože ba-
líček se nachází na disku C daného serveru, bude klient zpracovávající tyto zásady hledat ba-
líček na svém disku C.
4.	V seznamu Files of Type (Typy souborů) vyberte jako typ souboru možnost
ZAW Down-Lvvel Applications Packages (*.zap).
5.	Klepněte na tlačítko Open. Jestliže se z nějakého důvodu nepodaří ověřit síťo-
vou cestu, objeví se varovná zpráva s dotazem, zda si přejete pokračovat. Od-
povíte-li Ano, použije se zadaná cesta. Odpovíte-li Ne, proces zavadění se
přeruší a vy budete muset začít znovu.
Zj\ Upozornění Poté co klepnete na tlačítko Open, neexistuje již způsob, jak cestu k souboru
 ZAP změnit. To znamená, že když vyberete špatnou cestu nebo ji potřebujete později upra-
vit, musíte balíček vytvořit znovu.
6.	Vyberete-li v dialogu Deploy Software možnost Published (Zavedeni aplikac e -
Publikované), aplikace bude publikována bez uprav. Jestliže chcete zavést apli-
kaci pomocí pokročilé konfigurace, zvolte možnost Advanced (viz následující
oddíl).
Poznámka Obecné výchoz nastavení dokáže určit, zda se iná zobrazit dialog Deploy Soft-
ware. Jestliže se dialog nezobrazí, je výchozí možnost zavádění nastavena. Další informace
najdete v oddíle „Nastavení výchozích možností zavadění" této kapitoly.
Jakmile je objekt GPO nakonfigurován, aplikace se muže odpovídajícím způsobem
inzerovat na všechny vybrané počítače či uživatele. Zásady Software Installation se
pro uživatele implicitně publikuj pouze během jejich přihlašování. Jak bylo uvede-
no ve 3. kapitole v oddíle „Manuální aktualizace zásad skupiny“, k vynucení odhlá-
šeni můžete použít také nástroj příkazového řádku Gpupdate.
9.4 Konfigurace pokročilých a obecných
možností instalace softwaru
Poté co vytvoříte přiřazeny nebo publikovaný softwarový baliček, můžete pomocí
možnosti pokročilé instalace softwaru upravit jeho vlastnosti. Tyto možnosti jsou
dostupné, také když v dialogu Deploy Software zvolíte jako druh balíčku možnost
Advanced. Tyto možnosti můžete použít k:
	prohlížení a nastavování obecných možností zavádění,
	změně druhu zavádění a instalačních možností,
Implementace
a scénáře
M
Kapitola 9 - Zavádění a správa softwaru prostředr ictvím zásad skupiny
	definovaní kategorií aplikaci pro jejich snazší správu v případě, že zavádíte větší
množství aplikací,
	označení balíčku jako aktualizace di íve zavedené aplikace,
	definování transformačních souborů, které chcete použit pro přizpůsobení insta-
lace,
	řízení zavádění pomocí bezpečnostní skupiny.
Dalšími možnostmi jsou obecné možnosti instalace softwaru, ktere můžete použít
k nastavení obecných možností zásad Software Installation.
Prohlížení a nastavování obecných možností
zavádění
Obecné možnosti zavadění softwarového balíčku slouží především pouze pro in-
formační účely a patří mezi ně:
	Name (Název) Název, pod kterým bude baliček uveden v seznamu 'Přidat nebo
odebrat programy. Tento název je určen vlastností ProductName uvedenou v sou-
boru s příponou .msi nebo vlastností FriendlyName ze souboru ZAP. Název je
možné změnit prosti ednictvím obecných možností.
	Product Information (Informace o produktu) Podrobnosti o verzi, vydava-
teli, jazyce a platformě zjištěné z balíčku. V souboru ZAP se verze a vydavatel
specifikují prostřednictvím vlastností DisplayVersion a Publisher. Když jsou
jednou informace o produktu nastaveny, nelze je již později změnit.
	Support Information (Uživatelská podpora) Jméno kontaktní osoby, tele-
fonní číslo a URL-adresa výrobce softwaru. V souboru ZAP se URL-adresa udává
pomoci vlastnosti URL. Adresu URL je možné změnit prostřednictvím obecných
možností.
Obecné možnosti softwarového balíčku můžete prohlížet a upravovat následujícím
způsobem:
1.	Podle toho, s jakým druhem balíčku chcete pracovat, vstupte bud’ do složky
Computer ConfigurationXSoftware Set tingsX Software installation (Konfigurace
počítá če\Nastavení softwaruX Instalace softwaru), nebo do složky User Conřigu-
ra tion X Software SettingsX Software Installation (Konfigurace uživatele\Nastaveni
softwaru X Instalace softwaru) a otevřete položku Software Installation.
2.	V pravém podokně by se měl zobrazit seznam definovaných balíčků. Pravým
tlačítkem klepnete na balíček, se kterým chcete pracovat, a zvolte Properties
(Vlastnosti).
3.	Na kartě General (Obecné) se nacházejí informace o nazvu, produktu a odborné
pomoci (viz obrázek 9.4).
Konfigurace pokročilých a obecných možností instalace softwaru
345
Imolementace
a scénáře
OBRÁZEK 9.4: Prohlížení a nastavování obecných možností softwarového baličku
Změna druhu zavádění a instalačních možností
Během tvorby balíčku můžete nastavit pouze základní možnosti, které určují, zda se
má aplikace publikovat, nebe? přiřadit. Protože konfiguraci bude často potřeba ještě
dolaďovat, měli byste v dialogu Properties vždy zkontrolovat druh zavádění a insta-
lační možnosti a případně provést potřebné změny. Celý postup je následující:
1.	Podle toho, s jakým druhem balíčku chcete pracovat, vstupte buď do složky
Computer ConfigurationXSoftware SettingsXSoftware Installation, nebo do složky
User ConfigurationXSoftware SettingsXSoftware Installation a otevřete položku
Software Installation.
2.	Pravým tlačítkem klepněte na balíček, se kterým chcete pracovat, a zvolte Pro-
perties. Přejděte na kartu Deployment (viz obrázek 95).
3.	Na kartě Deployment (Zavedení aplikace) můžete vybrat, zda se aplikace má
publikovat, nebo přiřadit. Podle teto volby se zpřístupní, nebo zablokují další
související možnosti. K dispozici jsou následující možnosti:
	Auto Install This Application By Filé Extension Activation (Automatic-
ky nainstalovat aplikaci při použití souboru tohoto typu) Provede se
inzerovaní souborových přípon přiřazených k baličku, aby se aplikace za-
vedla při prvním použití. Tato možnost je vybrána implicitně a nelze ji změ-
nit v případě, že balíček přiřadíte uživateli. U publikované aplikace, která
obvykle vyžaduje, aby ji uživatel nainstaloval ze seznamu Přidat nebo ode-
brat programy, získáte zapnutím této možnosti funkce související
s přiřazením souborové přípony dané aplikaci.
	U ni n stali This Application When It Fails Out Of The Scope Of Ma-
nagement (Odinstalovat aplikace, jsou-li mimo obor správy) Jestliže již
uživatel nemá na aplikaci nárok, dojde k jejímu odstranění. Uživatel či počí-
tač ztratí na aplikaci nárok v případě, že již nadále nespadá pod objekt GPO,
který aplikaci zaváděl. Jestliže k uvedené situaci dojde a je zapnuta tato
možnost, aplikace se během dalšího aktualizačního cyklu na popředí (při-
hlášení uživatele nebo restart počítače) odinstaluje.
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
Poznámka Aplikace se může stát pro uživatele či počítač nedostupnou ze tři hlavních důvo-
dů: objekt reprezentující uživatele či počítač se v rámci hierarchie služby Active Directory
přesune na jiné místo, které již nespadá do vlivu původního objektu GPO; objekt GPO je
vdané správní oblasti zablokován nebo odstraněn; bezpečnostní filtrování objektu GPO se
změní takovým způsobem, že uživatel či počítač již nemůže daný objekt zpracovávat.
OBRÁZEK 9.5: Prohlížení a upravování druhu zavádění a instalačních možností
	Do Nol Display This Package In The Add/Remove Programs Control
Panel (Nezobrazovat balíček v ovládacím panelu Přidat nebo odebrat
programy) Zabrání aplikaci v tom, aby se objevila v seznamu Přidat nebo
odebrat programy. Tato možnost múze být užitečná, když se rozhodnete
uživateli se správcovskými oprávněními pro jeho počítač zabránit \ tom, aby
ručně odstranil aplikaci zavedenou prostřednictvím zásad.
	Install This Application At Logon (Tuto aplikaci nainstalovat při při
hlášení) Nakonfiguruje zavádění tak, aby se po přihlášení uživatele proved-
la namísto inzerování plná instalace. Tato možnost je implicitně vypnuta
a v případě, že publikujete balíček pro uživatele, ji nelze měnit.
Poznámka U rozsáhlých aplikací může instalace během přihlašování značně zpomalit proces
přihlašování uživatele. Předtím než se uživatel dostane na plochu, musí totiž instalační pro-
gram aplikace skončit.
4.	Nastavení Installation User Interface Options (Možnosti uživatelského rozhraní
instalace) vám umožňují nadefinovat, zda se budou uživateli během instalace
aplikace zobrazovat všechny zprávy. S výchozím nastavením Maximum uvidí
uživatel všechny instalační obrazovky a zprávy. S možností Basic uvidí uživatel
pouze zprávy o chybách a dokončení instalace. V případě, že instalaci spustí
uživatel, vyžadují některé aplikace použití možnosti Basic, neboť uživatel nemá
dostatečná práva na to, aby během instalace odpovídal na dotazy instalačního
programu.
Konfigurace pokročilých a obecných možností instalace softwaru
347
5-	Klepnete-li na tlačítko Advanced (Upřesnit), zobrazí se dialog Advanced
Deployment Options (Upřesnit možnosti zavedení) (viz obrázek 9-6), který ob-
sahuje následující možnosti:
OBRÁZEK 9.6: Konfigurace pokročilých možnosti zavadění softwaru
<D
o
	Ignore Language When Deploying This Package (Při zavádění balíčku
nebrat ohled na jazyk) Tato možnost se využije, když má uživatel nainsta-
lovanou jednu jazykovou verzi operačního systému Windows a pokouší se
nainstalovat jinou jazykovou verzi nějaké aplikace. Za normálních okolností
by došlo k chybě, ale když použijete tuto možnost, aplikace se nainstaluje.
	Make This 32-Bit X86 Application Available To IAÓ4 Machines
(Zpřístupnit tuto 32bitovou verzi X86 aplikace pro počítače arclútek-
tury Win64) Tato volba vam umožní zavést 32bitové aplikace kompatibilní
s procesory rady X86 na 64bitové verze operačních systémů rodiny Win-
dows používající architekturu čipu IA-64. Tato možnost se vztahuje na apli-
kace nainstalované pomocí instalačních souborů .msi nebo .zap.
	Include OLE Class And Product Information (Zahrnout třídu OLE
a informace o produktu) Umožňuje vám zahrnout do služby Active Direc-
tory registrační informace architektury COM. Jestliže zvolíte tuto možnost,
inzerce architektury COM, které jsou součástí aplikačního balíčku, se umístí
do úložiště Active Directory Class Store, které je součástí kontejneru GPC
souvisejícího se zásadami Software Installation. Vzhledem k tomu, že velký
balíček může obsahovat značné množství inzerovaných součástí COM, zvolte
tuto možnost pouze v případě, že inzerování architektury COM potřebujete
při svém zaváděni nutně použít. Další informace o úložišti Class Store najde-
te ve 12. kapitole.
48
Kapitola 9 - Zavádění a správa softwaru prostřednictví ti zásad skupiny
Tip Dialog Advanced Software Deployment Opt ons obsáhle také některé užitečné da
gnostické informace o balíčku. První uvedená hodnota je produktový kód Instalační služby
systému Windows, který zásady Software Installation používají jako klíč k určení, zda daná
aplikace již byla nainstalována na nějaký počítač. Další hodnota je počet zavádění, která
udává, kolikrát se zavádění dané aplikace opakovalo. Poslední informací je cesta
k přiřazovacímu skriptu aplikace. Tento soubor je uložen v objektu GPO (v části pro šablony
GPT) a obsahuje informace související s cestou k balíčku a provedeným inzerováním.
Definování kategorií aplikací
Když ve velkých podnicích použijete pro zavádění velkého množství aplikací zásady
Software Installation. muže být žádoucí nadefinovat kategorie, které vám pomohou
uspořádat seznam aplikací dostupných v seznamu Přidat nebo odebrat programy.
Jestliže mate nainstalované desítky aplikací a nevytvoříte kategorie pro jejich zařazení,
uživatelům se zobrazí celý seznam všech aplikací, což může být značně nepřehledné.
Aby ste se této situaci vyhnuli, měli byste nadefinovat kategorie aplikací (např. Prodej.
Návrh, Marketing, Správa a Obecné).
Až kategorie vytvoříte, zobrazí se v dialogu Přidat nebo odebrat programy ( viz ob-
rázek 9.7). Tvorba a definování kategorii je poměrné jednoduchý proces. Nejdříve
kategorie pomocí výchozích možností zavaděn/ nadefinujete (více viz oddíl „Nasta-
veni výchozích možností zavádění“). Poté aplikace přiilate do jednotlivých kategorií
prostřednictvím možností karty Categories v odpovídajícím dialogu Properties.
OBRÁZEK 9.7 : Zobrazení kategorii aplikací v okně Přidat nebo odebrat programy
Přidávání, úprava a odstraňování kategorií aplikací
Kategorie aplikací se definují pomocí obecných možností zásad Software Installati-
on. Chcete-li definovat kategorie aplikací, postupujte následovně:
1.	Přejděte do složky Software Installation v Computer ConfigurationX Software Set-
tingsX Software Installation.
Konfigurace pokročilých a obecných možností instalace softwaru
349
Poznámka Pro kategorie aplikací se používají stejné obecné výchozí možnosti jako pro oboje
zásady Software Installation (zásady pro jednotlivé počítače i pro jednotlivé uz-vatele).
2.	Klepněte pravým tlačítkem na položku Software Installation a zvolte Properties.
3.	V dialogu Software Installation Properties přejděte na kartu Categories (viz ob-
rázek 9.8).
4.	Chcete-li nadefinovat novou kategorii aplikací, klepněte na tlačítko Add, zadejte
, název kategorie a poté klepněte na tlačítko OK.
Chcete-li změnit existující kategorii, vyberte ji a poté klepněte na tlačáko Modi-
fy. Poté co název kategorie změníte, klepněte na tlačítko OK.
Chcete-li existující kategorii odstranit, vyberte ji a pak klepněte na tlačítko Remove.
implementace
a scenáře
OBRÁZEK 9.8: Tvorba a správa kategorii aplikaci
Přiřazení aplikace do kategorie
Jakmile požadované kategorie nadefinujete, můžete do nich začít přidávat aplikace.
Jestliže chcete přidat aplikaci do nějaké kategorie, postupujte takto:
1.	Podle druhu balíčku, se kterým chcete pracovat, nalistujte složku (Computer Confi-
gurationX Software Settings X Software Installation (Konfigurace počítá če\Nastavení
softwaru X Instalace softwaru) nebo User ConfigurationXSoftware SettingsXSoftware
Installation (Konfigurace uživateleXNastavení softwaru X Instalace softwaru) a ote-
vřete nastavení Software Installation.
2.	Pravým tlačítkem klepněte na baliček a zvolte položku Properties (Vlastnosti).
Přejděte na kartu Categories (Kategorie).
3.	V seznamu Available Categories (Dostupné kategorie) vyberte požadovanou kate-
gorii a poté klepnete na tlačítko Select (Vybrat). Jestliže si přejete, aby byla apli-
kace zařazena do několika kategorií, zopakujte postup popsaný v tomto bodě.
4.	Klepněte na tlačítko OK.
50
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zasad skupiny
Provádění aktualizací
Jak již bylo uvedeno dříve, v případě, že použijete balíčky Instalačn služby systé-
mu Windows, poskytnou zásady Software Installation aplikacím aktualizační cesty
Existují dva hlavní dnihy aktualizací:
 Aktualizace, které mají provést záplatování nebo instalaci opravného balíčku.
Aktualizace, které zavádějí novou verzi aplikace.
Následující oddíly se věnuji oběma těmto druhům aktualizací. Pamatujte si, že případ-
né aktualizace byste měli vždy pečlivě otestovat předtím, než je nasadíte do produkč-
ního prostředí. Měli byste se ujistit, že aktualizace nezpůsobí konflikty s existujícími
aplikacemi nebo jiné problémy. Také byste měli otestovat proces aktualizace a ujis-
tit se, že funguje podle očekávání. Jestliže testování vynecháte, může se například
stát, že narazíte na problémy s kompatibilitou nebo zjistíte, že jste do aktualizace
nezahrnuli všechny potřebné soubory.
Instalace opravy Service Pack a záplatování
Chcete-li nějakou aplikaci záplatovat nebo na ni aplikovat opravu Service Pack, po-
stupujte následovně:
1.	Připravte si soubor .msi nebo .msp (záplata) pro danou aplikaci. Měli byste jej
získat od výrobce softwaru. Jestliže jej nedostanete, musíte si vytvořit svůj vlast-
ni (viz oddíl „Získaní potřebného souboru Instalační služby systému Windows“
této kapitoly).
2.	Soubor s příponou .msi nebo .msp (a případně i další potřebné instalační sou-
bory) zkopírujte do složky s původním souborem .msi. Případné duplicitní
soubory přepište.
3.	Podle druhu balíčku, se kterým chcete pracovat, otevřete ve složce Computer Con-
figurationX Software SettingsXSoftware Installation nebo User ConfigurationX Soft-
ware SettingsXSoftware Installation položku Software Installation.
4.	Znovu zaveďte aplikace. Klepněte pravým tlačítkem na odpovídající balíček a poté
zvolte All Tasks, Redeploy Application (Všechny úlohy, Znovu zavést aplikaci).
Aplikace se odpovídajícím způsobem znovu zavede pro všechny uživatele a počí-
tače spadající pod daný objekt GPO. Další informace o tom, jak opakované zavá-
dění funguje, najdete v oddíle „Znovuzavádění aplikací“ této kapitoly. Pamatujte si,
že tímto způsobem lze aktualizovat pouze aplikace, které mají soubory Instalační
služby systému Windows. Jestliže vaše aplikace používá soubory ZAP, musíte po-
stupovat následovně:
1.	Odstraňte (odinstalujte) existující aplikaci (viz oddíl „Odstraňování zavedených
aplikací“ této kapitoly).
2.	Vytvoite pro aplikaci nový balíček (viz oddíl „Vytvářeni souboru formátu ZAP“
této kapitoly).
3.	Zaveďte nový balíček (viz oddíl „Zavadění softwaru pomocí souboru ZAP“ této
kapitoly).
Konfigurace pokročilých a obecných možností instalace softwaru
Zavádění nové verze aplikace
V dialogu Properties instalačního balíčku můžete vytvořit nebo ověřit aktualizační
vazby mezi aplikací, kterou zavádíte, a dříve zavedenými aplikacemi. Tato funkce vám
umožňuje provádět vyilučené aktualizace dříve nainstalovaných aplikací. Jestliže jste
dříve publikovali například sadu Microsoft Office XP, můžete zavést Microsoft Office
2003 a vytvořit aktualizační vazbu mezi instalací sady Microsoft Office XP a instalací
Microsoft Office 2003- Připadni uživatelé nebo počítače s aplikací Microsoft Office XI4 5
během příštího zpracovaní zásad na popředí automaticky získají instalaci Microsoft
Office 2003.
Poznámka Když v rámci jednoho objektu GPO zavádíte dvě aplikace, které mail v proauktovem
kódu Instalační služby systému Windows stejná čísla SKU (třetí a čtvrtá číslice produktového
kódu), aplikace zavaděná jako druhá je zavedena automaticky s aktualizační vazbou na první
aplikaci. Jestliže zavedete například sadu Microsoft Office XP a poté Microsoft Office 2003, za-
vede se Microsoft Office 2003 automaticky jako aktualizace produktu Microsoft Office XP.
Chcete-li aktualizovat dříve zavedenou aplikaci na novou verzi, postupujte následovně:
1.	Vytvořte novy softwarový balíček, s jehož pomocí zavedete novou verzi aplika-
ce (viz oddíl „Zavádění softwaru pomocí balíčků Instalační služby systému Win-
dows“ této kapitoly).
2.	Podle druhu balíčku, se kterým chcete pracovat, otevřete ve složce Computer
ConfigurationX Software SettingsX Software Installation nebo User Configurati-
onX Software SettingsXSoftware Installation položku Software Installation.
3.	Klepněte pravým tlačítkem na odpovídající baliček a poté zvolte Properties. Jestli-
že je balíček již nakonfigurován k aktualizaci existujícího baličku, bude uveden
v seznamu Packages That This Package Will IJpgrade (Balíčky inovované tímto ba-
líčkem) (viz obrázek 9.9). Zvolte balíček a klepnutím na tlačítko Remove (Ode-
brat) odstraňte vazbu.
OBRÁZEK 9.9: Konfigurace aktualizačních vazeb
4. Chcete-li mezi zaváděnou a existující aplikací vytvořit vazbu, klepněte v kartě
Upgradem (Inovace) na tlačítko Add (Přidat). Otevře se dialog Add Upgrade
Package (Přidat inovační balíček) (obrázek 9-10).
352
Kapitola 9 - Zaváděni a správa softwaru prostřednictvím zásad skupiny
5.	Aktualizační vztah mezi aplikacemi zaváděnými v rámci stejného objektu Gpi }
můžete v ytvořit tak, že zvolíte možnost Current Group Policy Object. Když chcete
vytvořit vztah s balíčkem z jiného objektu GPO, zvolte možnost A Specific GPQ
klepněte na tlačítko Browse (Procházet) a poté pomocí dialogu Browse For a
Group Policy Object (Vyhledat objekt zásad skupiny) vyberte odpovulající ob-
jekt GPO.
OBRÁZEK 9.10: Přidání balíčku k aktualizaci
6.	V seznamu Package To Upgrade (Balíček určený k inovaci) vyberte balíček, který
se má aktualizovat. Poté můžete zvolit způsob aktualizace:
	Ui nastalí The Existing Package, Then Install The Upgrade Package
( Odinstalovat stávající balíček a poté nainstaloval inovaci) Doporučuje
se v případě, že chcete aplikaci zcela přeinstalovat novou verzí.
	Package Can Upgrade Over The Existing Package (Balíček může být
použit k inovaci přes stávající balíček) Doporuč uje se v případě, že chce-
te provést aktualizaci nad existující instalací.
7.	Klepnutím na tlačítko OK zavřete dialog Add Upgrade Package (Přidat inovační
balíček).
8.	Jestliže chcete, aby aktualizace byla označena jako vyžadovaná, zaškrtněte políčko
Required Upgrade For Existing Packages (Vyžadovat inovaci existujících balíčků).
Aplikace, kterou zavádíte po následujícím restartu počítače nebo přihlášení uživa-
tele, automaticky zaktualizuje existující balíčky. Uživatel nebude mít na proces
žádný vliv. Jestliže aktualizaci neoznačíte jako vyžadovanou, bude mít uživatel
možnost pomocí seznamu Add/Remove Program s (Přidat nebo odebrat pro-
gramy) nebo aktivováním aplikace určit, kdy se má aktualizace nainstalovat.
Poté co vytvoříte aktualizační vazbu, balíček provádějící aktualizaci bude
u ikony zelenou, nahoru směřující šipku, ukazující, že se jedná o aktualizaci.
Konfigurace pokročilých a obecných možností instalace softwaru
353
Poznámka Jestliže zavádíte dvě aplikace a jedna aktualizuje druhou, pak se novým síťovým
klientům, kteří nemají nainstalovanou ani jednu z nich, nainstaluje nejdříve starší verze aplika-
ce a poté se během následujícího procesního cyklu na popředí nainstaluje aktualizovaná verze.
Přizpůsobení instalačního balíčku pomocí
transformačních souborů
Když aplikace používá balíček Instalační služby systému Windows, můžete instalaci
přizpůsobit pomocí transformačních souborů. Transformační soubory jsou speciální
instrukční soubory, které bchein instalace aplikace upravují instrukce zabudované
ve výchozím balíčku. TránsfórmdČní soubory7 mají příponu .mst.
Transformační soubory přiřazené aplikaci můžete spravovat pomocí dialogu Pro-
perties odpovídá jícího softwarového baličku. Podle toho, s jakým druhem balíčku
chcete pracovat, vstupte bud do složky Computer ConfigurationXSoftware Set-
tingsX Software Installation. nebo User ContigurationXSoftware SettingsXSoftware In-
stallation a otevřete položku Software Installation. Klepněte pravým tlačítkem na
odpovídající balíček, zvólte položku Properties a poté přejděte do karty Modificati-
ons (Změny).
Implementace
a scénáře
Aplikaci můžete přiřadit několik transformačních souborů. Soubory se zpracují
v pořadí uvedením na kartě Modifications (shora dolů), což znamená, že transfor-
mační soubory položené v seznamu níže mají přednost před těmi umístěnými výše.
Další informace o tvorbě transformačních souborů pro balíček Microsoft Office na-
jdete v oddíle „Zavádění sady Microsoft Office a aktualizací“ této kapitoly.
Upozornění Poté co transformační soubory přidáte k nějaké publikované nebo přiřazené apli-
kaci a klepnutím na tlačítko OK aplikaci zavedete, nebudete jiz moci seznam transformačních
souborů této aplikace měnit. Chcete li změnit použité transformační soubory, musíte aktuální
aplikaci z objektu GPO odstranit, počkat, až si ji všichni odpovídající klienti odinstalují, a poté
balíček v objektu GPO znovu vytvořit a zadat nové transformační soubory.
Řízení zavadění pomocí bezpečnostní skupiny
Jak již bylo řečeno dříve, množinu počítačů a uživatelů, kteří si zaváděný software
nainstalují, můžete ovlivnit několika způsoby: Můžete použit bezpečnostní filtr, což
způsobí, že se objekt GPO použije pouze pro určité bezpečnostní skupiny kon-
krétního pracoviště, domény nebo organizační jednotky. Můžete také vytvořit filtr
služby WMI a filtrovat zavádění aplikace v závislosti na operačním systému či
hardwarové konfiguraci. Dále můžete upravit zabezpečení na samotném instalač-
ním souboru, což je přístup rozebírám7 v tomto oddíle.
Změna zabezpečení na instalačním souboru nabízí více granulami způsob řízení toho,
kteří uživatelé a počítače budou zpracovávat nastavení zásad Software Installation,
než když použijete bezpečnostní filtrování založené na objektech GPO. Ačkoliv muže
být objekt GPO napojen na nějakou organizační jednotku a mít bezpečnostní filtro-
vání, které určuje, že jej aplikují všichni uživatelé daného objektu GPO, můžete
použil: kartu Security pro řízeni toho, kteří uživatelé dané organizační jednotky ob-
drží určitý zaváděný aplikační baliček. Protože v rámci jednoho objektu GPO mí lže-
te zavádět několik různých aplikací, stává se zavádění aplikací flexibilnějším.
Í4	Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
Pro správu zabezpečení instalačního souboru, a tedy i správu toho, ktere počítače
a uživatelé jej mohou využívat, se používá dialog Properties daného softwarového ba-
líčku. Podle toho, s jakým druhem balíčku chcete pracovat, vstupte bud’ do složky
Computer ConhgurationX Software SettingsX Software Installation (Konfigurace počíta-
če X Nastavení softwaruX Instalace softwaru), nebo User ConfigurationXSoftware Set-
tings \ Software installation (Konfigurace uživatele XNastaveni softwaruXInstalace
softwaru) a otevřete položku Software Installation. Klepněte pravým tlačítkem na od-
povídající balíček, zvolte Properties a poté přejděte na kartu Security (Zabezpečeni)
(viz obrázek 9-11)-
OBRAZEK 9.11: Prohlíženi bezpečnostních oprávnění aplikačního balíčku
Možnosti na kartě Security' vám umožňují definoval delegování pro vybraný insta-
lační soubor v rámci objektu GPO. Výchozí zabezpečení nabízí:
	Oprávnění pro čtení uživatelům skupiny Authenticated Users. což všem uživate-
lům a počítačům spadajícím pod daný objekt GPO umožňuje práci se souborem
	Oprávnění pro čtení, zápis a speciální oprávnění pro tvůrce souboru a skupinu
Enterprise Admins, což tvůrci a uživatelům skup.ny Enterprise Admins umožňu-
je pracovat s instalačním souborem.
	Oprávněňí pro Čtení a speciální oprávnění pro členy skupiny Enterprise Domain
Conirollers, což členům této skupiny umožňuje pracovat s instalačním soubo-
rem.
	Úplné řízení pro skupiny System a Domain Admins, což operačnímu systému
a členům skupiny Domain Admins umožní spravovat instalační soubor a instalační
proces.
Jestliže chcete uživateli či počítači (nebo skupině uživatelů či počítačů) umožnit in-
stalaci zaváděného aplikačního balíčku, stačí jim jednoduše poskytnout práva pro
čtení aplikace. Zavaděný aplikační baliček implicitně poskytuje skupině Authentica-
ted Users práva pro čtení. Z toho vyplývá, že všichni uživatelé a počítače mají
k aplikačnímu balíčku implicitně přístup. Jestliže chcete aplikační balíček zavést jen
pro určitou skupinu, musíte z aplikace nejdříve odstranit oprávnění skupiny Au-
thenticated Users a pro odpov ídající uživatele, počítače a skupiny poté přidat práva
Konfigurace pokročilých a obecných možností instalace softwaru
pro čtení. Nicméně protože oprávnění se dědí ze samotného objektu aplikačního
balíčku, musíte před změnou oprávnění odstranit dědičnost. Tuto operaci provede-
te následovně:
1.	Podle toho, s jakým druhem balíčku chcete pracovat, vstupte, buď do složky
Computer ConfigurationXSoftware SettingsX Software Installation, nebo User
ConfigurationX Software SettingsX Software Installation a otevřete položku Soft-
ware Installation.
2.	Klepněte pravým tlačítkem na odpovídající balíček a poté zvolte Properties. Na
kartě Security klepněte na tlačítko Advanced.
3.	Zrušte zaškrtnutí pole s nápisem Inherit From Parent The Permission Entries
That Apply To Child Objects (Povolit přenesení dědičných oprávnění z nadřaze-
ného objektu).
4.	Otevře se dialog s dotazem, zda chcete zděděná oprávnění kopírovat či odstra-
nit nebo zcela zrušit celou operaci. Zvolte Copy (Kopírovat). Klepněte na tlačít-
ko OK a vrátíte se zpět do základního dialogu zabezpečení.
5.	V seznamu Group Or User Names vyberte skupinu Authenticated Users a poté
klepněte na tlačítko Remove.
6.	Klepněte na tlačítko Add a poté v dialogu Select Users, Computers, Or Group^
vyberte uživatele, počítač nebo skupinu, pro kterou chcete přidat oprávnění.
Klepněte na tlačítko OK.
7.	V seznamu Group Or Users Names označte nové přidaného uživatele, počítač či
skupinu. V části Permissions for (Oprávněn: pro) zaškrtněte ve sloupci Allow
(Povolit) poličko Read (Číst).
8.	Kroky 6 a 7 zopakujte pro ostatní uživatele, počítače a skupiny.
9.	Klepněte na tlačítko OK.
Nově přidaní uživatelé, počítače a skupiny mohou nyní aplikaci nainstalovat.
Ostatní uživatelé, počítače a skupiny aplikaci instalovat naopak nemohou (pokud
nejsou členy jedné z výchozích skupin - např. Domain Admins).
Nastavení výchozích možností zavádění
Jestliže pro zásady Software Installation používáte pokaždé určité instalační mož-
nosti, můžete využit funkce globálních výchozích možností. Jestliže například chce-
te, aby se aplikace automaticky odinstalovaly v případě, že na ně cílový subjekt
ztratí nárok, můžete využít právě obecných výchozích možností.
Poznámka Co se týče kategorií Software Installation Categories, používají se pro né stejné
obecné výchozí možnosti uložené v objektu GPO, bez ohledu na to, zda se jedná o instalaci
pro jednotlivé počítače, nebo pro jednotlivé uživatele. Odděleně lze obecné výchozí mož-
nosti nastavit pro zásady Software Installation v částech Computer Configuration a User
Configuiation.
Obecné výchozí možnost, můžete prohlížet a definovat následujícím způsobem:
1. Ve složce Computer ConfiguraťonXSoftware SettingsXSoftware Installation ote-
vřete nastavení Software Installation.
56
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
2. Klepněte pravým tlačítkem na odpovídající baliček a poté zvolte Properties
Otevře se dialog Software Installation Properties (viz obrázek 9-12).
Obecné výchozí možnosti zásad Software Installation můžete prohlížet a nastavovat
jak pro uživatele, tak i pro počítače.
OBRÁZEK 9.12: Dialog Software Installation Properties
Tabulka 9-2 obsahuje přehled obecných výchozích možností, které můžete konfigu-
rovat, a také obsahuje název karty, v níž jednotlivé možnosti najdete.
TABULKA 9.2: Obecné výchozí možnosti zásad Software Installation
Karta	Možnost	Popis
General Default Package Loca- Určuje výchozí cestu pro baličky daného objektu GPO.
tion	Když zvolíte New, Package, objeví se tato cesta
v dialogu Open Filé.
	New Packages	Určuje, zda se způsob zavádění vybere automaticky nebo se objeví dialog Deploy Software. Imphdtně máte možnost vybrat způsob zavádění prostřednictvím dia- logu Deploy Software. Můžete určit, že objekt GPO bude automaticky používat jednu z těchto možností. __
	Installation User Inter- face Options	Určuje výchozí rozhraní: k dispozici je možnost Basic a Maximum. S výchozím nastavením, kterým je Maxi- mum, jsou uživateli zobrazeny všechny instalační ob- razovky a zprávy. Použijete-li možnost Basic, uvidí uživatelé pouze chybové zprávy a zprávy o dokončení instalace.
Advanced	Uninstall The Applica- tions When They Fall Out Of The Scope Of Management	Uživatel či poutač ztratí na aplikaci nárok v případě, že objekt GPO, který ji zaváděl, na uživatele či počítat již nemá vliv. Jestliže uživatel či počítač ztratí nárok na aplikad a je vybrána tato možnost, aplikace se během příštího aktualizačního cyklu (přihlášení uživatele nebo restartování počítače) na popředí odinstaluje.
Zavaděni sady Microsoft Office a aktualizací
357
Karta	Možnost	Popis
Indude OLE Informa- Jestliže zvolíte tuto možnost, inzerování architektury
tion When Deploying COM spadající do aplikačního balíčku je uloženo
Applications	v úložišti Active Directory Class Store. Další informace
o úložišti Class Store najdete ve 13. kapitole.
Make 32-Bit X86 Win- Umožňuje vám používat soubory s příponou .msi
dows Installer Applica- k zavádění 32bitových aplikací kompatibilních
tions Available To IA64 s procesory řady x86 na 64bitových verzích operačních
Machines	systémů rodiny Windows používajících architekturu či-
pu Intel IA-64.
Make 32-Bit X86 Umožňuje vám používat soubory s příponou .zap
Down - Level Applica- k zavádění 32bitových aplikací kompatibilních
tions Available To IA64 s procesory řady x86 na 64bitových verzích operačních
Machines	systémů rodiny Windows používajících architekturu či-
pu Intel IA-64.
Filé Extensions Application Přece- Jestliže máte v objektu GPO několik aplikací, ke kte-
dence	rým je přiřazena stejná souborová přípona, můžete
použít tuto možnost pro řízení toho, která aplikace je
nainstaluje, až uživatel otevře dokument s inzerova-
nou příponou.
Categories Categories For The Umožňuje vám určit obecné výchozí možnosti pro ka-
Domain	tegorie aplikací. Kategorie se poté objeví v okně Přidat
nebo odebrat programy.
Implementace
a scénáře
9.5 Zavádění sady Microsoft Office
a aktualizací
Zásady Software Installation jsou použitelné pro různé scénáře zavádění aplikací,
ale nejčastěji se používají pro zavádění balíčku Microsoft Office a aktualizací ope-
račního systému. V tomto oddíle se budeme věnovat doporučením pro oba tyto
případy a také hlediskům jejich návrhu a zavádění.
Zavádění sady Microsoft Office
prostřednictvím zásad
Sada Microsoft Office je pravděpodobně softwarem nejčastěji zaváděným prostřed-
nictvím zásad. Protože jsou distribuční soubory značně objemné (500 MB a více), je
Microsoft Office dobrou ukázkou toho, co je třeba zvážit pii zavádění objemných
aplikací prostřednictvím zásad. Při zavádění Microsoft Office nebo jakékoliv jiné
rozsáhlé aplikace byste měli před zaváděním zvážit několik věcí, včetně těchto:
	Jaký způsob distnbuce balíčku použijete
	Zda k přizpůsobení instalace použijete transformační soubory
	Jaký použil režim zavádění
58	Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
 Jak se bude Microsoft Office aktualizovat
Poznámka Microsoft Office je po instalaci často potřeba přizpůsobit. Sada Office 2003
source Kit obsahuje šablony pro správu, které můžete použít pro přizpůsobení konfigurac|<
Microsoft Office. Tomuto tématu se podrobně věnuje 10. kapitola.
Výběr způsobu distribuce balíčku
Prvním hlediskem je umístění balíčku. V podstatě mate dvě možnosti, jak dostat ba-
líček ke klientovi: správcovská a nesprav covská instalace.
Správcovskou instalaci sady Microsoft Office do sdílené síťové složky můžete pro-
vést pomocí přepínače setup /a. Jak již bylo uvedeno dříve, pro zavádění všech
aplikací v zásadách byste měli používat cestu ve formátu DFS, neboť po zavedení
aplikaci již není možné změnit její cestu. Výhodou správcovské instalace je to, že
můžete záplatovat přímo instalaci a pak provést opětovné zavedení, čímž všechny
klienty donutíte, aby si aplikaci znovu nainstalovali y nové, opravené verzi.
Nespravcovskou instalaci Microsoft Office můžete provést do síťové sdílené složky.
To spočívá v tom, že obsah instalačního CD jednoduše zkopírujete do síťové sdíle-
né složky a v zásadách se na balíček Instalační služby systému W indows odkážete.
Výhodou tohoto přístupu je to, že když zavádíte sadu Microsoft Office 2003, může-
te použil funkci Local Install Source pro uložení instalačních souborů Microsoft Of-
fice do mezipaměti na místní pracovní stanici. Nevýhodou nesprávcovské instalace
je skutečnost, že když Microsoft Office potřebujete opravit nebo aktualizovat, musí-
te opravu distribuovat a spustit na všech počítačích, kde je aplikace nainstalována.
Poznámka Jestliže provádíte správcovskou instalaci produktu Microsoft Office 2003, můžete
použít novou funkci Local Install Source. Tato funkce vám umožňuje uložit do mezipaměti
lokálního počítače (do skryté složky MSOCache) všechny soubory s příponou .cab potřebné
pro opravy, aktualizace nebo záplatování. Uživatel pak během aktualizací nebude potřebo-
vat instalační CD. Prostřednictvím transformačního souboru na instalačním balíčku máte
možnost určit, zda chcete, aby se na pracovní stanici během instalace M-crosoft Office 2003
vytvářela mezipaměť LIS (Local Install Source). Samozřejmě je potřeba počítat s tím, že ulo-
žení všech datových souborů s příponou .cab do mezipaměť zabere na pracovní stanici
téměř 200 MB diskového prostoru. K tomu ještě připočtěte vytížení sftě spojené s kopírová-
ním těchto souborů.
1 yto dvě možnosti se hodí nejlépe pro zavádění sady Microsoft Office na počítače
s rychlým síťovým připojením k serverům, kde se nacházejí balíčky. V některých
případech se ale může stát, že mate klienty, kteří jsou připojeni přes pomalou nebo
dokonce vytáčenou linku. Jestliže zásady skupiny zjistí pomale připojení, zásady
Software Installation se implicitně nezpracuje A to ani během /pracování zasad na
popředí. Ale i v případě, že by ke /pracování na pomalém připojení došlo, by in-
stalace (při velikosti, jaké dosahuje Microsoft Office) trvala věčnost.
Ale i na rychlých sítích by při současnům stahovaní 600 MB dat potřebných pro in-
stalaci Microsoft Office pravděpodobně došlo k zahlcení sítě, což by vedlo ke
značným problémům. I rolo existuje třetí přistup k zavádění sady Microsoft Office
nebo jakékoliv jiné rozsáhlé aplikace. Spočívá v nasazení instalačního balíčku lo-
Zavádění sady Microsoft Office a aktualizací
359
kalně na všechny počítače před zaváděním aplikace prostřednictvím zásad. Takové
řešení má dvě výhody:
	Při distribuci baličku na počítače před zaváděním nejste časově omezováni.
	Uživatelé připojující se vzdáleně si mohou baliček stáhnout, až budou v kanceláři,
nebo jim můžete zaslat CD, ze kterého si soubory zkopírují na místní počítač.
Soubory můžete klientovi doručit různými způsoby. Můžete použit cokoliv od zaslání
CD poštou nebo zkopírování souborů na klienty pomocí příkazu xcopy až po vytvoře-
ni plánovaných úloh nebo skriptů při spuštění, které se postarají o zkopírování soubo-
rů ze serveru v době, která bude pro klienta nejvíce příhodná. Použít můžete i ro-
bustnější kopírovací nástroj, jakým je např. Robocopy (součást sady Windows Server
2003 Resource Kit).
Největší překážkou při doručování souborů na klientské počítače je skutečnost, že
pro rozsáhlé balíčky, jako je Microsoft Office, může být kopírovaní instalačních
souborů extrémně náročné na kapacitu site. V takových případech byste měli začít
uvazovat o použití síťové technologie, jako je např. vícesměrové vysílání IP, neboť
tak můžete značně snížit opakované zasílání dat, která tečou vaši síťovou infrastruk-
turou do vzdálených sítí. Dalším řešením pro vzdálené sítě je umístit instalační sou-
bory na server ve vzdálené síti a poté vytvořit skript při spuštění (nebo jiný
mechanismus), kteiý tyto Soubory stáhne ze serveru na klienty. Tímto způsobem
rozložíte zátěž spojenou se zaváděním balíčku a zajistíte, že kopírováni souborů
proběhne pouze v rámci místních sítí (LAN).
Implementace
a scénáře
Jakmile budete mít baliček zavedený na všechny počítače, které jej mají instalovat,
můžete nastavit zasady tak, aby se odkazovaly na místní cestu, do které jste na
všech počítačích nakopírovali instalační soubory. V tomto případě nepoužijete ces-
tu ke sdílené složce UNC, ale absolutní cestu ke složce na pevném disku místního
počítače (např. c:\packages\otfice2003\proll.msi).
Tip Někdy se může stát, že ačkoliv na vzdálené klienty zkopírujete instalační soubory, počí-
tače na pomalém připojení nebudou stále schopny software nainstalovat. Toto může být dů-
sledkem toho, že funkce pro detekci pomalého připojení nebere v úvahu umístění balíčku, ale
pouze skutečnost, že je počítač připojen na pomalé lince. Chcete-li se tomuto problému vy-
hnout a zajistit, že se zasady Software Installation vždy zpracují, zapněte na všech počítačích,
kterým budete d stribuovat aplikace, nastaveni Allow Processing Across A Slow Network Con-
nection nacházející se ve složce Computer ConfigurationXAdministrative Templates\System\
Group Policy\Software Installation Policy Processing. Zapnutím těchto zasad zajistíte, že počíta-
če, na které jste nakopírovali instalační balíček, vždy provedou instalaci. A to i v případě, že |sou
připojeny pomalým připojením.
Použití transformačních souboru
pro optimalizaci zavádění sady Microsoft Office
Transformačru soubory jsou běžnou metodou přizpůsobování instalací sady Micro-
soft Office. Transformační soubory vám davaji možnost upravil téměř všechny ob-
lasti zavádění baličku Instalační služby systému Windows. U sady Microsoft Ottice
můžete transfonnační soubory použít například pro řízení toho, které aplikace sady
Microsoft Office se nainstalují, jaké bude výchozí umístění dokumentu pro jednotli-
vé aplikace a nastaveni výchozího profilu aplikace Microsoft Outlook.
60
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
Jestliže chcete vytvořil transformační soubory pro Microsoft Office 2003, musíte si
stáhnout volně dostupnou sadu nástrojů Office 2003 Editions Resource Kit Tools
ternetové adresy http://www.microsoft.com/downlodds/detai1s.aspx?Fami1yI
4bb7cbl0-a6e5.4334.8925.3bcf308cfbaf&Di spiayLang=en).
Po nainstalování nástrojů na vaši správcovskou stanici můžete spustit pruvodt <
Custom Installation Wizard a vytvořit transformační soubory. Obrázek 9.13 ukazuje
jak můžete nastavit, aby některé aplikace (v tomto případe Microsoft Access) neby-
ly nainstalovány, zatímco jiné (např. New And Open Office Documcnt Shortcuts)
které nejsou součástí výchozí instalace, se stanou její součástí.
OBRÁZEK 9.13: Průvodce Custom Installation Wizard
Když dokončíte práci s průvodcem, nástroj se vás zeptá, kam se má transformační
soubor s příponou .mst uložit. Jestliže jste během přípravy zavádění instalační sou-
bory sady Microsoft Office zkopírovali do síťové sdílené složky, umístěte kopii
transformačního souboru do teto sdílené složky. Jestliže máte v úmyslu zkopíroval
instalační soubory na všechny počítače, měli byste transformační soubor zkopírovat
spolu s instalačními soubory, abyste zajistili, že bude během instalace dostupný.
Dále je potřeba nakonfigurovat zásady tak, aby se používaly transfonnační soubory.
Podrobnosti najdete v oddíle „Přizpůsobení instalačního baličku pomocí transfor-
mačních souborů“ této kapitoly.
Výběr režimu zavádění
Zásady Software Installation nabízejí několik způsobu zavadění aplikací (včetně při-
řazování a publikovaní uživatelům), ale upřednostňovanou metodou zavádění roz-
sáhlých aplikací, jako je Microsoft Office, je přiřazování počítačům. Přiřazovaní
počítačům je řešení, jak provést bezobslužnou instalaci, která nevyžaduje interakci
ze strany uživatele. Všechny uživatelské mechanismy požadují, aby byl uživatel na
pracovní stanici zablokován, dokud instalace aplikace neskončí. U aplikaci jako je
Zavádění sady Microsoft Office a aktualizací 3
Microsoft Office, by to ale mohlo znamenat desítky minut v případě, že je síť zane-
prázdní na nebo v néjlepšfrn případě „jen“ 5 až 10 minut.
Vzhledem k tomu, že přiřazován počítačům se spoušti při restartování, máte jistotu
že na počítači v době zavádění není přihlášen žádný uživatel. Jedinou komplikací
přiřazování počítačům je to, že pro zahájení instalace musíte vyvolat restart počíta-
če. Toho lze dosáhnout několika způsoby. Například použitím vzdáleného skriptu
služby WMI nebo pomocí nástroje Shutdown.exe spolu s využitím Plánovače úloh.
Jestliže pro instalační soubory sady Microsoft Office používáte síťovou sdílenou
složku, měli byste restartování počítačů správně rozložit, aby nedošlo k zahlcením
sítě velkým počtem současných požadavků na soubory umístěné ve sdílene složce.
Aktualizování sady Microsoft Office
Když firma Microsoft vydá novou opravu nebo záplatu pro sadu Office, měli byste
ji znovu zavést prostřednictvím zásad. Jestliže jste pro zavedeni sady Microsoft Offi-
ce použili správcovskou instalaci, je proces zavádění aktualizací poměrně jednodu-
chý. První věcí, kterou byste si měli zapamatovat, je, že jestliže se jedná
o aktualizační balíček Service Pack. měli byste stáhnout plnou verzi (nikoliv klient-
skou verzi). Následně byste měli soubory aktualizace vyextrahovat do pracovního
adresáře. Tento krok se tyká i záplat. Soubory aktualizačního balíčku či záplaty
vždy ncjpne rozbalte do pracovní složky namísto toho, abyste jej spouštěli přímo
z vaší správcovské stanice. Pro tylo účely slouží parametry /t a /c (viz níže):
officexpSp3-kb832671-ful1fi 1e-enu.exe /t:C:\downloads\cffi cexp-sp3 Ze
Časem zjistíte, že velká část stahovaných souboru má příponu .msp. Tuto příponu
používají k záplatovaní soubory Instalační služby systému Windows, které je potře-
ba aplikovat na vaši správcovskou instalaci. Jestliže chcete aplikovat aktualizace na
vaši správcovskou instalaci, použijte pro záplatovaní hlavního souboru s příponou
.msi (nacházejícího se ve sdílené složce vaší správcovské instalace) zabudovaný
nástroj příkazového řádku Msiexec.exe. Příkaz pro použití záplaty je následující:
msiexec /p PathToMSPFi1e /a PathToMSIFi1e SHORTFILENAMES=TRUE Zqb ZL*
PathToLogFile
Pro použiti příkazu musíte znát cestu k souboru .msp, cestu k hlavnímu souboru
.msi sady Microsoft Office ve vaší správcovské sdílené složce (u sady Office Profes-
sional je název obvykle pro *.msi) a cestu k souboru protokolu, který zaznamená-
vá selhaní a úspěchy procesu záplatování.
Až dokončíte záplatovaní všech správcovských instalačních míst, budete muset sadu
Microsoft Office znovu zavést pomocí zásad. Během následujícího cyklu zpracováni
na popředí provedou tyto počítáče/uživatelé opětovnou instalaci aktualizované verze
sady Office.
Jestliže jste instalační soubory sady Office zaváděli na počítače přímo, bude proces
aplikováni aktualizace odlišný:
1.	Zkopírujte instalační soubory aktualizačního balíčku nebo záplaty na místní po-
čítač.
2.	Na všech odpovídajících klientech spusťte příkaz msiexec.exe a provede se ak-
tualizace jejich místních instalačních zdrojů.
Implementace
a scénáře
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
3.	Aby se znovu spustila instalace z aktualizovaného místního zdroje, zaveďte
Microsoft Office znovu do zásad.
Poznámka Jestliže používáte funkci Local Install Source sady Microsoft Office 2003, není p0
třeba zmiňovanou manuální operaci s příkazem msiexec provádět. Prostě jen na místním p0.
čítači spustíte klientskou verzi záplaty nebo aktualizačního balíčku a mezipaměť Local Install
Source se zaktualizuje.
Zavádění aktualizací systému Windows
prostřednictvím zásad
Další obvyklá situace je zavádění aktualizací systému Windows prostřednictvím zásad
Instalace aktualizací systému Windows se do jisté míry podobná produktu Microsoft
Office, protože aktualizace Service Pack jsou obvykle poměrně velké. Nicméně
s aktualizacemi systému přichází také jedno nové nebezpečí, nebol selhání upro-
sil ed instalace aktualizačního balíčku muže znamenat, že počítač se již znovu ne-
podaří spustit. Z toho důvodu mají aktualizační balíčky specifické požadavky.
Měli byste se vyvarovat instalování aktualizací ze správcovské sdílené složky. Zhor-
šená odezva a výpadky sítě by mohly mít nepříjemné důsledky. Obzvláště
v případě, že by k nim došlo uprostřed aktualizace. Jestliže máte v síti nějaké vzdá-
lené počítače, které by v okamžiku selhání neměly k dispozici žádné fyzické sys-
témové prostředky pro správu, je lepši na ně nakopírovat soubory aktualizačního
balíčku před provedením aktualizace.
Pro zavádění aktualizačního baličku prostřednictvím zásad se používá stejný postup:
1.	Ze stránek firmy Microsoft stáhněte plný aktualizační balíček. Mezi staženými
soubory je soubor s názvem Update.msi, který je hlavním aktualizačním soubo-
rem Instalační služby systému Windows dané aktualizace.
2.	Soubor Update.msi použijte při definování vašeho softwarového balíčku. Stejně
jako u sady Microsoft Office musíte tento balíček vytvořit tak, aby byl přirazen
počítači, čímž se zajistí, že balíček se zavede při restartů počítače bez přítom-
nosti uživatelů.
Tip Softwarový balíček pro aktualizaci systému Windows je nejlepší vytvořit v rámci samo-
statného objektu GPO. To vám umožní objekt GPO snadno připojit k libovolnému kontejne-
ru, na který chcete aktualizaci Service Pack aplikovat.
3.	Pote co vytvoříte přiřazení počítači, bude aktualizace aplikována na všechny počí-
tače, které během následujícího restartů zpracují dané zásady. Před tím než se ob-
jeví přihlašovací dialog, dojde ještě k jednomu restartování. Budete-li chtít ověřit,
že oprava byla aplikována správně, spusťte na cílové pracovní stanici příkaz
wi nver.
Tip Většinou platí, že když byla aktualizace na počítač prostřednictvím zásad aplikovala již
dříve, její aplikace se nebude opakovat. Nicméně chcete-li si být stoprocentně jisti, že
k opětovné aktualizaci nedojde, můžete vytvořit filtr služby WMI, který bude před zpraco-
váním zásad kontrolovat verzi aktualizace, a připojit jej k odpovídajícímu objektu GPO.
Správa zavedených aplikaci
363
9.6 Správa zavedených aplikací
Zásady Software Installation jsou navrženy pro správu celeho životního cyklu zavádě-
ných aplikací. Poté co aplikace prostřednictvím zásad Software Installation zavedete,
budete s nej větší pravděpodobností aplikaci chtít dále upravovat a později možná od-
stranit. Klepnete-li v objektu GPO pravým tlačítkem na zavedenou aplikaci, zobrazí se
vám několik možností správy aplikace. Prostřednictvím položky v nabídce můžete
například přepnout aplikaci zavedenou pro uživatele z publikované na přiřazenou.
Jestliže jste dříve zvolili, že se má aplikace automaticky nainstalovat prostřednictvím
aktivace pres souborovou příponu, můžete to zde pomocí změny nastavení možnosti
Auto-Install vypnout.
V oddíle „Konfigurace pokročilých a obecných možností instalace softwaru" jsme se
zabývali prováděním aktualizací, přizpůsobováním instalačních balíčků pomocí
transformačních souborů a dalšími úlohami rutinní údržby, které mohou být prová-
děny pomocí instalačních možností. Mezi dodatečné úlohy, které můžete také po-
třebovat, patří:
	Odstranění zavedených aplikací
Implementace
a scénáře
Tát-vi unii iv
	Opětovné zavedené aplikací
	Konfigurace zásad Software Restriction
	Řešení problémů
Odstraňování zavedených aplikací
Zásady Software Installation (Instalace softwaru) můžete použít pro instalování apli-
kací a odstraňování dříve zavedených aplikací. Proces odinstalování můžete spustil
ručně odstraněním softwarového balíčku, kierý aplikaci v zásadách zaváděl. Odinsta-
lování lze také vyvolat automaticky. Automatické odinstalování proběhne v případě,
že cílové počítače/uživatelé ztratí na aplikaci nárok a současně je aktivní nastavení
Uninstall This Application When It Fails Out Of The Scope Of Management.
Chcete-li vyvolat odstraňování dříve zavedené aplikace, postupujte takto:
1.	Podle toho, s jakým druhem balíčku chcete pracovat, vstupte buď do složky Com
puter ConfigurationX Software SettingsX Software Installation (Konfigurace počítá-
če\Nastavení softwaruXInstalace softwaru), nebo User ConfigurationX Software
SettingsXSoftware Installation a otevřete položku Software Installation.
2.	Klepněte pravým tlačítkem na odpovídající baliček a v nabídce zvolte All Tasks,
Remove.
3.	V dialogu Remove Software (Odebrat software) jsou k dispozici dvě možnosti
odstraňovaní:
	Immediately Uninstall The Software From Users And Computers
(Okamžitě odinstalovat aplikaci z počítačů a profilů už ivatelů) Okamži-
tě odstraní aplikaci ze všech klientů, kteří ji používají.
	Allow Users To Continue To Use The Software, But Prevent New Instal-
lations (Povolit uživatelům dále používat aplikaci, zabránit však no-
564
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
vým instalacím) Zabrání dalším instalacím, ale ponechá aplikaci na počítá
čích, kde je již nainstalována.
Poznámka Jestliže zvolíte okamžité odstranění, nedojde k odinstalování okamžitě, ale bě
hem následujícího cyklu zpracování zásad na popředí.
4.	Klepnete na tlačí ko OK.
Tip Když odstraníte nějakou aplikaci, zůstává nadále v kontejneru GPC (Group Policy Conta-
iner) služby Active Directory a v šabloně GPT (Group Policy Template) složky SYSVOL (přesto-
že již není v zásadách vidět), dokud ji z nich ručně neodstraň te. Aby bylo zaznamenáno, že
je balíček odstraněn, změní se hodnota atributu msiScriptName na objektu package-
Regi strati on služby Active Directory na hodnotu R. Další informace o uložení nastavení
zásad najdete ve 13. kapitole.
Opětovné zavádění aplikací
Jak již bylo uvedeno v oddíle „Instalace opravy Service Pack a záplatování“, existuje
několik důvodů, proč je potřeba aplikaci znovu zavádět. Jestliže záplatujete správ-
covskou instalaci aplikace, která byla dříve zavedena, můžete funkci opětovného
zavádění využít k opětovné instalaci aktualizované aplikace pro všechny cílové uži-
vatele a počítače. Při opětovném zavádění se aplikace přeinstaluje všude tam, kde
byla dříve nainstalovaná. Instalace proběhne při následujícím cyklu zpracování zá-
sad na popředí. Reinstalace spočívá v tom, že uživatelé a počítače provedou opravu
zavoláním Instalační služby systému Windows s parametry o, m, u, s a v. Tyto pa-
rametry vyvolají následující chování:
	Jestliže chybí nějaký soubor nebo je ve starší verzi, aplikace sc přeinstaluje.
	Dojde k přepsáni záznamů registru (všech určených pro počítač) souvisejících
s balíčkem.
	Dojde k piepsaní za známu registru (všech určených pro uživatele) souvisejících
s balíčkem.
	Přepíší se všechny zástupci související s balíčkem.
	Z balíčku Instalační služby systému Windows se spustí oprava a soubor s při p<mou
.msi se uloží do místní mezipaměti (Soubory Instalační služby systému Windows
s příponou .msi se během instalace ukládají v/dy do mezipaměti lokálního počí-
tače a jsou uloženy ve složce Xwi ndi r%\i nstal 1 er.)
< Poznámka Když dojde k opětovnému zavedení balíčku, všechna uživatelská nastaveni a data,
která byla vytvořena od první instalace aolikace, by měla být zachována. Nicméně záleží to
na to na instalačním programu a na tom, kde jsou nastavení a data uložena U aplikaci, jako
je Microsoft Office, jsou nastavení a data při opětovném zavádění zachována.
Konfigurace zásad Software Restriction Poliaes
Poté co váš software zavedete, můžete zajistit, aby se na uživatelských systémech
spouštěl pouze spiavný software a správné softwarové verze. K tomu slouží zasady
Software Restriction Policies. Tyto zásady se nacházejí v oblastech Computer Con-
Správa zavedených aplikací 365
figuration a User Configuration složky Windows SettingsXSecurity SettingsXSoftware
Restrictions Policies.
Poznámka V místním objektu GPO jsou zásady Software Restriction Policy k dispozici pouze
pro počítače, nikoliv pro jednotlivé uživatele.
Zasady Software Restriction Policies poskytuji mocný mechanismus pro blokování
spouštění softwaru. Omezovat můžete známé druhy softwaru, které působí ve vaší
síti problémy (např. hry, aplikace pro sdílení dat) nebo neznámé druhy softwaru,
který by mohl provádět nebezpečné aktivity.
Začínáme se zásadami Software Restriction Policies
Zásady Software Restriction Policies (Zásady omezení softwaru) se konfigurují
v objektech GPO. Zasady Software Restriction Policies nacházející se v části Com-
puter Configuration se používají k nastavování omezení pro všechny uživatele urči-
tého počítače. Zásady Software Restriction Policies nacházející se v části User
Configuration se používají k nastavování omezení pro jednotlivé uživatele nebo
skupiny uživatelů.
Když větev zásad Software Restriction Policies jedné ze zmiňovaných části otevřete
v objektu GPO poprvé, zobrazí se zprava oznamující, že nejsou definovaný zadně zá-
sady pro omezováni prače se softwarem. Práci se zásadami Software Restriction Poli-
cies zahájíte klepnutím pravým tlačítkem na větev Software Restriction Policies
a zvolením položky Create New Policies (Nové zásady omezení softwaru). V podokně
se zobrazí větve:
	Enforcemeni policy (Vynucení) Určuje, jak se aplikuje omezení softwaru na
softwarové soubory a pro koho bude platit.
	Designated Filé Types policy (Určene typy souboru) Určuje, které typy
souborů a přípony se budou považovat za spustitelné.
	Trusted Publisliers policy (Důvěryhodný vydavatel) Nastavuje důvěryhodné
distributory softwaru.
Implementace
a scénáře
	Security Levels node (Úrovně zabezpečení) Obsahuje zásady, které určují,
zda a jak bude spouštěn omezeny software.
Additional Rules node (Další pravidla) Obsahuje zásady, které řídí spouštěni
softwaru. Pravidla řízení lze vytvořit na základě vydavatelských certifikátu, in-
ternetové zóny (z níž software pochází), souborové cesty nebo bezpečné ši ry
souboru.
Dohromady vám tyto zásady umožňují nastavit obecná chovaní pro softwarová
omezení nebo vlastní pravidla a chování pro omezení nebo povolení spouštěni ur-
čitého softwaru. Jakmile tato nastavení použijete pro nadefinování pravidel svých
zásad Software Restriction Policies, můžete je zavést pro vaše uživatele a počítače.
Zavedete-li zásady Software Restriction Policies pro jednotlivé počítače, nebo pro
jednotlivé uživatele, závisí na tom, zda potřebujete spouštěni softwaru řídil pro
všechny uživatele počítače, nebo jen pro některé, bez ohledu na to, kde jsou při-
hlášeni. Jestliže potřebujete různé úrovně řízení založené na umístění uživatele ne-
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
bo počítače ve službě Active Directory, můžete zásady Software Restriction Policie^
sloučit z několika objektů GPO.
Konfigurování zásad Enforcement
Nastavení zásad Enforcement určuje, jak se softwarové omezení použije na softwa-
rové soubory a na koho se omezeni aplikují. Chcete-li prohlížet nebo nastavovat
nastavení zásad pro vynucování, postupujte takto:
1.	Podle potřeby nalistujte složku Computer ConfiguiationX Windows SettingsX Secu-
rity SettingsX Software Restrictions Policies nebo User ConfiguiationXWindows Set-
tingsX Security SettingsXSoftware Restrictions Policies a otevřete položku Software
Restriction Policies.
2.	Jestliže nejsou softwarová omezení zatím nastavena, klepněte pravým tlačítkem
na uzel Software Restriction Policies a zvoke příkaz Create New Policies.
3.	V pravém podokně klepněte pravým tlačítkem na položku Enforcement a zvolte
Properties.
4.	Zásady pro softwarová omezení můžete aplikovat na všechny druhy spustitelných
souboru kromě knihoven DLL nebo na veškerý software ( viz obrázek 9 14). Vý-
chozí možnosti je vynechat knihovny DLL, což většinou pro začátek postačí.
OBRÁZEK 9.14: Práce s možnostmi vynucováni v zásadách Software Restriction Policy
5.	Mate možnost určovat, kdo bude zpracovával zásady softwarových omezení.
Implicitně jsou zásadami ovlivněni všichni uživatele, ale pro jistotu můžete vy-
jmout členy skupiny Administrators místního počítače. Tak dosáhnete toho, že
správci budou moci případně vrátit příliš restriktivní zásady.
6.	Klepněte na tlačítko OK
J Upozornění Vhledem k tomu, že zásady Software Restriction Policies dokáži zabránit spouš-
tění souborů, měli byste jejich použití pečlivě naplánovat. Snadno se totiž můžete dostat do
problémů v případě, že to s omezováním přeženete.
Správa zavedených aplikací
367
Prohlížení a konfigurování zásad Designated Filé Types
Zásady Designated Filé Types určujír které typy souborů a přípony jsou považová-
ny za spustitelné soubory. Chcete-li prohlížet nebo nastavovat typy souborů, po-
stupujte takto:
1.	Podle potřeby nalistujte složku Computer ConfigurationXWindows SettingsXSe-
curity SettingsX Software Restrictions Policies nebo User ConfigurationXWindows
SettingsX Security SettingsXSoftware Restrictions Policies a otevřete položku
’ Software Restriction Policies.
2.	Jestliže nejsou softwarová omezení zatím nastavena, klepněte pravým tlačítkem
na uzel Software Restriction Policies a zvolte příkaz Create New Policies.
3.	V pravém podokně klepněte pravým tlačítkem na položku Designated Filé
Types a zvolte Properties.
4.	V dialogu Designated Filé Typts Properties (viz obrázek 915) se implicitně na-
chází seznam obvyklých přípon (např. .exe, .bat a .vbs).
5.	Jestliže chcete do seznamu přickit nějaké přípony, můžete to udělat. Do pole Fi-
lé Extension zadejte novou příponu souboru, který je již v systému zaregistro-
ván, a poté klepněte na tlačítko Add
6.	Spustitelné soubory můžete ze seznamu také odstraňovat. Vyberte typ souboru,
který chcete odstranil, a poté klepněte na tlačítko Delete.
7.	Klepněte na tlačítko OK.
Implementace
a scénáře
jácari skuninv
OBRÁZEK 9.15: Prače s typy souborů v zásadách Software Restriction Policy
Konfigurování zásad Trust Publisher
Pomoci zásad Trusted Publisher můžete spouštění softwaru povolit na základě po-
depsáni spustitelného souboru veřejným klíčem. Můžete určit, zda běžní uživatelé
mohou do seznamu důvěryhc>dných vydavatelů na jejich počítači přidávat nové po-
ložky, nebo zda bude tato akce povolena pouze správcům. Když například stáhne-
te soubor ze stránek firmy Microsoft, dostanete během stahování možnost přidat
Microsoft do seznamu vydavatelů, které považujete.1 za důvěryhodné.
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
Pomocí zásad Trusted Publisher můžete uživatelům zcela zabránit v přidávání důvě-
ryhodných vydavatelů na jejich počítače. Tato možnost se vám může hodit, op,
zvláště když uživatele podezříváte z toho, že stahují software, který (i přesto, že ie
podepsaný) není vhodný pro použití na vašich počítačích Tyto zásady můžete po-
užít také k oveření toho, zda jsou certifikáty, které vydavatel použil k podepsání
svého softwaru, stále platné. To se provádí kontrolou jejich certifikační autority
a následným ověřením, zda nebyl certifikát zrušen - ať už kvůli vydavateli, nebo
vypršení platnosti. Jedná se o dobrý přístup, ale muže způsobit zhoršení odezvy
neboť systém Windows musí při každém použití certifikátu kontaktovat podpisovou
autoritu, aby se ujistil, že certifikát je stále platný.
Chcete-li konfigurovat nebo prohlížet možnosti důvěryhodných vydavatelů, postu-
pujte následovně:
1.	Podle potřeby nalistujte složku Computer ConfigurationX Windows Set-
tingsX Security SettingsXSoftware Restrictions Policies nebo User ConfigurationX
Windows SetlmgsXSecurity SettingsX Software Restrictions Policies a otevřete po-
ložku Software Restriction Policies.
2.	Jestliže nejsou softwarová omezení zatím nastavena, klepněte pravým tlačítkem
na uzel Software Restriction Policies a zvolte příkaz Create New Policies.
3.	V pravém podokně klepněte pravým tlačítkem na položku Trusted Publishers
a zvolte Properties. Otevře se dialog Trusted Publishers.
4.	Nastavte, kdo bude moci vybírat důvěryhodné vydavatele. Možnosti jsou násle-
dující:
	End Users Důvěryhodné vydavatele mohou vybírat všichni uživatelé.
	Local Computer Administrátor Důvěryhodné vydavatele mohou vybírat
pouze správci místního počítače fa doménoví nebo podnikoví správci).
	Enterprise Administrators Důvěryhodné vydavatele mohou vybírat pouze
členové skupin Domain Admins a Enterprise Admins.
5.	Určete, zda se má kontrolovat případné zrušení certifikátu - z důvodu zrušení
certifikátu vydavatelem, vypršení platnosti nebo z obou důvodů.
6.	Klepněte na tlačítko OK.
Konfigurování nepovolených a neomezených aplikaci
Prostřednictvím zásad Disallowed and Unrestricted Applications Security Levels mů-
žete určovat, zda má být omezovaný software považován za nepovolený, nebo ne-
omezený. Režimy se nazývají Disallowed (nepovoleno) a Unrestricted (neomezeno)
a jsou jednoznačné. Implicitně je aktivní režim Unrestricted. To znamená, že všech-
ny počítače a uživatelé podléhající těmto zásadám Software Restriction Policies mo-
hou spouštět libovolné soubory kromě těch, které jsou explicitně blokovány vámi
definovanými dodatečnými pravidly. Když je aktivní režim Disallowed, pak žádné
počítače a žádní uživatelé podléhající těmto zásadám Soltware Restriction Policies
nesmí spouštět žádné soubory kromě těch, které jsou explicitně povoleny prostřed-
nictvím dodatečných pravidel.
Z toho vyplývá, že v rámci zásad Security l evels máte na výběr bud’ blokovat vše
a povolit jen známé výjimky, nebo povolit vše a bloková* jen soubory, o kterých ví-
Správa zavedených aplikací
te, že nejsou bezpečné. Ideální volba se odvíjí od vašich nároku na zabezpečení,
ale v případě, že jako výchozí režim použijete volbu Disallowed, budou mít vaši
správci mnohem více práce, aby vyhověli potřebám uživatelů s požadavky na pou-
žiti dodatečných aplikací Jestliže máte ale pečlivě řízené a statické prostředí, bude
to výborná volba, která zabráni uživatelům ve spouštěn neznámých, potenciálně
škodlivých souborů.
Chcete-li nastavit iroveň zabezpečeni, postupujte takto:
1.	Podle potřeby nalistujte složku Computer ConfigurationX Windows SettingsX Secu-
rity SettingsXSoftware Restriction^ Policies nebo User ConfigurationXWindows Set-
tingsX Security SettingsXSoftware Restrictions Policies a otevřete položku Software
Restriction Policies.
2.	Jestliže nejsou softwarová omezení zatím nastavena, klepněte pravým tlačítkem
na uzel Software Restriction Policies a zvolte příkaz Create New Policies.
3.	Označte uzel Security Levels. Ikona aktuálně zvolené výchozí možnost je zob-
razena se zeleným kroužkem a „fajfkou“.
	Chcete-li, aby výchozí úrovní zabezpečeni byl režim Disallowed (Nepovole-
no), klepněte pravým tlačítkem na položku Disallowed a zvolte Set As Default.
	Chcete-li, aby výchoz; úrovni zabezpečení byl režim Unrestricted ( Bez ome-
zení), klepněte pravým tlačítkem na položku Unrestricted a zvolte Set As De-
fault (Nastavit jako výchozí).
Konfigurování pravidel zabezpečení
Pomocí zásad Additional Rules můžete nakonfigurovat pravidla určující, kteiý soft-
ware bude blokován a který bude možné spouštět- Když klepnete pravým tlačítkem
na uzel Additional Rules, mate na výběr ze čtyř druhu pravidel:
	Certificate Rules (Pravidla certifikátu)
	Hash Rules (Pravidla algoritmu hash)
	Internet Zone Rules (Pravidla zóny Internetu)
	Path Rules (.Pravidla cesty)
Následující oddíly se zabývají tím, jak jednotlivá pravidla použít v zásadách Soft-
ware Restriction Policies.
Certificate Rules Tato pravidla vám umožňují povolit či zakázat spouštění souborů
na základě digitálních podpisu. Jestliže například váš inteiru vývojářský tym pode-
pisuje všechny vytvořené aplikace, můžete vytvořit certifikační pravidlo, které po-
volí běh všech takto podepsaných aplikací (viz obrázek 9-16).
Chcete-li vytvořit certifikační pravidlo, postupujte následovně:
1.	Podle potřeby nalistujte složku Computer Com igurationX Windows SettingsX Se-
curity SettingsXSoftware Restrictions Policies nebo User ConfigurationXWindow^
SettingsXSecurity SettingsXSoftware Restrictions Policies a otevřete položku
Software Restriction Policies.
2.	Klepněte pravým tlačítkem na položku Additional Rules a zvolte příkaz New
Certificate Rule.
70
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
3.	V dialogu New Certificate Rule klepněte na tlačítko Browse a nalistujte certifp
kační soubor.
4.	Prostřednictvím seznamu Security Level určete, zda aplikace podepsane tímto
certifikátem budou nepovolené, nebo neomezené.
5.	Klepněte na tlačítko OK.
OBRÁZEK 9.16: Tvorba certifikačniho pravidla v zásadách Software Restriction Poiicy
Hash Rules Hodnoty hash souboru jsou jednoznačné, neopakovatelné hodnoty,
které se vypočítávají na základě obsahu souboru. Vytvořením pravidla hash můžete
omezit nebo povolit spouštění jednotlivých verzí soborů.
Chcete-li vytvořit pravidlo hash, postupujte následovně:
1.	Podle potřeby nalistujte složku Computer ConfigurationXWindows SettingsXSe-
curity SettingsXSoftware Restrictions Policies nebo User ConfigurationXWindows
SettingsX Security SettingsX Software Restrictions Policies a otevřete položku
Software Restriction Policies.
2.	Klepněte pravým tlačítkem na položku Additional Rules a zvolte příkaz New
Hash Rule.
3-	V dialogu New Hash Rule klepněte na tlačítko Browse a nalistujte spustitelný
soubor, který chcete řídit, a vyberte jej. Jak vidíte na obrázku 9.17, hash soubo-
ru se automaticky vypočte.
4.	Pomoci seznamu Security Level určete, zda aplikace podepsané tímto certifiká-
tem budou nepovolené, nebo neomezené.
5.	Klepněte na tlačítko OK.
Správa zavedených aplikací
371
Poznámka Na obrázku 9.17 jsme vytvořili pravidlo hash, které zabrání ve spouštění progra-
/ ' y> mu 5olitaire- Protože je pravidlo založeno na hodnotě hash souboru, může uživatel soubor
Sol . exe přejmenovat na cokoliv jiného a ten zůstane i naaale blokovaný.
Implementace
a scénáře
7á<&ri  Jamiiiv
OBRÁZEK 9.17: Vytvoření pravidla hash v zásadách Software Restriction Policy
Internet Zone Rules Pravidlo zóny Internet vam umožňuje řídit spouštění souboru
na základě toho, odkud jsou spouštěny. Toto pravidlo podporuje kontrolu poskyto-
vanou aplikaci Microsoft internet Explorer tím, že vám umožňuje řídit soubory nain-
stalované prostřednictvím Instalační služby systému Windows. To znamená, že toto
pravidlo platí pouze pro aplikace, které byly nainstalovány prostřednictvím balíčku
Instalační služby systému Windows z určitého síťového umístnění. Jestliže se uživa-
tel například pokusí spustit instalaci aplikace pomoci balíčku Instalační služby sys-
tému Windows staženého z Internetu, může toto pravidlo takové instalaci zabránit.
Pravidla Internet Zone Rutes můžete v podstatě použit k řízení toho, jaký software
a odkud muže uživatel instalovat. Tato pravidla ale bohužel nemají vliv na soft-
ware, který je v jiném formátu než v balíčku Instalační služby systému Windows.
Chcete-li vytvořit pravidlo zóny Internet, postupujte následovně:
1.	Podle potřeby nalistujte složku Computer ConfigurationX Windows SettingsXSecu-
rity SettingsX Software Restrictions Policies nebo User ConfigurationXW indows Set-
tingsX Security SettingsXSoftware Restrictions Policies a otevřete položku Software
Restriction Policies.
2.	Klepněte pravým tlačítkem na položku Additional Rules a zvolte příkaz New In-
ternet Zone Rule.
3.	Pomocí seznamu Internet Zone určete zónu, kterou chcete konfigurovat. Zóny
jsou:
	Local Computer
72
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
	Local Intranet
	Restricted Sites
	Trusted Sites
	Internet
4.	Pomocí seznamu Security Level určete, zda aplikace z této zóny budou nepovo-
lené, nebo neomezené.
5.	Klepnete na tlačítko OK.
Path Rules Lato pravidla jsou z pohledu pov olování a zakazovaní spouštění souboru
pravděpodobně nejflexibilnější. Stačí zadat cestu souborového systému k souboru či
složce a veškeré soubory spadající pod nastavení Designated Filé Types budou tímto
pravidlem řízeny. Počítejte $ tím, že vámi zadaná cesta je rekurzivní. To znamená, že
jestliže zadáte například c:\program files, budou řízeny všechny soubory a složky
nacházející se v tomto rodičovském adresáři. Proto si dávejte pozor, až budete apli-
kovat zákaz pro větší hierarchii složek.
Pravidla Path Rules můžete vytvářet i pro klíče registru. To se muže hodit
v případe, že chcete kontrolovat, co bude možné spouštět z různých míst registru
pro automatické spouštění (příkladem muže byt klíč RunOnce). Nejzrádnější částí
konfigurace cesty registru je to, že cesty registru nemůžete v dialogu Path Rule pro-
cházel. Namísto toho musik- cestu ke klíči registru psát do pole Path ručně nebo ji
pomocí funkce kopírovat/vložit zkopírovat z programu Editor registru. Cestu regist-
ru musíte navíc uzavřít mezi znaky %, viz níže:
%HKEY_LOCAL_MACHINE\SOFTWARE\Mícrosoft\Wi ndows\CurrentVersi on\RunOnce%
i ím, že omezíte obvyklé cesty registru provádějící úlohy automatického spouštění,
můžete řídit nebezpečné soubory, které by se mohly na pracovní stanici uživatele
pokusit o instalaci sebe sama.
Chčetó-li vytvořit pravidlo cesty, postupujte následovně:
1.	Podle notřeby nalistujte složku Computer ConfigurationXWindows SettingsXSe-
curity SettingsXSoftware Restrictions Policies nebo User ConfigurationXWindows
SettingsX Security SettingsX Software Restrictions Policies a otevřete položku Soft-
ware Restriction Policies.
2.	Klepněte pravým tlačítkem na položku Additional Rules a zvolte příkaz New
Path Rule.
3-	Napište cestu, kterou chcete použít. Také můžete klepnout na tlačítko Browse
a nalistovat soubor či složku, kterou chcete řídit, a vybrat ji. U cest registru mu-
síte zadat cestu do pole Path ručně nebo ji zkopírovat z nástroje Editor registru.
Poznámka Nezapomeňte na to, že cestu registru je potřeba uzavřít mezi symboly % (jak by-
lo uvedeno výše).
4.	Pomocí seznamu Security Level určete, zda aplikace z tohoto umístění budou
nepovolené, nebo neomezené.
S.	Klepněte na tlačítko OK.
Správa zavedených aplikací
Řešení problémů se zásadami
Software Installation Policy
Pro zajištění správného fungování zásad Software installation (Instalace softwaru) je
k dispozici mnoho nástrojů a technik. Hlavními nástroji jsou různé protokolovaci
soubory, ktere můžete zapnout, abyste získali infonnace o tom, co se děje během
zpracování zasad Software Installation. Mezi hlavní protokolovaci soubory patří:
	Protokol události aplikace Tento protokol zaznamenává na cílovém počítači
zprávy související s obecným zpracováním zásad skupiny a také zprávy souvise-
jící s instalací softw aru. Zdrojem zprav souvisejících se zasadami Software Instal-
lation jsou zásady Application Management nebo služba AppMgmt. Zdrojem
zpráv spojených s Instalační službou sytému Windows je proces Msilnstaller.
Tyto zprávy vam říkají, zda byla instalace aplikace úspěšná, a v případě, že ne-
byla, poskytne vám protokol obvykle nějaké základní vysvětlení.
	%windir°/o\debug\usermode\userenv.log Poskytuje informace o problémech
se zpracováním zásad skupiny a o chybových kódech vyšší úrovně souvisejících se
zpracováním zásad Software Installation. Muže vam také pomoci zjistit, proč
nedošlo během určitého procesního cyklu ke zpracováni určitého objektu GPO.
	o/owindir%\Debug\UserMode\appmgmt.log Podrobně zaznamenává kroky
zpracování zásad Software Installation, včetně toho, ktere objekty GPO jsou
zpracovávaný a které aplikace se instalují.
	%temp°/o\msi*.log Jádro Instalační služby systému Windows dokáže vytvářet
podrobné protokoly, které obsahuji všechny kroky provedené bohem instalace ba-
líčku. Tento protokol je užitečný při řešení problému souvisejících s balíčkem,
když jste si jisti, že zpracovaní zásad Software Installation probíhá správně, ale
aplikaci se nedaří nainstalovat. U zavádění pro jednotlivé počítače se tyto pro-
tokoly vytvářejí s jednoznačným názvem souboru ve formátu msi*.log a nachá-
zejí se ve složce %windir%\temp. U instalací pro jednotlivé uživatele se
protokoly vytvářejí v uživatelské složce %temp%.
Tyto protokoly jsou uloženy na klientských počítačích, ktere zpracovávají zásady
Software Installation, nikoliv na doménovém řadiči. Chcete-li se dozvědět více
o tom, jak tyto protokoly využívat, přečtěte si 16. kapitolu.
Kromě protokolů můžete při hledaní informací využít i průvodce Group Policy Re-
sults Wizard. nacházejícího se v konzole Group Policy Management Console, který
dokáže informace o zpracování zásad Software Installation sbírat ze vzdálených po-
čítačů a ověřovat, zda byla aplikace nainstalována podle očekáváni. Obrázek 9-18
ukazuje příklad zprávy o nastaveních vygenerované tímto průvodcem. Průvodce ta-
ké obsahuje filtrovaný náhled na protokol událostí aplikací klientského počítače,
který z karty Policy Events ukazuje pouze události související se zásadami skupiny.
Řešení problémů
První věcí, kterou můžete udělat v zájmu toho, abyste pochopili, co se děje během
zpracování zásad Software Installation (Instalace softwaru), je zapnout podrobné
evidování zpráv7 o stavu zásad skupiny. Docílíte toho tak, že ve složce Computer
ConfigurationXAdministrativě TemplatesXSystem zapnete nastaveni Verbose Vs.
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
Normál Status Mussages (.Konfigurace počilačeX Šablony pro spravuXSystém - p.
drobné nebo normální zprávy o stavu).
OBRÁZEK 9.18: Prohlížení informací o zásadách Software Installation prostřednictvím zprávy
průvodce Group Policy Results
Zapnutím těchto zásad získáte přehled o tom, co se děje během zpracování zásad
skupiny na popředí včetně toho, kdy se spravované aplikace instalují a která insta-
lace právě probíhá.
Pomocí výše uvedených nástrojů a protokolů se dá dobře aplikovat následující pří-
stup k řešení problémů souvisejících sc /pracováním zásad Software Installation:
1.	Jestliže se aplikaci nepodaří pro cílového uživatele či počítač správně nainstalovat,
použijte průvodce Group Policy Results Wizard konzoly GPxMC a ujistěte se, že
uživatel či počítač opravdu zpracovává objekt GPO, který obsahuje aplikační balí-
ček. Jestliže /jistíte, ze ne, pak se obraťte na 17. kapitolu, kde najdete možná řeše-
ní.
2.	Jestliže jste si ověřili, že objekt GPO se zpracovává, ale aplikaci se přesto nedaří
nainstalovat, je potřeba zapnout protokolování, abyste mohli určit, kde dochází
k chybě. Nejprve zapněte j^rotokol Appmgmt.log, který vám pomůže zjistit, zda
k pokusu o instalaci vůbec dochází a zda nastaly nějaké chyby. Tento soubor
obvykle obsahuje chybové kódy souvisejíc  s instalací nebo poskytuje informace
o příčině selhán: instalace.
3.	Jestliže protokol Appmgmt.log obsahuje infonnace o tom, že instalace byla zahá-
jena, ale selhala, je dalším krokem zapnutí podrobného protokolování Instalační
služby systému Windows. Soubor protokolu vygenerovaný během instalace ob-
sahuje všechny akce provedené balíčkem a muže vám poskytnout velice cenné
informace o tom, kde1 a proč k selhaní dochází.
Správa zavedených aplikací
375
Obvyklé problémy se zásadami Software Installation
Hodně komplikací, ke kterým dochází při zpracování zásad Software Installation (In-
stalace softwaru), lze vyřešit relativné snadno. Nejčastější z nich jsou popsány níže:
	Pro spuštění instalace pomocí zásad je potřeba dvou až tří restartu počí-
tače resp. přihlášení uživatele. Jestliže máte na svých klientských počítačích
operační systém Windows XP, pak mají pravděpodobně zapnutou funkci Fast
Logon Optimization. Ta múze způsobit, že ke zpracování některých zásad sku-
p*ny (např. právě zásad Software Installation) je potřeba několika restartů či
přihlášení, 'tuto lunkci můžete vypnout tak. že ve složce Computer Configurati-
onX Administrativě 1 cm platesX System XLogon zapnete nastavení Always Wait For
The Network At Computer Startup And Logon (Při spouštěn a přihlašovaní po-
čítače vždy počkal na síť).
Zásady Software Installation nejsou zpracovány, ačkoliv ostatní zásady
jsou zpracovány bez problémů. Jak jiz bylo řečeno drive, zásady Software In-
stallation se implicitně nezpracovávají v případě, že bylo detekováno pomalé
připojení mezi počítačem a doménovým řadičem Chcete-li ověřit, zda nebylo
zjištěno pomalé připojení, Spusťte pro daného klienta průvodce Group Policy
Results Wizard konzoly GPMC. Ten vám řekne, zda během posledního cyklu
zpracovaní zásad na popředí došlo k detekován, pomalého připojení.
Implementace
a scénáře
	Uživatelé či ]>očítače nemohou spustit instalační program aplikace a zobrazu
je se jim chyba „Access Demed“ Aby bylo možné spustit instalační program,
musí mít počítač či uživatel oprávnění pro čtení souborů a sdílené složky, v niž
se nachází balíček Instalační služby systému Windows. Zajistěte, aby uživatelé
a počítače, kteří zásady zpracovávají, měli dostatečná oprávnění pro přístup
k instalačním balíčkům.
	Zásady Software Installation před nainstalováním nové kopie aplikace
z počítačů odinstalují existující verzi softwaru. K tomu může vzhledem
k principu fungování celého procesu opravdu dojít. Jestliže zásady Software In-
stallation najdou na počítači aplikaci, která byla nainstalovaní ručně mimo za-
sady Software Installation, a tato aplikace má stejný produktový kód Instalační
služby systému Windows jako spravovaná aplikace, která se ma instalovat, pak
se ručně nainstalovaná aplikaci1 automaticky odinstaluje. Tmi je zajištěno, že na
vašich systémech jsou nainstalovány pouze spravované aplikace.
	Jeden ze správců ručně odinstaloval aplikaci, která byla předtím zavede-
na prostřednictvím zásad Software Installation. Když počítač znovu zpra-
cuje tyto zásady, aplikace se již znovu nenainstaluje. Spravované aplikace
zavedene pomoci zásad Software Installation by se nikdy neměly odstraňovat ruč-
ně. Přestože je samotna aplikace odstraněna, v registrech zůstanou informace, kte-
ré způsobí, že zásady Software Installation jsou i nadále přesvědčené o tom, že
aplikace je stále nainstalovaná. V případě nutnosti můžete t^lo informace ručně
smazat a vynutit tak reinstalaci. V nástroji Editor registru otevřete HKEY_CURRENT_ |
USERXSoftwareXMi crosoftXWindowsXCurrent-Verš ionXGroup PolicyXAppMgmt (ne-
bo použijte větev HKEYJ OCAL_MACH1NE v případě, že aplikace byla zavádě-
na pro jednotlivé počítače). V této větvi ma každá spravovaná aplikace svůj klič,
Kapitola 9 - Zavádění a správa softwaru prostřednictvím zásad skupiny
který obsahuje zaváděcí informace. Najděte odpovídající klíč, který obsahuje
odinstalovanou aplikaci, a smažte jej.
9.7 Shrnutí
Zásady Software Installation vám v rámci oddělení umožňují pro uživatele a počítače
snadno zavádět software. Aplikace můžete publikovat nebo přiřazovat uživatelům
a počítačům. Když zásady Software Installation použijete spolu s Instalační službou
systému Windows, můžete ve svém prostředí spravovat celý životní cyklus aplikací -
instalaci, opravy, aktualizace, záplatování a odstraňování. S pomocí zásad Software
Restriction můžete spravovat nejenom software nainstalovaný na uživatelských stani-
cích, ale můžete také zajistit, že se ve vašem prostředí bude spouštěl pouze autori-
zovaný software. Tyto zásady dohromady poskytují velmi silný nástroj pro
zajišťovaní bezpečného a řízeného prostředí, v němž mohou být vaši uživatelé ma-
ximálně produktivní.
kapitola
Správa
konfigurací sady
Microsoft Office
Obsah kapitoly:
10.1	Základy správy konfigurace sady Microsoft Office.......................378
10.2	Přizpůsobování konfigurací sady Microsoft Office.......................379
10.3	Správa zásad souvisejících se sadou Microsoft Office...................391
10.4	Shrnutí..............................................................  40?
8
Kapitola 10 - Správa konfigurací sady Microsoft Office
Microsoft Office je softwarová sada sestávající z několika samostatných aplikací a kaž-
dá z těchto aplikací obsahuje mnoho konfiguračních nastaveni Bez ohledu na velikou
prostředí budete sadu Microsoft Office pravděpodobně chtít zavádět s těmito nasta-
veními upraveném i podle potřeb cílových uživatelů. Toho můžete docílit pomocí
transfonnačních souborů a speciální sady nastaveni zásad určených pro sadu
Microsoft Office.
Transfonnační soubory vám umožňuji ovlivnit, které aplikace se nainstalují a jak
budou nakonfigurovány pro první použití. Speciální sada šablon pro správu Micro-
soft Office vám umožňuje řídit a konfigurovat funkce balíčku Microsoft Office po-
moci zásad skupiny, stejné jako můžete řídit funkce systému Windows. Jestliže
zásady související se sadou Microsoft Office nakonfigurujete ještě před jejím zave-
dením, můžete mít jistotu, že potřebná nastaveni budou v platnosti v době, kdy
uživatelé začnou nové programy sady Microsoft Office používat. Až sadu Microsoft
Of ce zavedete, můžete zásady s ní související použít také pro správu instalace
Dále můžete pomocí vlastních souborů pro správu (něco podobného jako trans-
fonnační soubory) upravit instalační program dříve zavedených aplikací.
Související informace
	Další informace o zavádění sady Microsoft Office pomocí zásad skupiny najdete
v 9- kapitole.
	Další informace o správě instalací sady Microsoft Office najdete na internetové
adrese http://office.microsoft.com/en-us/assistance/HAOl1402391033.aspx.
	Další informace o průvodci Custom Maintenance Wizard najdete na internetové
adrese http://office.microsoft.com/en-us/assistance/HAOl1513681033.aspx.
10.1 Základy správy konfigurace sady
Microsoft Office
Microsoft Office je rozsáhlá aplikační sada. Zaváděni a správa sady Microsoft Office je
komplexnější nez sprava samotného systému Windows nebo souvisejících systémo-
vých komponent. Vaše instalace sady Microsoft Office můžete spravovat pomocí:
	Průvodce Custom Installation Wizard. který vám umožňuje wtvařet transfor-
mační soubory .mst pro přizpůsobováni instalací sady Microsoft Office. Tohoto
průvodce můžete použít k určení složky, do které se ma sada nainstalovat:
k určení toho zda se mají odstranit předchozí verze aplikací sady Microsoft Offi-
ce; ke konfiguraci toho zda a připadne jak se mají jednotlivé aplikace sady
Microsoft Office nainstalovat; kv}tvoření profilu s výchozími nastaveními apli-
kací. záznamy registru a zástupců; a k nastav ení zabezpečení a dalších možností
sady Microsoft Office.
	Průvodce Custom Maintenance Wizard. kterv vám umožňuje aktualizovat existu-
jící instalace sady Microsoft Office pomoci souboru s příponou .cmw. Průvodce
můžete použit ke změně názvu organizace v rámci instalace sady Microsoft Of-
fice. zrněné konfigurace instalačních možností aplikací sady Microsoft Office,
Přizpůsobování konfigurací sady Microsoft Office
změně výchozích nastavení aplikací, záznamů registru či zástupců a kc změně
zabezpečení a dalších možností sady Microsoft Office.
 Zásady související se sadou Office, ktere vám umožňují konfigurovat možnosti
a spravovat dostupné funkce sady Microsoft Office jako celku nebo jednotlivých
aplikací. Každý objekt GPO, do kterého jste nasadili zásady související se sadou
Office, je zaktualizován tak, aby obsahoval šablony pro správu vybrané pro po-
užití při instalaci. Šablony pro správu sady Microsoft Office* 2003 obsahují více
než 2500 nastavení zasad.
*
Tyto nástroje je možné používat společné. Před nasazením použijte průvodce Cus-
tom Installation \X izard a pomocí zasad pro práci se sadou Ol ice zoptimalizujte
konfiguraci sady Microsoft Office. Průvodce vytvoří transformační soubor, který je
zaveden spolu s Microsoft Otfice. Transformační soubor poskytuje pro sadu Micro-
soft Office počáteční nastavení a určuje, které její součásti se nainstalují. Nastavení
zásad poskytují výchozí nastavení pro možnosti a vynucovaná nastaveni, která řídí
dostupné funkce. Zásady související se sadou Microsoft Office můžete použít napří-
klad k zablokování možností nab’dek nebo ke skrytí celých nabídek.
Po zavedeni zasady související se sadou Microsoft Office a průvodce Custom Main-
tenance Wizard využijete ke správě vašich instalací sady Microsoft Office. Pomocí
zasad uděláte potřebné změny, které se po aktualizaci zásad aplikují, a pomocí
průvodce Custom Maintenance Wizard vytvoříte soubor s příponou .cmw, který se
použije jako transformační soubor, a poté soubor zavedete v podobě modifikace
instalace sady Microsoft Office. Soubor cmw lze použít k piekonfigurování instalace
sady Microsoft Office. Můžete například vyjmout aplikaci z instalace nebo změnit
instalované komponenty (např. nástroje nebo šablony).
10.2 Přizpůsobování konfigurací sady
Microsoft Office
Průvodce Custom Installation Wizard, Custom Maintenance Wizard a šablony pro
správu balíku Office jsou součástí sady Office Resource Kit. Takovouto samostatnou
sadu nástrojů a souborů šablon pro správu mají všechny verze Microsoft Office. Vý-
jimkou není Microsoft Office 2000, Microsoft Office XP ani Microsoft Of fice 2003-
Jestliže nainstalujete několik sad Resource Kit, budete mít pro každou z nich samo-
statné nástroje a soubory zásad.
Stahování a instalování nástrojů
Nejlepší místo na hledám nástrojů pro Microsoft Office a souvisejících informací je
webova strank.i sady Microsoft Office (http://office.microsoft.com). Najdete zde
různé důležité stránky včetně těchto:
	http://office.microsoft.com/en-us/FX011511491033.aspx zabývající se sadou
Office 2000 Resource Kit.
	http://office.microsoft.com/en-us/FX011511511033.a spx
Office XP Resource Kit.
zabývající se sadou
JO
Kapitola 10 - Správa konfigurací sady Microsoft Office
	http://office.microsoft.com/en-us/FX011511471033.aspx zabývající se sado
Office 2003 Resource Kit.
	http://office.microsoft.com/en-us/FX011511561033.aspx zabývající se aktua-
lizacemi sady Microsoft Office, které jistě využije nejeden správce.
Vzhledem k tomu, že stránky Microsoft Office jsou průběžně aktualizovaný, je hle-
dáni potřebného materiálu někdy náročné. V době, kdy vznikala tato kniha, byla
nejlepším místem pro stahování nástrojů sady Office 2003 Resource K;t adresa
http://www.microsoft.com/downloads/details.aspx?Family ID=4bb7cbl0 - a 6e5- 4334-
8925 -3bcf308cfbaf&Di spi ayLang=en. Když už budete připojeni k Internetu, možná
si také rádi stáhnete dodatečné aktualizace pro opravné baličky sady Microsoft Of-
fice 2003 z adresy http://www.microsoft.com/downloads/details.aspx7FamilylD~
ba8bc720-edc2-
479b-bl 15-5abb70b3f490&DÍ spi ayLang=en. Další nástroje a soubory pro aplikaci
Microsoft Visio 2003 a Microsoft Projed 2003 lze získat z adresy http://www.micro-
soft.com/offi ce/ork/2003/tools/BoxA19.htm.
Po stažení potřebných souborů byste připojené instalační soubory měli spustit na po-
čítači, který je Součástí domény, s niž chcete pracovat, nebo na vývojářském počítači
(v při pádě, že chcete před zavedením nástrojů provést testování). U nástrojů sady Of-
fice 2003 Resource Kit provedte plnou instalaci. Plná instalace zabere 30 MB diskové-
ho prostoru. Výchozí místní cesta pro instalaci je %SystemDrive%\Program Files\
ORKTOOLS. Po dokončení instalace najdete nové nástroje v nabídce Start pod slož-
kou Programs or All Programs, Microsoft Office, Microsoft Office Tools, Microsoft Of-
fice 2003 Resource Kit. Tabulka 10.1 obsahuje piehled standardních nástrojů.
TABULKA 10/1: Přehled standardních nástrojů sady
Office 2003 Resource Kit Tools
Název nástroje	Popis		
CMW Filé Viewer	Umožňuje prohlížet obsah souborů průvodce Custom Maintenance Wizard (tyto soubory mají příponu . cmw).		
Custom Installation Wizard	Umožňuje vytvářet transformační soubory (tyto soubory mají příponu .mst) pro přizpůsobování instalací sady Microsoft Office.		
Custom Maintenance Wizard	Umožňuje aktualizovat existující instalace Microsoft Office pomocí souborů .cmw.		
Customizable Alerts	Poskytuje podrobné informace pro práo s vlastními chybovými zprá- vami.		
International Information Poskytuje podrobné infoirnace o konfigurao a použiti více jazykových verzí sady Microsoft Office.			
MST Filé Viewer	Umožňuje prohlížet obsah souborů s příponou .mst.		
Office Information	Poskytuje podrobné informace o souborech sadv Microsoft Office, zá- znamech registru a migraci.		
OPS Filé Viewer	Umožňuje prohlížet obsah souborů s příponou . ops.		
Package Definition Files	Poskytuje šablony k zavádění sady Microsoft Office pro server SMS (System Management Server).		
Přizpůsobování konfigurací sady Microsoft Office
381
Název nástroje	Popis
Profile Wizard	Umožňuje zjistit uživatelská nastavení sady Microsoft Office a uložit je
do souboru . ops, který pak může zahrnout do instalace sady Micro-
soft Office.
Removal Wizard Umožňuje selektivně odstraňovat předchozí verze aplikací sady Micro-
soft Office.
Aktualizace sady Resource Kit balíčku Microsoft Office 2003 obsahuje doplňky a op-
ravy zásad pro správcovskou podporu sady Microsoft Office 2003 a také několik ta-
bulek, které popisují dostupné zásady. Tyto aktualizované šablony se uloží do vámi
určené složky, kterou zvolíte během instalace aktualizací. U aktualizací sady Micro-
soft Office 2003 Resource Kit (jako je oprava Service Pack) bude potřeba zavést dva
druhy aktualizací. Nejprve pomoci zásad zavedete samotnou aktualizaci nebo opra-
vu produktu Microsoft Office 2003 (viz oddíl „Zavádění sady Microsoft Office pro-
střednictvím zasad" kapitoly 9). Poté se budete muset (např. na internetové adrese
http://www.microsoft.com/downloads/detai1s.aspx?Family ID=ba8bc720-edc2-479b-
bl 15-5abb70b3f490&D1 spi ayLang=en) poohlédnout po aktualizacích šablon pro sprá-
v a nebo jiných typech aktualizací. Tyto aktualizované soubory zavedete s ohledem na
objekty GPO, které používají šablony pro správu sady Microsoft Office. Popisu to-
hoto procesu se věnuje následující sekce.
Implementace
—. —	X X.
Pr.ice s průvodcem Custom Installation Wizard
Pomoci průvodce Custom Installation Wizard můžete konfigurovat nové instalace
sady Microsoft Office. Když tohoto průvodce spustíte, vytvoří transformační soubo-
ry, které můžete při zavádění sady Microsoft Office distribuovat pomocí zásad. Prů-
vodce lze využit v těchto směrech:
	Určení složky, do které se má nainstaloval sada Microsoft Office.
	Určení toho, zda se mají odstranil předchozí verze aplikací sady Microsoft Office.
	Konfigurace toho, zda a jak se nainstaluji jednotlivé aplikace sady Microsoft Offi-
	Tvorba profilu s výchoz ani aplikačními nastaveními, záznamy registru a zástupci.
	Nastavení zabezpečení a dalších možností sady Microsoft Office.
Vzhledem k existujícím požadavkům není práce s průvodcem Custom Installation
Wizard tak intuitivní, jak byste mohli čekat. Předtím než s průvíxJcem začnete pra-
covat, bude potřeba vytvořit správcovskou instalaci souboru .msi sady Microsoft
Office. Poté musíte pomocí průvodce Custom Installation Wizard vytvořit potřebný
soubor .mst. Až budete mít transfomiáční soubor připraven, můžete pomocí zásad
zavést konfiguraci sady Microsoft Office Nezapomeňte, že soubory .mst můžete
přidávat, pouze když instalační balíček poprvé přiřazujete nebo publikujete.
Krok 1: Vytvořte správcovskou instalaci souboru .msi
sady Microsoft Office
Předtím než můžete průvodce Custom Installation Wizard začít používat, budete
potřeboval správcovskou instalaci souboru .msi sady Microsoft Office. Chcete-li
provést správcovskou instalaci, postupujte následovně:
82
Kapitola 10 - Správa konfigurací sady Microsoft Office
1.	Přihlaste se na počítač, kam jste nainstalovali verzi sady Microsoft Office, se kte-
rou chcete pracovat a kde současně máte správcovská oprávnění.
2.	Provedle spiavcovskou instalaci hlavního souboru .msi sady Microsoft Office -
do příkazového řádku zadejte následující piíkaz:
setup /a MSIFileName
MSIFi 1 eName reprezentuje název hlavního souboru .msi verze sady Microsoft Of-
fice, kterou ^konfigurujete, například:
setup /a proll.msi
Poznámka Soubor .msi se musí nacházet ve stejné složce jako instalační soubor Setup.exe.
3.	Spustí se průvodce Office Installation Wizard. Pomocí tohoto průvodce připrav-
te soubor .msi sady Microsoft Office pro zavadění. Zadat musíte název vaší or-
ganizace a platný produktový klíč. Dále je nutné přijmout smlouvu EULA (Fnd
User Licen.se Agreement).
4.	Správcovskou instalaci souboru .msi zkopírujte do síťové sdílené složky, ze kte-
ré bude později pomocí zásad zavedena.
Poznámka Přestože se to tak může jevit, Microsoft Office se neinstaluje na počítač, na kte-
rém právě pracujete. Instalace sady Microsoft Office se konfiguruje pro zavádění, na lokální
disk se zapisují data, ale Office se v tuto chvíli neinstaluje.
Krok 2: Konfigurace sady Microsoft Office
pomocí průvodce Custom Installation Wizard
Až budete mít správcovskou instalaci souboru .msi sady Microsoft Office, můžete
pomocí právodče Custom Installation Wizard nakonfigurovat instalaci sady Micro-
soft Office. Postup je následující:
1.	Klepněte na tlačítko Start, Otevřete složku Programy, Microsoft Office, Microsoft
Office Tools, Microsoft Office 2003 Resource Kit a klepněte na položku Custom
Installation Wizard.
2.	Po otevření průvodce Custom Installation Wizard klepněte na tlačítko Next.
3.	Na strance Open The MSI Filé klepněte na tlačítko Browse a nalistujte umístěni
správcovské instalace souboru .msi sady Microsoft Office. Klepněte na tlačítko
Next.
4.	Nastavte název transfonnačního souboru .mst, který se použije pro přizpůsobe-
ní instalace sady Microsoft Office. Klepněte na tlačítko Next.
5.	Nyní můžete konfigurovat instalaci. Na poslední strance průvodce klepnete na
tlačítko Finish a pote zadejte umístěni pro uložení transformačního souboru
.mst. Obvykle se tento soubor kopíruje do stejného umístěn jako správcovská
instalace souboru .msi.
Přizpůsobování konfigurací sady Microsoft Office
383
Krok 3: Zavádění transformované konfigurace sady Microsoft Office
Poté co dokončíte práci v průvodci Custom Installation Wizard, nakonfigurujte zá-
sady tak, aby se při zavádění sady Microsoft Office použil transformační soubor.
Postupujte následov ně:
1.	V zásadách skupiny otevřete položku Software Installation. U zavádění sady
Microsoft Olíice pro jednotlivé počítače nalistujte složku Computer Configurati-
onX Software SettingsX Software Installation. U zavádění sady Microsoft Office pro
. jednotlivé uživatele nalistujte složku User ConfigurationX Software SettingsX Soft-
ware Installation.
2.	Klepněte pravým tlačítkem na položku Software Installation a zvolte New,
Package.
3	Do dialogu Open zadejte cestu formátu UNC k síťové sdílené složce, v níž se na-
chází balíček .msi, nebo pomocí dostupných prostředků balíček nalistujte a oz-
načte jej.
i. Klepněte na tlačítko Open. Vyberte Published nebo Assigned a aplikace bude
publikována nebo přiřazena.
5.	Počkejte na vytvoření balíčku. Až balíček uvidíte v pravém podokně, klepněte
na něj pravým tlačítkem a zvolte Properties.
6.	Na kartě Modifications klepněte na tlačítko Add. Zadejte cestu k souboru .mst
a poté klepněte na tlačítko OK. Vybraný transfonnační soubor bude následně
zaveden spolu se sadou Microsoft Office.
Implementace
a scénáře
zásad si up>ny
Práce s průvodcem Custom Maintenance Wizard
Pomocí průvodce Custom Maintenance Wizard můžete upravovat existující instalace
sady Microsoft Office. Kdy/ tohoto průvodce použijete, vytvoří soubory .cmw, které
můžete distribuovat pomocí zásad a provést tak aktualizaci instalace sady Microsoft
Office. Průvodce lze využil v těchto směrech:
	Změna názvu vaší organizace.
	Změna konfigurace instalačních možností jednotlivých aplikací sady
Office.
Microsoft
	Změna výchozích nastavení aplikací, záznamů registru a zástupců.
	Změna zabezpečení a dalších možností sady Microsoft Office.
S průvodcem Custom Maintenance Wizard se pracuje prakticky stejně jako s průvod-
cem Custom Installation Wizard. Předtím než s průvodcem začnete pracovat bude po-
třeba zjistit umístěni správcovské instalace souboru .msi sady Microsoft Office. Pole
budete muset pomocí průvodce Custom Maintenance Wizard vytvořit potřebný sou-
bor . cmw. Až budete mít soubor . cmw připraven, můžete pomocí zásad změnu v konfi-
guraci sady Microsoft Office zavést.
Krok 1: Aktualizování konfigurace sady Microsoft Office
Abyste zaktualizovali konfiguraci drive zavedené instalace sady Microsoft Office,
musíte postupovat následovně:
J4
Kapitola 10 - Správa konfigurací sady Microsoft Office
l. Klepněte na tlačítko Mart, otevřete složku Programy, Microsoft Office, Microsoft
Office Tools, Microsoft Office 2003 Resource Kit a klepněte na položku Custom
Maintenance Wizard.
2. Po otevření průvodce Custom Maintenance Wizard klepněte na tlačítko Next.
5. Na strance Open The MSI Filé klepněte na tlačítko Browse a nalistujte umístění
správcovské instalace souboru .msi sady Microsoft Office. Klepněte na tlačítko
Next.
4. Nastavte název souboru .cmw, který se použije pro upravení konfiguraci sady
Microsoft Office. Klepněte na tlačítko Next.
5. Nyní můžete instalaci překonfigurovat. Na poslední stránce průvodce klepněte na
tlačítko Finish a poté zadejte umístěni pro uložení souboru . cmw. Obvykle se tento
soubor kopíruje do stejného umístěni jako správcovská instalace souboru .msi
Krok 2: Zavádění nové konfigurace sady Microsoft Office
Poté co soubor .cmw vytvoříte, zkopírujte jej spolu se souborem Maintwiz.exe na
místo, kde se nachází správcovská instalace. Jeden ze způsobů, jak aktualizace
aplikovat, je pustit na uživatelských počítačích průvodce Custom Maintenance Wi-
zard. To můžete provést například pomocí přihlašovacího skriptu. Ve skriptu pou-
žijte následující řádek:
UNCpdth\n\ai ntwi z.exe /c "ConfigFile''
UNCPath reprezentuje celou cestu formátu UNC ke sdílené správcovské složce
a ConfigFi 1 e je název souboru s příponou .cmw, například:
\\CorpSvr08\apps\0ffice\updates\maintwiz.exe /c "EngOfficeUpdate.cmw"
Průvodce Custom Maintenance Wizard volá během aplikace změn ze souboru .cmw
na uživatelský počítač Instalační službu systému Windows. Průvodce běží implicit-
ně s minimalistickým uživatelským rozhraním a zobra/uje pouze indikátory průbě-
hů a chybové zprávy. Chcete-li pustil průvodce ve skrytém režimu, přidejte do
příkazové řádky přepínač /q, například:
\\CorpSvr08\apps\0ffice\updates\maintwiz.exe /c "EngOfficeUpdate.cmw" /q
Při práci s průvodcem Custom Maintenance Wizard nezapomínejte na následující
skutečnosti:
 Jestliže byla sada Microsoft Office 2003 nainstalována pro jednotlivě počítače,
aplikují se aplikace pro jednotlivé počítače, což bude mít dopad na všecliny
uživatele těchto počítačů. Jestliže ale byla sada Microsoft Office 2003 nainstalo-
vána pro jednotlivé uživatele, provede Instalační služba systému Windows změ-
ny pouze pro uživatele, kteří spustí průvodce a použijí daný soubor . cmw.
 Služba Office Source Engine kontroluje pouze zdroj, ze ktere ho uživatel sadu
Microsoft Office původně nainstaloval, a předá informace průvodci Custom Main-
tenance \X izard Jestliže jste Microsoft Office nainstalovali ze správcovského umís-
tění, bude Instalační služba systému Windows platný zdroj pro aplikaci souboru
.cmw hledat. Jestliže jste sadu Microsoft Office nainstalovali z místního instalačního
zdroje, musíte soubor . cmw uložit do původního komprimovaného zdroje.
Přizpůsobování konfigurací sady Microsoft Office
385
 Pouze správci mohou aplikovat soubory ,cmw na uživatelský počítač z kterého-
koliv umístění. Chcete-li běžným uživatelům umožnit, aby mohli na své počítače
aplikovat aktualizace, musíte uložit soubor . cmw a soubor Mai ntwi z. exe do složky
správcovské instalace (jak bylo doporučeno výše). Tento požadavek můžete obejít
tak, že ve složce Computer ConfigurationXAdministrative TemplatesXWindows
ComponentsXWindows Installer zapnete nastavení Always Install With Elevated
Pmileges.
Soubory . cmw můžete zaváděl také prostřednictvím zásad. Postup je následující:
1.	V zásadách skupiny otevřete položku Software Installation. U zaváděni sady
Microsoft Office pro jednotlivé počítače nalistujte složku Computer Configurati-
onX Software SettingsXSoftware Installation. U zavádění sady Microsoft Office pro
jednotlivé uživatele nalistujte složku User ConfigurationX Software Set-
tingsX Software Installation.
2.	Klepněte pravým tlačítkem na balíček Office a zvolte Properties.
3.	Na kartě Modifications klepnete na tlačítko Add. Zadejte cestu k souboru .cmw
a pote klepnete na tlačítko OK. Vybraný soubor .cmw bude následně zaveden
a použit k prekonfigurovaní sady Microsoft Office.
Příprava prostřed pro použití zásad
Sada Office 2003 Resource Kit obsahuje šablony pro správu, které budeme pro
přehlednost označovat iako „šablony pro správu sady Microsoft Office 2003“. Tyto
šablony obsahují nastavení zasad pro přizpůsobování konfigurace aplikací sady
Microsoft Office. Šablony pro správu sady Microsoft Office 2003 neposkytují ke
konfiguraci všechny prvky uživatelského rozhraní všech aplikací sady Office. Na-
místo toho vám, v zajmu zachováni maximální kontroly a minimální složitosti sprá-
vy instalací sady Microsoft Office, nabídnou nejčastěji používané prvky.
Šablony pro správu sady Microsoft Office 2003 se během instalace sady Office 21 )03
Resource Kit zkopíruji do složky %SystemRoot%\fríf místního počítače, což je vý-
chozí umiste ní pro šablony zasad. V tomto okamžiku ale šablony zásad ještě nejsou
připraveny pro použití v rámci vaší organizace. Když se do složky %SystemRo-
ot%\Inf podíváte, najdete několik souborů s příponou .adm. Každý z nich sc vzta-
huje na jednotlivé aplikace sady Microsoft Office. Tabulka J0.2 uvádí všechny
soubory a aplikace, ke kterým patří. V případě, že jste si stáhnuli nástroje a soubory
pro aplikace Project a Visio, najdete ve složce o dva .adm soubory více. Tyto sou-
bory jsou v tabulce uvedeny také.
TABULKA 10.2: Soubory šablon pro správu sady Microsoft Office 2003
Název souboru Název aplikace sady Microsoft Office
Access 11 .adm Microsoft Access 2003	_
Excel 11 .adm	Microsoft Excel 2003
Fp 11 .adm	Microsoft FrontPage 2003	__
Gal 11 .adm Microsoft Clip Organizer	_
Inf 11 .adm Microsoft InfoPath 2003
implementace
a scénáře
86
Kapitola 10 - Správa konfigurací sady Microsoft Office
Název souboru Název aplikace sady Microsoft Office
Office 11 .adm Microsoft Office 2003, který řídí obecná nastavení konfigurace sady Microsoft
Office
Onentl 1 .adm Microsoft OneNote 2003
Outlk 11 .adm Microsoft Outlook 2003
Ppt 11 .adm Microsoft PowerPoint 2003
Projí 1 .adm Microsoft Project 2003; k dispozici pouze když nainstalujete soubor zásad
aplikace Microsoft Project
Pub11 .adm Microsoft Publisher 2003
Visio 11 .adm Microsoft Visio 2003; k dispozici pouze když nainstalujete soubor zásad apli-
kace Microsoft Visio
Word 11 .adm Microsoft Word 2003
Zavádění souborů šablon pro správu sady
Microsoft Office
«
Podle potřeby můžete zavést všechny nebo jen jeden ze souborů šablon pro správu
sady Microsoft Office. Chcete-li do svého prostředí zasad skupiny zavést šablonu,
musíte do objektu GPO (Group Policy Object), v němž bude použita, nejprve při-
dat soubor teto šablony. Existují dva odlišné doporučené přístupy, které vycházejí
z toho, zda soubory šablon pro správu sady Microsoft Office zavádíte v rámci orga-
nizace poprvé, nebo kvůli nově publikované opratě Service Pack (nebo jiné aktua-
lizaci) aktualizujete zasady související se sadoti Microsoft Office.
£Poznámka Šablony pro správu sady Microsoft Office 2003 se zavádějí na bázi objektu GPO
Tato technika zavádění se liší od techniky používané pro nové operační systémy a opravy
operačních systémů. U nových verzí operačních systémů a opravných balíčků operačních sys-
témů můžete zaktualizovat celé prostredi zásad skupiny (aktualizace budou aplikovaný na
všechny objekty GPO).
První zavádění souborů šablon pro správu sady Microsoft Office
Chcete-li do nějakého objektu GPO poprvé zavést šablony zásad souvisejících se
sadou Microsoft Office, postupujte následovně:
I.	Jestliže zavádíte nastaveni zásad sady Microsoft Office poprvé a provedli jste ak-
tualizaci souboru zásad, měli byste aktualizované soubory nejdříve zkopírovat
do složky %SystemRoot%\Inf místního počítače.
2.	Otevřete objekt GPO, s nímž chcete pracovat. Ve složce L ser Configuration klepně-
te pravým tlačítkem na Administrativě Templates a pomocí příkazu Add/Remove
Templates zobrazte aktuálně nahrané soubory .adm (viz obrázek 10.1).
3.	Klepnutím na tlačítko Add otevřete dialog Policy Templates. Výchozí složka je
%SystemRoot%\ Inf.
4.	Zvolte soubor(y) Šablon(y), které se mají načíst. Chcete-li označit více souborů,
podržte podle potřeby klávesu Shift nebo Ctrl.
Přizpůsobování konfigurací sady Microsoft Office 387
OBRÁZEK 10.1: Prohlíženi dialogu Add/Remove Templates nástroje
Group Policy Object Editor
5-	Klepnete na tlačítko Open a poté klepněte na tlačítko Close. Jmenný prostor ša-
blon pro správu se změní tak, aby obsahoval nové položky reprezentující nasta-
veni zásad, ktere jste pravé přidali (viz oblázek 10.2).
6.	Tento postup zopakujte pro všechny objekty GPO, které mají používat zasady
související se sadou Microsoft Office.
Poznámka Přidané soubory se zkopírují do části SYSVOL daného objektu GPO a zrepiikují se
na všechny doménové řadiče dané domény. (Další informace o uložení zásad skupiny najde-
te v oddíle „Struktura a zpracovánízásad skupiny" kapitoly 13.)
Implementace
a scénáře
OBRÁZEK 10.2: Prohlíženi jmenného prostoru zásad skupiny po přidání souborů šablon pro
správu sady Microsoft Office
Aktualizace dříve zavedených šablon pro správu sady Microsoft Office
Aktualizace zásad souvisejících se sadou Microsoft Office jsou poskytovány v podobě
opravných balíčku nebo obecných aktualizací určité sady Office Resource Kit. Micro-
soft Office 2003 je první verzi sady Office, jejíž doporučena technika pro nastavovaní
a správu zásad v organizaci jsou zásady skupiny. Pro sadu Office 2003 Resource Kit jiz
vyšlo několik opravných baličku. Každý z nich obsahuje aktualizace šablon pro sprá-
vu sady Microsoft Office 2003- Více informací o aktualizacích šablon sady Microsoft
88
Kapitola 10 - Správa konfigurací sady Microsoft Office
Office 2003 najdete na internetové adrese http://office.microsoft.coni/en-us/
assi stance/HAOl1513711033.aspx.
Po stažení opravného balíčku je potřeba na vašem lokálním počítači vytvořil novou
složku a poklepáním na stažený soubor zahájit proces extrakce. Až budete požádá-
ni o zadání cílové složky pro rozbalené soubory, zadejte cestu k nově vytvořené
složce. Nástroje a soubory7 aktualizace se následně zkopírují do určeného umístění
Chcete-li aktualizovat dříve zavedené šablony zasad pro správu sady Microsoft Offi-
ce, postupujte následovně:
1.	Otevřete objekt GPO, se kterým chcete pracovat. Ve složce User Configuration
(Konfigurace uživatele) klepněte pravým tlačítkem na Administrativě Templates
(Šablony pro správu) a pomocí příkazu Add/Remove Templates (Přidat nebo
odebral šablony) zobrazte aktuálně nahrané soubory .adm.
2.	Klepnutím na tlačítko Add (Přidat) otevřete dialog Policy Templates (Šablony zá-
sad). Pomocí seznamu Look In (Oblast hled,mí) vyberte složku, do níž jste
z opravy Serváce Pack sady Microsoft Office nainstalovali aktualizace zásad.
3.	Zvolte soubor(y) šablon(y), které se mají načíst. Chcete-li označit více souboru,
podržte podle potřeby klávesu Shift nebo Ctrl.
4.	Po klepnutí na tlačítko Open se otevře dialog Cornirm Filé Replace (Potvrdit
přepsaní souboru). Jestliže jste označili více Šablon, klepnete na tlačítko Yes To
All. Jinak použijte možnost Yes.
5.	Klepněte na tlačítko Close. Přidané soubory se zkopírují do části SYSVOL dané-
ho objektu GPO. Až se aktualizace /replikují na všechny’ doménové řadiče dané
domény, budete moci nové zásady začít používat. Také byste měli zkontrolovat
dříve nakonfigurované zasady, zda v nich nedošlo k nečekaným změnám.
6.	Tento postup zopakujte pro všechny objekty GPO, které mají používat zásady
související se sadou Microsoft Office.
Tvorba objektů GPO pro konfiguraci sady
Microsoft Office
Chcete-li si ušetřit spoustu zbytečné práce, měli byste zavádění vašich konfiguraci
sady Microsoft Office pečlivě plánovat. Muže vás to svádět, abyste zasady souvisejí-
cí se sadou Microsoft Office přidali do existujících objektu GPO pracovišť, domén
nebo organizačních jednotek. Pro konfiguraci sady Microsoft Office by se ale měly
použít samostatné objekty GPO připojené k odpovídajícím pracovištím, doménám
či organizačním jednotkám vaší organizace. Tento přístup vam poskytne vetší flexi-
bilitu a usnadní vám správu vašich instalací sady Microsoft Office.
Pro lepší pochopení zde uvedeme několik konkrétních situací:
	Případ A: Do organizačních jednotek Marketing, Prodej, Technologie a Zákaz-
nická podpora jste zavedli sadu Microsoft Office 2003- Konfiguraci sady Micro-
soft Office chcete spravovat ve všech uvedených prostředích samostatně. Proto
do objektů GPO organizačních jednotek Marketing, Prodej, Technologie a Zá-
kaznická podpora přidáte šablony pro správu sady Microsoft Office 2003-
V těchto objektech GPO pak upravíte konfiguraci sady Microsoft Office. Sice
Přizpůsobovaní konfigurací sady Microsoft Office
389
budete mít konfigurace oddělené, ale změnu každé konfigurační možnosti bude
třeba provádět jednotlivě v každém z objektů GPO.
	Případ B: Sadu Microsoft Office 2003 jste zavedli do organizačních jednotek
Prodej HK, Prodej PHA, Prodej PLZ, Prodej VIT a Prodej PCE. Konfigurace sady
Microsoft Office chcete ve všech prostředích spravovat stejně. Vytvoříte tedy ob-
jekt GPO pro konfiguraci sady Microsoft Office a přidáte clo něj šablony pro
správu sady Microsoft Office 2003. Sadu Microsoft Office pote \ tomto objektu
GPO nakonfigurujete a připojíte jej k organizačním jednotkám Prodej HK, Pro-
dej PHA, Prodej PLZ, Prodej VIT a Prodej PCE. Získáte tak jednotnou konfigura-
ci zavedenou do několika nižných objektu GPO.
	Případ C: Sadu Microsoft Office 2003 jste zavedli do organizačních jednotek Vý-
voj, IT, Účetnictví a Prodej. Konfiguraci sady Microsoft Office chcete spravovat ve
všech uvedených prostředích samostatné Vytvoříte tedy objekt GPO pro konfigu-
raci sady Microsoft Office a přidáte do něj šablony pro správu sady Microsoft Office
2003- Sadu Microsoft Office pote v tomto objektu GPO nakonfigurujete tak, aby
tento objekt GPO sloužil jako zdroj základní konfigurace. Následně vytvoříte 4 ko-
pie tohoto objektu GPO a nazvete je Zásady pro Vývoj, Zasady pro IT, Zásady pro
Účetnictví a Zasady pro Prodej. Výchozí konfiguraci objektu GPO pak odpovídají-
cím způsobem upravíte a připojíte je k organizačním jednotkám. Pomoci objektu
sc základní konfigurací si ušetříte práci, která by byla nutná pro tvorbu všech
konfigurací samostatně.
Jak vidíte, tak způsob, kterým se rozhodnete konfigurace sady7 Microsoft Office za-
vádět, muže mít velký vliv na množství práce, ktere bude potřeba udělat. Při tvorbě
objektu GPO pro konfiguraci sady Microsoft Office berte v úvahu i to, kdo bude
příjemcem dané konfigurace. Zásady se implicitně vztahují na všechny uživatele či
počítače pracoviště, domény nebo organizační jednotky, k nimž objekt GPO připo-
jíte. Vzhledem k tomu, že takové chování nemusí být zcela optimální, může se stát,
že budete muset aplikaci zásad filtrovat. Jestliže pro objekt GPO pro konfiguraci
řady Microsoft Office například nakonfigurujete bezpečnostní filtrování tak, aby se
zásady aplikovaly pouze na Členy skupiny Temp Sales, obdrží tuto konfiguraci sady
Microsoft Office pouze členové skupiny Temp Sales.
Správa více verzt konfigurace
sady Microsoft Office
Rozhodnuti ohledne zavádění určité verze sady Microsoft Office nespočívá jen v od-
povědi ano/nc. Často budete mít různé skupiny uživatelů s různými verzemi sady
Microsoft Office. Například oddělení Prodej a Finance mohou mít Microsoft Office XP,
zatímco zbytek firmy Microsoft Office 2003- Takto smíšené prostředí neznamená žád-
ný větší problém, neboť prostřednictvím zásad můžete spravovat obě instalace.
Jak již bylo uvedeno drive, soubory zásad sady Microsoft Office jsou distribuovaný
jako součást sady Office Resource Ku. Jestliže mate uživatele, kteií používají obě
verze (Microsoft Office 2003 a Microsoft Office XP), budete muset nainstalovat jak
sadu Office 2003 Resource Kit, tak i Office XP Resource Kit. \ sadě Office 2003 Re-
source Kit najdete soubory zasad, ktere použijete pro správu konfiguraci Microsoft
Implementace
a scénáře
90
Kapitola 10 - Správa konfigurací sady Microsoft Office
Office 2003. V sade Office XP Resource Kit najdete soubory zásad, ktere použij^
pro správu konfigurací Microsoft Office XP.
V současnosti lze nástroje Office XP Resource Kit Tools stáhnout z internetové ad-
resy http://www.microsoft.com/downloads/details.aspx?Fami1yID=25b30c79-b248-
4eb9-8057-be0043f 5b881&Di spl ayLang=en. Sada Office XP Resource Kil obsahuie
soubory šablon pro správu všech aplikací sady Microsoft Ol fiče XP. Tyto šablony
pro správu nainstalujete a použijete pomocí dříve zmiňovaných technik. Jak je videi
v tabulce 10.3, soubory zásad sady Microsoft Office XP mají odlišné názvy než
ostatní verze sady Microsoft Office. Díky tomu se vám nemůže stát, že byste nedo>
patřením přepsali existující konfigurace zásad pro správu sady Microsoft Office
a též vám to umožňuje odděleně spravovat různé verze zásad sady Microsoft Offi-
ce. Pro jednotlivé verze sady Microsoft Office a jim přiřazené aplikace budete mít
dokonce samostatné větve zásad.
TABULKA 10.3: Soubory šablon pro správu sady Microsoft Office XP
Název souboru	Aplikace sady Microsoft Office
Access 10.adm	Microsoft Access 2002
Excel 10.adm	Microsoft Excel 2002
FpW.adm	Microsoft FrontPage 2002
GaHO.adm	Microsoft Clip Organizer
Office 10.adm	Microsoft Office 2002, který řídí obecná nastavení konfigurace sady Micro-
soft Office
Outlk 10.adm	Microsoft Outlook 2002
PptW.adm	Microsoft PowerPoint 2002
PubW.adm	Microsoft Publisher 2002
Word 10.adm	Microsoft Word 2002
Soubory šablon pro správu instalací sady Microsoft Office 2000 jsou součástí sady
Office 2000 Resource Kit, která je dostupná na teto internetové adrese:
http://www.microsoft.com/downloads/details.aspx?Family ID=982348b3- 0005-
4 792 - a 15c - 34 f 7 38b3c3 28&Di spi ayl_ang=en. Stejně jako v případě sady Microsoft Of-
fice XI5, tak i nastavení šablon pro správu sady Microsoft Office 2000 mohou koe-
xistovat v jednom objektu GPO vedle na stavení pro další verze sady Office.
Vzhledem k tomu, že různé verze sady Microsoft Office obsahují různé funkce,
podporují jednotlivé verze souborů šablon pro správu sady Microsoft Office mírně
odlišné sady zásad. To znamená, že při přesunu z jedné verze na jinou nelze do-
sáhnout zcela kompletní shody v nastaveních zásad. Obecně lze ale říci, že nasta-
vení jednotlivých verzí jsou si podobná.
Další důležitou skutečnosti je také to, že různé verze sady Microsoft Office se
v registru systému Windows sprav ují odděleně. Například zásady šablon pro správu
sady Microsoft Office XP využ vají klíč HKEY_CURRENT_USER\Sof tware\Po 1 i ci es\
Microsoft\0ffice\10.0\, zatímco sada Microsoft Office 2003 používá klíč HKEY_CUR"
RENT—USERXSoftware\Pol i ci es\Mi crosoft\0f f i ce\ 11.0. To znamená, že nastavení
zásad sad Microsoft Office XI5 a Microsoft Office 2003 spolu v rámci jednoho uživatel-
Správa zásad souvisejících se sadou Microsoft Office
391
ského úCtu nekolidují. Také z toho vyplývá, že můžete mít jeden objekt GPO obsahu-
jící šablony pro správu sady Microsoft Office XP i Microsoft Office 2003.
Příkladem situace, kdy byste mohli chtít umístit oboje nastavení šablon sady Micro-
I soft Office XP i Microsoft Office 2003 do jednoho objektu GPO, by byl případ
v němž byste mělí tento objekt GPO připojený k organizační jednotce obsahující
uživatele s oběma zmiňovanými verzemi sady Microsoft Office. Umístění všech va-
šich konfiguračních nastavení sady Microsoft Office do jednoho objektu GPO by
vam pomohlo udržet přehled o tom, která nastavení používáte, a molili byste snad-
no porovnávat nastavení sady Microsoft Office XI5 s odpovídajícími nastaveními sa-
I dy Microsoft Office 2003-
Obě verze šablon pro správu sady Microsoft Office byste molili také implementovat
do samostatných objektů GPO. Takové řešeni zvolíte v situaci, když budete chtít
skupinám uživatelů zabránit ve zpracovaní jedné nebo druhé sady zasad. V tomto
případe byste mohli nastavení zásad rozdělit do objektů GPO podle verze a pomocí
bezpečnostního filtrovaní řídit, která skupina uživatelů bude zásady zpracovávat.
V organizační jednotce Marketing by například mohli Microsoft Office XP používat
členové skupiny Marketing Podpora a členové skupiny Marketing by směli používat
Microsoft Office 2003- takovém případě byste mohli vytvořit objekty GPO Office
XI3 Users a Office 2003 Users a pomoci filtrovaní bezpečnostních skupin zajistit, že
se zásady použiji pouze pro uživatele, kteří používají konkrétní verzi sady Office.
Někdy je snáze implementovatelným řešením použití filtru služby WMI, pomoci
kterého zjistíte, která verze sady Microsoft Office je na daném počítači nainstalová-
na. Jednoduchý filtr služby WMI zjišťující přítomnost sady Microsoft Office 2003,
Í připojený k nějakému objektu GPO, by mohl Vypadat například takto:
Root\cimV2;Select * FROM Win32_Product WHERE Caption="Microsoft Office
I Professional Edition 2003”
Podobně byste mohli vytvořit filtr služby WMI připojený k objektu reprezentujícímu
sadu Microsoft Office XP, který by ve nazvu třídy Win32_Product hledal řetězec Of-
Ifice XP. Nezapomeňte ale na to, že když je na počítači nainstalováno velké množ-
ství aplikací, může provedeni tohoto dotazu WMII trvat poměrně dlouho, což
zpomalí zpracování zasad skupiny. Před nasazením do produkčního prostředí vam
doporučujeme provést dostatečné testovaní.
10.3 Správa zásad souvisejících
se sadou Microsoft Office
Všechny objekty GPO, do kterých jste zavedli zasady pro správu sady Microsoft Of-
fice, jsou aktualizovány, aby” obsahovaly vybrané šablony pro správu. Šablony pro
spiávu sady Microsoft Office 2003 obsahují více než 2500 nastavení zásad.
ÝjrS Poznámka V dodatku D najdete některá z oblíbených nastavení jednotlivých souboru šab-
Ion. Aktualizované šablony pro správu sady Microsoft Office 2003 s opravou Service Pack 1
obsahují také soubor ve formátu programu Microsoft Excel s názvem „Office 2003 Group Po-
licies.xls". Tato tabulka popisuje všechna dostupná nastavení.
Implementace
a scénáře
••óeort ckuninv

92
Kapitola 10 - Správa konfigurací sady Microsoft Office
Práce s zásadami pro správu sady Microsoft Office
Většina zásad pro správu sady Microsoft Office se konfiguruje ve složce User Con
figura tion\ Administrativě Templates (viz obrázek 10.3). Jen hrstka z nich se nachází
ve složce Computer ConfigurationXAdministrativě Templates.
OBRÁZEK 10.3: Prohlížení zásad pro správu sady Microsoft Office
Všechny zásady reprezentují nějakou možnost nebo funkci určité aplikace sady
Microsoft Office. Při práci s těmito zásadami nezapomínejte na toto:
	Zásady pro správu sady Microsoft Office, které spadají do složky User Configu-
ration, slouží k nastavení zásad pro jednotlivé uživatele. Zásady pro jednotlivé
uživatele ovlivňují jednotlivé uživatele, obvykle v rámci určité organizační jed-
notky.
	Zásady pro správu sady Microsoft Office, které spadají do složky User Configu-
ration, slouží k nastavení zásad pro jednotlivé počítače. Zásady pro jednotlivé
počítače ovlivňují všechny uživatele počítačů, pro ktere platí daný objekt GPO.
Vzhledem k tomu, že existuje tak málo nastavení zasad sady Office určených pro jed
notlive počítače, budete primárné pracovat s nastaveními pro jednotlivé uživatele.
Nastavení jednotlivých aplikací a obecná nastavení
Zásady pro správu sady Microsoft Office jsou v obou kategoriích rozděleny do
dvou obsáhlých částí:
	Obecná nastavení všech aplikací sady Microsoft Office, která se konfigurují
složce Microsoft Office 2003.
	Nastavení jednotlivých aplikací, která se konfigurují ve složce zásad pojmeno-
vané po aplikaci, na kterou se nastavení zásad vztahují.
Správa zásad souvisejících se sadou Microsoft Office
393
Pro obecnou správu sady Microsoft Office a její konfiguraci byste měli používat
především obecná nastavení. Obecná nastavení se používají ke konfiguraci stan-
dardních možností, nástrojových lišt a nabídek, jazykových nastavení, funkcí pro
spolupráci či zasílání zprav a nastavení zabezpečení, která se použijí ve všech apli-
kacích sady Microsoft Office. Zásady User Templates Path nacházející se ve složce
User ConfigurationXAdministrativě TemplatesX Microsoft Office 2003\Shared Paths
můžete použít například k nastaven; standardní složky pro soubory šablon. Jestliže
použijete síťovou sdílenou složku, pak všichni uživatelé, na které se vztahuje aktu-
ální objekt GPO, použijí loto umístnění jako výchozí cestu pro soubory šablon.
Chcete-li optimalizovat konfiguraci určité aplikace, použijete nastavení této aplikace.
Každá aplikace sady Microsoft Office ma svou vlastní složku zásad. Většina z nich má
také zásady Disable Items In User Interface (Zablokovat použiti v uživatelském roz-
hraní), které lze použít pro zablokovaní určitých tlačítek příkazové lišty a položek
v nabídkách.
Implementace
a scénáře
id ctaininv
Tip Nastavení Disable Items In User Interface vam muže být velmi užitečné při optimalizaci
konfigurace vaší sady Microsoft Office a blokování funkcí, ktere by mohly ohrozit bezpeč-
nost vašeho prostředí nebo v něm způsobit problémy. Zásady Disable Items In User Interface
můžete použít k zablokování předem nadefinované množiny možností nebo také k vytvoře-
ní vaší vlastní množiny blokovaných možností. Podrobnosti najdete v oddíle „Ochrana kon-
figurací sady Microsoft Office před uživateli".
Konfigurace nastaveni zásad pro správu sady
Microsoft Office
Na rozdíl od jiných souborů šablon pro správu, s nimiž se můžete setkat, mají šab-
lony pro správu sady Microsoft Office funkci, která může b)l /počátku matoucí.
U některých zasad je nutné nejprve zvolit stav zasad (Not Configured, Enabled, or
Disabled) a poté pomocí zaškrtává čího políčka zásady zapnout. Jedna z těchto zá-
sad je vidět na obrázku 10.+.
OBRÁZEK 10-4: Prohlížení zasad sady Microsoft Office, které pro zapnutí vyžadují potvrzení
Kapitola 10 - Správa konfigurací sady Microsoft Office
Chcete-li tyto zásady zapnout, musíte nastavit stav na Enabled a zaškrtnout políčí^
„Check To Enforce Setting On; Uncheck To Fnforcv Setting Off“. Jestliže uvede^
políčko nezaškrtnete, zásady se po potvrzení vrátí zpět do stavu Disabled. Při k< nl
figurování zásad pro správu sady Microsoft Office mějte tuto skutečnost na paměti
neboť se jedná o chování odlišné od toho, s nímž se setkáte u obvyklých šablon
pro správu systému Windows.
Při práci s nastaveními zásad pro správu sady Microsoft Office nezapomínejte ani
na následující:
	Zrušení zapnutého nastavení zásad nevede k vypnutí daných zásad. Pouze se
tím změní chovaní nastavené prostřednictvím těchto zásad. Chcete-li zásady vy-
pnout, musíte je nastavit na hodnotu Not Configured.
	Nastavením dříve vynucovaných zásad na hodnotu Not Configured odstraníte
vynucování a obnovíte nastavení nebo možnost buď do výchozího standardu,
nebo do poslední hodnoty určené uživatelem.
	Nastavení zásad na hodnotu Disabled vyjde obvykle nastejno jako nastavení zá-
sad na hodnotu Not Configured. Ve většině případů se zásady vrátí ke svému
výchozímu chování a uživatelé budou moci spravovat odpovídajfcí nastavení,
jak tomu bylo předtím, než bylo aplikováno omezení nebo změna.
Poznámka Toto chování je specifické pro zásady správy Microsoft Office. Chovaní ostatních
nastavení zásad pro stavy Enabled, Disabled a Not Configured je popsáno v jiné části teto
knihy. Přehled najdete v oddíle „Nastavení a možnosti skupinových zásad" kapitoly 1.
Ochrana konfigurací sady Microsoft Office
před uživateli
Po zavedení zásady pro správu sady Microsoft Office si můžete všimnout, že nastavení
zásad, která jste specifikovali, se sice zavedla podle očekávání, ale jeví se jako by je
uživatel mohl dodatečné měnit. \ jiných oblastech zasad je možnost, kterou uživatel
nemůže měnit, zasedlá. Zásady pro správu sady Microsoft Office jsou ale výjimkou.
Jak zabránit provádění změn v konfiguracích sady Microsoft Office
U zásad pro správu sady Microsoft Office zablokované možnosti zašedlé nejsou.
Všechny změny, které uživatel provede v zablokovaných možnostech, jsou jen do-
časné. Jakmile uživatel ukončí práci a aplikaci restartuje, použije aplikace znovu
hodnoty uvedené v zásadách.
Nicméně přístup uživatelů k určité položce nabídky aplikace sady Microsoft Office
je možné zcela zablokovat. Všechny šablony pro správu Microsoft Office (kromě
šablon pro aplikací OneNote, Project a Publisher) obsahují zásady Disable Items In
The User Interface. Tyto zásady můžete použít k řízeni toho, které možnosti nabíd-
ky uživatel uvidí.
Uvažujme následující příklad. Dejme tomu, že v aplikaci Word 2003 chceme zablo-
kovat možnost Podokno úloh po spuštěni. Ifclteré se nachází v nabídce Nástroje,
Možnosti, Zobrazení. Chceme ji ale zablokovat tak, aby uživatelé tuto možnost vů-
bec neviděli, K tomuto účelu můžeme použít zásady pro správu aplikace Word
Správa zásad souvisejících se sadou Microsoft Office
395
2003 a s jejich pomocí zablokovat prvky uživatelského rozhraní tak. aby se položka
Možnost: v nabídce Nástroje nenacházela.
Když uživatelé nyní otevřou nabídku Nástroje, bude položka Možnosti zasedlá a ne-
dostupná. Tento přístup vám umožňuje dobře řídit, co vaši uživatelé mohou a nemo-
hou dělat se svými konfiguracemi sady Microsoft Office. Výsledkem muže být zvýšení
bezpečnost' vašeho prostředí a snížení počtu žádostí na odbornou pomoc způso-
bených tím, že si uživatel omylem změnil nastavení, kterého se neměl dotýkat.
€hcete-li uživatele informovat o tom, proč jsou určité možnosti zasedle (aby kvůli
tomu později nevolali centrum odborné pomoci), můžete k zablokovaným polož-
kám přidat komentar s vysvětlením (tzv. Tooltip). Vaše zpráva se uživateli zobrazí
v okamžiku, kdy najede myší nad položku, která byla zablokovaná prostřednictvím
zásad. Podrobnosti najdete v oddíle „Konfigurace upozornění pro zablokované
možnosti a položky nabídek“.
Blokování možností a položek nabídek sady Microsoft Office pomoci
přednastavených možností
Zásady Disable Items In The User Interface určují, které možnosti nabídek uživatel
uvidí. Tyto zásady můžete použit k zablokování změn ve všech aplikacích sady
Microsoft Office kromě aplikafcí OneNote. Project a Publisher. Postup je následující:
1.	Nalistujte složku User ConfigurationXAdministrativě Templates a poté rozbalte
větev aplikace sady Microsoft Office, pro kterou chcete zablokoval možnosti
nabídek.
2.	Ve složce Disable Items In User Interface XPredcfined poklepejte na nastavení
Disable Command Bar Butions And Menu Items.
3.	V dialogu Properties zvolte Enábled. Objeví se seznam možností, které lze za-
blokovat (viz obrázek 10.5).
4.	Pro možnosti nabídek, ktere chcete blokovat, zaškrtněte políčka.
Poznámka Uvedeny jsou pouze obvykle blokovaní možnosti a položky nabídek. Jestliže
možnost, kterou chcete zablokovat, nevidíte, neznamená to ještě, že ji nelze zablokovat. Ví-
ce informací najdete v oddíle „Blokování možností a položek nabídek sady Microsoft Office
pomocí vlastních možnosti".
5.	Klepněte na tlačítko Ob.
Blokování možností a položek nabídek sady Microsoft Office
pomocí vlastních možnosti
Předchozí oddíl se zabýval tím, iak zablokovat položky nabídek pomoct přednasta-
vené sady možností. Jak jste mohli vidět, tyto přednastavené možnosti jsou značně
omezené. Chcete-li tento seznam rozšířit, můžete si vytvořit vlastni možnosti pro
blokování dalších položek. Takto můžete docílit toho, že zablokujete i položky
a možnosti, které nejsou obsaženy v připraveném seznamu. Tento proces sestava
z několika částí.
Imolementace
a scénáře
•jscad skuDiny
396
Kapitola 10 - Správa konfigurací sady Microsoft Office
OBRÁZEK 10. 5: Blokováni možnosti nabídek prostřednictvím zásad
Krok 1: Určení identifikátoru položky nabídky Pro zablokování položky nabíd-
ky je třeba znát její jednoznačný identifikátor. Všechny položky nabídek a tlačítka
aplikací sady Microsoft Office mají svůj jednoznačný identifikátor. Chcete-li zjistit
hodnotu tohoto jednoznačného identifikátoru, potřebujete v aplikaci, kterou chcete
ovin nit, vy konat určitv kód jazyka VBA. Postupujte naslcdox ně:
1.	Spusťte aplikaci sady Microsoft Office, pro niž chcete zjistit identifikátor. Stiskně-
te klávesy Alt+FTl nebo zvolte Tools, Macro, Visual Basic Editor a spustí se ná-
stroj Visual Basic Editor.
2.	\ nástroji Visual Basic Editor zvolit View, Immediate Window. Když se v dolní
části obrazovky objeví podokno, zkopírujte do něj následující příkaz:
? Command - arsí"menu bar").controls("MenuName").controls("Menu I tem"). i,d
Výrazy controls("MenuName") a control s( "Menultem") reprezentují položku na-
bídky, jejíž identifikátor chcete zjistit. Kdybyste chtěli zjistit například identifiká-
tor položky Tools I Options, použili byste následující příkaz:
? CommandBarsí"menu bar”).controls("Tools").controls("Options...").id
3.	Dotkněte klávesu Enter a v podokně se pod zadaným příkazem zobrazí vrácená
hodnota. V našem případě by to bylo 522.
Jestliže máte zkušenosti s psaním kódu v jazyce Visual Basic, můžete tuto techniku
rozšířit o spuštění makra, které vytvoří seznam všech možností na určité nástrojové liš-
tě. Ukázka 10.1 obsahuje kód, který byste k tomuto účelu mohli použit. V této ukázce
procházíte nabídku Nástroje, ale název procházené nabídky můžete snadno změnit.
UKÁZKA 10.1: Kód pro vypiš všech položek nabídky
Sub EnumerateControls()
Dim iebe As Integer
Dim ebes As CommandBarControls
Set ebes = Application.CommandBarsí"Menu Bar").Controls("Tools").Controls
For iebe = 1 To cbcs.Count
MsgBox ebesíiebe).Caption & " = " & ebesíiebe).ID
Správa zásad souvisejících se sadou Microsoft Office
Next icbc
End Sub
Krok 2: Použití vlastních zásad blokování Až zjistíte identifikátory položek na-
bídky, můžete je použít k nakonfigurování vlastních zásad blokování. Jakmile bu-
dou zásady zavedeny, odpovídající položky nabídek se pro uživatele deaktivují.
Chcete-li vytvořit nebo upravit vlastní zásady pro blokovaní, postupujte následovně:
1.	Nalistujte složku User ConfigurationX Administrativě Templates a poté rozbalte vě-
tev aplikace sady Microsoft Office, pro níž chcete zablokovat možnosti nabídek.
2.	Ve složce Disable Items In User InterfaceXCustom poklepejte na nastavení Dis-
able Command Bar Buttons And Menu Items.
3.	V dialogu Properties zvolte možnost Enabled a poté klepněte na tlačítko Show.
4.	V dialogu Show Contents najdete seznam momentálně blokovaných identifiká-
torů (viz obrázek 10.6).
5.	Chcete-li zablokovat další položku nabídky vybrané aplikace, klepněte na tlačít-
ko Add, do dialogu Add Item zadejte identifikátor a klepněte na tlačítko OK
6.	Chcete-li povolit položku nabídky, která byla dříve zabk>kovana, zvolte v seznamu
Command Bai ID položku nabídky a následně klepnete na tlačítko Remove.
Konfigurace upozornění pro zablokované možnosti a položky nabídek
Když prostřednictvím zásad zablokujete možnosti a položky nabídek, bývá obvykle
dobrým zvykem upozornit uživatele. Jedním ze způsobů, jak to provést, je nastavit
globální zprávu, která se zobrazí každému uživateli, který se pokusí použit zablo-
kovanou možnost nebo položku nabídky? I jednoduchý text jako například „Z dů-
vodů zachovaní bezpečnosti a kompatibility byla tato funkce zablokována může
předejít frustraci vyvolané tím, kdyby se uživatelé bezúspěšně snažili zvolit bloko-
vanou položku či možnost.
OBRÁZEK 10.6: Použití vlastního identifikátoru k zablokování položek nabídky
Chcete-li nakonfigurovat glób.dní komentář pro zablokované možnosti a položky
nabídky:
1.	Nalistujte složku User ConfigurationXAdministrativě TemplatesXMicrosoft Office
2003XDisable Items In User Interface.
Kapitola 10 - Sprava konfigurací sady Microsoft Office
2.	Ve složce Prcdefined poklepejte na položku ToolTip For Disabled Toolbar B j
tons And Menu Items.
Poznámka Nastavení ToolTip For Disabled Toolbar Buttons And Menu Items je součástí ak-
tualizace šablon pro správu sady Microsoft Office 2003 s opravou Service Pack 1.
3.	V dialogu Properties zvolte možnost Enabied a poté zadejte text komentáře (viz
obrázek 10.7). Maximální délka tohoto textu muže být 69 znaku.
4.	Klepněte na tlačítko OK.
OBRÁZEK 10.7: Nastavení textu komentáre pro zablokované možnosti a položky nabídek
Řízení výchozího umístění souborů a složek
Obvykle budete chtít určit, odkud mohou uživatelé otevírat dokumenty a kam je mo-
hou ukládat. Když je sada Microsoft Office nainstalovaná například v prostředích
s terminálovým serverem, muže být nežádoucí, aby uživatele ukládali soubory na sa-
motný terminálový server. Celou věc lze vyřešit pomocí souborového systému NTFS
a přístupových oprávnění, ale zásady šablon pro správu sady Microsoft Office dokáží
uživatele nasměrovat správným směrem. Všechny šablony zásad pro správu sady
Microsoft Office 2003 obsahují možnosti pro určení výchozího umístění dokumentů.
Dejme tomu, že byste chtěli zajistit, aby se sešity aplikace Microsoft Excel 2003
vždy otevíraly a ukládaly do síťové sdílené složky určené pro aplikaci Excel Nej-
prve můžete nakonfigurovat výchozí umístění pro otevíraní a ukládání souborů
aplikace Microsoft Excel 2003 a poté určit, kde se budou soubory fyzicky nacházet.
Výchozí umístění je uživatelská složka Dokumenty. Můžete také určit písmeno jed-
notky připojené k síťové složce nebo cestu formátu UNC. Při zadáváni cest můžete
používat proměnné prostředí. Jestliže jste například nadefinovali domovské adresá-
ře pro uživatelské objekty vaší služby Active Directory a chcete zajistit, aby soubory
aplikace Microsoft Excel byly vždy uloženy v určitém podadresáři této domovské
složky uživatele, můžete cestu zadat tímto způsobem:
XhomeshareX\excel
Správa zásad souvisejících se sadou Microsoft Office
399
Proměnna XhomeshareX je během otevírání či ukládání souboru v aplikaci Excel in-
terpretovaná jako cesta fonnátu UNC do domovského adresáře aktuálního uživate-
le. Jestliže chcete uživatelům zabránit v tom, aby mohli tuto cestu měnit (např.
v prostředích s terminálovým serverem), můžete v zásadách zablokovat odpovídají-
cí možnost. V tomto případě byste v aplikaci Excel zablokovali možnost Nástroje,
Možnosti, Obecné (viz oddíl „Ochrana konfigurací sady Microsoft Office před uži-
vateli“ této kapitoly).
• Nastavení výchozí složky pro umístění databází
aplikace Microsoft Access 2003
Chcete-li nastavit výchozí složku pro databaze aplikace Microsoft Access 2003, po-
stupujte následovně:
1.	Ve složce User ConfigurationXAdministrativě Templates XMicrosoft Office Access
2003\Tools I Options...\General poklepejte na nastavení Default Data base Folder.
2.	Zvolte možnost Enabled (viz obrázek 10.8) a do pole Default Database Folder
poté zadejte požadovanou výchozí cestu.
3.	Klepněte ru tlačítko OK.
Nastavení výchozí složky pro umístění souborů
aplikace Microsoft Excel 2003
Chcete-li nastavit výchozí složku pro soubory aplikace Microsoft Excel 2003, postu-
pujte následovně:
1.	Ve složce User ConfigurationXAdministrativě TemplatesX Microsoft Office Excel
2003\Tools 1 Options...XGeneral poklepejte na zásady Default Filé Location.
2.	Zvolte možnost Enabled a do pole Default Filé Location poté zadejte požadova-
nou výchozí cestu.
3.	Klepněte na tlačítko OK.
OBRÁZEK 10.8: Nastaveni výchozí složky pro databáze aplikace Microsoft Access 2005
100
Kapitola 10 - Správa konfigurací sady Microsoft Office
Nastavení výchozích složek pro aplikaci Microsoft OneNote 2003
Chcete-li pro aplikaci OneNote 2003 nastavit výchozí složku My Notebook, postu-
pujte následovně:
1.	Ve složce User ConfigurationXAdministrativě TemplatesXMicrosoft Office One-
Note 2003X Tools I OptionsXOpen And Savé poklepejte na položku Location Of
The My Notebook folder.
2.	Zvolte možnost F.nabled a do pole Location Of The My Notebook Folder poté
zadejte požadovanou výchozí cestu.
3.	Klepnete na tlačítko OK.
Poznámka Nastavit můžete také výchozí umístění pro poznámky zaslané elektronickou poš-
tou, vedlejší poznámky a umístění záložní složky. Odpovídající zásady se nacházejí ve složce
User ConfigurationXAdministrative TemplatesXMicrosoft Office OneNote 2003\Tools I Op-
tionsXOpen And Savé.
Nastavení výchozích složek pro aplikaci Microsoft Publisher 2003
Chcete-li pro aplikaci Publisher 2003 nastavit výchozí složku pro publikování nebo
umístění obrázků, postupujte následovně:
1.	Ve složce User ConfigurationXAdministrative TemplatesXMicrosoft Office Pub-
lisher 2003XDefault Filé Locations poklepejte na položku Publication Location
nebo Pifcture Location.
2.	Zvolte1 možnost Enabled a do pole Publication Location pote zadejte požadova-
nou výchozí cestu.
3.	Klepněte na tlačítko OK.
Nastavení výchozích složek pro aplikac Microsoft Word 2003
Chcete-li nastavit výchozí složku pro dokumenty aplikace Microsoft Word 2003, po
stupuite následovně:
1.	Ve složce User ConfigurationXAdministrative TemplatesXMicrosoft Office V brd
2003XTools I Options...XFilé Locations poklepejte na položku Documents.
2.	Zvolte možnost Fnabled a do pole Documents poté zadejte požadovanou vý-
chozí cestu pro dokumenty.
3.	Klepněte na tlačítko OK.
r Poznámka Nastavit můžete také výchozí umístění pro klipart a pro uložení souborů automa-
/ tické obnovy Související zásady se nacházejí ve složce User ConfigurationXAdministrative
TemplatesXMicrosoft Office X/Vord 2003\Tools I Options...\File Locations.
Konfigurace možností zabezpečení aplikace
Microsoft Outlook
Vzhledem k tomu, že obsah e-mailu může být často nebezpečný pro vaše prostředí,
je důležité, aby emailové aplikace používané vašimi uži ateli byly zabezpečené
proti obvyklým druhům problémů. Prvním a nejdůležitějším krokem je zabránit
Správa zásad souvisejících se sadou Microsoft Office
401
uživatelům v provádění změn zabezpečen) příloh aplikace Microsoft Outlook, které
slouží k řízení toho, jaké druhy příloh jsou viditelné. Toto nastavení si můžete vynutit
tak. že zapnete nastavení Prevent Users From Customizing Attachment Security Set-
tings nacházející se ve složce User ConfigurationXAdministrativě TemplatesXMicrosoft
Office Outlook 2003\Tools I OptionsXSecurity. Dále můžete uživatelům také zakázat
vytváření výjimek ze seznamu přípon, které spadají pod zabezpečení aplikace Micro-
soft Outlook. Ve složce User ConfigurationXAdministrativě TemplatesXMicrosoft Of-
fice Outlook 2003\Tools I Options...XSecurity stačí vypnout nastavení Allow Access
To E-mail Attachments.
Někdy je také potřeba zablokovat v rozhraní aplikace Microsoft Outlook přístup na
kartu Nástroje, Možnosti X Zabezpečení. V tomto případě musíte vytvořit vlastní zá-
sady pro blokováni:
1.	Nalistujte složku User Configural ion\Administrativě TemplatesXMicrosoft Office
Outlook 2003XDisable Items In User InterfaceXCustom.
2.	Poklepejte na položku Disable Command Bar Buttons And Menu Items.
V dialogu Properties zvolte možnost Enabied a potě klepněte na tlačítko Show.
3-	Klepněte na tlačítko Add. Do dialogu Add Item zadejte identifikátor nabídky Tools,
Options (což je 522).
4.	Poklepejte na tlačítko OK.
implementace
a scenáre
Řízení jazykových nastavení sady Microsoft Office
Jestliže máte na starosti podporu prostřední globální firmy, ve kterém pracuji uživatele
používající nižné jazykové verze operačního systému Microsoft Windows a sady
Microsoft Office, možná budete potřebovat řídit, kterou jazykovou verzi aplikace sady
Microsoft Office použít v závislosti na umístění uživatele. Můžete například vytvořit
objekt GPO připojený k pracovišti, který nastaví jeden iazyk v případě, že se uživatel
nachází v US A, a jiný, když je uživatel ve francii. Za předpokladu, že uživatel má na
počítači nainstalované potřebné jazykové sady pro Microsoft Office, dostane
k dispozici odpovídající jazykovou verzi podle toho, kde se momentálně nachází.
Globální jazyková nastavení sady Microsoft Office můžete nastavit tímto způsobem:
1.	V objektu připojeném k pracovišti nalistujte složku User ConfigurationXAdmini-
strativě TemplatesX Microsoft Office 2003\Language SettingsXUser Interface.
2.	Poklepejte na položku Display Menus And Dialog Boxes In. X dialogu Properties
zvolte možnost Enabied a v seznamu vyberte požadovaný jazyk. Poté klepněte na
tlačítko OK. Implicitně se používá jazyk, který je nastaven pro systém Windows.
3-	Poklepejte na položku Display Help In. V dialogu Properties zvolte možnost Fna-
bled a v seznamu vyberte požadovaný jazyk. Poté klepněte na tlačítko OK.
Řešení problémů se zásadami šablon
pro správu sady Microsoft Office
Když v nějakém objektu GPO nakonfigurujete zásady pro správu Microsoft Office
a ten odpovídajícím způsobem někam připojíte, nastavení se ve většině případu do-
stanou na cílové klienty a ty je zpracuji podle očekávání. Jestliže zjistíte, že sada Micro-
soft Office není správně konfigurovaná, jc třeba začít hledat příčinu tohoto problému.
kapitola
Správa
bezpečné síťové
komunikace
Obsah kapitoly:
11.1	Úvod do zásad protokolu IPSec...........................................406
11.2	Správa zásad protokolu IPSec............................................409
11.3	Zavádění zásad veřejných klíčů..........................................422
11.4	Úvod do zásad pro správu brány firewall systému Windows.................428
11.5	Správa zásad brány firewall systému Windows.............................431
11.6	Shrnutí.................................................................444
W2
Kapitola 10 - Správa konfiguraci sady Microsoft Office
Zde je obecně doporučený postup:
1.	Pro počítač a uživatele, který vykazuje, problém spusťte původce Group Polic
Results Wizard. Podrobnosti najdete v oddíle „Zjišťování nastavení zásad a dob
poslední aktualizace“ kapitoly 3.
2.	Ve složce User ConfigurationsXAdministrative Templates najdete výsledky (Vi7
obrázek 10.9J, které vám poskytnou informace o tom, zda jsou zásady pro sj r >
vu Office vůbec aplikovány.
3.	Jestliže^ zjistíte, že zásady nebyly aplikovány, provedte následující kontrolu:
	Ujistěte se, že objekt GPO je správně připojen.
	Ujistěte se, že objekt GPO nemá bezpečnostní filtrování nebo filtrování služ-
by WMI, ktere by mohlo uživateli či počítači bránit ve zpracovaní zásad.
	Ujistěte se, že objekt GPO není blokován nějakým konfliktním nastavením
zásad s vyšší předností.
4.	Když průvodce ukazuje, že zasady byly aplikovaný, ale konfigurace sady Microsoft
Office přesto neodpovídá očekáváním, může existovat problém s tím, jak aplikace
dané zásady načítá. Zkontrolujte, zda jsou zásady správně nastaveny pro používa-
nou verzi sady Microsoft Office. Muže se například stát, že zásady nakonfigurujete
pro verzi Microsoft Office XP, ale nikoliv .pro používanou Microsoft Office 2003.
OBRÁZEK 10.9- Použití nástroje Group Policy Results Wizard ke zjištění toho, zda se zásady pro
správu sady Microsoft Office dostaly na místo určení
Shrnutí
Poznámka Některé možnosti zásad, které se nacházejí v souborech šablon pro správu sady
Microsoft Office 2003, nefungují vždy tak, jak by se mohlo zdát. Důvodem jsou především
změny ve způsobu, jakým jsou funkce v jednotlivých verzích sady Microsoft Office implemento-
vány; s nimi nejsou soubory šablon pro správu vždy zcela v souladu. Například zásady pro správu
programu Microsoft Outlook, které brání zařazení signatury uživatele do nových zpráv, odpo-
vědí a přesměrovaných zpráv. Tyto zasady se nacházejí ve složce User Configura-
tion\Administrative TemplatesXMicrosoft Office Outlook 2003\Tools I Options..AMail FormatX
Signatuře. Nicméně v sadě Microsoft Outlook 2003 jsou signatury jednotlivých emailových
účtů uloženy samostatně a v případě, že tyto zásady použijete, bude je program Microsoft
Outlook ignorovat, neboť daná hodnota se nyní nachází v jin m místě registru. Tento druh
problémů je častým tematem článků v databázi Microsoft Knowledge Base
(http://support.microsoft.com). Když se v případě podobných problémů obrátíte na ten-
to zdroj, můžete ušetřit mnoho času, který byste jinak strávili hledáním již známého řešení.
Tip Jestliže se vám zdá, že je všechno nastaveno správně, můžete se podívat do registru, zda
je odpovídající hodnota nastavena tak jak má. V případě, že se jedná o zásady pro jednotlivé
uživatele, provádějí se změny v části HKEY_CURRENT_USER. Zásady pro počítače jsou v části
HKEY_LOCAL_MACH INE. Jedním ze způsobů, jak zjistit, který klíč a hodnota patří k určitým zá-
sadám, je podívat se do tabulky zasad skupiny sady Microsoft Office 2003, který je součástí
sady Office 2003 Resource Kit Service Pack 1. Nedochazí-li v registru k nastavení odpovídající
hodnoty, může se jednat o problém s oprávněními. Jedná-li se o uživatelsky profil
(HKEY_CURRENT_USER), může byt problém se zápisem způsoben také narušením registru.
V takovém případě můžete uvedenou hypotézu ověřit vytvořením nového (dočasného) pro-
filu pro postiženého uživatele.
10.4 Shrnutí
Jak jste se dozvěděli v teto kapitole, existuje mnoho způsobů, jak pracovat sc sadou
Microsoft Office prostřednictvím zásad skupiny s tím, že zavádění sady Microsoft Offi-
ce pomocí zásad je pouze začátek. Při zavádění sady Microsoft Office můžete využít
nejen zásady, ale také transformační soubory,; s jejichž pomocí lze přizpůsobit instalaci
tak, aby jednotlivé skupiny a uživatelé měli vlastni konfigurace, které jsou jim „šité na
míru“. Pomocí speciální sady šablon pro správu, které jsou k dispozici pro sady Micro-
soft Office 2000, Office XP a Office 2003, můžete řídit a konfigurovat funkce sady
Microsoft Office prakticky stejným způsobem, jakým řídíte funkce operačního sys-
tému Microsoft Windows. Pomocí vlastních souborů pro správu můžete také upra-
vovat dříve zavedené aplikace.
Kapitola 11 - Správa bezpečné síťové komunikace
Správná konfigurace zabezpečení síťové komunikace je klíčovým bodem ochrany po-
čítačů vaši organizace i celé vaší sítě. Bez adekvátních bezpečnostních opatření mo-
hou vaše počítačové prostředky snadno podlehnout útoku či zneužití. Prostřednictvím
zasad sl upiny můžete bezpečnou síťovou komunikaci zajistit třemi způsoby:
	Protokol IP Security, též známý jako IPSec, ktcr) vám poskytuje bezpečnou,
ověřenou a šifrovanou komunikaci v sítích s protokolem TCP/IP.
	Šifrovaní veřejným klíčem, které vam umožňuje řídit použití certifikátu pro ve-
řejné klíče a umožňuje použití s nimi souvisejících technologií.
	Brána firewall systému Windows, dříve známá pod názvem „brána firewall pro
připojení k Internetu“, která vám poskytuje ověřované filtrování porta protokolů
TCP a UDP na straně hostitele, pomocí kterého můžete chránit své počítače
p ed neautorizovaným přístupem.
Nastavení zasad souvisejících s těmito funkcemi nabízí mnoho možnosti,, které na-
bízejí možnost přizpůsobení a značnou flexibilitu. Předtím než změníte jakékoliv
zásady sítové komunikace, je potřeba mu dostatečné znalosti o použitých síťových
technologiích a dobrý implementační plán.
Související informace
	Další infonnace o ovčí ovacích mechanismech a technikách najdete v oddíle
Design Considerations for Active Directory Authentications and Trusts 35. kapi-
toly knihy Microsoft Windows Server 2003 Inside Out (Microsoft Press, 200.),
	Další informace týkající se protokolu IPSec v souvislosti s operačním systémem
Microsoft Windows Server 2003 naidete na internetové adrese http://www.mi cro-
soft.com/ipsec/.
	Další informace o platformě PI I (Public Key Inirastructure) a bezpečnostních
certifikátech najdete v publikaci Microsoft Windows Server 2003 PKI and Čertil:-
cate Security vydané nakladatelstvím Microsoft Press v roce 2004.
	Další informace o technologiích PKI najdete na internetové adrese http://www.
microsoft.com/pki/.
11.1	Úvod do zásad protokolu IPSec
Následující oddíly7 se budou věnovat tomu, jak je možné používat protokol IPSec
a s ním související zásady. Jak uvidíte, protokol IPSec lze použít i bez prostředí sc
službou Active Directory, ale sprava a distribuce zásad s ním souvisejících je mnohem
jednodušší v případě, že ve svém prostředí službu Active Directory a zásady skupiny
používáte.
Princip fungování protokolu IPSec
Protokol IPSec (Internet Protocol security) je standard organizace IETI (Internet
Engineering Task Force) (Rl'Cs 2401-2409), který nabízí zabezpečenou síťovou ko-
munikaci na protokolu TCP/IP. Protokol IPSec poskytuje ochranu před běžnými
druhy útoku, kterými jsou například:
Úvod do zásad protokolu IPSec
Modifikace dat, při niž útočník upraví data během jejich přenosu mezi zdrojo-
vým a cílovým zařízením.
	Předstírám identity, při níž se útočník vydává za zdrojové nebo cílové zařízení
s cílem dostat se k obsahu komunikace.
	Útok MITM (Man-in-the-middle), při němž útočník odchytává komunikaci mezi
zdrojovým a cílovým zařízením s úmyslem přenos měnit nebo jinak narušovat.
	Útok DOS (Denial of Service), při němž >e útočník pokouší vyvolat selhání
služby tím, že ji zahltí silovými pakety, které jsou buď neplatné, nebo je jich pří-
liš mnoho na to, aby bylo možné je zpracovat.
	Zachycení dat, při němž útočník zachytí přenos, aby tak získal citlivé infonnace.
Protokol IPSec poskytuje ochranu před těmito běžnými druhy útoků implementací
dvou protokolů:
	Protokol AH (Authentication Header), který určuje ověřovací mechanismus provo-
zu po protokolu IP, jímž chrání data před upravením, útoky MITM a předstíráním
identity.
	Protokol ESP (Encapsulating Security Payload) poskytující ověřovaní a šifrování,
které slouží jako ochrana před výše uvedenými druhy utoku
Vzhledem k tomu, že je protokol IPSec implementován na vrstvě IP, nemá vliv na
protokoly vyšších vrstev, což jej činí dobrým řešením pro implementování síťového
zabezpečení bez požadavku na kompatibilitu s aplikacemi.
Zavádění zásad protokolu IPSec
Implementaci protokolu IPSec firmy Microsoft lze použít i v prostředí bez služby
Active Directory, ale sprava a distribuce zásad protokolu IPSec je mnohem snazší
v případě, že používáte službu Active Directory a zásady skupiny. Máte-li prostředí
se službou Active Directory a zásadami skupiny, můžete zasady protokolu IPSec
uložit centrálně a distribuovat je napříč vaší podnikovou sítí. Využít můžete také
toho, že služba Active Directory nativně podporuje ověřování protokolu Kerberos.
Bez ověřování protokolu Kerberos byste se museli při implementaci zásad protoko-
lu IPSec spoléhat na ověřovaní přes certifikáty X.509 veřejných klíčů.
Zásady protokolu IPSec jsou nejčastěji implementovány, když v interní síti potřebu-
jete bezpečnou síťovou komunikaci. Jestliže máte napiíklad servery obsahující citli-
vá dala, možná budete potřebovat určit, ktere počítače s nimi mohou komunikovat
a zda bude přenos dat mezi těmito servery vyžadovat ověřování, šifrovaní nebo
obojí. Technika, která se v tomto případě používá k zajištění bezpečného síťového
provozu, je filtrovaní portů. Protokol IPSec lze také spolu s protokolem L2TP (Layer
2 Tunneling Protocol) použít k poskytovaní bezpečného přístupu přes externí sítě
pomocí virtuální privátní sítě ÍVPN).
Pro zásady skupiny služby Active Directory jsou zásady protokolu IPSec uloženy ve
složce Computer ConfigurationXWindows SettingsX Security SettingsX IP Security Set-
tings On Active Directory. Jestliže v určitém objektu GPO některé z těchto zásad
nakonfigurujete, budou tyto zásady zpracovaný na počítačích, ktere jsou k danému
objektu GPO připojené.
Kapitola 11 - Správa bezpečné síťové komunikace
Pro místní zásady skupiny7 jsou zásady protokolu IPSec uloženy ve složce Computer
ConfigurationXWindows SettingsXSecurity SettingsXIP Security Settings On Local
Computer. Jestliže chcete zásady IPSec implementovat pro počítače, které nejsou
součásti domény služby Active Directory, nadefinujte zásady na místním počítači.
Poznámka Lokálně definované zásady protokolu IPSec jsou uloženy na daném místním počí-
tači, aleje možné je exportovat do souboru, který následně importujete na jiný počítač nebo
do úložiště zasady protokolu IPSec pro službu Active Directory. Zásady protokolu IPSec lze
na místním počítači spravovat pomocí modulu Local Security Policy konzoly MMC nebo přes
příkazový řádek pomocí nástroje Netsh.exe, která je součástí systému Microsoft Windows
Server 2003 a Microsoft Windows XP. Na operačním systému Microsoft Windows XP může
použít také nástroj Ipseccmd.exe.
Případy použití protokolu IPSec
a zásad protokolu IPSec
Protokol IPSec lze použít v mnoha situacích, kdy potřebujete chránit síťovou ko-
munikaci ve své interní síti. Nejběžnější jsou tyto případy:
	Komunikace mezi servery, u které musí být provoz privátní a vy chcete zabránit
neautorizovanému odchytávaní síťových paketů nebo přístupu k nim.
	Komunikace mezi serverem a klientem, u které chcete řídil přístup na server,
k jeho službám nebo k určité skupině autorizovaných klientských počítačů.
Poznámka V určitých případech vyžadují zásady protokolu IPSec, aby byly na obou stranách
účastnících se komunikace nadefinovány statické adresy protokolu IP, adresy podsítě nebo
všechny přípustné adresy. Tento požadavek ztěžuje implementaci zásad protokolu IPSec pro
dynamicky adresované počítače (chcete-li, aby zásady protokolu IPSec ovlivnily pouze tyto
počítače).
	Komunikace mezi servery v podsíti DMZ (demilitarizovaná zóna), kde potřebu-
jete chránit a filtrovat síťový provoz v závislosti na určitých aplikacích.
Poznámka Podsítě DMZ jsou podsítě nacházející se mezi vaší interní sítí a sítí Internet.
V takovém prosti eai mohou služby poskytované protokolem IPSec (např. ověřování, šifrová-
ní síťového provozu nebo filtrování provozu protokolů TCP či UDP podle čísel portů) přinést
další ochrannou vrstvu, která bude jakousi nadstavbou nad všemi branami firewall, které
používáte.
Případy, v nichž není dobré používat protokol IPSec:
	Bezpečna komunikace v rámci vaší celé interní sítě. Pro velké sítě může příliš
časté používání protokolu IPSec přinést značné zkomplikovaní správy zásad.
	Bezpečná komunikace pro počítače používající dynamickou adresaci protokolu
IP. Použití protokolu IPSec v systémech s dynamickou adresací muže znamenat
problém, když chcete použít funkce zásad pro filtrování portů, nebot pravidla
filtrování jsou závislá na statických adresách IP.
	Bezpečná komunikace mezi vzdálenými systémy, mezi nimiž se nacházejí počí-
tače, které neběží na operačním systému Microsoft Windows. Použití protokolu
IPSec a jeho funkcí jako náhrady za VPN se doporučuje pouze pro připojování
Správa zásad protokolu IPSec
409
k cizímu serveru VPN nebo směrovači, který nepodporuje komunikaci pomocí
L2TP/IPSec.
Tip Před vydáním brány firewall systému Windows jako součásti opravného balíčku Service
Pack 2 k systému Windows XP a opravného balíčku Service Pack 1 k operačnímu systému
Windows Server 20003 bylo filtrovaní portů pomoci protokolu IPSec nejlepším způsobem,
jak ve vaší síti implementovat sadu zásad brány firewall, kterou by bylo možné centrálně
spravovat. Nyní je filtrování portů zásad protokolu IPSec horším řešením než to, které nabízí
brána firewall systému Windows. Další informace o správě brány firewall systému Windows
prostřednictvím zásad skupiny najdete v oddíle „Správa zásad brány firewall systému Win-
dows" této kapitoly.
11.2	Správa zásad protokolu IPSec
Zásady protokolu IPSec jsou k dispozici v rámci celé domény. Když vytvoříte zása-
dy protokolu v jednom objektu GPO, můžete upravit další objekty GPO pracoviště,
domény či organizační jednotky a přiřadit zásady protokolu také v rámci těchto ob-
jektu GPO.
Aktivace a deaktivace zásad protokolu IPSec
V	doménách služby Active Directory a na místních počítačích existují ti i xýchozí zá-
sady protokolu IPSec:
	Server (Request Security) (Server (požadovat zabezpečení)) Každý server,
který zpracuje tyto zásady, bude od všech klientu vyžadovat bezpečnou komu-
nikaci. Bezpečná komunikace ale nebude Vyžadována v případě, že ji klient
nepodporuje. Například klienti používající operační systém Microsoft Windows
NT 4.0 protokol IPSec nepodporují.
	Client (Respond Only) (Klient (pouze odpověd)) Každý klient, který zpracu-
je tyto zásady, bude běžně komunikovat nezabezpečeným způsobem, ale vyho-
ví požadavkům o bezpečnou komunikaci.
	Secure Server (Require Security) (Zabezpečený server (požadovat zabez
pečení)) Každý server, který zpracuje tyto zásady, bude komunikovat pouze
s klienty, kteří bud sami iniciují, nebo mohou vyhovět požadavku o bezpečnou
komunikaci. Servery nebudou odpovídal klientům, kteří nepoužívají bezpečnou
komunikaci protokolu IPSec.
Tyto přednastavené zásady jsou výchozích bodem pro implementaci různých služeb
nabízených protokolem IPSec. Tyto a další zasady můžete přiřazovat a vynucovat
následujícím zpiisobem :
1.	V zásadách skupiny nalistujte složku Computer ConfigurationXVvindows Set-
tingsX Security SettingsX IP Security Settings On Active Directory (Konfigurace počí-
tá če\Nastavení systému WindowsX Nastavení za bezpečeníX Zásady zabezpečení
protokolu IP).
2.	Ve sloupci Policy Assigned (Zasady jsou přiřazeny) pravého podokna uvidíte
aktuální stav výchozích zasad protokolu IPSec a případně i dalších zásad proto-
kolu IPSec, ktere jste vytvořili (viz obrázek 11.1). Stav No znamená, že dané zá-
sady nejsou přiřazeny, a proto nejsou ani aplikovány.
implementace
410
Kapitola 11 - Správa bezpečne síťové komunikace
3.	Chcete-li přiřadit zásady protokolu IPSec (a tím pádem je aplikovat), klepněte-
pravým tlačítkem na zasady a zvolte příkaz Assign QPřiřadit). Stav ve sloupci
Policy Assigned by se měl změnit na hodnotu Yes.
OBRÁZEK 11.1: Prohlížení zásad protokolu IP Security ve jmenném prostoru zásad skupiny
Jestliže budete chtít později zasady protokolu IPSec deaktivovat, stačí na ně
klepnout pravým tlačítkem a zvolit Un-assign. Stav ve sloupci Policy Assigned by se
mel změnit na hodnotu No.
Tvorba dalších zásad protokolu IPSec
Vytvořit si můžete také své vlastní zásady protokolu IPSec. Zásady protokolu IPSec
se skládají z následujících částí:
	Obecná nastavení, která se aplikují bez ohledu na nastavena pravidla. Tato na-
stavení určují název zásad, jejich popis pro administrativní účely hlavni nasta-
vení datové výměny a hlav ní metody datové výměny.
	Jedno nebo několik pravidel protokolu IPSec, která určují, iaké typy vymény dat
musí protokol IPSec kontrolovat, způsob zpracování síťového provozu, ověřo-
váni jiného seiveru a další nastaveni, jako je typ síťového připojení, pro nějž
pravidlo platí, a zda se má používat tunel protokolu IPSec.
Postup pro vytvoření nových zásad protokolu IPSec je poměrně jednoduchý. Nej-
prve vytvoříte zásady, pote vytvoříte pravidla v zásadách, která se skládají z filtru,
akcí a dalších povinných nastavení. Nakonec zásady protokolu IPSec přiřadíte všem
objektům GPO, ktere je potřebují.
Tvorba a přiřazení zásad protokolu IPSec
Zásady protokolu můžete vytvořit následujícím způsobem:
1.	Nalistujte- složku Computer ConfigurationXWindows SettingsXSecurity Settings
(Konfigurace počítače XNastavení systému WindoWsX Nastavení zabezpečení).
2.	Klepněte pravým tlačítkem na zásady IP Security Settings On Active Directory
(Zásady zabezpečení protokolu IP v Active Directoryy) a zvolte příkaz Creatc II
Správa zásad protokolu IPSec
411
Security Policy (Vytvořit zásadu zabezpečeni protokolu IP). Spustí se průvodce
IP Security Policy Wizard. Klepněte na tlačítko Next i Další).
3.	Na strance IP Security Policy Nanie (Název zásady zabezpečení protokolu IP) za-
dejte název zásada pop^s (viz obrázek 11.2). Klepněte na tlačítko Next (Další).
OBRÁZEK 11.2: Nastaven: názvu a popisu zásad protokolu IPSec
Implementace
4.	Když nejsou v zásadách k dispozici žádná jiná definovaná pravidla, vytvoří se im-
plicitně pravidlo Default Response Rule (Výchozí zásada zabezpečení). Pravidlo
Default Response Rule zaručuje, že počítače podléhající těmto zásadám budou
vpiípadě požadavku komunikovat zabezpečeně. Obecně se doporučuje použít
tuto možnost pro objekty GPO klientských počítačů. Klepnete na tlačítko Next.
5-	Na stránce Default Response Rule Authentication Method (Výchozí metoda ově-
řování pravidla odpovídání) (viz obrázek 11.3) zvolte ověřovací mechanismus
pro pravidlo Default Response Rule. Dostupné možnosti jsou:
	Active Directory Default (Kerberos V5 Protocol) (Protokol Kerberos
V5 — výchozí protokol Active Directory) Používá ověřování protokolu
Kerberos. Kerberos je výchozí metodou pro ověřování všech doménových
počítačů s operačním systémem Microsoft Windows 2000 nebo novějším.
Jestliže spravujete systémy, které jsou cleny určité domény služby Active Di-
rectory, je tato možnost nejlepší volbou.
	Use A Certificate From This Certification Authority (CA) ( Použít certi-
fikát od tohoto čerti fikačního úřadu) Pro ověřování se použije technolo-
gie šifrovaní s veřejným klíčem. Tento způsob šifrování vyžaduje certifika
od jmenované certifikační autority (CA) vaší společnosti. Jestliže nejsou vaše
systémy součástí služby Active Directory, je nejlepší volbou tato možnost.
	Use This String To Protéct The Kvy Exchange (K zabezpečeni výměny
klíčů použít tento řetězec) Pro ověřování se použije předsdňeny klič (PSK).
Text předsdíleného klíče musíte zadat (nebo zkopírovat a vložit) do odpovída-
jícího textového pole. Předsdílené klíče neposkytují stejnou úroveň ochrany
Kapitola 11 - Správa bezpečné síťové komunikace
jako předchozí dvě možnosti a jejich použití se doporučuje pouze v testovacích
prostředích nebo pro zajištění součinnosti servefft s protokolem IPSec.
OBRÁZEK 11.3: Nastaveni metody ověřování pomocí protokolu IP Security
6.	Klepněte na tlačítko Next a poté klepněte na tlačítko Finish. Pole Edit Properties
je implicitně označeno, proto můžete zásady dále přizpůsobit pomocí zasad
s pravidly a akcí (viz další oddíl).
Jakmile jsou nové zásady vytvořeny, je potřeba aktivovat zásady protokolu IPSec,
aby docházelo k jejich zpracováni. Jestliže chcete zasady protokolu IPSec aktivovat
pro pravě vybraný objekt GPO, klepnete pravým tlačítkem na zásady a zvolte pří-
kaz Assign. Zásady protokolu Ipsec se přiřadí do aktuálního objektu GPO. Každý
počítač, který daný objekt GPO zpracuje, bude těmito zásadami ovlivněn.
/IX Tip Zásady protokolu IPSec jsou k dispozici v rámci celé domény, proto můžete zásady pro-
tokolu upravit v jiných objektech GPO pracoviště, domény či organizační jednotky a přiřadit
zásady protokolu IPSec také témto objektům GPO. Otevřete složku Computer Configura-
tion\Windows SettingsXSecurity SettingsMP Security Policies On Active Directory, klepněte
pravým tlačítkem na zásady protokolu IPSec a poté zvolte příkaz Assign.
Definování akcí a pravidel zabezpečení
Poté co vytvoříte zásady protokolu IPSec, je potřeba nadefinovat pravidla, která
budou určovat, jak by měla být síťová komunikace zabezpečena a jaké akce by
pravidla měla provádět. Postup je následující:
1.	Otevřete dialog Properties zásad protokolu IPSec, které konfigurujete. V případě
potřeby nalistujte složku Computer ConfigurationX Windows SettingsXSecurity Set-
tingsX IP Security’ Settings On Active Directory, klej mete pravým tlačítkem na zása-
dy a zvolte Properties.
2.	Všechna aktuální pravidla protokolu IPSec (např. pravidlo Óefault Response Rule)
jsou uvedena v seznamu IP Security Rules (viz obrázek 11.4).
Správa zásad protokolu IPSec
413
OBRÁZEK 11.4: Prohlíženi aktuálních pravidel protokolu IP Security
Implementace
O eránířa
3.	Chcete-li nadefinovat nove pravidlo zabezpečení, klepněte na tlačítko Add (Při-
dat). Spustí se průvodce Security Rule Wizard (Pr ivodce vytvářením pravidel).
4.	Určete, zda se pro nové pravidlo má použít tunel protokolu IP (viz obrázek
11.5	) a poté klepněte na tlačítko Next. Máte dvě možnosti:
	This Rule Does Not Specify A Tunnel (Toto pravidlo neurčuje tunelové
propojení) Umožňuje bezpečnou komunikaci mezi počítači bez použití tu-
nelového režimu protokolu IPSec. Tuto možnost použijte u bezpečné ko-
munikace v případě, že nepožadujete přímá, privátní připojení, jakým je
např. komunikace v privátní síti. Pro zajištění šifrování komunikace nemusíte
používat tunel. Další možnosti šifrování lze nastavit v rámci pravidla.
	The Tunnel Endpoint Is Specified By This IP Address (Koncový bod
tunelového propojení je určen touto adresou IP) Vytvoří v privátní nebo
veřejné síti mezi dvěma komunikujícími počítači šifrovaný komunikační tu-
nel. Zvolíte-li tuto možnost, musíte také zadat adresu IP koncového bodu
tunelu. Tato volba umožňuje přímou, privátní komunikaci mezi počítači, kte-
rá může byt požadována například pro komunikaci po veřejné síti (tou je
například sít Internet).
5.	Zvolte typ sítě, pro kterou má pravidlo platit, a poté klepněte na tlačítko Next:
	All Network Connections (Všechna síťová připojení) Pravidlo se apliku-
je na všechna síťová připojení počítačů, kterým jsou zásady přiřazeny, včetně
sítě LAN a vzdáleného přístupu.
	Local area network (LAN) (Místní síť) Pravidlo se omezí pouze na připo-
jení v síti LAN.
	Remote Access (Vzdálený přistup) Pravidlo se omezí pouze na vzdálená
připojení.
Kapitola 11 - Správa bezpečné sítové komunikace
Security Rule Wizard	!_? X
Tunnel Endpoint
The tunnel endpoint i$ the tunneling Computer closest to the IP traffic destination,
a$ specihed by the security rulďs IP iilter list
An IPSec tunnel dlows packets to traverse a public or private inlernetwork with the
security level oí a direct, private cunner bon between two computers.
Specify the tunnel endpoint for the IP Secuntv rule
<	• This rule does not speufy a tunnel
The tunnel endpoint is specified by this IP addres s
| Ó Ó ? 0	5
< Back | Next> | Cancel
OBRÁZEK 11. 5: Volba použití tunelu
Poznámka Pravidla zabezpečení obvykle použijete pro rozhraní sítě LAN, protože se jedná
o nejobvyklejší druh rozhraní interních sítí. Jestliže má vaše organizace uživatele s přenos-
nými počítači, kteří se musí vzdáleně připojovat pomoci externích serverů VPN, které ne-
podporují připojení L2TP/IPSec, měli byste také zvážit, jak budou zásady aplikovaný na
uživatele přistupující do interní sítě prostřednictvím vzdálených připojení. Aby byla místní
a vzdálená připojení zpracovávána odděleně, budete potřebovat dvě pravidla Jedno z nich
bude určovat, jak ošetřit zabezpečení protokolu IP pro místní připojení, a druhé bude určo
vat, jak ošetřit zabezpečení protokolu IP pro vzdálená připojení.
6.	Stránka IP Filter List (Seznam filtru IP) (viz Obrázek 11.6) vám umožňuje určit
typ provozu a zdrojovou a cílovou adresu IP, na které bude pravidlo apliková-
no. Implicitně jsou k dispozici dva seznamy filtru:
	All ICMP Traffic (Veškerý přenos protokolu ICMP) Určuje veškerý pro-
voz protokolu ICMP mezi libovolným zdrojovým a cílovým počítačem.
	All IP Traffic (Veškerý provoz IP) Určuje veškerý provoz protokolu IP
mezi libovolným zdrojovým a cílovým počítačem.
7.	Jestliže chcete nastavit akci platnou pro veškerý provoz protokolu ICMP nebo
IP, zvolte jeden z výchozích seznamu. Jestliže vam nevyhovuje ani jeden
z těchto seznamů, klepněte na tlačítko Add a vytvořte nový seznam filtru (viz
oddíl „Tvorba a správa seznamů filtrů protokolu IP”). Klepněte na tlačítko Next.
8.	Na stránce Filter Action (Akce filtru) (viz obrázek 11.7) nastavte akci, která se
má provést pro síťový provoz, který’ odpo\ ídá požadavkům filtru. Implicitně
jsou k dispozici tři akce:
	Permit (Povolit) Povolí odesílání a přijímáni nezabezpečených paketu.
	Requesi Security (Optíonal) (Požadovat zabezpečení (nepovinné))
Umožňuje nezabezpečenou komunikaci, ale od klientu vyžaduje, aby vytvořili
důvěryhodnou vazbu a používali bezpečnou komunikaci. Umožňuje komuně
Správa zásad protokolu IPSec 415
kaci s nezabezpečenými klienty v připadě, že neodpovídají na požadavek
o použití zabezpečení
	Require Security (Požadovat zabezpečení) Umožňuje nezabezpečenou
komunikaci, ale od klientu vždy vyžaduje, aby vytvořili důvěryhodnou vaz-
bu a používali bezpečnou komunikaci, komunikace s nezabezpečenými kli-
enty není povolená.
OBRÁZEK 11.6: Volba možnosti filtrování
Implementace
a scénáře
9.	Zvolte výchozí akci filtrování nebo vytvořte novou akci klepnutím nit tlačítko
Add (podrobnosti najdete v následujícím oddíle s názvem „Tvorba a správa akcí
filtrů“). Klepnete na tlačítko Next,
It no Htef aebon, n the fofcwmg list matches your needs ckck Add to create d ne*
one Sele*'* Ušte AddV/i/ard řo create a filter action usmg the wizard
Use Add W.zard
Add
__f*
Remove
Fter Actions'
< Back
Next >
Cancel
OBRÁZEK 11.7: Volba akce filtru
10.	Klepněte na tlačítko Finish. Pole Edit Properties je implicitně označeno, proto
můžete pravidlo zabe/pečení dále přizpůsobit
Nyní zasady přiřaďte, aby mohly být aplikovány na počítače, které zpracuji aktuální
objekt GPO. Stačí klepnout pravým tlačítkem na nové zásady protokolu IPSec
6
Kapitola 11 - Správa bezpečné sítové komunikace
a zvolit příkaz Assign. Zásady se přiřadí objektu GPO a počítače, které tento objekt
GPO zpracují, zásady přejmou a aplikují.
Tvorba a sprava seznamů filtrů protokolu IP
Seznamy filtrů protokolu IP vam umožňuií určit typ provozu, na který se bude akce
filtru protokolu IP vztahovat. K dispozici jsou dva výchozí seznamy filtrů:
	All ICMP Traffic Určuje veškerý provoz protokolu ICMP mezi libovolným zdro-
jovým a cílovým počítačem.
	All IP Traffic Určuje veškerý provoz protokolu IP mezi libovolným zdrojovým
a cílovým počítačem.
Vytvořit můžete také dodatečné seznamy filtru pro pravidla protokolu IP Security.
Pro lepší pochopení toho, jak seznamy flitrů fungují, uvažujme následující příklad:
	Chcete filtrovat provoz protokolu SMB (Server Message Block) mezi klienty vaší
podsítě a souborovým serverem s adresou IP 192.168.1.50.
	Vytvoříte pravidlo protokolu IPSec a poté k němu přidáte seznam filtrů protoko-
lu IP.
	Pro filtr nastavíte zdrojovou adresu IP spadající do vaší podsítě 192.168.1.0
a masku podsítě nastavíte na 255.255.255.0.
	Cílovou adresu IP filtru nastavíte na adresu IP souborového serveru, tedy na
192.168.1.50.
	Nastavíte zrcadlení filtru, neboť chcete, aby byl provoz protokolu SMB ze serve-
ru i na něj zabezpečený.
Chcete-li vytvořit nove seznamy filtrů protokolu IP nebo spravovat existující sezna-
my filtrů přiřazené nějakému pravidlu, postupujte následovně:
1.	Otevřete dialog Properties zásad protokolu TPSec, které konfigurujete. V případě
potřeby nalistujte složku Computer ConfigurationXWindows SettingsXSecurity
SettingsX IP Security Settings On Active Directory, klepněte pravým tlačítkem na
zásady a zvolte Properties.
2.	Zvolte dříve nadefinované pravidlo protokolu IP Secuiity a poté klepněte na tla-
čítko Edit. Otevře se dialog Edit Rule Properties.
Poznámka Pokud nechcete měnit nastavení způsobu ověřování, nemeňte pravidlo Default
Response. Toto pravidlo zajišťuje implicitní odpověď na požadavky o zabezpečený provoz.
3.	Karta IP Filter List obsahuje nadefinované seznamy filtru protokolu IP Nyní mů-
žete upravit nebo odstranit existující seznamy filtrů protokolu IP nebo vytvořit
nový seznam filtrů protokolu IP. Vybraný seznam filtru protokolu IP určuje, jaký
síťový provoz bude ovlivněn aktuálním pravidlem. Pro každé pravidlo lze vybrat
jen jeden seznam filtru.
4.	Chcete-li vytvořit nový seznam filtru, klepněte na tlačítko Add. Do dialogu IP
Filter Lisí zadejte název seznamu filtrů a poté přidejte popis (viz obrázek 1148).
Jestliže vytváříte například seznam filtru protokolu SMB. můžete použít název
SMB Filter List a popis stylu „Tento filtr pokrývá veškerý provoz protokolu SMB
mezi servery a jejich klienty“.

Správa zásad protokolu IPSec
417
implementace
a scénáře
aAcartckuninv
OBRÁZEK 11.8: Pojmenování a přiřazení popisu seznamu filtrů protokolu IP
5.	Klepněte na tlačítko Add. Až se spustí průvodce IP Filter Wizard, klepněte na
tlačítko Next.
z Poznámka Předtím než klepnete na tlačítko Add, musíte zaškrtnout pole Use Add Wizard.
Jestliže není tlačítko zaškrtnuté, pak kliknutím na tlačítko Add vyvoláte otevření dialogu Fil-
ter Properties, který je určen především pro správce s dobrou znalostí bezpečnostního filtro-
vání protokolu IP.
6.	Na stránce IP Traffic Source zadejte zdrojovou adresu provozu protokolu IP,
který chcete filtrovat (viz Obrázek 11.9). Zvolte jednu z následujících možností,
zadejte nezbytné informace a poté klepněte na tlačítko Next:
	My IP Address Nastaví zdrojovou stanici filtru na adresu IP počítače, na kte-
rém jsou zásady protokolu IPSec aplikovány.
	Any IP Address Nastaví zdrojovou stanici filtru na libovolnou adresu IP.
	A Specific DNS Name Nastaví zdrojovou stanici filtru na adresu IP zjištěnou
z vámi zadaného serveru DNS.
A Specific IP Address Nastaví zdrojovou stanici filtru na konkrétní adresu
IP s danou maskou podsítě.
A Specific IP Subnet Nastaví zdrojovou stanici filtru na konkrétní adresu IP
pomoci dané adresy podsítě a masky podsítě.

Kapitola 11 - Správa bezpečné sítové komunikace
OBRÁZEK 11.9: Nastaveni zdroje filtru
7.	Na stránce IP Traffic Destination určete adresu cílové stanice provozu protokolu
IP. který chcete filtrovat. Poté co zvolíte jednu z následujících možností, zadejte
potřebné infonnace a poté klepněte na tlačítko Next.
	My IP Address (IP adresa tohoto počítače) Nastaví cílovou stanici filtru na
adresu IP počítače, na kterém jsou zasady protokolu IPSec aplikovaný.
	Any IP Address (Jakákoli ÍP-adresa) Nastaví cílovou stanici filtru na libo-
volnou adresu IP.
	A Specific DNS Name (Určený server DNS) Nastaví cílovou stanici filtru
na adresu IP zjištěnou z vámi zadaného serveru DNS.
	A Specific IP Address (Určená IP-adresa) Nastaví cílovou stanici filtru na
konkrétní adresu IP s danou maskou podsítě.
	A Specific IP Subnet (Určená podsíť protokolu IP) Nastaví cílovou stanici
filtru na konkrétní adresu IP pomocí dané adresy podsítě a masky podsítě.
8.	Na stránce IP Protocol Type nastavte typ protokolu na filtr. Jestliže chcete, aby
byly filtrovány všechny odesílané a přijímané pakety bez ohledu na to, o jaký
protokol IP se jedná, nastavte hodnotu na Any. Možnost Other zvolte v případě,
že typ protokolu chcete konfigurovat ručně. Klepněte na tlačítko Next.
9.	Jestliže jste jako typ protokolu zvolili TCP nebo UlfP, můžete nyní určil zdrojo-
vé a cílové porty. Jestliže chcete filtrovat například provoz protokolu SMB při-
cházející z libovolného portu, ale připojující se na souborové servery pres port
TCP 445, zvolte nastavení From Any Port a To This Port (Z jakéhokoli portu -
Na tento port) s hodnotou 445 (viz Obrážel 11.10). Klepnete na tlačítko Next.
10.	Zaškrtněte pole Edit Properties a poté klepněte na tlačítko Finish.
11.	Na kartě Addressing dialogu Filter Properties potvrďte, že chcete použít zrcadle-
ní. Když je filtr zrcadlený, aplikuje se stejný liltr na zdrojový i cílový počítač.
Chcete-li tedy pravidlo aplikovat jen v jednom směru (z klientů na servery nebo
ze serverů na klienty ), zrušte zaškrtnutí políčka Mirrored
Správa zásad protokolu IPSec
419
12.	Klepněte na tlačítko OK.
Filter Wizard
IP Protocol Port
Many TCP/IP application protocols aie established with well-known TCP or UDP
ports.
Set the IP protocol por1
'• From any port
C From this port:
C To ony port
• To this port
|445
Implementace
< Back
Next >
Cancel
OBRÁZEK 11.10: Výběr portu, který se má ve filtru použít
Tvorba a správa akcí filtrů
Akce filtru vam umožňuje informovat počítače zpracovávající zásady protokolu IP-
Sec o tom, co mají dělat se síťovým provozem, který odpovídá vámi vytvořenému
seznamu fiknu Implicitně jsou k dispozici tři akce filtru-
	Permit (Povolit) Povolí nezabezpečené pakety.
	Request Security (Optional) (Požadovat zabezpečení — nepovinné) Umož-
ňuje nezabezpečenou komunikaci, ale od klientů vyžaduje, aby wtvorih důvě-
ryhodnou vazbu a používali bezpečnou komunikaci. Umožňuje komunikaci
s nezabezpečenými klienty v případě, že neodpovídají na požadavek o použití
zabezpečení.
	Require Security (Požadovat zabezpečení) Umožňuje nezabezpečenou ko-
munikaci ale od klientu vždy vyžaduje, aby vytvořili důvěryhodnou vazbu
a používali bezpečnou komunikaci. Komunikace s nezabezpečenými klienty
není povolená.
Pro pravidla protokolu IP Security můžete vytvořit také dodatečné akce filtrů. Chce-
te-li vytvořit nové akce filtru protokolu IP nebo spravovat existující akce filtrů přiřa-
zené nějakému pravidlu, postupujte následovně:
1.	Oteviete dialog Properties zásad protokolu IPSec, ktere konfigurujete. V případě
potřeby nalistujte složku Computer ConfigurationXWindows SettingsXSecurity
SettingsX IP Security Settings On Active Directory, klepněte pravým tlačfckem na
zásady a zvolte Properties.
2.	Vyberte dříve nadefinované pravidlo protokolu IP Security a poté klepněte na
tlačítko Edu. Otevře se dialog Edit Rule Properties.
Kapitola 11 - Správa bezpečné síťové komunikace
Poznámka Pokud nechcete měnit nastavení způsobu ověřování, neměňte pravidlo Default
Response. Toto pravidlo zajišťuje implicitní odpověo na síťovou komunikaci.
3.	Karta Filter Action obsahuje existující akce filtru. Nyní můžete upravit či odstra-
nit existující akce filtrů nebo vytvořit novou akci filtru. Vybraná akce filtru urču-
je, jak se bude zacházet s provozem, který odpovídá seznamu filtrů vybranému
na kartě Filter List. Pro každé pravidlo lze vybrat jen jednu akci filtru.
4.	Chcete-li vytvořit novou akci filtru, klepněte na tlačítko Add. Až se spustí prů-
vodce IP Security Filter Action Wizard, klepněte na tlačítko Next.
Poznámka Předtím než klepnete na tlačítko Add, musíte zaškrtnout pole Use Add Wizard.
Jestliže není tlačítko zaškrtnuté, pak kliknutím na tlačítko Add vyvoláte dialog New Filter
Action Properties, Který je určen především pro správce s dobrou znalostí bezpečnostního fil-
trování protokolu IP.
5.	Na stránce Filter Action Name zadejte název akce filtru a poté vložte její popis.
Jestliže chcete vytvořit například akci filtru pro seznam filtrů protokolu SMB.
můžete použít název „Bezpečný protokol SMB“ a popis „Tato akce filtru se pou-
žívá k vyžádání bezpečné komunikace pro provoz protokolu SMB mezi servery
a jejich klienty“.
6.	Klepněte na tlačítko Next. Na strance Filter Action General Options můžete nyn
nastavit chování akce filtru (viz Obrázek 11.11). Zvolte jednu z následujících
možností:
	Permit (Povolit) Veškerý provoz, který odpov ídá filtru, je povolen.
	Block (Blokovat) Veškery’ provoz, který odpovídá filtru, je blokován.
Poznámka Blokován můžete použit k poskytnutí základního filtrování portů pomocí zasad pro-
tokolu IPSec. Zvolením konkrétních typů provozu, konkrétních portu a určením způsobu bloko-
vání můžete řídit, jaký typ provozu se bude vašimi počítači zpracovávat a jaký bude zamítnut.
Univerzálnějším a sn ize spravovatelným řešením je ale brána firewall systému Windows
	Negotiate Security (Vyjednat metodu zabezpečení) Umožňuje vam zadat
dodatečné požadavky na bezpečnou komunikaci.
7.	Jestliže jste zvolili možnost Permit nebo Block. klepněte na tlačítko Next, pote
klepněte na tlačítko Finbh a přeskočte zbývající kroky.
8.	Jestliže jste zvolili možnost Negotiate Security, klepněte na tlačítko Next a poté
určete, zda chcete, aby tato akce filtru povolila komunikaci s počítači, ktere ne-
podporují protokol IPSec:
 Jestliže chcete, aby na základě tohoto prav idla filtru mohly komunikovat
pouze počítače podporující protokol IPSec, zvolte možnost Do Not Commu-
nicate With Computers That Do Not Support IPSec (Nekomunikovat
s počítači, které nepodporují protokol IPSec).
• Jestliže chcete povolit nezabezpečenou komunikaci s klienty, kteří nepodpo-
ruji bezpečnou komunikaci založenou na protokolu IPSec, zvolte možnost
Fall Back To Unsecured Communications (Komunikovat nezabezpečeně).
Správa zásad protokolu IPSec
421
Implementace
OBRÁZEK 11.11: Vyber hlavní akce filtru
9.	Klepděte nu tlačítko Next. Zvolte metodu zabezpečení, kterou chcete použít pro
tento filtr (viz obrázek 11.12).
OBRÁZEK 11.12: Výběr metody zabezpečeni pro akci filtru
	Encryption And Integrity (Šifrování a integrita) Data jsou šifrovaná, ově-
řena a nezměněná Výchozí šifrovací algoritmus je 3DES. Výchozí algoritmus
pro kontrolu integrity je SHA1.
	Integrity Only (Pouze integrita) Data jsou ověřená a nezměněna. Integrita
se kontroluje algoritmem SHA1.
	Custom (Vlastní) Umožňuje vam určit, které techniky a algoritmy se mají
použít pro ověřován a kontrolu integrity. Také můžete určit, že chcete gene-
rovat relační klíče, a nakonfigurovat, jak se s nimi bude1 pracovat.
22
Kapitola 11 - Správa bezpečné srťové komunikace
Poznámka Ve většině případů byste měli v zájmu ochrany síťového provozu použit šifrovaní
<	} i kontrolu integrity. Šifrovaní ale vyžaduje dodateční- procesní cykly, a proto nemusí být
ideální volbou pro hodně vytížený server, obzvláště tehdy, když požaoujete, aby byla chrá-
něna veškerá komunikace s tímto serverem.
10.	Klepněte na tlačítko Next a potě na tlačítko Finish.
Sledování zásad protokolu IPSec
Po zavedení zásad protokolu IPSec by.>te měli zkontrolovat jednotlivé počítače
a ujistit se, že se k nim dostávají správné zásady a že jsou tyto zásady používaný.
Operační systém U ndows Server 2003 nabízí modul snap-in IP Security Policy Ma-
nagement, který je určený právě k tomuto účelu. Tento modul můžete spustit
a začít používat následujícím způsobem:
1.	Nejprve otevřete novou instanci konzoly MMC (Microsoft Management Console).
Vstupte do nabídky Start a klepněte na položku Run (Spustit). Do dialogu zadejte
mmc a klepněte na tlačítko OK.
2.	Zvolte Filé, Add/Remove Snap-in (Soubor-Přidat nebo odebrat modul snap-in).
3.	V dialogu Add/Remove Snap-in klepněte na tlačítko Add (Přidat).
4.	V dialogu Add Standalone Snap-in (Přidat samostatný modul snap-in) zvolte
možnost IP Security Monitor (Sledovaní zabezpečeni protokolu IP) a poté klep-
něte na tlačítko Add (Přidat).
5.	Klepněte na tlačítko Close (Zavřít) a poté klepněte na tlačítko OK.
6.	Implicitně se otevře modul IP Security Monitor a označí se počítač, na němž
modul běží. Vy ale můžete klepnout pravým tlačítkem na uzel IP Security Policy
Monitor a pomocí příkazu Add Computer vybrat jiný počítač.
Jak je vidci na obrázku 11.13, modul IP Security Monitor snap-in obsahuje podrobnos-
ti o aktivních zásadách protokolu IPSec na daném počítači. Tím pádem můžete snad-
no zjistit, zda se protokol IPSec používá, jak se používá a jaké zásady jsou v platnosti.
Modul IP Security Monitor vám poskytuje také podrobnosti o:
	hlavním režimu, který reprezentuje klíčovou fázi vyjednávání výměny dat při
komunikaci pomocí protokolu IPSec
	rychlém režimu, který reprezentuje fázi vyjednávaní týkající se ochrany dat.
/ Poznámka K prohlížení platných zásad protokolu IPSec pro určitý počítač můžete využit také
funkce množiny RSoP (Resultant Set of Policy) nabízené konzolou GPMC (Group Policy Ma
nagement Console). Návod pro práci s množinou RSoP najdete v kapitole 2. Kapitola 3 ob-
sahuje podrobnosti o tom, jak množinu RSoP používat k modelování zásad skupiny při
plánování.
11.3 Zavádění zásad veřejných klíčů
Ověřování pomocí protokolu Kerberos ie nejčastěji používaným ověřovacím mecha-
nismem mezipočítačové komunikace používaným pro počítače s operačním systé-
mem Microsoft Windows. Protokol Kerberos je výchozím ověřovacím mechanismem
Zavádění zásad veřejných klíčů
pro domény služby Active Directory. Kromě ověřování pomocí protokolu Kerberos
mohou počítače s operačním systémem Microsoft Windows používat pro ověřování
certifikáty veřejných klíčů.
OBRÁZEK 11.13: Prohlížení detailních informaci o zásadách v modulu IP Security Monitor
Princip fungování certifikátů veřejných klíčů
Certifikáty veřejných klíčů poskytují standardní způsob bezpečne identifikace uživate-
lů a počítačů. Certifikát je ve své podstatě jednoznačný podpis, který je možné přiřadit
pouze jedné konkrétní identitě. Cení ikaty veřejných klíčů mají široké spektrum pou-
žiti pro uživatele i pro počnače. Použít je můžete pro povolení komunikace protokolu
IPSec mezi počítači, pro podepisování kódu (zda pochází od důvěryhodného vyda-
vatele), pro šifrování elektronické pošty a pro využití systému EFS (Microsoft En-
crypting I ile System). Přístupy využívající veřejný klíč jsou někdy označovány jako
infrastruktura s veřejným klíčem (PKI).
Zásady správy veřejného klíče v rámci zasad skupiny vám umožňují řídit, které cer-
tifikáty budou vaši uživatelé a počítače používat a jak je budou používat. Zásady
správy veřejného klíče umožňují automatický zápis určených certifikátů. Díky tomu
není nutné pro vaše počítače a uživatele ručně přidávat certifikáty, aby mohli začít
používat takové služby, iako je šifrovaná elektronická pošta. Také můžete zajistit,
aby vaši uživatelé používali pouze certifikáty od uznávaných certifikačních autorit
(CA). Certifikační autorita může být důvěryhodná externí organizace nebo interní
certifikaČQi autorita, kterou sami vytvoříte. Interní certifikační autoritu založíte tak,
že na počítač s operačním systémem Windows Server 2003 (spadající do vaší do-
ménové struktury služby Active Directory) nainstalujete službu Microsoft Certificate
Services.
Certifikační autorita je /odpovědná za tvorbu a distribuci certifikátů veřejných klíčů
mezi uživatele a počítače. Certifikační autorita také poskytuje seznamy CRL (CeCiti-
cate Revocation List, ktete uživatelům a počítačům poskytuji informace o skončení
platnosti vystavených certifikátů (nemusí se vždy nutně jednat o časové vypršení
platnosti).
24
Kapitola 11 - Správa bezpečné síťové komunikace
Další informace Dobrým výchozím bodem pro získám základních informací o založení čerti-
< fikační autority a práci s ní je 8. kapitola publikace US 6.0 Administrátorů Pocket Consultant,
vydané nakladatelstvím Microsoft Press v roce 2003. Obsahuje informace o tvorbě certifikač-
ní autority, vystavování certifikátů, rušení certifikátu a obecné správě služby Certificate Ser-
vices.
Použiti zásad pro správu veřejných klíčů
Zásady pro správu veřejných klíčů jsou v oboru názvů zásad skupiny ve složce
Windows SettingsX Security SettingsX Public Key Policies k dispozici pro jednotlivé
počítače i pro jednotlivé uživatele (viz obrázek 11.14). Složka Public Key Policies
,nacházející se v části pro jednotlivé uživatele obsahuje ale pouze část toho, co na-
jdete v nastaveních pro jednotlivé počítače. Nastavení pro uživatele můžete použít
pouze pro správu podnikových seznamů důvěryhodných certifikátů a ke konfigura-
ci automatického zápisu certifikátu.
OBRÁZEK 11.14: Prohlížení zasad pro správu veřejných klíčů v oboru názvů zásad skup'ny.
Zásady pro správu veřejných klíčů umožňují různé způsoby zavádění a použit pra-
videl vynucovaní. Čtyři hlavní kategorie zasad jsou:
	Encrypting Filé Systém (Šifrováni systému souboru) Používá se k zavedeni
agentu obnovy klíčů pro data, která jsou šifrována pomocí systému EFS. Zásady
systému EFS vám Umožňují dešifrovat data zašifrovaná uživateli, kteří již nejsou
aktivní nebo jejichž účty byly odstraněny. V prostředí služby Active Directory je
pro všec hny počítače domény agentem obnovy implicitně účet doménového
správce. Tyto zasady se vztahuji pouze na počítače.
	Automatic Certificate Requcst Settings (Nastavení automatické žádosti o čer-
ti i kát) Používá se k určení typů certifikátu, které může počítač automaticky
vyžadovat. Tyto zásady se vztahuji pouze na použiti certifikátů pro jednotlivé
Zavádění zásad veřejných klíčů
425
počítače a pro jejich použití potřebujete mít jednu nebo více existujících šablon
certifikátu. Tyto zasady se vztahuji pouze na počítače.
Poznámka Každv typ šablony má specifické použití (např. pro počítače, doménové řadiče,
agenty zápisu certifikátu nebo zabezpečení protokolu IP). Certifikáty šablon můžete nainstalo-
vat pomoci souboru Certtmpl . msc. Když počítač zpracuje odpovídající zásady, dojde pro daný
typ certifikátu k automatickému zápisu certifikátu u podnikové certifikační autority.
	Trusted Root Certification Authorities (Důvěryhodné kořenové čerti fi-
kační úřady) Používá se ke konfiguraci povolených typu kořenových certifi-
kačních autorit. Implicitně jsou považovaný za důvěryhodně externí kořenové
certifikační autority a podnikové kořenové certifikační autority. Tuto konfiguraci
můžete změnit a přidat nové důvěryhodné kořenové certifikační autority. Neza-
pomínejte, že kořenové certifikační autority služby Active Directory se na do-
ménové počítače instalují automaticky bez použití zásad pro správu veřejných
klíčů. Tyto zásady se vztahují pouze na počítače.
implementace
	Enterprise Trust (Důvěryhodnost v rámci rozsáhlé sítě) Používá se
k určení seznamů důvěryhodných certifikátů (certifikáty vydané důvěryhodnou
externí certifikační autoritou). Důvěryhodné certifikáty jsou seřazeny podle cer-
tifikačních autorit, které je vystavily, data platnosti a zamýšleného účelu, Tyto
zásady se vztahují na uživatele i počítače.
Vedle uvedených čtyř hlavních oblasti zásad můžete pro počítače a uživatele konfi-
gurovat chováni týkající se zápisu certifikátů. Uživateli* a počítače jsou implicitně
nakonfigurováni tak, aby certifikáty zapisovali automaticky. Nastavení automatické-
ho zapisování certifikátů můžete prohlížet a měnit následujícím způsobem:
1.	Podle potřeby označte bud ve složce Computer Configuration\ Windows SettingsX
Security Settings (Konfigurace počítačeX Nastavení systému WindowsX Nastavení
zabezpečení) nebo User ConfigurationX Windows SettingsX Secu rity Settings (Kon-
figurace uživateleXNastaveni systému WindowsX Nastavení zabezpečení) položku
Public Key Policies (Zásady veřejných klíčů).
2.	V pravém podokně poklepejte na nastavení Autoenrollment Settings (Nastaveni
automatického zápisu). Zobrazí se dialog zachycený na obrázku 11.15.
3.	Chcete-li automatický zápis certifikátu zablokovat, zvolte možnost Do Not Enroll
Čertificates Automatically (Nezapisovat certifikáty automaticky). Chcete-li auto-
matický zápis certifikátu povolit, zvolte možnost Fnroll Čertil icates Automatically
(Zapisovat certifikáty automaticky).
Povolíte-li automatický zápis certifikátu, aktivují se dvě dodatečné možnosti:
	Renew Expired Certificates, Update Pending Certificates, And Remove
Revoked Certificates (Obnovovat certifikáty, jejichž platnost vypršela,
aktualizovat čekající certifikáty a ode bírat odvolané certifikáty) Tuto
možnost zvolte v případě, že chcete, aby kromě automatického zápisu byla
zajištěna i správa instalovaných certifikátu v případě, že vyprší, jsou zamítnu-
ty nebo čekají na zpracování.
	Update Certificates That Use Certificate Templates (AktuaJiozovat cer-
tifikáty, které používají šablony certifikátu) Tuto možnost zvolte
Kapitola 11 - Správa bezpečné síťové komunikace
v případě, že chcete pomocí šablon certifikátů řídit, které druhy certifikát j
se budou automaticky zapisovat, a povolit aktualizaci certifikátů.
4.	Klepnete na tlačítko OK.
OBRÁZEK 11.15: Určení hlavních možností automatického zápisu certifikátů v zásadách
pro správu veřejných klíčů
Správa zásad veřejných klíčů
Certifikáty veřejných klíčů se používají především v určitých situacích. Jestliže máte
například nainstalovanou podnikovou kořenovou certifikační autoritu, můžete au-
tomaticky zapisovat uživatelské účty s certifikátem pro podepisování elektronické
pošty a pro šifrování. To ale nevyžaduje použití zásad veřejných klíčil, protože au-
tomatický zapiš je v prostředí služby Active Directory s nainstalovanou certifikační
autoritou implicitně povolen.
Oblast, která vyžaduje konfiguraci v rámci zásad, je implementace systému EFS
v prostředí služby Active Directory. Když uživatel zašifruje soubor pomocí EFS, pak
se agenty obnovení daného souboru stanou implicitně tento uživatel a doménový
správce (v případě, že je počítač v doméně služby Active Directory). To znamená,
že daný soubor může dešifrovat pouze tento uživatel nebo doménový správce.
Nicméně předtím než uživatelům povolíte využívat systém EFS, můžete vytvořit
i další agenty obnovení, abyste tak zajistili, že šifrované soubory budou moci ve va-
ší organizaci obnovovat všichni odpovědní lidé.
Chcete-li přidat nového agenta obnoveni pro systém EFS, postupujte následovně:
1.	Ve složce Computer ConfigurationW indows SettingsX Security Settings vyberte
položku Public Key Policies (Konfigurace počítáče\ Nastavení systému Win-
dows \ Nastavení zabezpečení - Zásady veřejných klíčů).
2.	Klepněte pravým tlačítkem na Encrypting Filé System (Šifrovaní systému soubo-
rů) a zvolte možnost Add Data Recovery Agent (Přidat Agenta obnovování dat).
Spustí se průvodce Add Recovery Agent Wizard. Klepněte na tlačítko Next,
Zavádění zásad veřejných klíčů
427
Poznámka Místní nabídka, která se objeví po klepnutí pravým tlačítkem na položku Encryp-
ting Filé System obsahuje také možnost Create Data Recovery Agent (Vytvořit Agenta obno-
' vování dat). Zvolíte-li ji, do objektu GPO se automaticky přidá účet doménového správce
jako výchozí hlavní agent obnovení. To je nutné pouze v případě, že chcete, aby všechny po-
čítače, které zpracují daný objekt GPO, měli jako hlavního agenta obnovení nastavený účet
doménového správce. Zvolit můžete také možnost All Tasks (Všechny úkoly) a pak Delete
Policy (Odstranit zásadu), čímž se odstraní všichni agenti obnoveni daného objektu GPO.
3.	Na stránce Select Recovery Agent (Vybrat agenty obnovení) (viz obrázek 11.16)
můžete určit, zda se uživatelský certifikát (který se použije pro založení agenta
obnovení) bude hledat ve službě Active Directory, nebo v konkrétní složce.
Uživatel, jehož certifikát určíte, bude následně přidán do seznamu Recovery
Agents (Agenti obnovení). Tento proces zopakujte pro přidání všech požadova-
ných agentů obnovení.
Implementace
OBRÁZEK 11.16: Určení nového agenta obnovení pro systém EFS
Poznámka Certifikáty je možno exportovat do souborů a poté je pomocí funkce Browse Fol-
ders (Procházet složky) importovat. Tímto způsobem můžete importovat soubor certifikátu
v případě, že certifikát není uložen ve s^žbě Active Directory spolu s objektem uživatele.,
Tip Certifikáty nainstalované pro váš uživatelský účet nebo pro určitý počítačový účet může-
te prohlížet tak, že do konzoly MMC nahrajete modul snap-in Certificates. Modul snap-in
Certificates (Certifikáty) poskytuje podrobné informace o aktuálně zapsaných certifikátech
a také vám umožňuje zapisovat certifikáty ručně. Dále obsahuje důvěryhodné certifika< ni
autority pro uživatele či počítač.
4.	Klepněte na tlačítko Next (Další) a poté na tlačítko Finish (Ukončit). Při násle
dujícím zpracováni tohoto objektu GPO zavedou zásady určené uživatele jako
agenty obnoveni pro všechny šifrované soubory.
428
Kapitola 11 - Správa bezpečné síťové komunikace
11.4 Úvod do zásad pro správu brány
firewall systému Windows
Většina organizaci používá v rámci ochrany interní sítě přeci útočníky brány firewall
a servery proxy. Když se uživatelé či počítače nepi imo připojují do sítě Internet
prostřednictvím těchto bran firewall a serverů proxy, můžete si být téměř jisti, že
budou tyto počítače ochráněné před útoky a před uživateli s nekalými úmysly.
Jestliže se ale uživatel či počítač připojuje do sítě Internet přímo, muže být tato
ochrana neúčinná. Jestliže se například uživatel s přenosným počítačem připojí
z porady nebo z kavárny prostřednictvím bezdrátové sítě, není počítač automaticky
chráněn před útokem nebo neoprávněným vniknutím. V případě, že se takto infi-
kovaný počítač připojí později znovu do interní sítě, muže „nakazit“ i ostatní počí-
tače. Chcete-li takowm problémům předejít, musíte mít bránu firewall na všech
počítačích - nespoléhat jen na bránu firewall či server proxy, který odděluje interní
sít od internetu. V tomto okamžiku přichází ke slovu brána firewall systému Win-
dows zásady skupiny pro správu brány firewall systému Windows.
Princip fungování brány firewall systému Windows
Brána firewrall systému Windows, která je nástupcem brány IC1 (Internet Connecti-
on Firewall), byla poprvé uvolněna iako součást opravného balíčku Service Pack 2
pro opem ční systém Windows XP a jako součást opravného balíčku Service Pack 1
pro operační systém Windows Server 2003. Stejně jako ICF, tak i brána firewall sys-
tému Windows poskytuje (v rámci ochrany počítačů s operačním systémem rodiny
Windows před neautorizovaným přístupem) stavové filtrování portu protokolu IP
pro jednotlivé hostitele.
Stavové filtrování portu znamená, že brana firewall systému Windows uchovává zá-
znamy o příchozích a odchozich připojeních a umožňuje vám dynamicky řídit da-
tový provoz. Brana firewall systému Windows vám také umožňuje výjimkami
řízenou ochranu. \ okamžiku, kdy k počítači chráněnému bránou firewall systému
Windows dorazí provoz, který nesplňuje její pravidla, má uživatel možnost pro-
střednictvím dialogu s názvem Security Alert tento provoz povolit nebo zakázat.
Brana firewall systému Windows se od brány ICF liší tím, že je možné ji plně spra-
vovat a konfigurovat prostřednictvím zásad skupiny. Další věcí je, že výchozí konfi-
gurace pro pracovní stanice se liší od konfigurace připravené pro servery. Výchozí
konfigurace brány hrewall systému Windows je také bezpečnější (například proto,
že brana firewall systému Windows je implicitně zapnuta pro všechna síťová připo-
jení). Zde je několik upozornění, na která byste neměli zapomínat:
	Na počítačích s operačním systémem Windows XP s aktualizací SP2 nebo nověj-
ším je brana firewall systému Windows k dispozici a je implicitně zapnuta.
Služba Windows Firewall/Iniernet Connection Sharing (1CS), která poskytuje
službu ochrany branou firewall je nakonfigurovaná tak, abyr se automaticky
spouštěla při startu operačního systému. Zapnutím nebo vypnutím brány fi-
rewall systému V indows se stav teto služby nemění.
	Na počítačích s operačním systémem Windows Server 2003 s aktualizací SPI
nebo novějším je brána firewall systému Windows k dispozici, ale je implicitně
Úvod do zásad pro správu brány firewall systému Windows
vypnuta. Služba Windows Firewall/Internet Connection Sharing (ICS) se při star-
tu operačního systému automaticky nespouští a je implicitně vypnutá.
Bránu firewall systému Windows muže vypínat, zapínat a konfigurovat pomocí ná-
stroje Windows Firewall (Brána firewall systému Windows), dostupného v nabídce
Control Panel (Ovládací panely). Když se tento nástroj pokusíte spustit v době, kdy
služba Windows Firewall/Internet Connection Sharing (ICS) neběží, budete dotázá-
ni, zda chcete službu spustit (viz obrázek 11.17). Klepnete na tlačítko Yes a služba
se spustí. Nezapomínejte na to, že když později nakonfigurujete výjimky pro apli-
kace či služby, které běžely před spuštěním služby, měli byste restartovat počítač.
Tím zajistíte správný beh těchto aplikací a služeb.
Windows Firewal cannot run because the Windows FrewaU/Intet net Connection Shann j (ICS)
Service is not running. To use Windows FrewaJ, you must start the Windows Fkewall/ICS Service.
If you configure exceptmns for applications or Services that werc runr hg before you started
Windows Firewall, you might háve to restart your Computer so that these appkations and Services
run properly. Do you want to start the Windows Firewall/IC5 Service?
Windows Firewall
OBRÁZEK 11.17: Jestliže mate v úmyslu používat bránu firewall systému Windows, spustte
službu Windows Firewall/Internet Connection Sharing (ICS)
Když je brána firewall systému Windows spuštěna, je implicitně zapnula pro všechna
síťová připojení počítače. To znamená, že když je spuštěna brána firewall systému
Windows, jsou chráněná veškera připojení po síti LAN, bezdrátové síti i vzdálena
připojení. Brunu firewall systému Windows můžete samozřejmě pro určitá síťová
připojen vypnout.
Použití zásad pro správu brány firewall
systému Windows
Zásady pro správu brány firewall systému Windows se nacházejí ve složce Computer
ConfigurationXAdministrative TemplatesXNetworkXNetwork ConnectionsXWindows
Firewall (Konfigurace poč.tačeX Šablony pro správuXSíťX Síťová připojeníX Brána fi-
rewall systému Windows). Tyto zásady mají dva režimy. Pomocí nastavení Domain
Profile můžete konfigurovat chovaní brány firewall systému Windows pro počítač
připojený do podnikové sítě. Pomocí nastavení Standard Profile můžete konfiguro-
vat nastavení brány firewall, která se mají aplikovat, když je uživatel od podnikové
sítě odpojen (napr. uživatel s přenosným počítačem pracující doma). Standardní
profil je užitečný v případě, že chcete chránit i počítače, které nejsou právě připo-
jené do podnikové sítě.
Při zjišťovaní, zda je počítač připojen do podnikové sítě, operační systém Windows
nejdříve porovná příponu DNS aktivního síťového připojení s příponou DNS, která
byla platná při posledním procesním cyklu zásad skupiny. Naposledy platnou pří-
ponu DNS systém načítá z této hodnoty registru:
HKEY_LOCAL_MACH IN E\SO FTWARE\M icrosoftXWindowsXCurrentVersi onXGroup
Pol icyXHistoryXNetworkName
Jestliže je přípona DNS získaná z registru shodná s příponou aktivního síťového
připojeni (síťové připojení, které je zapnuté a má přirazenou nějakou adresu IP).
Kapitola 11 - Správa bezpečné síťové komunikace
pak se počítač považuje za připojený do podnikové sítě a použijí se zásady Doma i n
Profile. Porovnaní přípony DNS je ale pouze jednou částí detekčního algoritmu.
Počítač se považuje za nepřipojený k podnikové síti (použijí se zásady Standard
Profile), když platí jedna z následujících podmínek:
	Přípona DNS aktivního síťového připojení se neshoduje s příponou DNS uvede-
nou v hodnotě registru NetworkNanie.
	Počítač není součástí domény služby Active Directory.
	Jediné aktivní síťové připojení je vytáčené nebo prostřednictvím VPN.
Platnost těchto podmínek ověřuje operační systém V/indows při spuštění nebo při
změně síťového připojení (nové aktivní připojení nebo změna stávajícího připojení).
Poznámka Technicky počítače zpracují jak nastavení zásad Domain Profile, tak i nastavení
Standard Profile a nastaví hodnoty těchto zásad do registru, ale nastavení aplikují
(podle aktuálního profilu) pouze při startu počítače nebo změně síťové konfigurace. Logika
uvedeného je následující: jestliže počítače již nejsou v podnikové síti, nemohou zpracovat
zásady skupiny, aby získali nastavení zásad Standard Profile. Tím, že se zpracují oba profily,
se zajistí, že počítače budou mít nastavení k dispozici a při změně síťového stavu počítače se
aplikují kdykoliv a kdekoliv.
Chcete-li si prohlédnout aktuální profil, který je platný pro určitý počítač, postupuj-
te následovně:
1.	V nabídce Control Panel (Ovládací panely) poklepejte na položku Windows Fi-
rewall (Brána firewall systému Windows) nebe; v systémové oblasti hlavního pane-
lu klepněte pravým tlačítkem na ikonu aktivního síťového připojení a zvolte
příkaz Change Windows Firewall Settings (Změna nastavení brány firewall).
2.	Jestliže je služba Windows Firewall/Internet Connection Sharing (ICS) (Brána Fi-
rewall / Sdílení připojení k Internetu (ICS)) vypnuta nebo zablokována, dostane-
te šanci ji spustit:
	Chcete-li, aby na daném počítači běžela brána firewall systému Windows,
klepněte na tlačítko Yes a spusťte službu. Služba se spustí a nakonfiguruje
pro automatické spouštění. Brána firewall systému Windows je ve výchozím
stavu povolena: vypnuta pro servery a zapnuta pro pracovní stanice.
	Chcete-li z nástroje Windows Firewall (Brána firewall systému Windows)
odejít, klepněte na tlačítko No. Stav služby Windows Firewall/Internet Con-
nection Sharing (ICS) se nezmění a brána firewall systému Windows nebude
na daném počítači k dispozici.
3.	Možnosti na kartě General (Obecné) odrážejí stav brány firewall systému Win-
dows a momentálně používaný profil (viz obrázek 11.18). V levein dolním rohu
se vždy nachází jedno z následujících sdělení:
	Windows Firewall Is Using Your Domain Settings (Brána firewall sys-
tému Windows používá nastavení pocházející z domény) Znamená, že
se právě používá doménový profil.
	Windows Firewall Is Using Your Non-Domain Settings (Brána firewall
systému Windows používá nastavení nepocházející z domény) Zname-
ná, že se právě používá standardní profil.
Správa zásad brány firewall systému Windows
OBRÁZEK 11.18: Stav brány firewall systému Windows
Jedním z omezení při určovaní toho, jaký profil se použije, je předpoklad, že přípony
DNS se přiřazují dynamicky při změně síťového připojení. Jestliže pro přiřazovaní
konfigurací IP vašim podnikovým počítačům používáte například protokol DHCP,
můžete určit také příponu DNS. Když se uživatelé vzdáleně připojují přes externí sí-
tě, poskytnou tylo sítě s největší pravděpodobností svou vlastní příponu DNS.
Jestliže ale máte počítače, jejichž přípona DNS je ve vlastnostech DNS připoiení
pevně nastavena (viz obrázek 11.19), může při určování, jaký profil se má použít,
dojít k potížím. Ptáte se proč? Protože v případě, kdy se dané připojení používá
v podnikových i nepodnikových sítích, bude mít pro všechny oblasti stejnou přípo-
nu DNS a vždy se použije doménový profil. Jestliže máte tedy v úmyslu implemen-
tovat pro doménový profil a standardní profil odlišná nastaveni, musíte zajistit, aby
byly přípony DNS poskytovány dynamicky prostřednictvím protokolu DHCP namís-
to jejich pevneho nastavení.
11.5 Správa zásad brány firewall
systému Windows
Otevřete-li v zásadách skupiny složku Computer Configuration\Administrativc Tem-
platesX NetworkX Network Connections \ Windows Firewall, najdete dvě samostatné
sekce zásad Domain Profile a Standard Profile. Obě tyto kategorie obsahují stejné zá-
sady a nastavenu Jediný rozdíl je v tom, že jedna skupina zásad se používá ke kon-
figuraci braný firewall systému Windows v podnikové síti, zatímco ta druhá slouží
ke konfiguraci brány firewall systému Windows pro použití mimo podnikovou sít.
Existuje také jedno globální nastaveni zásad, které se nachází na stejné úrovni jako
tyto dva profily. Toto globální nastaveni zasad řídi způsob, jakým brána fírewal!
systému Windows pracuje s protokolem IPSec.
Pracujete-li se zásadami pro správu brány firewall systému Windows, měli byste obec-
ně určit, zda bude povoleno obcházení braný pomocí protokolu IPSec. V případě, ze
Kapitola 11 - Správa bezpečné síťové komunikace
ano, byste měli nakonfigurovat počítače, kterým bude tato činnost povolena, a ná-
sledně byste meL určit, zda by měla být v profilech Domain Profile a Standard Profile
povolena (nebo zablokována) brána firewall systému Windows. V profilu, kde se bu-
de brána firewall systému Windows používat, byste měli poté nakonfigurovat povo-
lené výjimky, upozornění a protokolovaní.
OBRÁZEK 11.19: Pevně stanovená přípona DNS síťového připojení
Konfigurace obcházení brány firewall
systému Windows
Pomocí zásad Windows Firewall: Allow Authenticated IPSec Bypass (Brana firewall
systému Windows: Povolit vynechání počítačů ověřených protokolem IPSec) můžete
bránu firewall systému Windows nakonfigurovat tak, aby se nechala obejít komunika-
cí ověřenou protokolem IPSec. Jestliže tyto zásady zapnete, pak se na počítače, které
komunikují pomocí protokolu IPSec a zpracovávají tyto zásady, nebudou vztahovat
omezení brány firewall. V př padě, že ryto zásady vypnete nebo nenakonfigurujete,
nebudou pro počítače komunikující po protokolu IPSec platit žádné výjimky a bu-
dou ovlivněny stejnými omezeními jako všechny ostatní počítače.
Chcete-li zajistit, aby mohla komunikace chráněná protokolem IPSec obcházet brá-
nu firewall systému \\ indows, postupujte následovně:
1.	Nalistujte složku Computer ConfigurationXAdministrativě TemplatesXNetwork\
Network ConnectionsXWindows Firewall (Konfigurace počítáče\Šablony pro
správuX Sít X Síťová připojeníX Brána firewall systému Windows).
2.	V podokně nacházejícím se zcela vpravo poklepejte na položku Windows Fi-
rewall: Allow Authenticated IPSec Bypass (Brána firewall systému Windows:
Povolit vynechaní počítačů ověřených protokolem IPSec).
3.	Zvolte možnost Enabled (Povolit) a pote vložením řetězce SDDL (Security
Descnptor Definition Language) do textového pole specifikujte počítače použí-
vající protokol IPSec, které mají být postaveny mimo oblast vlivu zasad braný fi-
rewall. Další informace o syntaxi jazyka SDDL najdete v 15. kapitole.
Správa zásad brány firewall systému Windows
Poznámka Řetězec SDDL obsahuje identifikátory SID (Security Identifiers) počítačů vaší or-
ganizace, které mají mít umožněno obcházení brány firewall v případě použití komunikace
zabezpečené protokolem IPSec. Obvykle se zadávají popisovače zabezpečení reprezentující
globální bezpečnostní skupiny Domain Computers a Domain Controllers. Jestliže jste pro ur-
čitou doménu nebo organizační jednotku vytvořili jiné skupiny počítačů a chcete obcházení
braný firewall omezit na počítače v rámci této domény či organizační jednotky, zadejte vámi
nadefinované skupiny.
4.	Klepněte na tlačítko OK.
Povolování a zakazování brány firewall systému
Windows prostřednictvím zásad skupiny
Pomocí zásad skupiny si na serverech a pracovních stanicích můžete vynutit zapnu-
tí či vypnutí brány firewall systému Windows. Dejme tomu, že například chcete,
aby na serverech byla u profilu Standard Profile brána firewall systému Windows
zapnuta a u profilu Domain Profile vypnuta. Máte-li speciální skupiny počítačů, kte-
ré by měly v případě připojení na podnikovou síť používat bránu firewall systému
Windows, můžete pro ně vytvořit samostatný objekt GPO s názvem Windows Fi-
rewall a pomocí bezpečnostních filtrů rozhraní WMI jej selektivně aplikovat.
Tip V některých prostředích (např. malá kancelář s omezenou ochranou hardwarové brány
firewall) můžete u profilu Domain Profile zapnout bránu firewall systému W ndows.
V takovém případě byste měli také zvážit, zda není potřeba nakonfigurovat bránu íirewall
tak, aby bylo možné počítače spravovat na dálku. Podrobnosti najdete v oddíle „Povolení
výjimek pro vzdálenou plochu" teto kapitoly.
Pomocí zásad Windows Firewall: Protéct All Network Connections (Brána firewall
systému Windows: Chránit všechna sítová připojení) můžete řídit, zda má být brána
firewall systému Windows povolena, nebo zakázána. Pri práci s těmito zásadami je
dobré mít na mysli následující:
	Jestliže jsou tyto zásady zapnuty, bude brána firewall systému Windows povolena
pro všechna síťová připojení na všech počítačích, které zpracují objekt GPO obsa-
hující toto nastavení zásad (s ohledem na to, v jakém profilu je zapnuto).
	Jestliže jsou tyto zásady vypnuty, bude brána firewall systému Windows zakázána
pro všechna síťová připojení na všech počítačích, které zpracují objekt GPO obsa-
hující toto nastavení zásad (s ohledem na to, v jakém profilu je zapnuto).
	Bez ohledu na to, zda jsou zásady nastaveny na hodnotu Fnabled nebo Disa-
bled. uživatel počítače, na který byly zásady aplikovány, nebude moci nastavení
změnit. Ovládací prvek, který k tomu slouží, bude zasedlý.
Poznámka Ačkoliv můžete na místním počítači použít pro určení ochrany jednotlivých připo-
jení branou firewall kartu Advanced dialogu Windows Firewall (Brána firewall systému Win-
dows), není tato funkcionalita dostupná prostřednictvím zásad skupny. V rámci zásad
skupiny můžete použití brány firewall systému Windows povolit nebo zakázat pouze pro
všechna síťová připojení na daném počítači. Zásady skupiny vám také neumožňují konfigu-
rovat ookročilá nastavení jednotlivých připojení pro služby a konfiguraci protokolu ICMP.
34 Kapitola 11 - Správa bezpečné síťové komunikace
Správa výjimek brány firewall
pomocí zásad skupiny
Další možností související s povolováním a zakazováním funkcionality braný firewall
systému Windows je povolovaní výjimek. Výjimky můžete použít, například chcete-li
programům povolit přístup k určitým portům počítače, i přestože je zapnuta brána fi-
rewall systému Windows. Jakmile se za normálních okolností pokusí nějaká aplika-
ce otevřít port počítače pro nasloucháni, dostane uživatel pracující na počítači
se zapnutou branou firewall systému Windows upozornění. Pomocí zásad skupiny
můžete řídit, které aplikace a porty mají komunikaci pres bránu firewall povolenou,
a dosáhnout tak toho, že uživatel nebude obtěžován upozorněními a výzvami.
Na serverech (ktere obvykle nemají žádné aktivní uživatele) může být možnost na-
stavit výjimky pomocí zásad skupiny velmi užitečná K dispozici je velké množství
připravených zásad pro povolování výjimek známým aplikacím. Nadefinovat si mů-
žete také své xyjimky (stačí znát aplikaci a port, který potřebuje). Zadaním libovol-
né kombinace následujících identifikátorů (jako oddělovač slouží čárka) můžete pro
většinu výjimek nastavit rozsah povolené komunikace:
	rPAddress (IP-adresa) (např. 192.168.1.10) Umožňuje, aby počítače, které
zpracují tento objekt GPO, povolily souborový a tiskový provoz z této adresy
IP.
	SubnetAddress (Adresa podsítě IP) (např. 192.168.1.0/24) Umožňuje, aby po-
čítače, ktere zpracují tento objekt GPO, povolily souborový a tiskový provoz
z této podsítě IP.
	localsubnet (místní podsíť) Umožňuje, aby počítače, které zpracují tento ob-
jekt GPO, povolily veškery souborový a tiskový provoz z lokální podsítě.
Chcete-li například povolit výjimky pro lokální podsíť, počítač s adresou IP
192.168.1.10 a pro podsít 192.168.1.0/24, zadáte toto:
localsubnet, 192.168.1.10, 192.168.1.0/24
Tip Chcete-li určit, že s určitou aplikací mohou komunikovat všechny sítě, můžete použít
hvězdičku (*). Dobrým zdrojem informací na téma podsítě IP a jejich specifikace je publikace
I44ý7č/oi45 Server 2003 inside Out
Zakázání výjimek
Použití výjimek můžete plně řídit pomocí zásad Windows Firewall: Do Not Allow
Exceptions (Brána firewall systému Windows: Nepovolil výjimky). Nezapomínejte
ale na následující skutečnosti:
	Jestliže zapnete tyto zásady, nebudou povoleny žádné nove výjimky a ji z nadefi-
nované výjimky budou ignorovány. V dialogu Windows Firewall (Brana firewall
systému Windows) bude zaškrtnuto pole Don» Allow Exceptions (Nepovolit vý-
jimky) a jeho změnu nebudou moci provést Uživatelé an fnístni správci
	Jestliže tyto zasady vypnete, nové výjimky budou povoleny a nadefinované vý-
jimky budou platné. V dialogu Windows Firewall (Brana firewall systému Win-
Správa zásad brány firewall systému Windows
dows) nebude zaškrtnuto pole Don’t Allow Exceptions (Nepovolil výjimky)
a jeho změnu nebudou moci provést uživatelé ani místní správ ci.
Správci, kteří se přihlásí lokálně, mohou toto nastavení zásad obejít tak, že bránu fi-
rewall systému Windows vypnou.
Povolení výjimek pro sddení souborů a tiskáren
Výjimky pro sdíleni souboru a tiskáren můžete využít v pnpadě, že chcete povolit
nebo blokovat souborový či tiskový provoz mezi určitými poěitači. Výjimky pro sdí-
leni souboru a tiskáren spravují provoz na těchto portech:
	TCP 139
	TCP 445
	UDP 137
	UDP 138
Tyto porty se používají při sdílení souborů a tiskáren. Jejich použití můžete spravo-
vat pomocí zásad Windows Firewall: Allow Filé And Printer Sharing Exceptions
(Brána firewall systému Windows: Povolit výjimku pro sdílení souborů a tiskáren).
Při práci s těmito zásadami mějte na paměti následující:
	Jestliže potřebujete připojit sdílené složky a tiskárny k nějakému počítači (často
se jedná o server), můžete tyto zásady zapnout. V dialogu Windows Firewall
(Brána firewall systému Windows) bude zaškrtnuto pole Filé And Printer Sha-
ring (Sdílení souborů a tiskáren) a jeho změnu nebudou moci provést uživatelé
ani místní správci.
	Jestliže potřebujete počítačům zahranit v tom, aby si připojovaly sdílené složky
a tiskárny, můžete tyto zásady vypnout. V dialogu Windows Firewall (Brána fi-
rewall systému Windows) nebude zaškrtnuto pole Filé And Printer Sharing a je-
ho změnu nebudou moci provést uživatele ani místní správci.
Chcete-li zapnout a konfigurovat výjimky pro sdílení souborů a tiskáren, postupujte
následovně:
1.	Nalistujte složku Computer ConfigurationXAdministrative TemplatesXNetwork\
Network ConnectionsXWindows Firewall (Konfigurace počitačeXŠablony pro
SprávuX SíťX Síťová připojeníX Brána firewall systému Windows).
2.	Podle potřeby vstupte do složky Domain Profile nebo Standard Prolile a pokle-
pejte mi položku Windows Firewall: Allow Filé And Printer Sharing Exceptions
(Brana firewall systému Windows: Povolit výjimku pro sdílení souborů a tiská-
ren).
3.	Zvolte možnost Enabled (Povolit).
4.	V poli povoleni příchozí komunikace - Allow Unsolicited Incoming Message
From, určete rozsah povolené komunikace. Jak je vidět na obrázku 11.20, zadal
můžete libovolnod kombinaci následujících identifikátorů oddělených čárkami:
	JPAddress (IP-adresa) (např. 192.168.1.10) Umožňuje, aby počítače, jež zpra-
cuji tento objekt GPO, povolily souborový a tiskový provoz z této adresy JI .
.« oiiove komunikace
134
	SubnetAddress (Adresa podsítě IP) (např. 192.168.1.0/24) Umožňuje, aby
počítače, které zpracuji tento objekt GPO, povolily souborový a tiskový pro'
voz z teto podsítě IP.
	localsubnet Umožňuje, aby počítače, které zpracuji tento objekt GPO. po-
volily veškerý souborový a tiskový provoz z lokální podsítě.
5.	klepnete na tlačítko OK.
Windows Firewall: Allow filé and printer sharing esc ! X
So"TX) Fxpl*
V Wrrfow i Fiewjft Alow He and porta hamg excepio.
C Nu Corhgured
©Enrited
Oúmbted
Alow umoketed ncomng rrer sges heni
»l	192168 20/241 < 168 315
Syntax
Type to atow mtmaget han any netwcxk, a
rte type a convna-sepaiated H that contaim
any nunber or combnabon oí these.
IP addesses. such as 10.0.01
Sifcnet desaptiora such as 10 23.0/24
The siring localsufaneC	v
Sopportedon Atleast Microsoft WncfowsXP Pioíessronai w<hSP2
Prevřous Setting | | NeMt Settng
r OK 1 [ Cancel ] [ Appfr
OBRÁZEK 11.20: Konfigurace rozsahu vyjimky
Povolení výjimek pro vzdálenou správu
Výjimky pro vzdálenou správu otevrou sadu portů, které na počítačích s těmito vý-
jimkami umožní provádět operace vzdalene správy. Dobrým příkladem funkce
vzdáleně správy, která selže, není-li tato výjimka povolena, je průvodce Group Po-
licy Results Wizard. Na počítači, kléry nemá povolenou výjimku pro vzdálenou
správu, nemůžete provádět protokolování množiny RSoP.
Výjimky pro vzdálenou správu můžete řídit pomocí zásad Windows Firewall: Allow
Remote Administration Exception (Brána firewall systému Windows: Povolit výjim-
ky pro vzdálenou správu). Když tyto zásady zapnete, povolí se naslouchání na por-
tech 135 (pro mapovač portů služby RPC) a 445 (pro SMB) protokolu TCP, což
umožňuje použití vzdáleného voláni procedur (RPC) a přenos objektů modelu
DCOM (Distributed Component Object Model). Toto nastavení zásad také umožňu-
je procesům Svchost.exe a Lsass.exe příjem příchozích zpráva hostujícím službám
umožňuje otevíral porty protokolu TCP v rozsahu 1024 až 1034 (pro umožnění
vzdáleného volaní procedur). Používáte-li nějaké důležité aplikace, které vyžadují
RPC nebo SMB, měli byste tuto výjimku povolit. Jestliže jsou tyto zásady vypnuty
nebo nejsou nakonfigurovaný, je následujícím modulům konzoly MMC znemožněn
vzdáleny přístup na počítače chráněné bránou firewall systému Windows:
	Certificates (Čertil ikáty)
	Computer Management (Správa počítače)
	Device Management (Správa zařízení)
	Disk Management (Sprava disku)
Sprava zásad brány firewall systému Windows
	Event Viewer (Prohlížeč událostí)
	Group Policy (Zasady skupiny)
	Indexing Service (Indexační služba)
	IPScc Monitor (Monitor zabezpečení protokolu IP)
	Local Users and Groups (Mistru uživatelé a skupiny)
	Removable Storage Management (Sprava vyměnitelného úložiště)
	Resultant Set of Policy (Výsledná sadit zásad)
	Services (Služby)
	Shared Folders (Sdílené složky)
	WMI Control (Řízení služby WMI)
Poznámka Vzhledem k tomu, že uživatelé se zlými úmysly se často snaží útočit na počítače přes
RCP a DCOM, měli byste výjimky pro vzdálenou správu povolit pouze v případě, že jste si jisti
jejich nezbytností. Také je třeba si uvědomit, že jakmile povolíte výjimky pro vzdálenou správu,
brána firewall systému Windows povolí na portu 4^5 protokolu TCP příchozí požadavky ICMP
na zprávy odezvy (ping), i přestože by je zásady Windows Firewall: Allow ICMP Exceptions
(Brána firewall systému Windows: Povolit výjimky protokolu ICMP) jinak zablokovaly.
Chcete-li zapnout a konfiguroval výjimky pro vzdálenou správu, postupujte takto:
1.	Nalistujte složku Computer ConfigurationXAdministrativě TemplatesXNetwork\
Network ConnectionsXWindows Firewall.
2.	Podle potřeby vstupte do složky Domain Profile nebo Standard Profile a pokle-
pejte na položku Windows Firewall: Allow Remote Administration Exceptions.
3.	Zvolte možnost Enabied a v poli Allow Unsolicited Incoming Message From ur-
čete rozsah povolené komunikace (blíže popsáno v předchozím oddíle).
4.	Klepněte na tlačítko OK,
Povolení výjimek pro vzdálenou plochu
Výjimky pro vzdálenou plochu umožňují, aby se mohli uživatelé připojovat pomocí
funkce Vzdálená plocha ke vzdáleným počítačům. To znamená, že je vytvořena vý-
jimka pro pori 3389 protokolu TCP, což je výchozí port, na kterém naslouchají ter-
minálové služby. Nezapomínejte ale na následující skutečnosti:
	Jestliže zapnete tyto zasady, budou moci počítače, ktere tyto zásady zpracují,
přijímat od určených počítačů požadavky Vzdálené plochy. V dialogu Windows
Firewall (Brana firewall systému Windows) bude zaškrtnuto pole Remote
Desktop (Vzdálená plocha) a jeho změnu nebudou moci provést uživatelé ani
místní správci.
	Jestliže tyto zásady vypnete, bude brána firewall systému Windows blokovat
požadavky Vzdálené plochy od všech počítačů, které tyto zásady zpracují.
V dialogu Windows Firewall (Brana tirewall systému Windows) nebude zaškrt-
nuto pole Remote Desktop a jeho změnu nebudou moci provést uživatelé ani
mistn správci.
Chcete-li zapnout a konfigurovat výjimky pro Vzdálenou plochu, postupujte takto:
438
Kapitola 11 - Správa bezpečné síťové komunikace
1.	Nalistujte složku Computer ConfigurationXAdministrative TemplatesXNetwork X
Network ConnectionsXWindows firewall.
2.	Podle potřeby vstupte do složky Domain Profile nebo Standard Profile a poklepej-
te na položku Windows Firewall: Allow Remote* Desktop Exceptions (Brána fire-
wall systému Windows: Povolit výjimku pro vzdálenou pracovní plochu).
3.	Zvolte možnost Enabled a v poli Allow Unsolicited Incoming Message From ur-
čete rozsah povolené komunikace (blíže popsáno v předchozím oddíle).
4.	ŘJepněte na tlačítko OK.
Povolení výjimek pro platformu UPnP
Výjimky pro platformu UPnP dovolují počítači přijímání zpráv protokolu UPnP
(Universal Plug and Play). Zprávy protokolu UPnP se používají službami (rfápř. za-
budovanou bránou firewall) ke komunikaci s počítačem, který obsahuje operační
systém rodiny Windows. Povolíte-li výjimky pro platformu UPnP, bude službám
platformy UPnP umožněno, aby využívaly port 2869 protokolu TCP a port 1900
protokolu UDP. Nezapomínejte ale na následující skutečnosti:
	Jestliže zapnete tyto zásady, budou moci počítače, které tyto zásady zpracují,
přijímat od určených počítačů požadavky platformy UPnP. V dialogu Windows
I irewall (Brána firewall systému Windows) bude zaškrtnuto pole UPnP Fra-
mework (Architektura UpnP) a jeho změnu nebudou moci provést uživatelé ani
místní správci.
	Jestliže tyto zasady vypnete, bude brána firewall systému Windows blokovat
požadavky platformy UPnP od všech počítačů, které tyto zásady zpracují.
V dialogu Windows Firewall (Brana firewall systému Windows) nebude zaškrt-
nuto pole UPnP Framework a jeho změnu nebudou moci provést uživatelé ani
místní správci
Chcete-li zapnout a konfigurovat výjimky pro platformu UPnP, postupujte takto:
1.	Nalistujte složku Computer ConfigurationXAdministrative TemplatesXNetworkX
Network ConnectionsX Windows Firewall.
2.	Podle potřeby vstupte do složky Domain Profile nebo Standard Profile a poklepej-
te na položku Windows Firewall: Allow UPnP Framework Exceptions (Brána fi-
rewall systému Windows: Povolit výjimku pro architekturu UpnP).
3.	Zvolte možnost Enabled a v poli Allow Unsolicited Incoming Message From ur-
čete rozsah povolené komunikace (blíže popsáno v předchozím oddíle).
4.	Klepněte na tlačítko OK
Definování výjimek pro aplikace
Kromě definování výjimek pro služby můžete definovat také výjimky pro programy,
zprávy protokolu ICMP a určité porty. Pii konfiguraci výjimek pro aplikace zadává-
te namísto služeb konkrétní aplikace, pro které chcete komunikaci povolit.
Programové výjimky jsou užitečné v případe, že přesně nevíte, který port aplikace
vyžaduje. Stačí jen označit název spustitelného souboru a brána firewall systému
Windows sama rozpozná port, který aplikace potřebuje pro komunikaci. Nezapo-
mínejte, že pro použití programových výjimek musí na počítačích, pro ktere výiun-
Správa zásad brány firewall systému Windows
439
ku definujete, daná aplikace běžel. Jestliže aplikace není .spuštěna, pak portům není
udělena výjimka.
Brána firewall systému Windows vám umožňuje definovat seznamy programových
výjimek v zásadách skupiny nebo pomocí nástroje Windows Firewall (Brána fi-
rewall systému Windows), který najdete v nabídce Control Panel (Ovládací panely;.
Chcete-li seznamy programových výjimek definovat v zásadách skupiny, musíte za-
pnout a na konfigurovat zásady Windows Firewall: Define Program Exceptions
(Brana firewall systému Windows: Nastavit výjimky programu).
Programové vvjimky mají podobu textového řetězce, který obsahuje sadu paramet-
ru v následujícím formátu:
PathToProgram:Scope:Status:Name
Tylo pan metry se používaj následujícím způsobem:
	PathToProgram (Cesta k programu) Cesta ke spustitelnému souboru, pro
který chcete povolit výjimky.
Implementace
	Scope (Rozsah) Seznam čárkami oddělených adres IP. podsíti IP nebo celá lo-
kální podsít, pro kterou konfigurujete výjimku. Počítačům, které zpracují odpo-
vídající objekt GPO, je komunikace s definovaným programem na určených
adresách IP buď povolena, nebo zakázána.
	Status (Stav) Určuje, zda je komunikace povolena nebo zakázána.
	Name (Název) Určuje název výjimky, který sc bude zobrazovat na kartě Excep-
tions v dialogu Windows Firewall (Brána firewall systému Windows).
Pro lepší pochopení uvažujme následující přiklad: Máme serverovou aplikaci, která
klientským počítačům v síti poskytuje ceny akcií. Její umístění je C:\Program f i 1 es\
Quotes\Quotes.exe. Naším cílem je povolit klientům v podsíti 192.168.3.0/24 ko-
munikaci s touto aplikaci na tomto serveru a dále chceme zajistit, aby s touto apli-
kací mohl komunikovat i další server na adrese IP 192.168.1.5 (který zjišťuje
a poskytuje ceny z Internetu). V tomto pnpade by programová výjimka vypadala
následovně:
XProgramFi les%\quotes\quotes.exe:192.168.3.0/24,192.168.1.5:ena b1ed:Progam
Exception for the Quotes Application
Proměnnou prostředí XProgramFi1esX používáme proto, že tyto zasady pravděpo-
dobně poběží na různých počítačích a my předem nevíme, která disková jednotka
obsahuje složku Program files. Rozsah 192.168.3-0/24 vyjadřuje, že tuto výjimku
chceme aplikovat na všechna zařízení v podsíti 192.168.3.0 - /24 vyjadřuje
24bitovou masku podsítě. Chceme-h počítačům v lokální podsíti povolil komunika-
ci s touto aplikací, můžeme v části řetězce určené pro rozsah použít navíc řetězec
localsubnet:
192.168.3.0/24, 1ocalsubnet,192.168.1.5
Tip Chcete-li určit, že s určitou apbkací mohou komunikovat všechny sítě, můžete použít
hvězdičku (*).
Jestliže chcete povolit a konfigurovat programové výjimky, postupujte následovně:
40
Kapitola 11 - Správa bezpečné síťové komunikace
1.	Nalistujte složku Computer ConfigurationX Administrativě 'Iemplates\Network\
Network ConnectionsXWindows Firewall.
2.	Podle potřeby vstupte do složky Domain Profile nebo Standard Profile a poklepej-
te na položku Windows Firewall: Define Program Exceptions.
3.	Zvolte možnost Enabled a poté klepněte na tlačítko Show. Dialog Show Contents
obsahuje všechny existující programové výjimky (obrázek 11.21).
OBRÁZEK 11.21: Prohlížení a správa programových výjimek
4.	Chcete-h přidat novou programovou výjimku, klepněte na tlačítko Add.
V dialogu Add Item zadejte řetězec definující výjimku. Retczec výjimky má po-
dobu textového řetězce, který obsahuje sadu parametrů v následujícím formátu:
PathToProgram:Scope:Status:Name
Poznámka Při určování prvků programové výjimky nepoužívejte uvozovky. To platí i pro ře-
tězec local subnet. Také řetězec vyjadřující název je potřeba vložit bez použití uvozovek.
5.	Chcete-li odstranit existující programovou výjimku, vyberte ji a poté klepněte na
tlačítko Remove.
6.	Poklepejte na tlačítko OK.
Jakmile je programová výjimka aplikována na cílový počítač, objeví se na kartě Ex-
ceptions dialogu Windows Firewall (Brána firewall systému Windows), ale je zased-
lá, aby nebylo možné ji měnit. Další věcí, které si můžete všimnout je, že sloupec
zásad skupiny obsahuje hodnotu Yes, což znamená, že výjimka byla zavedena pro-
střednictvím zásad skupiny.
Nadefinujete-h nějakou programovou výjimku pomocí zásad skupiny, nebudou již
uživatelé moci definovat další programové výjimky ručně. Jestliže chcete uživatelům
definování dodatečných programových výjimek umožnit, musíte zapnout také zása-
dy Windows Firewall: Allow Local Program Exceptions (Brána firewall systému
Windows: Povolit výjimky místních programu). V případě, že jíte pomoci zásad ne-
nadefinovali žádné programové výjimky, můžete zásady Windows Firewall: Allow
Local Program Exceptions vypnout, abyste uživatelům zabránili ve vytváření vlast-
ních programových výjimek.
Správa zásad brány firewall systému Windows
441
Definování výjimek protokolu ICMP
Výjimky protokolu ICMP vám umožňuji určit, zda bude počítač odpovídat na zprá-
vy protokolu ICMP. Protokol ICMP se nejčastěji používá příkazem ping, ale lze jej
použít také jinými aplikacemi k určení, zda je počítač dostupný. Jestliže je brána fi-
rewall systému Windows aktivní, je za normálních okolnosti protokol ICMP zcela
zablokován, ale určité druhy odpovědí, které můžete potřebovat, lze povolit. Chce-
te-li zapnout a konfigurovat výjimky protokolu ICMP, postupujte následovně:
1.	Nalistujte složku Computer ConfigurationXAdministrative TemplatesXNetwork\
Nelwork ConnectionsXWindows Firewall.
2.	Podle potřeby vstupte do složky Domain Profile nebo Standard Profile a poklepej-
te na položku Windows Firewall: Allow ICMP Exceptions (Brána firewall systé-
mu Windows: Povolit výjimky protokolu ICMP).
3-	Zvolte možnost Enabled a pomocí dostupných možnosti poté povolte některé
druhy komunikace protokolu ICMP (viz obrázek 11.22). Jestliže chcete napří-
klad docílit toho, aby počítač odpovídal na požadavky programu ping, zaškrtně-
te pole Allow Inbound Echo Request (Povolit příchozí žádosti Echo).
4.	Klepněte na tlačítko OK.
Tip Tyto zásady lze nastavit pro odchozí zprávy protokolu ICMP a stejně tak i pro příchozí. To
vám dává možnost povolit či zakázat počítači posílání nebo přijímání zpráv protokolu ICMP.
Implementace
Jestliže zásady Windows Firewall: Allow ICMP Exceptions vypnete, nebude povole-
na žádná komunikace protokolu ICMP a správce nebude moci nastavit žádné vý-
jimky. Jestliže jste ale zapnuli výjimky pro vzdálenou správu nebo pro sdílení
souborů a tiskáren (viz předchozí oddíly), bude funkcionalita Allow Inbound Echo
Request pro odpovídající porty povolena.
OBRÁZEK 11.22: Konfigurování výjimek protokolu ICMP pomocí zásad skupiny
Definování výjimek pro porty
Zasady správy výjimek pro porty fungují téměř stejně jako zásady programových výji-
mek, s tím rozdílem, že pn povolovaní komunikace je potřeba namísto aplikace zadat
Kapitola 11 - Správa bezpečné síťové komunikace
číslo portu. Jestliže zapnete tyto zásady, můžete pomocí řetězce v následujícím for-
mátu přidávat výjimky:,
Port:Transport:Scope:Status:Name
Tyto parametrý se používají následujícím způsobem:
	Port Určuje číslo portu.
	Transport Určuje, zda se jedná o port protokolu UDP, nebo TCP.
	Scope Seznam čárkami oddělených adres IP, podsítí lp nebo celá lokální pod-
síť, pro kterou konfigurujete výjimku. Počítačům, ktere zpracují odpovídající ob-
jekt GPO, je komunikace s definovaným programem na určených adresách IP
bud povolena, nebo zakázána.
	Status Určuje, zda je komunikace povolena, nebo zakázána.
	Name Text popisující výjimku.
Pro lepší pochopení uvažujrrie následující příklad: Dejme tomu, že chcete z podsítě
192.168.1.0/24 povolit na server přístup prostřednictvím portu 80 protokolu TCP
(HTTP). Výjimku pro port bychom nadefinovali následovně:
-	<:TCP:192.168.1.0/24:enabled:AI 1ow HTTP Access
Chcete-li povolit a konfigurovat výjimky pro porty, postupujte následovně:
1.	Nalistujte složku Computer ConfigurationXAdministrativě Templates\Network\
Network ConncctionsXWindows Firewall,
2.	Podle potřeby vstupte do složky Domain Profile nebo Standard Profile a poklepej-
te na položku Windows Firewall: Define Pod Exceptions (Brána firewall systé-
mu Windows: Nastavit výjimky portů).
3.	Zvolte možnost Enabled a poté klepněte na tlačítko Show.
4.	Dialog Show Contents obsahuje všechny existující vyjimky pro porty.
5.	Chcete-li přidat novou výjimku pro port, klepněte na tlačítko Add. V dialogu Add
Ilem zadejte řetězec definující výjimku. Řetězec výjimky má podobu textového ře-
tězce, který obsahuje sadu parametrů v následujícím formátu:
Port:Transport:Scope:Status:Name
Poznámka Ph určovaní prvků výjimky pro port nepoužívejte uvozovky. To platí i pro řetězec
1 ocal subnet. Také řetezec vyjadřující název je potřeba vložit bez použití uvozovek,
6.	Chcete-li odstranit existující výjimku pro port, vyberte ji a poté klepněte na tla-
čítko Remove.
7.	Poklepejte na tlačítko OK.
Jakmile je výjimka p< >rtu aplikována na cílový počítač, objeví se na kartě Exceptions
dialogu Windows F-rcwall (Brana firewall systému Windows), ale je zasedlá, aby
nebylo možné ji měnit. Další věcí, které si můžete všimnout, je, že sloupec zasad
skupiny obsahuje hodnotu Yes, což znainena, že výjimka byla zavedena prostřed-
nictvím zásad skupmy.
Nadefinujete-li nějakou výjimku portu pomocí zásad skupiny, nebudou již uživatele
moci definovat další programové vyjimky ručně. Jestliže chcete uživatelům defino-
Správa zásad brány firewall systému Windows
443
vání dodatečných výjimek portů umožnit, musíte zapnout také zásady Windows Fi-
rewall: Allow Local Port Exceptions. V případě, že jste pomocí zásad nenadefinovali
žádné programové výjimky, můžete zásady Windows Firewall: Allow* Local Port Ex-
ceptions (Brana tirewall systému Windows: Povolit místní výjimky portu) vypnout,
abyste uživatelům zahranili ve vytváieni vlastních programových výjimek.
Konfigurování upozornění, protokolování
a požadavků na odezvu
Zásady skupiny vam také umožňují konfigurovat i další nastavení
s bránou firewall systému Windows (viz následující oddíly).
související
Potlačení upozornění
Zásady Windows Firewall: Prohibit Notifications (Brana firewall systému Windows:
Zakázat upozorňování) vám umožňují potlačit zprávy s bezpečnostními upozorně-
ními, které se objeví, když se vzdálený počítač pokouši komunikovat s aplikací na
počítači, který komunikaci s ní blokuje. Tyto zásady jsou většinou zapnuty na ser-
verech, neboť na těchto počítačích neisou většinou žádní uživatelé, kteří by si je
mohli přečíst.
Povolení protokolování
Implementace
Zasady Windows Firewall: Allow Logging (Brana firewall systému Windows: Povolit
protokolování) vám umožňuji zaznamenávat aktivity braný firewall systému Win-
dows. Tyto zásady se zapínají většinou pouze tehdy, když potřebujete vyřešit něja-
ký problém. Jestliže tylo zásady vypnete, na počítačích, ktere tyto zasady zpracují,
nebudou moci uživatelé ani správci lokálně konfigurovat protokolování.
Chcete-li zapnout a konfigurovat protokolování, postupujte následovně:
1.	Nalistujte složku Computer ConfigurationXAdministrative femplatesXNetworkX
Network ConnectionsXWindows Firewall.
2.	Podle potřeby vstupte do složky Domain Profile nebo Standard Profile a poklepej-
te na položku Windows Firewall: Allow Logging.
3-	Zvolte možnost Enabled a pomocí následujících voleb nakonfigurujte protokolo-
vání:
	Log Dropped Packets (Protokolovat odmítnuté pakety7) Konfigurace pro-
tokolováni příchozích paketu, které jsou zablokovaný kvůli bráně firewall.
Tyto informace můžete využít při řešeni problémů s aplikacemi, kterým se
nedaří komunikovat s počítačem.
	Log Successful Connections (Protokolovat všechna spojení) Konfigura-
ce protokolovaní všech úspěšných příchozích i odchbzích spojení, Lato
možnost může evidentně produkovat velká množství dat, ale výhodou je. že
získáte přehled o veškerém provozu do a z počítače.
	Log Filé Path And Name (Cesta a název souboru protokolu) Tato možnost
slouží k určeni cesty ke složce a nazvu soliboru protokolu brány firewall sys-
tému Windows. Výchozí umístěni protokolu je %SystemRooti\pfi rewa 1. og.
444
Kapitola 11 - Správa bezpečné sítové komunikace
XX., Tip Určit můžete jinou cestu a název souboru, včetně vzdálené cesty formátu UNC (pokud
X má počítač zaznamenávající data v tomto umístění dostatečná oprávnění). Jestliže provádíte
zaznam do umístění daného cestou UNC, měli byste v cestě při určování názvu počítače pou-
žít proměnnou prostředí XComputerName^, aby měl každý počítač svůj vlastní protokol. Ne-
zapomínejte, že tento postup může vygenerovat na vzdáleném počítači velký síťový provoz.
	Size Limit (Omezeni' velikosti) l ato možnost slouží k určení maximální veli-
kosti protokolu (v kilobajtech). Když protokol dosáhne této maximální velikos-
ti, začnou se přepisovat nejstarší záznamy. Proto musíte velikost navrhnout
v závislosti na tom, jak silný provoz je na vašich počítačích a jaké informace za-
znamenáváte. Příliš malá velikost protokolu múze na vytíženém serveru způ-
sobit, že informace sc přepíši dříve, než budete mít možnost si je prohlédnout.
4.	Klepněte na tlačítko OK
Potlačení odpovědí typu Unicast na požadavky
typu Multicast či Broadcast
Zásady Windows Firewall: Prohibit Unicast Response To Multicast Or Broadcast
Requests (Brána firewall systému Windows: Zakázat odpovědi jednosměrov eho vy-
sílání na požadavky vícesměrového a všesměrového vysílání) slouží k zabránění ur-
čitým druhuin síťových útoku, při nichž -nfikovaný počítač odešle zprávu typu
broadcast nebo multicast a čeká na odpovědi typu unicast od cílových počítačů.
Jsou-li tyto zasady na infikovaném počítači zapnuty, jsou odpovědi typu unicast na
zprávy typu broadcast nebo multicast jednoduše zahozeny. Jsou-li tyto zásady vy-
pnuty, počítač během prvních 3 vteřin akceptuje všechny odpovědi typu unicast
a potí je začne blokovat.
, Poznámka Jestliže zapnete zásady Windows Firewall: Prohibit Unicast Response To Multicast
Or Broadcast Requests, nebudou ovlivněny požadavky protokolu DHCP z daného počítače,
které mají obvykle podobu požadavku typu broadcast následovaného odpovědí typu unicast
od serveru protokolu DHCP.
11.6 Shrnutí
Pomocí zásad skupiny můžete spravovat zabezpečení síťové komunikace pro pro-
tokol IPSec, šifrovaní veřejného klíče a bránu firewall systému Windows. Protokol
IP Security vám přináší bezpečnou, ověřenou a šifrovanou komunikaci pro sítě pro-
tokolu TCP,'IP. Protokol IPSec se ideální hodí pro speciální servery, ktere vyžadují
dodatečnou vrstvu síťové ochrany. Tento protokol také poskytuje základní filtrování
portů, ačkoliv s příchodem brány firewall systému Windows již nen v tomto směru
použití protokolu IPSec nejlepší volbou. Šifrování s veřejným klíčem vam umožňuje
řídil použití certifikátu veřejných klíčů a přináší užitečné funkce pro koncové uživa-
tele, jakými je systém EFS (Fncrypting Fiie System) nebo šifrovaní elektronické pol-
ty. Blána firewall systému Windows poskytuje stavové filtrovaní protokolu TCP/IP,
které slouží k ochraně počítačů před neautorizovaným přístupem. Pomocí zásad
skupiny můžete konfigurovat výjimky brány firewall systému Windows a zakázat
uživatelům a místním správcům provádění místních úprav konfigurací brány -
rewall systému Windows.
Tvorba vlastních
prostředí
Obsah kapitoly:
12.1	Zpracování ve zpětné smyčce (Loopback processing)......................447
12.2	Terminálová služba.....................................................450
12.3	Zásady skupiny a pomalá připojení......................................468
12.4	Shrnutí................................................................475
_________________________________________________________________________________
Kapitola 12 - Tvorba vlastních prostředí
Tato kapitola se zaměřuje především na úpravy výchozího chovaní objektů zásad
skupiny (objekty GPO) ve vlastních prostředích (např. uživatelský počítač, který se
připojuje do sftě zvláštním způsobem nebo který potřebuje speciální konfigurace).
Prozkoumáme nastavení objektů GPO, která vám umožňuji řídit, zabezpečovat a kon-
figurovat tito prostředí v zájmu dosažení funkčního, ale bezpečného prostředí.
Mezi situace, které budeme rozebírat, patří i použití zpracováni ve zpětné smyčce,
jemuž se budeme věnovat hned na začátku. Zpracovaní ve zpětné smyčce je výji-
mečná a flexibilní možnost, která vám umožňuje řídit uživatelská nastaveni prostřed-
nictvím konfigurací počítačů. Získáte tak kontrolu nad nastaveními všech uživatelů
kteří používají určitý počítač. Dále se budeme zabývat relacemi Terminálových služeb,
které vyžadují speciální řízení zabezpečeni a funkčnosti. Nakonec se podíváme na
detekci pomalého připojení a na odlišnosti v řízení nastavení objektů GPO u klien-
tů s pomalým připojením.
Návrh služby Active Directory
a standardní zpracování objektů GPO
Pro návrh a implementaci vlastních prostředí potřebujete mít dobrou znalost základů zásad
skupiny, včetně toho, jak navrhnout strukturu služby Active Directory® pro usnadnění zavá-
dění objektů GPO. Zde je několik základních a důležitých konceptů souvisejících s návrhem
struktury služby Active Directory a zaváděním objektů GPO:
	Objekty GPO musíte navrhovat s ohledem na možnosti delegování správy.
	Zasady skupiny se vztahují pouze na uživatele a počítače, nikoliv skupinové účty.
	Objekty GPO mají vliv pouze na kontejner, na nějž jsou aplikovány, a na kontejnery, kte-
ré od něj dědí.
	Objekty GPO se vztahují na všechny objekty v kontejneru, pro který jsou zavedeny, včet-
ně účtů administrátorských uživatelů, administrátorských skupin a doménových řadičů.
	Rozsah vlivu objektu GPO může správce omezit pomocí blokování dědičnosti, bezpeč-
nostního filtrování a filtrů rozhraní WMI.
	Snažte se, aby struktura vašich organizačních jednotek nepřesáhla hloubku 10 úrovní.
Pro návrh a implementaci vlastních prostředí potřebujete také dobrou znalost toho, jak se
zásady skupiny aplikují. Zde je krátký přehled pořadí a přednosti pravidel pro zpracování ob-
jektů GPO za normálních okolností.
1.	Při spuštění počítače se zahájí i připojování k síti.
2.	Účet počítače začne komunikovat se systémem DNS a službou Active Directory.
3.	Počítač získá seřazený seznam objektů GPO, které se na něj vztahují.
4.	Aplikují se zásady počítače ze složky Computer Configuration (Konfigurace počítače).
5.	Spustí se skripty při spuštění specifické pro počítač.
6.	Uživatel je ověřen službou Active Directory.
7.	Načte se uživatelský profil.
8.	Počítač obdrží seřazen seznam objektů GPO, které se vztahují na daného uživatele.
9.	Aplikují se uživatelské zásady ze složky User Configuration (Konfigurace uživatele).
10.	Spustí se přihlašovací skripty specifické pro uživatele.
11.	Uživatel získá přístup na plochu (odpovídající konfiguraci v zásadách skupiny).
Další informace o návrhu služby Active Directory a zavádění objektů GPO najdete ve 4. kapitole.
Informace o tom, jakým způsobem se aplikují zásady skupiny, najdete vkapitolách 2 a 13.
Zpracování ve zpětné smyčce 447
12.1 Zpracování ve zpětné smyčce
Režim zpracování uživatelských zásad skupiny ve zpětné smyčce je nastavení zá-
sad. které můžete použit pro zachbvání konfigurace počítače bez ohledu na to, kdo
se na něj přihlásí. Režim zpracování ve zpětné smyčce nekonfiguruje nastavení uži-
vatelských zasad v závislosti na uživateli, ale v závislosti na počítači. Když je toto
nastaveni zásad zapnuté, platí pro všechny uživatele, kteří se přihlásí na daný počí-
tač, stejná sada uživatelských nastavení. Protože je loto nastaveni zásad určeno pro
účty počítačů, jedná se o mocný nastroj, který je vhodpý pro přísně střežena pro-
středí, jako např. servery, tenninalové servery, učebny, veřejné kiosky atd.
Poznámka Když toto nastavení zásad pro režim zpracování ve zpětné smyčce povolíte, musí-
te zajistit, že je zapnuta uživatelská . počítačová část objektu GPO.
Zásady zpracovaní ve zpětné smyčce se nastavují v modulu snap-in Group Policy
Object Fditor snap-in pomocí následujícího nastavení zásad:
Computer Settings\Admini strati ve Templates\System\Group Polícy\User G^oup
Policy loopback processing mode
(Konfigurace počítače \Šablony pro správu\Systém\Zásady skupiny\Režim
zpracování duplicitních zásad skupiny uživatele)
Když tyto zásady zapnete, můžete vybrat jeden ze dvou režimů zpracováni ve
zpětné smyčce: Replace (Nahradit) nebo Merge (Sloučit) (viz obrázek 12.1).
Implementace
OBRÁZEK 12.1 : Režimy zpracování ve zpětné smyčce (Replace a Merge)
Režim nahrazení
V režimu Replace se nepoužívá seznam objektů GPO a jejich nastaveni uživatelské-
ho účtu. Namísto toho je seznam objektů GPO pro daného uživatele nahradí se-
448
Kapitola 12 - Tvorba vlastních prostředí
znamení objektů GPO, který se při startu získá od počítače, a místo toho se na užl
vatelsky účet aplikují nastavení oblasti User Configuration (Konfigurace uživatele)
z objektu GPO, který má zapnuté nastavení pro zpracování ve zpětné smyčce. T.
znamená, že když je zapnuté zpracování ve zpětné smyčce v režimu Replace (Na-
hradit), zpracují se zásady následovně:
1.	Pro účet daného počítače se aplikují počítačová nastavení nacházející se v ob-
jektech GPO, které se na něj vztahují.
2.	Ignorují se uživatelská nastaveni nacházející se v objektech GPO, které se vzta-
hují na daného uživatele.
3.	Aplikují se uživatelská nastaveni nacházející se v objektech GPO, které se vzta-
hují na učet daného počítače.
Obecné lze doporučit, abyste režim Replace používali pro počítače, které jsou ve-
řejně přístupné (např. počítač umístěný u recepce vaší společnosti nebo veřejný
terminál). V případě, že je počítač veřejně přístupný, je obvykle dobré kompletně
uzamknout jeho rozhraní a zajistit tak, že uživatelé nebudou moci na počítači
spouštět nástroje operačního systému nebo jiné potenciálně nebezpečne aplikace.
Zde je několik doporučení pro použití zpracování ve zpětné smyčce v režimu
Replace (Nahradit):
	Vytvořte zasady Software Restriction Policies (Zásady omezení softwaru), které
omezí dostupné aplikace jen na ty, které jsou pro uživatele nezbytně nutné.
	V systémovém prostředí odstraňte vše kromě aplikace Microsoft® Internet Ex-
plorer.
	Zablokujte uživateli přístup k dialogu, který lze za normálních okolností vyvolat
stiskem kláves Ctrl+Alt-»-Del.
	Zablokujte možnost vyvolat pravým klepnutím místní nabídky.
	Odstraňte tlačítko Shutdown a z nabídky volbu Shutdown.
Režim sloučení
V režimu Merge (Sloučit) se během přihlašovacího procesu pro uživatele vytvoří
seznam objektů GPO a nastavení. Poté se vytvoří také seznam objektu GPO a na-
stavení pro počítač. Následné se na konec seznamu nastavení pro uživatelský účet
přidá seznam nastavení uživatelského učtu, která se nacházejí v objektu GPO se
zapnutým nastavením zpětné smyčky. Vvsledkem teto operace s přidáním nastaveni
je to, že nastavení získaná z objektu GPO se zapnutým nastavením zpětné smyčky
budou mít vyšší přednost. Jestliže je tedy zapnuto zpracovaní ve zpětné smyčce
v režimu Merge, proběhne /pracování zásad následujícím způsobem:
1.	Aplikují se počítačová nastavení nacházející se v objektech GPO, které se vzta-
hují na učet daného počítače.
2.	Aplikují se uživatelská nastavení nacházející se v objektech GPO. které se vzta-
hují na daný uživatelský učet.
3.	Aplikují se uživatelská nastavení nacházející se v objektech GPO. které se vzta-
hují na učet daného počítače (budou upřednostněna před uživatelskými nasta-
veními objektů GPO uživatelského učtu).
Zpracování ve zpětné smyčce
Ačkoliv režim Merge (Sloučit) nabízí vynikající kontrolu, stále ještě připouští vliv
mnoha uživatelských nastaven.' objektu GPO na přihlašovací prostředí. Režim Merge
je vhodný piedevším pro studentské učebny, relace Terminálových služeb a školní
třídy. Pomocí režimu Merge můžete kontrolovat mnoho funkcí které by pro systém
mohly znamenat riziko, a současně je možné zachovat funkcionalitu prostředí plochy,
aplikací a dalších funkcí, kteié uživatelům umožňují dělat jejich práci.
Zde je několik doporučení pro použi tí zpracování ve zpětné smyčce v režimu Merge:
	Přístup k položkám nabídky Control Panel (Ovládací panely)
	Přístup k nástroji Add/ Remove Programs (Přidat nebo odebrat programy)
	Přístup k položce Network Configuration (Nastavení sítě)
	Řízení uživatelských profilu
	Řízení souborů offline
Řešení problémů se zpětnou smyčkou
Pi. testovaní a ověřovaní zpětné smyčky je obvykle evidentní, zda byla aplikována
správná nastavení. Problém přichází v okamžiku, kdy správná nastavení aplikována
nejsou. Zapamatujte si, že když používáte režim Replace, neaplikují se žádná uživa-
telská nastavení z objektů GPO vztahujících se na daného uživatele, ale pouze uži-
vatelská nastavení z objektu GPO vztahujících se na daný počítač. Jestliže tedy
zjistíte, že byla aplikovaná nějaká uživatelská nastavení, která jste v objektu GPO se
zapnutým zpracovaném ve zpětné smyčce nenakonfigurovali, pravděpodobně to
znamená, že objekt GPO se zapnutým zpracováním ve zpětné smyčce není vůbec
aplikován. Zde je několik možnvch vysvětlení:
	Účet počítače nen ve správné organizační jednotce, a proto nepřijímá nastavení
daného objektu GPO.
	Nastavení uživatele nebo počítače (nebo oboje) bylo pro objekt GPO s nastave-
ným zpracováním ve zpětné smycee vypnuto.
	Objekty GPO se nereplikovaly správně na všechny doménové řadiče.
	Objekt GPO obsahující zásady zpětné smyčky byl vyfiltrován, aby se nevztaho-
val na účet počítače, který vás zajímá.
Další možností řešení problémů se zásadami zpracování ve zpětné smyčce je použít
v konzole GPMC (Group Policy Management Console) průvodce Group Policy Mo-
deling Wizaid nebo průvodce Group Policy Results Wizard. Nástroj Group Policy
Modeling Wizard vám umožňuje vyhodnotit scénář pro konkrétní počítačový či
uživatelský účet na základě určitých nastavení a kriterií objektu GPO. To zahrnuje
schopnost modelovat důsledky zpracování ve zpětné smyčce (viz obrázek 12.2).
Další informace Další informace o tom, jak používat průvodce Group Policy Modeling Wi-
zard najdete ve 3. kapitole.
Nástroj Group Policy Results Wizard (Výsledná sada zásad) nabízí vyhodnocení
existujícího uživatelského a počítačového účtu v reálném čase. Po spuštěni průvod-
ce se objeví shrnutí nastavení, která by měla být aplikovaná na oba účty. Pomoci
tohoto výpisu zjistíte aplikované zásady, konfiguraci nastaven: zásad a ze ^terého
Kapitola 12 - Tvorba vlastních prostředí
objektu GPO zásady pocházejí. Spustřte-li průvodce a zjistíte, že zásady zpracování
ve zpětné smyčce by měly být na počítač aplikovány (ale nejsou), musíte se zaměřit
na možné příčiny uvedené výše. Jestliže vám průvodce oznámí, že nastavení zpětné
smyčky není nakonfigurováno, musíte zjistit, kam je objekt GPO připojen a kde se
nachází daný počítačový účet.
OBRÁZEK 12.2: Vyhodnocení situace pomocí nástroje Group Policy Modeling Wizard
12.2 Terminálová služba
Jestliže se vaše společnost v oblasti přístupu klientů k aplikacím, do sítě nebo ke zdro-
jům spoléhá na Terminál Services (Tenninálová služba), je vám jasné, o jak důležitou
a mocnou technologii se jedná. Terminálová služba společnosti umožňuje poskytovat
pokročilá řešení pro starší operační systémy a hardware s omezenou výkonností. Bez
terminálové služby by se mnoho firem muselo potýkat se snížením produktivity.
Řízení a omezování relací terminálové služby může znamenat práci „na plný úva-
zek“. Relace terminálového serveru musí být chráněné, stejně jako servery, na kte-
rých běží terminálová služba. To je důvod, proč firma Microsoft nabízí více než 50
nastavení zásad skupiny, která pomáhají řídil terminálovou službu. Mnoho z těchto
nastavení lze nakonfigurovat tak, aby přispěla k zabezpečení terminálových serverů
a klientských relací.
Zásady skupiny můžete využít pro konfiguraci nastavení připojení terminálové
služby, uživatelských zásad, clusterů terminálových serverů a pro správu relací ter-
minálové služby. Zásady skupiny můžete zajmout pro uživatele určitého počítače,
pro jednotlivé počítače nebo pro skupiny počítačů spadající do nějaké organizační
jednotky nebo domény. Chcete-li nastavit zasady pro uživatele určitého počítače,
musíte na něm mít správcovská oprávnění. Chcete-li zásady nastavit pro organizač-
ní jednotku nebo doménu, musíte být správcem v dané doméně.
Terminálová služba
451
Řízení terminálové služby na konkrétním počítači
prostřednictvím zásad skupiny
Někdy je nutné řídit nastavení Tenninal Services (Terminálová služba) jen u jednoho
konkrétního počítače. Může se například jednat o sdílený počítač, u kterého chcete
konfigurovat nastavení vztahující se na objekt počítače. Nastavení terminálové služby
je třeba konfigurovat také pro uživatele, kteří budou počítač používat. V takovém
případě byste potřebovali konfigurovat nastavení vztahující se na objekt uživatele. d
Na samostatném počítači se k nastavením terminálové služby dostanete pomocí
místních zásad skupiny. S objektem LGPO (Local Group Policy Object) odpovídají- 8
čího počítače vám umožňuje pracovat modul snap-in Group Policy Object Editor c«5
(Editor objektů Zásady skupiny). Jakmile otevřete nástroj Group Policy Editor, mů- E*8
žete si v kategoriích Computer Configuration (Konfigurace počítače) a User Confi-
guration prohlížet a konfigurovat nastavení Terminálové služby (viz obrázek 12.3
a obrázek 12.4).
OBRÁZEK 12.3: Nastavení objektu GPO Terminál Services v kategorii Computer Configuration
OBRÁZEK 12.4: Nastavení objektu GPO Terminál Services v kategorii User Configuration
452
Kapitola 12 - Tvorba vlastních prostředí
Řízení terminálové služby v doméně
prostřednictvím zásad skupiny
V prostředích služby Active Directory je někdy potřeba omezit několik terminálo-
vých serveru. Nastavení zásad pro zabezpečení terminálových serverů určité domé-
ny jsou podobná nastavením pro samostatné tenninálové servery (o těch jsme
mluvili o několik řádků výše). Hlavním rozdílem je to, jak pro terminálové servery
v doméně implementujete zásady skupiny.
Chcete-li pomocí služby Active Directory konfigurovat terminálovou službu pro ně-
kolik počítačů, musíte uživatele a počítače uspořádat do organizačních jednotek.
Poté můžete nakonfiguroval objekty GPO, ktere budou obsahovat nastaveni termi-
nálové služby pro tyto objekty.
Další informace Pro další informace o tom, jak navrhnout a zavést objekty GPO a službu
Active Directory, najdete ve 4. kapitole.
./ Důležité Zásady skupiny Terminálové služby jsou určeny pro počítače s operačním systémem
Microsoft Windows® XP a Windows Server™ 2003. Jestliže používáte servery a klienty
s operačním systémem Microsoft Windows 2000, pak na těchto počítačích nemůžete pro ří-
zení terminálové služby používat zásady skupiny.
Konfigurováni pořadí přednosti
Pomocí zasad skupiny je možné konfigurovat terminálovou službu na místní úrovni
i na úrovni služby Active Directory. konfigurace můžete také vytvářet v různých
objektech GPO na různých úrovních služby Active Directory. To může přinést
komplikace, neboť existuje určité poradí přednosti, podle něhož se konfigurace
terminálové služby aplikují. Níže je uveden seznam umístění, kde lze terminálovou
službu konfigurovat, který je seřazený podle přednosu od nejvyšší po nejnižší.
	Zasady skupiny na úrovni počítače (jsou-li nastaveny).
	Zásady skupiny na úrov ni uživatele ( jsou-li nastaveny).
	konfigurace místního počítače nastavena pomocí nástroje Terminál Services
Configuration.
	Zásady na uživatelské úrovni nastavené fnístními uživateli a skupinami.
	Nastavení místního klienta.
Konfigurování uživatelských nastavení
terminálové služby
Když ve vaSem prostředí používáte terminálovou službu, je duležite správně nakonfi-
gurovat a řídit uživatelské prostředí a nastavení Jestliže v tomto směru něco zanedba-
le, může se stát, že uživatel bude mít v relacích vy tvářených na terminálov ém serveru
příliš velká přístupová prava nebo příliš velkou volnost. Tento oddíl se zaměřuje na
některá doporučen; pro obecná nastavení související s uživatelskými nastaveními spo-
jenými s terminálovou službou. Také se zde budeme věnovat nastavením objektu
GPO, která Lze v teto oblasti konfigurovat.
Terminálová služba
453
Doporučení
Zde je několik obecných doporučeni pro tvorbu uživatelských nastav ení terminálo-
vé služby. Vaše prostředí se muže v některých věcech lišit, ale uvedené postup-1
vás i tak mohou nasměrovat na tu správnou cestu k dosazeni bezpečného, stabilní-
ho a funkčního prostředí Terminálov é služby.
	Používejte skupiny vyhrazené pro terminálovou službu. Vytvořte uživatel-
ské skupiny, které budou obsahovat pouze uživatele Terminálové služby. Ope-
rační systémy rodiny Microsoft Windows Server 2003 obsahují výchozí skupinu
uživatelů s názvem Remote Desktop Users, která je výhradně určena pro správu
uživatelů Terminálové služby.
	Používejte profily vyhrazené pro terminálovou službu. Pio přihlašování do
terminálové služby vyhraďte samostatný profil. Velká část z běžných možností
uložených v profilech (např. spořiče obrazovky a animované nabídky') není bě-
hem připojení uživatele přes terminálovou službu potřeba. Přiřazení vyhrazené-
ho piofilu uživatelům umožňuje získat ze systému, s nímž pracují, maximum,
aniž by k tomu byly nutné dodatečné serverové zdroje.
	Používejte povinné (mandatory) profily. Používejte povinný profil terminálo-
vé služby vytvořený tak, aby vyhovoval požadavkům všech typu uživatelů, a kterv
nabízí optimální výkon serveru. Nezapomínejte, že lóbitové počítače a terminály
operačního systému Windows nemusí podporovat některá rozlišení obrazovky.
	Nastavte časová omezeni. Nastavení omezení doby trvaní klientského připoje-
ni muže mít pozitivní dopad na výkon serveru. Omezit můžete dobu trván rela-
ce, dobu ponechán, odpojené relace v aktivním stavu na serveru a dobu, no
kterou muže zůstat nečinná relace připojená.
Implementace
a scénáře
	Používejte možnost Starting Program. Jestli/e máte uživatele, kten potřebují na
terminálovém serveru přistupovat jen k jedné aplikaci, použijte možnost Starting
Program. Toto řešení můžete aplikovat pro všechny uživatele pomocí nástroje
Terminál Services Configuration. Pro jednotlivé uživatele lze použít rozšíření Ter-
minál Services Extension nástroje Local Users and Groups nebo modulu snap-in
Active Directory Users and Computers.
	Pro uživatele či skupiny uživatelů vytvořte přednastavené soubory připo-
jení. V zájmu usnadnění připojováni k terminálové službě můžete užávatelům
poskytnout přednastavené soubory připojení. Sady souboru připojení lze také
vytvořit pro různá odděleni vaší organizace nebo pro různé pracovníky. Předna-
stavené soubory připojení se vytvářejí pomocí nástroje Remote Desktop Con-
nection (Připojení ke vzdáleně ploše).
Konfigurování licenčního serveru pomoci
nastavení zásad skupiny
K řízení licencovaní terminálového serveru slouží různá nastavení objektu GPO.
Použijete-li tato nastavení, můžete centrálně řídit a konfigurovat licenční servery
a udr/ovat prostředí v konzistentním stavu. V zájmu řízení licencování byste měli
nakonfiguroval dvě konkrétní nastavení. Obc se nacházej1 v následuiící cestě vý-
chozího objektu GPO:
454
Kapitola 12 - Tvorba vlastních prostředí
Computer ConfigurationXAdministrative TemplatesXWindows ComponentsXTermina]
ServicesXLicensing
(Konfigurace počítačeXŠablony pro správuXSoučásti systému
WindowsXTerminálová službaXSpráva licencí)
Skupina zabezpečení licenčního serveru
Toto nastavení se používá k řízení terminálových serverů, ktere vystavují licence
Ve výchozí konfiguraci vystaví licenční server terminálové služby licence všem po
čítačům, ktere o ni požádají. Jestliže je toto nastavení zapnuté, licenční server od-
poví pouze na požadavky z terminálových serverů, které se nacházejí v místní
skupině Terminál Services Computers. Jedná se o velmi dobrý způsob, jak zabránit
podvodným terminálovým serverům v získávání licencí. Jestliže mate více než jeden
licenční server, můžete do skupiny přidat všechny licenční servery, čímž zajistíte, že
licenční servery budou moci vyžadovat licence ve prospěch terminálových serverů.
Zákaz obnovení licence
Licenční server se vždy snaží pro připojení poskytovat nejvhodnější licenci klient-
ského přístupu (CAL). Klient jm operačního systému Microsoft Windows 2000 jsou
poskytovány tokeny licence CAL terminálové služby systému Microsoft Windows
2000 a licence CAL Terminálové služby rodiny systému Microsoft Windows Server
2003 se poskytuje v případě pnpojeni na tenninálový server s operačním systémem
Microsoft Windows Server 2003. Výchozí chování je takové, ze terminálový server
systému Microsoft Windows 2000 požádá o token, a když licenční server nemá li-
cence CAL systému Microsoft Windows 2000, vystaví token systému Microsoft Win-
dows Server 2003 vázáný na zařízení. Nastavení Prevent License Upgrade (Zamezit
inovaci licencí) může toto chování potlačit tím, že klientům připojujícím se na ter-
minálové servery Microsoft Windows 2000 poskytne dočasnou licenci. Až tato do-
časná licence vyprší, bude připojení zamítnuto.
Konfigurování připojení terminálové služby
Pomocí zásad skupiny je možné řídit - a je to doporučováno - většinu aspektu připo-
jení terminálové služby. Jestliže jsou tato nastavení určována jednotlivými term inálo-
v ymi servery nebo klienty, může uvnitř podniku docházet v rámci terminálové služby
k inkonsistencim, které v konečném důsledku způsobí zbytečnou ztrátu času, zvýší
počet volání na centrum odborné pomoci a ztíží řešeni problémů s připojením termi-
nálové služby. Následující nastaveni objektu GPO mohou sloužit jako minimální bez-
pečnostní konfigurace pro relace, ktere běží prostřednictvím terminálové služby.
Omezeni počtu připojení
Nastavení Limit Number Of Connections (Omezit počet připojení) určuje, zda bude
terminálová služba omezovat počet současných připojeni k serveru. Toto nastaveni
můžete použít k omezení počtu aktivních relací na serveru. Jestliže je tento počet
překročen, všichni uživatelé, kteří se následně pokusí připojit, obdrží chybovou
zprávu oznamující jim, že je server zaneprázdněn a že o připojení je potřeba se po-
kusit později. Omezení počtu relací zvyšuje výkon, neboť pro mene relací je potře-
ba méně systémových prostředku. Implicitně terminálové servery připouštějí
neomezené množství vzdálených relaci a správa vzdálené plochy (Remote Desktop
Terminálová služba
for Administration) připouští dvě vzdálené relace. Chcete-li použít toto nastavení,
zadejte maximální přípustný počet připojení na server (viz obrázek 12.5). Chcete-li
zadat neomezeny počet připojeni, zadejte hodnotu 999999.
OBRÁZEK 12. 5: Nastavení objektu GPO Terminál Services, které určuje maximální počet
přípojem na server
Toto nastavení objektu GPO najdete ' následující složce:
Computer ConfigurationXAdministrative Templates\Windows ComponentsXTerminal
ServicesMimit number of connections
(Konfigurace počítače\Šablony pro správu\Součásti systému
WindowsXTerminálová služba\ Omezit počet připojení)
Když toto nastavení zapnete, můžete v poli TS Maximum Connections Allowed (Ma-
ximální počet pnp<)jení terminálové služby) určit maximální přijatelný počet připojení.
Nastavení úrovně šifrování
Použití šifrovaní dat u připojeni terminálové služby na pomáhá ochraně vašich infor-
mací během komunikace mezi klientem a serverem (zabraní neautorizovanému
příjmu přenosu).
Nastaven. Set Client Connection Fncryption Level (Nastavit úroveň šifrovaní klienta)
vám dává možnost vynutit si pro všechna data za sílaná během relace terminálové
služby mezi klientem a vzdáleným počítačem určitou úroveň šifrování (viz obr. 12 .6).
Toto nastavení objektu GPO najdete v následující složce:
Computer Configuration\Administrati ve TemplatesXWindows ComponentsXTerminaI
ServicesXEncryption and SecurityXSet Client connection eneryption level
(Konfigurace počítače\Šablony pro správuXSoučasti systému
WindowsXTerminálová služba\Šifrování a zabezpečeníXNastavit úroveň
šifrování klienta)
456
Kapitola 12 - Tvorba vlastních prostředí
Když toto nastavení zapnete, můžete nastavit úroveň šifrování na jednu ze čtyřech
úrovní popsaných v tabulce 12.1. Připojení terminálové služby jsou implicitně šifrová-
na na nejvyšší dostupné úrovni zabezpečení (128bitově). Některé předchozí verze
klienta terminálové služby ale nepodporují takto vysokou úroveň šifrován*. Jestliže
vaše síť obsahuje takové klienty, můžete nastavit úroveň šifrování prpojení tak, aby
zasílaná a přijímaná data byla šifrována na nejvyšší úrovni podporované klientem.
OBRÁZEK 12.6: Nastavení objektu CPO Terminál Services, ktere určuje úrovně šifrováni pro
klienty
TABULKA 12.1: Úrovně šifrování klientského připojení
Úroveň šifrování	Popis
FIPS Compliant	Šifruje data zasílaná z klienta na server a ze serveru na klienta tak,
(Kompatibilní se standar- aby odpovídala standardu FIPS 140-1 (Federal Information Proces-
dem FIPS)	sing Standard 140-1), který byl navržen pro certifikování kryptogra-
fického softwaru. Tuto úroveň použité v případě, když připojení
Terminálové služby vyžadují nejvyšší stupeň šifrovaní. Software ově-
řený standardem FIPS 140-1 je vyžadován vládou USA a také další-
mi prominentními institucemi.
Důležité: Jestliže je dodržování standardu FIPS zapnuto prostřednic-
tvím zásad System Cryptography: Use FIPS Compliant Algolithms For
Encryption, Hashing, And Signing Group Policy, nemohou správo
měnit úroveň šifrování pro připojení Terminálové služby prostřednic-
tvím nastavení Terminál Services Set Client Connection Encryption
Level Group Policy ani pomocí nástroje Terminál Services Configu-
ration.
Terminálová sl užba
Úroveň šifrování High (Vysoká úroveň)	Popis Data odeslaná z klienta na server a ze serveru na klienta šifruje po- mocí silného 128bitového algoritmu. Tuto úroveň použijte, když se vzdálený počítač nachází v prostředí, které obsahuje pouze 128bitové klienty (např. klienti připojení ke vzdálené ploše). Klienti, kteří tuto úroveň šifrování nepodporují, se nebudou moa připojit.
Client Compatible (Kompatibilní s klientem)	Šifruje data zasílaná z klienta na server a ze serveru na klienta na maximální možné úrovni podporované klientem. Tuto úroveň použij- te v případě, že vzdálený počítač běží v prostředí obsahujícím různé nebo starší klienty.
Low (Nízká úroveň)	Šifruje data zasílaná z klienta na server pomocí 56bitového šifrová- ní.
Upozorněni: Data zasílaná ze serveru na klienta nejsou šifrovaná.
Zabezpečený server
Nastavení Secure Server (Require Security) (Zabezpečený server - požadovat zabez-
pečeno určuje, zda bude terminálový server vyžadovat zabezpečenou komun-kaci
Vzdáleného volání procedur (Remote Proceduře Call) se všemi klienty nebo zda po-
volí komunikaci, která není zabezpečená. Když je toto nastaveni zapnuté, je veškerá
komunikace Vzdáleného volání procedur (Remote Proceduře Call) lépe zabezpeče-
ná, neboť jsou povoleny pouze ověřene a šifrované požil dávky. Terminálová služba
povolí komunikaci pouze pro zabezpečené požadavky a zamítne nezabezpečenou
komunikaci s nedůvěryhodnými klienty.
Chcete-li pracovat s tímto nastavením objektu GPO, použijte následující cestu:
Computer Configuratí on\Administrati ve TemplatesXWindows ComponentsXTerminal
ServicesXEncryption and SecurityXRPC Security Policy\Secure Server (Require
Security)
(Konfigurace počítače\Šablony pro správu\Součásti systému
WindowsMerminálová služba\Šifrování a zabezpečení XRPOzásada zabezpečení\
Zabezpečený server (požadovat zabezpečení))
Spuštění programu při připojení
Nastavení Start A Program On Connection (Při připojeni spustit program - můžete
použít k určení toho, který program se má automaticky spustit v případě, že se na
vzdálený počítač přihlásí nějaký uživatel. Implicitně poskytují relace terminálové
služby k ploše systému Windows plny přístup, pokud ovsem není v tomto nastave-
ní určeno něco jiného. Zapnuti tohoto nastaveni přetíží nastaveni Start Program na-
stavené správcem serveru na terminálovém serveru nebo nastavené uživatelem
z klienta terminálové služby. Je-li toto nastavení nakonfigurované, nezobrazí se na-
bídka Start ani plocha systému Windows, a jakmile uživatel ukončí práci s určeným
programem, relace se automaticky ukonči
Chcete-li použít toto nastavení, musíte poskytnout úplnou cestu a název souboru
spustitelného souboru, který se má po přihlášení uživatele spustit. V případě potře-
by můžete také poskytnout pracovní adresář (zadejte plnou cestu do adresáře pro
spuštění programu).
458
Kapitola 12 - Tvorba vlastních prostředí

Poznámka Jestliže jako programovou cestu, název souboru nebo pracovní adresář zadáte
neplatnou cestu, připojení k terminálovému serveru se nezdaří a objeví se chybová zpráva.
Poznámka Nastavení Start A Program On Connection se nachází jak ve složce Computer
Configuration (Konfigurace počítače), tak i ve složce User Configuration (Konfigurace
uživatele). Jestliže je toto nastavení nakonfigurováno na obou místech, má přednost nasta-
vení v kategorii Computer Configuration.
Chcete-li pracovat s tímto nastavením objektu GPO, použijte následující cestu:
Computer Configuration\Administrative TemplatesXWindows Components\Terminal
Services\ Start a program on connection
(Konfigurace počítače\Šablony pro správu\Součásti systému
Windows\Terminálová služba\ Při připojeni spustit program)
Když je toto nastavení zapnuté, můžete konfigurovat políčka Program Path And Filé
Name box a Working Directory (viz obrázek 12.7).
OBRÁZEK 12.7: Nastaveni objektu CPO Terminál Services, které určuje úrovně šifrování pro
klienty
J\ Důležité Tyto zásady mají vliv na všechny klienty, kteří se připojí k terminálovému serveru.
Chcete-li dosáhnout toho, aby se pro různé uživatele spouštěly různé programu, použijte
odpovídající zásady ve složce User Configuration (Konfigurace uživatele).
Pravidla vzdáleného řízení uživatelských relací
Aktivity klienta přihlášeného na terminálový server je možné monitorovat pomocí
vzdáleného řízeni uživatelské relace z jiné relace. Vzdálené řízení vam umožňuje
pozorovat nebo aktivně řídit jinou relaci. Jestliže zvobte aktivní řízeni nějaké relace,
Terminálová služba
459
můžete prostřednictvím klávesnice a myši odesílat požadované příkazy. Předtím
než je vzdálené řízení relace zahájeno, může se v klientské relaci objevit zpráva vy-
žadující souhlas s prohlížením nebo spoluúčastí na relaci. Ke konfiguraci nastavení
vzdáleného řízení pro připojení můžete použit zásady skupiny Terminál Services
a k zahájení vzdáleného řízení klientské relace můžete použít nástroj Tenninal Ser-
vices Manager.
Tip Operační systémy rodiny Microsoft Windows Server 2003 podporují také vzdálenou po-
moc (Remote Assistance), která umožňuje větší univerzálnost při řízení relace jiného uživate-
le. Vzdálená pomoc nabízí také možnost konverzace s jinými uživateli.
Chcete-li pracovat s nastavením objektu GPO Set Rules For Remote Control To
Terminál Services User Sessions (Nastaví pravidla vzdáleného tížení uživatelských
relací terminálové služby), najdete jej tu této cestě:
Computer ConfiguratiorAAdministrative Templates\Windows Components\Terminal
Services\Set rules for remote control of Terminál Services user sessions
(Konfigurace počítače\Šablony pro správu\Součásti systému
Windows\Terminálová služba\ Nastaví pravidla vzdáleného řízení
uživatelských relací terminálové služby)
Když je toto nastavení zapnuté, můžete konfigurovat nastavení Options, které slou-
ží k nastavení požadovaných oprávněni vzdáleného řízení. K dispozici je pět úrovní
oprávnění (viz obrázek 12.8).
implementace
a scénáře
OBRÁZFK 12 8; Vytvoření pravidel vzdáleného řízení relace terminálové služby
Důležité Tato nastavení ovlivní všechny klienty, kteří se připojí na terminálový server. Chce-
te-li konfigurovat vzdálené řízení na uživatelské úrovni, použijte odpovídajíc zásady nachá-
zející se ve složce User Configuration (Konfigurace uživatele).
160
Kapitola 12 - Tvorba vlastních prostředí
Časový limit odpojených relací
U připojení terminálové služby můžete omezit dobu, po kterou aktivní, odpojená
a nečinná (žádná klientská aktivita) relace zůstane na serveru. Jedná se o užitečnou
možnost, neboť relace, které běží na serveru neomezeně dlouho dobu, konzumují
cenné systémové prostředky. V okamžiku, kdy je dosažen limit aktivní nebo nečin-
né relace, můžete buď odpojit uživatele z relacem, nebo relaci zcela ukončit. Uživa-
tel odpojený z relace se muže do stejné relace znovu připojit později. Když relace
skončí, je ze serveru trvale odstraněna a případné běžící aplikace jsou násilně
ukončeny, což může u klienta vyústit ve ztrátu dat. Jakmile je limit dosažen u od-
pojené relace, relace skončí a je natrvalo odstraněna ze serveru. Relace mohou být
také nastaveny tak, aby doba jejich trvání nebyla časox ě omezena.
Nastavení Set Time Limit. For Disconnected Sessions (Nastavit časový limit odpoje-
ných relací) můžete použít k určení maximální doby, po kterou je odpojená relace
udržovaná na serveru v aktivním stavu. Terminálová služba uživatelům implicitně
umožňuje se od vzdálené relace odpojit bez odhlášení a ukončení relace.
Když je relace v odpojeném stavu, běžící programy jsou udržovány v aktivním sta-
vu, i když uživatel již není aktivně připojen. Tyto odpojené relace jsou na serveru
implicitně udržovány neomezenou dobu.
Chcete-li pracovat s nastavením Set Time Limit For Disconnected Sessions, najdete
jej na této cestě:
Computer ConfigurationXAdministrative TemplatesXWindows ComponentsXTerminal
ServicesXSessionsXSet time limit for disconnected sessions
(Konfigurace počítačeXŠablony pro správuXSoučásti systému
WindowsXTerminálová službaXPočet relacíXNastavit časový limit odpojených
relací)
Když je toto nastavení objektu GPO zapnuté, můžete konfigurovat nastavení End
A Disconnected Session, které určuje, po iaké době bude ukončena odpojená rela-
ce.
Poznámka Nastavení Set Time Limit For Disconnected Sessions má vliv na všechny klienty,
kteří se připojují na terminálový server. Chcete-li definovat nastavení relace na uživatelské
úrovni, použijte odpov-dajicí zásady nacházející se ve složce User Configuration.
Důležité Toto nastavení se nevztahuje na relace konzol (např. relace vzdálené plochy)
u počítačů s operačním systémem Microsoft Windows XP Professional. Toto nastaven1 se na-
chází jak ve složce Computer Configuration (Konfigurace počítače), tak i ve složce User Con-
figuration (Konfigurace uživatele). Jestliže jsou nakonfigurována obě tato nastavení, má
přednost nastavení kategorie Computer Configuration.
Časový limit aktivních relací
Nastavení Set Time Limit For Active Terminál Services Sessions (Nastavit časový Li-
mit aktivních relací terminálového serveru) může použít k určeni maximální doby,
po kterou může být relace terminálové služby aktivní, než dojde k jejímu odpojení.
Terminálová služba implicitně dovoluje relacím, aby zůstaly aktivní po neomezeně
dlouhou dobu.
Terminálová služba
461
Chcete-li pracoval s tímto nastavením objektu GPO, najdete jej na teto cestě:
Computer ConfigurationXAdministrative Templates\Windows ComponentsXTerminal
Services\Sessions\Set time limit for active Terminál Services sessions
(Konfigurace počítače\Šablony pro správu\Součásti systému
WindowsXTerminálová služba\Počet relací\Nastavit časový limit aktivních
relací terminálového serveru)
Když je toto nastavení zapnuté, můžete konfigurovat nastavení Active Session Limit
které určuje časový limit všech relaci tennináJové služby.
Poznámka Nastavení Set Time Limit For Active Terminál Services Sessions má vhv na všechny
klienty, kteří se připojují na terminálový server. Chcete-li definovat nastavení relace na uži-
vatelské úrovni, použijte odpovídající zásady nacházející se ve složce User Configuration.
Toto nastaven; se nachází jak ve složce Computer Configuration (Konfigurace počí-
tače), tak i ve složce User Configuration (Kon igurace uživatele). Jestliže jsou na-
konfigurována obě tato nastavení, ma přednost nastavení kategorie Computer
Configuration. Čas vypršení aktivních relací se nevztahuje na relaci konzoly. Chce-
te-li určit, že se uživatelské relace mají ukončit po vypršení stanovené doby, zapně-
te nastaven Terminále Session When Time Limits Are Reached (Po vypršení
časového limitu ukončit relaci).
Po vypršení časového limitu ukončit relaci
Prostřednictvím nastaveni Terminále Session When Time Limits Are Reached (Po
vypršení časového limitu ukončil relaci) můžete terminálové službě nařídil, že má
po dosažení stanoveného limitu pro aktivní nebo nečinné relace ukončit relaci (tzn.
odhlásit uživatele a odpojit relaci od serveru). Tenninálová služba implicitně odpojí
relace, které dosáhnou jejich časového limilu.
implementace
a scénáře
Chcete-li pracovat s tímto nastavením objektu GPO, najdeie jej na této cestě;
Computer Configuration\Administrati ve TemplatesXWindows ComponentsXTerminal
ServicesXSessionsXTerminate session when time limits are reached
(Konfigurace počítačeXŠablony pro správuXSoučásti systému
WindowsXTerminálová službaXPočet relací\ Po vypršení časového limitu
ukončit relaci)
Když je toto nastavení zapnuté, pak terminálová služba ukončí každou relaci, která
dosáhne svého časového limitu. Toto nastavení se nachází jak ve složce Computer
Configuration (Konfigurace počítače), tak i ve složce User Configuration (Konfigu-
race uživatele). Jestliže jsou nakonfigurována obě tato nastaveni, má přednost na-
stavení kategorie Computer Configuration.
Povolit nové připojeni pouze z původního klienta
Nastavení Allow Reconnection From Originál Client Only (Povolit nové připojeni
pouz< z původního klienta) můžete použít ke konfiguraci nastaveni opětovného
připojovaní odpojených relací architektury Citrix ICA. Uživatelům terminálové služ-
by můžete zabránit v opětovném připojování k odpojeným relacím pomocí jiného
než klientského počítače, z něhož byla relace původně vytvořena. Tenninálová
462
Kapitola 12 - Tvorba vlastních prostředí
služba uživatelům implicitně umožňuje se k odpojeným relacím znovu připojí
z libovolného klientského počítače.
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na teto cestě:
Computer Configuration\Administrative Templates\Windows ComponentsMermina]
Services\Sessions\Allow reconnection from originál Client only
(Konfigurace počítače\Šablony pro správu\Součásti systému
Windows\Terminálová služba\Počet relací\Povolit nové připojení pouze
z původního klienta)
Když je toto nastavení zapnuté, uživatelé se mohou připojovat k odpojeným rela-
cím jen z původního klientského počítače. Pokusí-li se uživatel připojit k odpojené
relaci z jiného počítače, vytvoří se nová relace.
Tip Nastaveni Allow Reconnection From Originál Client Only se vztahuje na všechny klienty,
kteří se připojují k terminálovému serveru. Chcete-li definovat nastavení relace na uživatel-
ské úrovni, použijte odpovídající zásady nacházející se ve složce User Configuration.
Poznámka Nastavení Allow Reconnection From Originál Client Only je podporováno pouze
pro klienty architektury Citrix ICA, kteří poskytnou během připojování sériové číslo. Nasta-
vení je ignorováno v případě, že se uživatel připojuje pomocí klienta systému Windows. To-
to nastavení se nachází jak ve složce Computer Configuration (Konfigurace počítače), tak
i ve složce User Configuration (Konfigurace uživatele). Jestliže jsou nakonfigurována obě ta-
to nastavení, má přednost nastavení kategorie Computer Configuration.
Správa přiřazených jednotek, tiskáren
a dalších zařízení
Vzhledem k tomu, žc klientské relace mohou vytvořil mezi klientem a serverem
několik datových kanálů, mohou uživatelé přiřadit místní zařízení (např. diskové
jednotky nebo tiskárny). Implicitně je napřiřazení jednotek a tiskáren nastavené
uživatelem v klientské relaci dočasné a při dalším přihlášení uživatele na server
nejsou přiřazeni dostupná. Pomocí nástroje Terminál Services Configuration můžete
ale nastavit, ze klientská přiřazení mají byl při dalším přihlášeni uživatele obnove-
na. Kromě toho můžete zablokovat určitá zařízení tak, aby je uživatel nemohl při-
řadit. Uživatelé mohou přiřadit následující zařízení:
	Diskové jednotky
	Tiskárny systému Windows
	Porty LPT
	Porty COM
	Karty Smart card
	Schránku
	Zvuk
Pro konfiguraci nastaveni uvedených v následujících oddílech používejte pokud
možno vždy zásady skupiny Tenninal Serv ices.
Terminálová služba
463
Povolit přesměrování zvuku
Nastaven Allow Audio Redirection (Povolit přesměrování zvuku) určuje, zda může
uživatel zvolit, kde se má během relace terminálové služby přehrávat zvukový vý-
stup ze vzdáleného počítače (přesměrování zvuku). Možnost Remote Computer
Sound nacházející se na kartě Local Resources nástroje Remote Desktop Connection
mohou uživatelé použit k určení toho, zda se ma vzdálený zvuk přehrávat na vzdá-
leném nebo na místním počítači. Uživatelé mohou přehrávání zvuku také vypnout.
Během připojení pomocí tenmnálové služby k serveru s operačním systémem Micro-
soft Windows Server 2003 uživatelé implic itně nemohou provádět přesměrováni zvu-
ku. Uživatelé připojující se k počítači s operačním systémem Microsoft Windows XP
Professional přesměrování zvuku implicitně provádět mohou.
Chcete-h pracovat s tímto nastavením objektu GPO, najdete jej na této cestě:
Computer ConfigurationXAdministrative TemplatesXWindows ComponentsXTerminal
ServicesXClient/Server data redirectionXAl1ow audio redirection
(Konfigurace počítačeXŠablony pro správuXSoučásti systému
WindowsXTerminálová službaXPřesměrování dat klienta a serveruXPovolit
přesměrováni zvuku)
Nepovolit přesměrování portu COM
Nastavení Do Not Allow COM Port Redirection (Nepovolit přesměrování portu
COM.) určuje, zda se má blokovat přesměrováni dal ze vzdáleného počítače relace
terminálové služby na porty COM klienta. Toto nastavení můžete použít, abyste
uživatelům během připojení k relaci terminálové služby zabránili přesměrovat data
na zařízení připojená k portům COM nebo jim zahranili přiřadit porty COM. lenn:-
nálová služba implicitně dovoluje přesměrování na porty COM.
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na této cestě:
Computer ConfigurationXAdministrative TemplatesXWindows ComponentsXTerminal
ServicesXClient/Server data redirectionXDo not allow COM port redirection
(Konfigurace počítačeXŠablony pro správuXSoučásti systému
WindowsXTerminálová službaXPřesměrování dat klienta a serveruXNepovolit
přesměrování portu COM)
Nepovolit přesměrován* tiskárny klienta
Nastaveni Do Not Allow Client Printer Redirection (Nepovolit přesměrovaní tiskárny
klienta) můžete použit, abyste uživatelům žakázali přesměrovat jejich tiskové úlohy
ze vzdáleného počítače na tiskárnu připojenou k jejich místnímu (klientskému) po-
čítači. Terminálová služba implicitně dovoluje přiřazení klientské tiskárny.
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na této cestě:
Computer ConfigurationXAdministrative TemplatesXWindows ComponentsXlermina
ServicesXClient/Server data redirectionXDo not allow Client printer
redi recti on
(Konfigurace počítačeXŠablony pro správuXSoučást^ systému
WindowsXTerminá1ová službaXPřesměrování dat klienta a serveruXNepovolit
přesměrování tiskárny klienta)
Implementace
464
Kapitola 12 - Tvorba vlastních prostředí
Když je toto nastavení zapnuté, uživatelé nemohou v rámci relace terminálové služby
přesměrovat tiskové úlohy ze vzdáleného počítače na tiskárnu lokálního klienta.
Nepovolit přesměrování portu LPT
Nastavení Do Not Allow LPT Port Redirection (Nepovolit přesměrování portu LPT)
určuje, zda se má během relace terminálové služby blokovat přesměrování dat ze
vzdáleného počítače na porty LPT klienta. Toto nastavení můžete použít, abyste
uživatelům během připojení k relaci terminálové služby zabránili přesměrovat data
na zařízení připojená k portům LPT nebo jim zabránili přiřadit porty LPT. Terminá-
lová služba implicitně dovoluje přesměrování na porty LPT.
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na teto cestě:
Computer ConfigurationXAdministrative Templates\Windows Components\Terminal
Services\Client/Server data redirection\Do not allow LPT port redirection
(Konfigurace počítačeXŠablony pro správu\Součásti systému
WindowsXTerminálová službaXPřesměrování dat klienta a serveruXNepovolit
přesměrování portu LPT)
Když je toto nastavení zapnuté, uživatele nemohou v rámci relace terminálové
služby přesměrovat data ze serveru na lokáln. port LPT.
Nepovolit přesměrování jednotek
bjastavení Do Not Allow Drive Redirection (Nepovolit přesměrování jednotek) urču-
je, zda se má v rámci relace terminálové služby blokovat přiřazení klientských dis-
kových jednotek (přesměrování jednotky). Implicitně terminálová služba klientské
diskové jednotky během připojení automaticky namapuje. Přiřazena jednotka se
v aplikaci Windows Explorer nachází ve stromu složek relace a ve složce My Com-
puter je uvedena pomocí parametrů <písmeno_jednotky> a <název_počí tače>. Toto
nasttveni můžete použit k přetíženi uvedeného chování.
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na této cestě:
Computer ConfigurationXAdministrative TemplatesXWindows ComponentsXTerminal
ServicesXClient/Server data redirectionXDo not allow drive redirection
(Konfigurace počítačeXŠablony pro správuXSoučásti systému
WindowsXTerminálová službaXPřesměrování dat klienta a serveruXNepovolit
přesměrování jednotek)
Když je toto nastavení zapnuté, není v rámci relací tenninálové služby povoleno
přesměrovat diskové jednotky klienta.
Nenastavovat výchozí klientskou tiskárnu
Nastavení Do Not Set Default Client Printer To Be Default Printer In A Session (Ne-
nastavovat výchozí klientskou tiskárnu na výchozí tiskárnu v relaci) určuje, zda bu-
de jako výchozí tiskárna relace terminálové služby automaticky nastavena výchozí
tiskárnu klienta, implicitně terminálová služba automaticky nastaví výchoz tiskárnu
klienta jako výchozí tiskárnu relace terminálové služby. Toto nastavení mi lžete po-
užít k přetížení uvedeného chování.
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na této cestě:
Terminálová služba
Computer Configuration\Administrative Templates\Windows CorrponentsXTerminal
Services\Client/Server data redirection\Do not set default Client printer
to be default printer in a session
(Konfigurace počítače\Šablony pro správu\Součástí systému
WindowsXTerminálová služba\Přesměrování dat klienta a serveru\Nenastavovat
výchozí klientskou tiskárnu na výchozí tiskárnu v relaci)
Když je toto nastavení zapnuté, je za výchozí tiskárnu považována výchozí tiskárna
vzdáleného počítače.
Řízení profilů terminálové služby
Všechny relace vytvořené na terminálovém serveru vyžadují uživatelský profil. Jak
jsme již zmínili dříve, chcete-li, aby byl profil cestovní, může jej řídit. Tato možnost
je užitečná pro uživatele, kteří se často stěhuj od počítače k počítači, ale požadují
jednotné pracovní prostředí.
V některých případech uživatelům nemusíte chtít dovolit stahování profilů nebo
ukládání profilu na určité terminálové servery. Následující oddíly nabízejí několik
doporučených nastavení pro řízení těchto chování.
Nastavit cestu cestovních profilů
Nastavení Set Path For TS Roaming Proůles (Nastavit cestu cestovních profilů terminá-
lové služby) můžete použit k určeni síťové sdílené složky, do které se budou ukládat
profily, což uživatelům v konečném efektu umožní přístup ke stejnému profilu pro
všechny relace na všech terminálových serverech konkrétní organizační jednotky.
Terminálová služba implicitně ukládá všechny uživatelské profily lokálně na terminá-
lový server. Toto nastavení vám umožňuje na úrovni servem přetížit nastaveni uživa-
telského účtu. Také nabízí výborný způsob, jak pro skupiny terminálových serverů
určil společný profilový server. Jestliže používáte serverové farmy, které jsou rozpro-
střeny v několika různých lokacích, můžete toto nastavení použít k tomu, abvste
uživatelům povolili přesouvání mezi servery těchto serverových farem.
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na této cestě:
Computer Configuration\Administrative Templates\Windows ComponentsXTerminal
ServicesXSet path for TS Roaming Profiles
(Konfigurace počítaČe\Šablony pro správu\Součásti systému WindowsX
Terminálová služba\ Nastavit cestu cestovních profilů terminálové služby)
Když je toto nastavení zapnuté, můžete v této formě WCompute^nameXSha rename za-
dat do pole Profile Path cestu k síťové sdílené složce (viz obrázek 12.9).
Upozornění Nezadávejte zástupný řetězec aliasu uživatele, neboť terminálová služba jej bě-
hem přihlašování ke stanovené cestě připojí automaticky. Ujistěte se, že zadaná síťová sdi:ená
složka existuje, jinak terminálová služba vrátí chybovou zprávu a uloží profil uživatele lokálně.
Domovský adresář uživatele
Nastavení TS User Home Directory (Domovský adresář u živu tele terminálové služ-
by) můžete pouzí1 k určení domovské složky relace terminálové služby. Na výběr
máte mezi síťovou sdílenou složkou a místní složkou. Cestu k síťové sdílené složce
466
Kapitola 12 - Tvorba vlastních prostřed*
musíte zadat ve fonnatu WPočí tač\Složka. II místní složky můžete zadat písmeno
jednotky a za ním cestu k domovské složce (např. C:\users\homedir). Stejné jako
nastavení cestovních profilu je také toto nastavení velmi dobrým způsobem jak
konfigurovat domovské složky uživatelů pro případy, že cestují mezi faunami ter-
minálových serverů vaší organizace.
OBRÁZEK 12.9: Nastavení objektu GPO Terminál Services, které určuje umístění profilu
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na teto cestě:
Computer Configurdtion\Administrative TemplatesXWindows ComponentsXTerminal
ServicesXTS User Home Directory
(Konfigurace počitače\Šablony pro správuXSoučásti systému
Wi ndowsMerminál ová služba\ Domovský adresář uživatele terminálové služby)
Když toto nastavení zapnete, určete v seznamu Location, zda bude cesta místní nebo
síťová (viz obrázek 12.10). Ve výše uvedené syntaxi zadejte cestu k domovskému
adresáři. Nakonec zadejte písmeno jednotky domovského adresáře, které bude mo-
ci uživatel na svém počítači použít pro přístup k domovskému adresáři.
Omezit uživatele terminálové služby pouze na jednu vzdálenou relaci
V zajmu řízeni licencí tenmnálové služby a povedeného počtu uživatelem spuště-
ných relací Terminálové služby můžete uživateli povolit spuštění pouze jedné vzdá-
lené relace. Nastavení Restrict Terminál Services Users To A Single Remove Session
(Omezit uživatele terminálové služby pouze na jednu vzdálenou relaci) určuje, že
pro uživatele, kteří se prostřednictvím terminálové služby vzdáleně přihlásí na daný
server, je počet povolených relaci pouze 1. Tyká se to aktivních i odpojených rela-
cí. Jestliže se tedy uživatel odpojí ze své relace, pak každý další pokus o vytvořeni
nové relace selže a pošle uživatele do odpojené relace.
Terminálová služba
467
Implementace
a scénáře
OBRÁZEK 12.10: Nastavení objektu GPO Terminál Services, které určuje domovský adresář
uživatele
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na této cestě:
Computer ConfigurationXAdministrative TemplatesXWindows ComponentsXTerminal
ServicesXRestrict Terminál Services users to a single remove session
(Konfigurace počítačeXŠablony pro správuXSoučásti systému
WindowsXTerminálová službaX Omezit uživatele terminálové služby pouze na
jednu vzdálenou relaci)
Povolit pouze místní uživatelské profily
Nastavení Only Allow Local User Profiles (Povolit pouze místní uživatelské profily)
není navrženo přímo pro terminálovou službu, ale pro relaci terminálové služby je
možné jej použít. Toto nastaveni blokuje stažení cestovního profilu uživatele, i v pří-
padě, že uživatelský účet obsahuje cestu k cestovnímu profilu. Nastavení je užitečné
v případě, že terminálové servery máte v různých pracovištích a nechcete v každém
z nich spravovat profilové servery.
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na této cestě:
Computer ConfigurationXAdministrative TemplatesXSystemXUser Profi 1esXOnly
allow local user profiles
(Konfigurace počítačeXŠablony pro správuXSystémXUživatelské profilyXPovolit
pouze místní uživatelské profily)
Odstraňovat kopie cestovních profilů z mezipaměti
Na terminálových serverech je někdy třeba uvolnit místo a současně je potřeba uži-
vatelům umožnit použiti jejich cestovních profilu. V takové situaci nemůžete uživa-
tele nutit, aby používali místní profil. Pomocí nastaveni Delete Cached Copies Ol
Roaming Profiles (Odstraňovat kopie cestovních profilů z mezipaměti), ale můžete
nakonfigurovat objekty GPO, které po ukončení relace uživatelem odstraní ze ser-
veru cestovní profil.
468
Kapitola 12 - Tvorba vlastních prostředí
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na této cestě:
Computer Confígurati on\Admini strati ve Templates\System\User Profiles\Delete
cached copies of roaming profiles
(Konfigurace počítače\Šablony pro správu\Systém\Uživatelské
profily\Odstraňovat kopie cestovních profilu z mezipaměti)
12.3 Zásady skupiny a pomalá připojení
Dostupná kapacita linky muže ovlivnit způsob aplikace nastavení zásad skupiny, ne-
boť pro připojení na pomalé lince nejsou některé zásady implicitně zpracovány. Jestli-
že rychlost síťové linky mezi klientem a ověř ovacím doménovým řadičem klesne pod
výchozí limit určující pomalé připojení (500 kb/s), aplikují se pouze nastavení šablon
pro správu (uložené v registru) a bezpečnostní nastavení. Když rychlost síťové linky
mezi klientem a doménovým řadičem klesne pod tuto přednastavenou hodnotu mlu-
víme o klientovi připojeném na pomalé lince.
V případě nutnosti můžete pomocí nastavení zásad, která se v objektu GPO nachá-
zejí ve složkách Computer Configuration (Konfigurace počítače) a User Configurati-
on (Konfigurace uživatele), upravit výchozí chování pro pomalá připojení. Upravit
můžete také rozšíření zásad skupiny, která se zpracovávají v případě poklesu rych-
losti linky pod stanovenou hodnotu. V závislosti na vaší situaci ale může být vhod-
nější umístit do vzdálené lokace místní doménový řadič, který bude obsluhovat
vaše požadavky na správu.
Když zavádíte uživatelské profily, soubory offline a přesměrování složek, je důležité
mít mezi servery a pracovními stanicemi k dispozici dostatečnou síťovou kapacitu.
Také se doporučuje, aby servery, k nimž se pracovní stanice v rámci získávání uve-
dených dat připojují, bvly na rychlé síťové lince. Abyste se vyhnuli výpadkům bě-
hem přístupu k často používaným datum, je dobré zkontrolovat a zoptimalizovat
vaši síťovou konfiguraci. Lepšího výkonu dosáhnete i tak, že budete udržovat po-
třebná data a uživatele ve stejné podsíti.
Výchozí použití zásad na pomalých připojeních
Chcete aplikovat zásady skupiny, ale síť je zahlcena; připojujete se pomocí pomalé
linky; nebo se do sítě připojujete pomoci vzdáleného připojení. Ve všech těchto
případech můžete mít jisté pochybnosti o tom, které části zásad skupiny by se měly
aplikovat, neboť aplikace více rozsáhlých zásad může mít negativní dopad na vý-
kon. Způsob aplikace zásad skupiny na pomalých linkách je transparentní.
Jaké připojení je zásadami skupiny implicitně považováno za pomalé? Firma Micro-
soft stanovila, že pomalé linky jsou všechny, které nedosahují rychlosti 500 Kb/s.
Jestliže se tedy připojujete přes vaši síť LAN a zahlcení sítě zpomalí vaši komunikaci
s doménovými řadiči pod rychlost 500 F b/s, budou zásady skupiny povazovat ta-
kové spojení za pomalé.
Je pravděpodobné, že v uvedene situaci si nebudete prát, aby zasady skupiny po-
važovaly vaše připojení za pomalé. Nicméně v jiných situacích to chtít budete,
abyste měli kontrolu nad tnn, které zásady se zpracují. Můžete si například přát,
aby připojení z pobočky připojující se přes pomalou linku bylo považováno za
i.ásady skupiny a pomalá připojení
469
pomalé, abyste tak mohli řídit, zda se přes něj bude instalovat aplikace Microsoft
Office. Mezi další situace, ve kterých muže hrát pomalé připojení roli, patří:
	Připojení virtuální privátní sítě (VPN)
	Vytáčená připojení
	Kanceláře poboček
	Připojeni vzdálené terminálové služby
	Bezdrátová připojení
Zásady aplikované pro pomalá připojení
Nyní se podíváme na to, která nastavení se na pomalých připojeních aplikují impli-
citně. Některá nastavení je potřeba aplikovat i přesto, že je připojení pomalé. Hlav-
ním důvodem bývá snaha zajistit bezpečné a funkční prostředí.
Firma Microsoft proto nakonfigurovala dvě kategorie zásad skupiny, které se apli-
kují bez ohledu na rychlost připojení: Security a Administrativě Templates. Další ka-
tegorie je možné pro pomalá připojení povolit nebo zakázat. Tabulka 12.2 obsahuje
všechny kategorie objektů GPO a jejich chovaní na pomalé lince.
TABULKA 12.2: Výchozí nastavení pro zpracování zásad skupiny na pomalých
Implementace
a scénáře
připojeních
Nastavení	Výchozí hodnota
Security Settings (Nastavení zabezpečení)	zapnuto (nelze vypnout)
IP Security ON (Zásady zabezpečení protokolu	zapnuto
IP)	
EFS	zapnuto
Software Restriction Policies (Zásady omezení	zapnuto
softwaru)	
Wireless (Bezdrátové sítě)	zapnuto
Administrativě Templates (Šablony pro správu)	zapnuto (nelze vypnout)
Software Installation (Instalace softwaru)	vypnuto
Scripts (Skripty)	vypnuto
Folder Redirection (Přesměrování složek)	vypnuto
IE Maintenance (Údržba aplikace Internet Ex-	zapnuto
plorer)	
Chování pro pomalá připojení služby RAS
Když se uživatel chce během relace připojit pomocí služby RAS (Remote Access
Service) do Active Directory, má dvě možnosti, jak se na svůj počítač přihlásit. Jeho
volba má vliv na to, jak budou pro vzdálený přístup aplikovány objekty GPO.
První možností je označit zaškrtávací pole Logon Using Dial-Up Connection (Přihlá-
sit se pomoci telefonického připojení), které počítači oznámí, že ma v rámci ověřo-
vání uživatele obejít místní ověření a komunikovat přímo se serverem služby RAS.
Kapitola 12 - Tvorba vlastních prostředí
Tato možnost umožňuje, aby byly objekty GPO (bezpečnostní nastavení a šablony
pro správu) aplikovaný během přihlášení. Nicméně nezpracují se nastavení install
ce software pro jednotlivé počítače a nespustí se ani skripty při spuštění jednotlL
vych počítačů, neboť počítačové zásady se obvykle zpracovávají předtím, než se
objeví přihlašovací obrazovka.
Druha možnost je přihlásit se lokálně nebo pomocí pověření pro připojení ulože-
ných v mezipaměti. Použijete-li tuto možnost, neaplikují se doménové objekty GPQ
(kromě toho, co je v profilu nacházejícím se v mezipaměti). Když se uživatel připojí
k serveru služby RAS, je automaticky ověřen pro doménu a ma přístup na vzdálené
síťové prostředky. Objekty GPO nejsou v tomto případě aplikovány okamžitě, ale
až při následujícím aktualizačním intervalu.
Nastavení zásad skupiny
pro detekci pomalého připojení
Pro řízení způsobu, jakým budou nastavení objektu GPO reagovat, při jejich aplika-
ci na pomalých linkách můžete využít různá nastavení. Ne všechna tato nastavení
se nacházejí na jednom místě, proto může být zjišťování jejich významu, jejich
umístění a určování vzájemných závislostí poněkud problematické.
Následující nastavení pro pomalá připojení jsou základem detekce pomalých připo-
jení a implementace zasad skupiny. Tato nastavení jsou obvykle tím prvním, co je
tieba změnit, když upravujete výchozí chovám pro použiti objektů GPO na poma-
lých připojeních.
Rozpoznání pomalého připojení zasad skupiny
Nastaveni Group Policy Slow Link Detection (Rozpoznaní pomalého připojení zá-
sad skupiny) definuje pomalé připojení pro účely aplikace a aktualizace zásad sku-
piny. Jesthže je rychlost přenosu dat z doménového řadiče poskytujícího aktualizaci
zasad počítačům dané skupiny nižší než rychlost určená tímto nastavením, systém
vyhodnotí připojení jako pomalé. Výchozí hodnota tohoto nastavení je 500 Kb s,
což je také hodnota, kterou počítač použije v případě, že jsou tyto zásady vypnuté.
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na této cestě:
Computer ConfigurationXAdministrative Templates\System\Group PolicyXGroup
Policy slow link detection
(Konfigurace počítačeXŠablony pro správu\Systém\Zásady skupiny\Rozpoznání
pomalého připojeni zásad skupiny)
Když je toto nastavení zapnuté (viz obrázek 12.11), musíte do pole Connection
Speed zadat desítkové číslo z intervalu od 0 do 4,29^,967,200. Jednotky této hodno-
ty jsou kilobity za vteřinu.
c Poznámka Nastavení Group Policy Slow Link Detection najdete v objektu GPO také ve složce
User Configuration.
Zásady skupiny a pomalá připojeni
471
OBRÁZEK 12.11: Definovaní pomalého připojení pro aplikaci objektů CPO na pomalých
síťových připojeních
Implementace
a scénáře
Časový limit pro stažení profilu uživatele
s pomalým síťovým připojením
Nastavení Slow Network Connection Timeout for User Profiles (( asový limit pro sta-
žení profilu uživatele s pomalým sítovým připojením) určuje, jak je definováno poma-
lé připojení pro aplikaci cestovních uživatelských profilů. Jestliže je na odpověď
serveru, na kterem sídlí uživatelův cestovní profil, potřeba čekat dele, než je limit
stanový tímto nastavením, považuje systém př .pojeni k danému profilu za pomalé.
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na teto cestě:
Computer Configuration\Admíni stra ti ve Templates\System\User Profi 1 es\S1ow
network connection timeout for user profiles
(Konfigurace počítače\Šablony pro správu\Systém\Profily uživatelú\Časový
limit pro stažení profilu uživatele s pomalým síťovým připojením)
Když je toto nastavení zapnuté (viz obrázek 12.12), musíte do pole Connection Speed
(Rychlost pupojení) zadat desítkové číslo z intervalu od 0 do 4 294 967 200. Jednotky
této hodnoty jsou kilobity za vteřinu. U počítačů, kter< nepoužívají protokol IP, měří
syste m odezvu souborového systému vzdáleného serveru. Chcete-li nastavit limit pro
toto ověřovaní, zadejte do pole Time desítkovou hodnotu z intervalu 0 až 20 000.
Jednotky teto hodnoty jsou milisekundy.
Kapitola 12 - Tvorba vlastních prostředí
OBRÁZEK 12.12: Definování pomalého připojení
Nezjišťovat pomalá síťová připojení
Nastavení Do Not Detect Slow Network Connections (Nezjišťovat pomalá síťová připo-
jení) určuje, zda jsou uživatelské profily říženy rychlostí linky. Detekce pomalého při-
pojení měří rychlost spojení mezi uživatelským počítačem a vzdáleným serverem,
který uchovává cestovní profil uživatele. Když systém zjistí pomalé připojení, odpoví-
dající nastavení této složky mu poskytnou informace o tom, jak se zachovat. Když jsou
tyto zásady zapnuté, cestovní profil uživatele ignoruje nastavení zásad pro pomalá
připojení.
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na této cestě:
Computer ConfigurationXAdministrative Templates\System\User ProfilesXDo not
detect slow network connections
(Konfigurace počítačeXŠablony pro správuXSystémXProfily
uživatelůXNezjištovat pomalá sítová připojení)
Poznámka V případě, že je zapnuté nastavení Do Not Detect Slow Network Connections, na-
stavení Slow Network Connection Timeout For User Profiles se ignoruje.
Upozornit uživatele na pomalé síťové připojení
Nastavení Prompt User When Slov Link Is Detected (Upozornit uživatele na pomale
síťové připojení) nabízí možnost, aby byl uživatel upozorněn v případě, že by nahráni
jeho profilu mohlo trvat dlouho. To dává uživateli možnost rozhodnout se, zd a použi-
je kopii svého profilu umístěnou v lokální mezipaměti nebo zda počká, dokud se ces-
tovní profil nenahraje.
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na této cestě:
Zásady skupiny a pomalá připojení 473
Computer ConfigurationXAdministrative TemplatesXSystemXUser Profi 1es\Prompt
user when slow link is detected
(Konfigurace počí tačeXŠabl ony pro správu\Systém\Prof i ly už i va tel ů\llpozorn i t
uživatele na pomalé sítové připojení)
Poznámka V případě, že je zapnuté nastavení Do Not Detect Slow Network Connections, na-
stavení Prompt User When Slow Link Is Detected se ignoruje.
Další informace Další informace o uživatelských profilech najdete v 7. kapitole.
Konfigurovat rychlost pomalého připojení
Když nějaký uživatel používá soubory offline, může jejich synchronizace zabrat mno-
ho času - na pomalém připojení se může jednat dokonce o hodiny. Pro uživatele při-
pojené pomalou linkou se vám může hodit nastavení Configure Slow Link Speed
(Konfigurovat rychlost pomalého připojení) a další nastavení, která řídí práci se sou-
bory offline.
Nastavení Configure Slow Link Speed určuje limitní hodnotu, při jejímž dosažení
soubory offline považují síťové připojení za pomalé. Jestliže je připojení považová-
no za pomalé, funkce pro práci se soubory offline se automaticky přizpůsobí tak,
aby v rámci synchronizace nedocházelo ke zbytečnému provozu.
Chcete-li pracovat s tímto nastavením objektu GPO, najdete jej na této cestě:
Computer Configurati onXAdmini strati ve TemplatesXNetworkXOff1 i ne
Fi1esXConfigure Slow link speed
(Konfigurace počítačeXŠablony pro správuXSítXSoubory off1 ineXKonfigurovat
rychlost pomalého připojení)
Když je toto nastavení zapnuté (viz obrázek 12.13), musíte do pole Value zadat
hodnotu určující, co bude v souvislosti se soubory offline považováno za pomalé
připojení. Jednotky teto hodnoty jsou bity za vteřinu / 100.
Dodatečná nastavení detekce pomalého připojení
pro klientská rozšíření
Každý oddíl objektu GPO je řízen nějakým klientským rozšířením (CSE). Zabezpečení,
správa, šablony nebo přesměrování složek jsou příklady těchto oddílů. Většinu těchto
klientskýc h rozšíření lze (pí i detekci pomalého připojení) řídit v zajmu urychlení spo-
jení a snížení počtu nastavení, které je při detekci pomalého připojení potřeba apliko-
vat Klientská rozšíření, která lze v rámci detekce pomalého připojení řídit, zahrnuji:
	Zásady Internet Explorer Maintenance
	Zásady Software Installation
	Zásady Folder Redirection
	Zásady Scripts
	Zásady Security
	Zásady IP Security
Úpravy zásad
skupiny
V této části:
13. kapitola: Struktura a zpracování zásad skupiny.479
14.	kapitola: Úpravy šablon pro správu.521
15.	kapitola: Šablony zabezpečení......559
474
Kapitola 12 - Tvorba vlastních prostředí
	Zásady EFS recovery
	Zásady Wireless
	Zásady Disk Quota
OBRÁZEK 12.13: Definování pomalého připojeni pro synchronizaci souborů offhne
Všechna tato nastaveni se v objektu GPO nacházejí na stejném místě. Například na-
stavení zásad skriptů klientských rozšíření se nazývá Scripts Policy Processing
(Zpracovaní zásady skriptů). Najdete je v následující složce objektu GPO:
Computer Configurdtion\Administrative Templates\System\Group Policy
(Konfigurace počítače \Šablony pro správu\Systém\Zásady skupiny)
Když otevřete zásady, které chcete řídit, najdete v nich nastavení pro řízení pomalých
připojení (viz obrázek 12.14). Nastavení Allow Processing Across A Slow Network
Connection (Povolit zpracování aktualizace odeslané pomalým síťovým připojením)
řídí, zda bude rozšíření klienta aplikováno při pomalém síťovém připojení.
Toto nastavení určuje, zda bude klientské rozšíření podléhat adhere řízení při po-
malém připojení. Když je toto nastavení pro klientská rozšíření zapnuté, nastaveni
zásad vztahující se na tuto část objektu GPO se při pomalém připojení aplikují. To-
to je opakem výchozího chování, které je: neaplikovat nastaveni zásad na pomalém
připojení (kromě několika klientských rozšíření implicitně aplikovaných pro poma-
lá připojení, která byla popsána výše).
Další informace Další informace o rozšířeních klienta a aplikaci objektů GPO najdete ve 13.
kapitole.
Shrnutí
475
Internet* Explorer Maintenance policy Processing Properties I
Settmg | Expran ]
ji Internet Explorer Maintenance f .-cy prcceisng
C Not £onfiguied
Enabled
C Qisabled
p A<te**. pročesáno acrosse sk>w network connecóorí
F Do not apply durng penocfcc backftound processng
F Process even t the Group Pokcy objects háve not changed
Supported on At least M icrosow Windows 2000
Previous Setúrrg | Next SeHnj
Implementace
_a scehdře
OK	Cancel Apply
OBRÁZEK 12.14: Nastavení Allow Processing Across A Slow Network Connection
12.4 Shrnutí
Zásady skupiny lze rozšířit tak, aby vyhovovaly téměř libovolnému síťovému pro-
středí. Patří mezi ně připojení vzdáleného přístupu, připojení přes pomalé sítě, spe-
ciální požadavky na zabezpečení, relace terminálové služby a další. Pro vyhovění
vašim požadavkům ve speciálních situacích vám zásady skupiny poskytují poměrně
velkou flexibilitu. Nastavení, jako např. zpracování ve zpětné smyčce, detekce po-
malého připojení a nastavení terminálové služby, vám umožňují snadno řídit prak-
ticky jakékoliv prostředí. Tato nastavení by se měla používat pouze ve výjimečných
situacích, kdy potřebujete přizpůsobit výchozí chováni zásad skupiny vašim potře-
bám pro přizpůsobení uživatelského prostředí.
kapitola
Struktura
a zpracování
zásad skupiny
Obsah kapitoly:
13.1	Procházení logické struktury zásad skupiny...........................480
13.2	Procházení fyzické struktury zásad skupiny...........................489
13.3	Procházení struktury propojení zásad skupiny.........................494
13.4	Princip zpracování zásad skupiny.....................................49i
13.5	Procházení struktury místního objektu GPO............................516
13.6	Shrnutí..............................................................519
480
Kapitola 13 - Struktura a zpracováni zásad skupiny
Abyste porozuměli struktuře zásad skupiny, musíte nejdříve porozumět stniktjfe
služby Active Directory®. Služby Active Directory obsahuje fyzické i logické korripr^
nenty. Jádrem fyzické architektury služby Active Directory je rozšiřitelný úložný rno~
dul (ESE - Extensible Storage Engine) pro čtení a zapisovaní informací do datového
úložiště služby Active Directory. Modul ESE používá pro vyjádření infonnací v dato-
vém úložišti objektovou hierarchii. Datové úložiště je v podstatě databáze s primárním
datovým souborem, pracovními soubory pro udržování stavu datového souboru
a transakčními protokoly pro zaznamenávání změn. V zásadách skupiny existuje také
logické a fyzické vyjádřeni všech objektů zásad skupiny (objekty GPO). Logická kom-
ponenta objektu GPO je kontejner zásad skupiny (GPC - Group Policy Container}
který je uložen v rámci Active Directory. Fyzická komponenta je šablona zásad skupi-
ny (GPT - Group Policy Template), která je uložena v souborových systémech do-
ménových řadičů Způsob, kterým se s těmito logickými a fyzickými komponentami
zachází nejvíce, závisí na konfiguraci zpracování zásad skupiny.
Související informace
	Základní informace o zásadách skupiny najdete v kapitolách 1 a 2.
	Další informace o architektuře služby Active Directory i ujdete v oddílech ..Ac-
tive Directory Physical Architecture“ a „AcLve Directory Logical Architecture“ 32.
kapitoly publikace Windows Server 2003 Inside Out (Microsoft Press, 2003).
	Další informace o dědičnosti a zpracování zásad skupiny najdete v oddílech
„Správa dědičnost* zasady skupiny“ a „Správa zpracováni a aktualizace zásady
skupiny“ 3- kapitoly.
13.1 Procházení logické struktury
zásad skupiny
Logicky jsou objekty GPO ve službě Active Directory reprezentovaný kontejnery
uloženými v datovém úložišti služby Active Directory a jsou označované jako kon-
tejnery zásad skupiny (GPC). Kontejnery obsahuji atributy, ktere obsahující základní
informace o objektu GPO (např. název pro zobrazení, cesta k šabloně GPT, číslo
verze nebo seznam řízení přístupu - ACL). Obsahují také odkazy na klientská rozší-
ření CSE, která budou vyvolána v rámci zpracování daného objektu GPO.
/j\ Upozornění Pamatujte si, že s kontejnery zásad skupiny (GPC) a se šablonami GPT nemusíte
' nikdy pracovat přímo. Ve skutečnost- je to spíše tak, že když se budete pokoušet dělat změ-
ny přímo do kontejneru nebo šablon, můžete snadno způsobit problémy. Preferovaným
rozhraním pro správu zásad skupiny je konzola GPMC (Group Policy Management Console)
a nástroj Group Policy Object Editor (Editor objektů zasady skupiny). Nicméně ve výjimeč-
ných případech, kdy budete pro účely řešení problémů potřebovat pracovat přímo
s kontejnery nebo šablonami, je dobré disponovat dostatečnými znalostmi o struktuře kon-
tejnerů a šablon a o informacích, které jsou v nich uloženy.
Použití kontejnerů zásad skupiny
Vytvoř íte-li objekt GPO, vytvoří pro něj služba Active Directory kontejner GPC. Tento
kontejner GPC je vytvořen jako kontejner s objektovou třídou groupPol i cyContai ner
Procházení logické struktury zásad skupiny
481
a je pojmenován pomocí globálně jednoznačného identifikátoru (GUID). Kontejner
GPC je pak uložen do kontejneru CN=Pol icies, CN=System v rámci aktuálně vybrané
domény. Služba Active Directory a související nástroje najdou konteiner podle jeho
rozšiřujícího nazvu DN (Distingui^hed Name). Jak si možná pamatujete z druhé kapi-
toly, rozšiřující název je přesná cesta k objektu v úložišti služby Active Directorv.
Pro lepší pochopení uvažujme následující příklad:
1.	Vytvoříte objekt GPO s názvem Sales Policy, který bude mít na starosti nastavení
zasad organizační jednotky Sales domény cpandl .com.
2.	Služba Active Directory vytvoří objekt kontejneru s identifikátorem GUID
{0BF0F7D6-0245-4133-BC78-B98AFFA21F48} a uloží jej do kontejneru CN=Pol icies,
CN=System v doméně cpandl. com.
3.	Rozšiřující název objektu GPO Sales Policy pak bude CN={0BF0F7D6-0245-4133-
BC78-B98AFBA21F48}, CN=Policies, CN=System, DC=Cpandl, DC=C0M a plná cesta
LDAP bude LDAP://CN= {0BF0F7D6-0245-4133-BC78-B98AFBA21F48}, CN=Policies,
CN=System, DOCpandl, DOCOM.
Objekty v úložišti mají také kanonický název, který se podobá spíše cestě. Kano-
nický název objektu Sales Policy GPO by byl:
cpandl.com/System/Policies/{0BF0F7D6-0245-4133-BC78-B98AFBA21F48I
Objekt kontejneru objektu GPO Sales Policy můžete číst a prohlížet různými způsoby,
ale nejvhodnéjším z nich je použiti pohledu Advanced (Upřesnit) nástroje Active Di-
rectory Users And Computers (Uživatelé a počítače služby Active Directory). Postu-
pujte následovně:
1.	Spusťte nástroj Active Directory Users And Computers. Klepněte na tlačítko Stan
a zvolte Programs (Programy) nebo All Programs, Admmistrative Tools, Active Di-
rectory Users And Computers (Všechny programy, Nástroje pro správu, Uživatelé
a počítače služby Active Directory).
2.	V nabídce View zkontrolujte, že je vybrána možnost Advanced Features (l přes-
nít zobrazenO- Jestliže není, vyberte ji.
3.	Poté co rozbalíte položku domény, rozbalte System a poté Policies (Zásady).
Jak je vidět na obrázku 13.1, každá adresářová položka ve složce System, Policies
reprezentuje určitý kontejner GPC. Název složky je identifikátor GUID odpovídají-
cího kontejneru. Jak je vidě' z adresářového vyjádřen: nástroje Active Directory
User And Computer, nachází se v každém kontejneru GPC vnořene kontejnery Ma-
chine a User, které reprezentuji sekce Computer Configuration (Konfigurace počíta-
če) a User Configuration (Konfigurace uživatele) objektu GPO. V závislosti na tom,
která oblast zásad objektu GPO je nakonfigurována, mohou se v kontejnerech Ma-
chine a User nacházet i další kontejnery. Těmto kontejnerům se budeme věnovat
později, až bude řeč o tom, jak se zpracovávají nastavení zásad skupiny.
Poznámka Každý kontejner GPC reprezentuje jeden objekt GPO a název identifikátoru GUID
kontejneru je shodný s identifikátorem GUID objektu GPO Kontejner GPC ma přirazen ná-
zev vycházející z identifikátoru GUID proto, aby byl objekt GPO v rámci služby Active Direc-
tory vždy jednoznačně pojmenován - a to  v případě, že dva objekty GPO mají stejný
„popisný název" (popisný název, který zadáváte při tvorbě objektu GPO). Jedinými výjim-
Úpravy
182
Kapitola 13 - Struktura a zpracování zásad skupiny
kami jsou objekty GPO Default Domain Policy (Výchozí zásady domény) a Default Domajn
Controllers Policy (Výchozí zásady dominového řadiče), které mají stejný identifikátor GUlD
bez ohledu na to, ve které doménové struktuře se nacházejí.
jUtm D<rv i®'r lhán r#mpu<«rt	. (Ť X
He Action Vtow Wtndow Hab © n X r x [3 -i a ff . v <3	-.slil
Aaive Oectory Users and .ompu
♦	_J Saved Qjenes
-	cpand.com
♦	. JBJUn
♦	___| Computers
♦	31 Customer Service
‘ v. Domjn Zontroter*
♦	í| Engr- “r 3
♦	I ForeignSeartyPnndpais
♦	| LostAndFcxnd
•	. JNTDSQuotas
’	1 Proyam Data
*	jS Saies
’ jálSwort
1 System
» _J AdróSDHoider
. _J ComPartfions
*	_J ComParttionSets
» J Drfadt Dorr >r Poky
? _J Dfs-Corflgirabon
*	21 Domari pdates
♦	Fk Repk Shon Serviet
» ,JFi L-*-,
» J PSecirtv
» _J Meeřngs
» _J McrosoftDNS
_j Pvfcjes
< J 406W7D6-0245-
« I I0C5F4FAF-8749-
. * 1 v
<	> A
{CBH)F7Dfr-0245-4133-8C78-OT8AfBA21F48j 2 objects
Kjrr>	| Type	| Descrpbon ~
_jMachtw	Container
_JiJser	< 'jortaner
OBRÁZEK 13.1: Prohlížení doménových kontejnerů se zásadami
Prohlíženi atributů objektů třídy
groupPohcyContainer
Chcete-li získal podrobnější informace o kontejnerech GPC, můžete je najít
v definici ti idy .samotného objektu groupPol i cyContai ner. Jedním ze způsobů pro-
hlížení atributu objektu je použití modulu snap-in Active Directory’ Schéma (Schéma
služby Active Directory) konzoly MMC (Microsoft Management Console). Když ten-
to modul snap-in spustíte, přímo se připojí k hlavnímu schématu aktuální doméno-
vé struktury služby Active Directory.
-------------------------------------------------------------------
Poznámka Modul snap-m Active Directory Schéma (Schéma služby Active Directory) není ale
implicitně k dispozici. Je potřeba nainstalovat nástroje Administration Tools (soubor
Adminpak.msi) z disku CD-ROM systému Microsoft Windows Server 2003. Jestliže pracujete
se serverem, můžete jednoduše poklepat na soubor Adminpak.msi nacházející se v adresáři
%SystemRootX\System32.
Pote, co nainstalujete nástroje Administrativě Tools (Nástroje pro správu), můžete
do své konzoly přidat modul snap-in Active Directory Schéma. Postupujte násle-
dov né:
1. Klepnete na tlačítko Start, zvolte položků Kun (Spustit), do pole Open (Otevřít)
zadejte příkaz mmc a poté klepněte na tlačítko OK
Procházení logické struktury zásad skupiny
483
2. Z nabídky Filé (Soubor) hlavního okna zvolte položku Add/Remove Snap-In
(Přidat nebo odebrat modul snap-in). Zvolte Add (Přidat) a zobrazí se dialogové
okno Add Standalone Snap-in (Přidat samostatný modul snap-in).
3. Klepněte na Active Directory Schéma (Schéma služby Active Directory) a poté
zvolte Add (Přidat). Modul snap-in Active Directory Schéma se přidá do seznamu
modulu snap-in dialogového okna Add/Remove Snap-In (Přidat nebo odebrat
modul snap-in). Klepněte na tlačítko Close (Zavřít) a pote klepněte na tlačítko OK.
Poté, co modul snap-in přidáte do konzoly, můžete začít prohlížet definici třídy ob-
jektu groupPolicyContainer. V nástroji Active Directory Schéma rozbalte uzel Ac-
tive Directory Schéma a poté rozbalte uzel Classes. Když označíte položku
groupPol i cy Container, zobrazí se v pravém podokně seznam atributů tohoto ob-
jektu. V tabulce 13.1 jsou uvedeny některé důležité atributy.
TABULKA 13.1: Klíčové atributy objektu groupPolicyContainer
Atribut	Popis
createTimeStamp	Obsahuje datum a čas, kdy byl objekt šablony GPC vytvořen.
di spiayName	Obsahuje popisný název objektu GPO, který jste určili během jeho vytváření.
Di sti ngui shedName	Obsahuje plný rozšiřující název objektu šablony GPC.
Flags	Obsahuje stav objektu GPO. Flags=0; objekt GPO je povolený. Flags=1; část User Configuration (Konfigurace uživatele) ob- jektu GPO je zablokovaná Flags=2; část Computer Configuration (Konfigurace počítače) objektu GPO je zablokovaná Flags=3; objekt GPO je zablokovaný
gPCFileSysPath	Obsahuje cestu SYSVOL k odpovídající šabloně objektu GPO.
gPCMachi neExtensionNames	Obsahuje seznam identifikátorů GUID odpovídajících počíta- čovým rozšířením klienta (CSE), která byla implementována v daném objektu GPO.
gPCUserExtensi onNames	Obsahuje seznam identifikátorů GUID odpovídajících uživatel- ským rozšířením klienta (CSE), která byla implementována v daném objektu GPO.		
versi onNumber	Obsahuje číslo aktuální verze pro část šablony GPC objektu GPO. Čísla verzí se používají ke sledování změn provedených v objektu GPO a k určení, zda jsou tyto změny v souladu mezi kontejnerem GPC a šablonou GPT.
Úpravy
Prohlížení zabezpečení
objektů třídy groupPolicyContainer
Stejně jako všechny ostatní objekty služby Active Directory, tak i objekty GPO ob-
sahují sadu oprávnění, která řídí, kdo bude mít práva na zpracování a provádění
úprav. Bezpečnostní nastavení objektu GPO můžete prohlížet stejně jako u ostat-
ních objektů služby Active Directory. Postup je následující:
184
Kapitola 13 - Struktura a zpracování zásad skupiny
1.	Spusťte nástroj Active Directory Users And Computers. Klepněte na tlačítko Sta
a zvolte Programs or All Programs, Administrativě Tools, Active Directory Users
And Computers.
2.	V nabídce View zkontrolujte, zda je vybraná volba Advanced Features. Jestliže
není, vyberte ji.
3.	Po rózbalení záznamu dómény, rozbalte ještě uzly System a poté Policies.
4.	Klepněte pravým tlačítkem na objekt GPO, který reprezentuje óbjek GPQ
s nímž chcete pracovat, a poté zvolte Properties.
5.	V dialogovém okné Properties přejděte na kartu Security (viz Obrázek 13.2).
OBRÁZEK 13.2: Prohlížení nastavení zabezpečení objektu GPO
Prohlíženi nastavení zabezpečení objektu GPO v nástroji Active Directory Users And
Computers (Uživatelé a počítače služby Active Directory) se podobá prohlížení po-
kročilých nastaveni zabezpečení v kartě Delegation kontejneru GPMC - nastavení jsou
shodná. Karta Delegation nabízí zredukovaný náhled na bezpečnostní nastavení.
Konzola GPMC rozlišuje mezi správou a delegováním objektu GPO a bezpečnostním
filtrováním v objektu GPO, ale nástroj Active Directory Users And Computers nikoliv.
Tím pádem je v nástroji Active Directory’ Users And Computehs k dispozici mírně od-
lišný pohled na bezpečnostn. nastavení objektu GPO.
Tabulka 13-2 obsahuje oprávnění přiřazená jednotlivým úlohám delegování
a bezpečnostního filtrování. Delegování určuje, kdo bude moci v objektu GPO číst,
upravovat a mazat zabezpečení Bezpečnostní filtrování určuje který uživatel nebo
počítač múze objekt GPO zpracovat.
► Upozornění Bezpečnostní nastavení byste neměli pomocí nástroje Active Directory Users
And Computers (Uživatelé a počítače služby Active Directory) měnit. Jestliže to uděláte, ne-
změníte celou sadu oprávnění objektu GPO, ale upravíte pouze oprávnění odpovídajícího
kontejneru GPC. Pamatujte si, že všechny objekty GPO mají logické a fyzické vyjádření, proto
když upravíte oprávnění na kontejneru GPC, nezmění se oprávnění šablony GPT. Pro správné
upravování zabezpečení objektů GPO vždy používejte konzolu GPMC, nástroj Group Policy
Object Editor (Editor objektů zásady skupiny) nebo rozhraní konzoly GPMC pro skriptování.
Procházení logické struktury zásad skupiny
485
TABULKA 13,2: Oprávnění služby Active Directory v kontejnerech GPC
Úloha konzoly GPMC	Odpovídaná' oprávnění kontejneru GPC
Delegation: Read	Allow: List Contents
Allow: Read All Properties
Allow: Read Permissions
Delegation: Edit Settings	Stejná jako u úlohy Read plus:
Allow: Write All Properties
Allow: Create All Child Objects
Allow: Delete All Child Objects
Delegation: Edit Settings;	Stejná jako u úlohy Edit Settings plus:
Delete, Modify Security	Allow: Delete
Allow: Modify Permissions
Allow Modify Owner
Prohlfrenr oprávnění pro tvorbu objektů GPO
Kromě opravném na samotném objektu GPO můžete delegací také určovat, kdo bude
moci v doméně vytvářet objekty GPO. Toto delegov ani můžete provádět v kartě Dele-
gat.on konzoly GPMC, když označíte kontejner Group Policy Objects (viz 2. kapitola).
Za delegováním prav na vytváření objektu GPO stoji sada oprávnění služby Active
Directory. Tato oprávnění slouží spise k vytvářen nových ol?jektú GPO než
k delegovaní exilujících objektů, proto se oprávněni nastavují na kontejneru Poli-
cies (CN=Po 1 icies, CN=System). Toto vychází ze skutečnosti, že kontejner Policies je
rodičovským kontejnerem všech kontejneru GPC vytvořených v doméně.
Oprávnění, které je na kontejneru Policies k dispozici je Allow: Create groupPo-
Iky Container Objects. Jestliže toto oprávnění poskytnete nějaké skupině uživateli,
tato skupina/uživatel bude moci vytvářet v daném kontejneru nové objekty GPC
a tím pádem také vytvářet v ci1o\ é doméně nové objekty GPO.
Bezpečnostní oprávnění kontejneru Policy (Zásady) můžete prohlížet takto:
1.	Spusťte nástroj Active Directory Users And Computers (l živatelé a počítače
služby Active Directory). Klepněte na tlačítko Start a zvolte Programs - All Pro-
gfams, Administrativě Tools, Active Directory Users And Computers (Všechny
programy, Nástroje pro správu, Uživatelé a počítače služby Active Directory7'.
2.	V nabídce View (Zobrazit) zkontrolujte, zda je vybraná volba Advanced Features
(Upřesnit zobrazení). Jestliže není, vyberte ji.
3.	Po rozbalení záznamu domény rozbalte uzel System. Klepnete pravým tlačítkem
na položku Policies (Zásady) a zvolte Properties (Mastnosti).
i.	V dialogovém okně Properties (Vlastnosti) přejděte na kartu Security (Zabezpe-
čení) a pote klepnete na tlačítko Advanced (Upřesnit).
5.	Vyberte uzivatule/skupinu. jenž oprávnění chcete vidět, a pote klepnete na tla-
čítko Edit (Upravit).
6.	V případe, že vybraný ůživatel/skupina ma oprávnění Create groupPolicy-
Container Objects, pak tento uživatel skupina muže vy tvářel v7 doméně objekty
GPO. Samozřejmé platí určitá omezení a pravidla, která se vztahují na rozsah
platnosti těchto práv.
Úpravy
— ._. I
486 Kapitola 13 - Struktura a zpracování zásad skupiny
And Computers. Pro úpravy zabezpečení objektu GPO vždy používejte konzolu GPMc,
stroj Group Policy Object Editor nebo skriptovací rozhraní konzoly GPMC.
Prohlížení a nastavování výchozího zabezpečení
nových objektu GPO
V rámci diskuse o zabezpečení objektů GPC bychom se měli zmínit také o tom, jak
nastavit výchozí zabezpečení objektu GPO. Když na operačním systému Microsoft
Windows Server 2003 vytvoříte pomocí konzoly GPMC nový objekt GPO, vytvoří se
v kontejneru Policies nový kontejner GPC s výchozími oprávněními. Tato výchozí
oprávnění zahrnují následující objekty ACE (Access Control Entry):
	Authenticated Users Čtení a aplikace zásad skupiny
	Domain Admins Úpravy nastavení, mazání a upravovaní na stavení zabezpečení
	Enterprise Admins Úpravy nastavení, mazání a upravování nastavení zabez-
pečení
	Enterprise Domain Controllers Čtení
	System Úpravy nastavení, mazání a upravovaní nastavení zabezpečení
	Group Policy Creator Owner Úpravy nastavení, mazání a upravování nasta-
vení zabezpečeni
Tento seznam je řízen atributem defaul tSecurityDescriptor instance objektu třídy
schémat groupPolicyContainer vaší domény služby Active Directory. Tento atribut
můžete měnit za účelem zahrnutí dalších objektu zabezpečení, aby při tvorbě no-
vého objektu GPO měly tyto objekty na daném objektu GPO oprávnění. Atribut
defaultSecurityDescriptor objektu groupPolicyContainer má podobu řetězce
SDDL CSucurity Descriptor Definition Language). Další informace o tvorbě řetězců
SDDL najdete v 15. kapitole.
Nyní si ukážeme postup prohlížení a úpravy atributu defaul tSecuri tyDescri ptor tří-
dy groupPol i cyContai ner pro účely přidávání nové skupiny do výchozích nastavení
zabezpečení nově vytvářených objektů GPO. Naše ukázka obsahuje doménovou bez-
pečnostní skupinu s názvem GPO Admins obsahující správce, kteří v doméně potře-
bují upravovat nově vytvořené objekty GPO. V tomto případě chceme zajistit, že tato
skupina bude1 mít pro nové objekty GPO vždy odpovídající oprávnění. Chcete li při'
dat bezpečnostní skupinu do výchozích nastavení zabezpečení nově vytvářených
objektů GPO, pouznte modul snap-in ADSI Edit konzoly MMC.
Poznámka Modul snap-in ADSI Edit není součástí výchozí instalace, ale je součástí balíčku
Windows Server 2003 Support Tools. Poté co sadu Support Tools nainstalujete, můžete mo-
dul ADSI Edit používat stejné jako jakýkoliv jiný modul snap-in.
Prohlížení atributu defaultSecuntyDescriptor
Modul ADSI Edit můžete použil k prohlížení atributu defaul tSecuri tyDescri pt°r
třídy groupPolicyContainer následujícím způsobem:
Procházení logické struktury zásad skupiny
487
1.	Klepněte na tlačítko Start, zvolte příkaz Run (Spustit), do pole Open (Otevřít)
zadejte adsiedit.msc a poté klepněte na tlačítko OK.
Poznámka Pro vaši přihlašovací doménu byste měli být automaticky připojeni k názvovým
kontextům Domain, Configuration a Schéma. Jestliže s touto doménou nechcete pracovat,
klepněte pravým tlačítkem na ADSI Edit a poté zvolte příkaz Connect To, který vám umožní
připojit se do jiné domény.
2.	Poklepejte na uzel Schéma a poté poklepejte na položku CN=Scherna, CN=
Configuration. Získáte tak přístup ke schématu názvového kontextu domény.
3.	V pravém podokně najděte třídu CN=Group-Pol icy-Container a poklepejte na ni.
Zobrazí se její vlastnosti (viz Obrázek 13-3).
4.	V dialogovém okně CN=Group-Pol icy-Container Properties se posuňte dolů
k atributu defaul tSecuri tyDescriptor a poklepejte na něj. Zobrazí se jeho ak-
tuální obsah.
Úpravy
zásad
OBRÁZEK 13.3: Prohlížení obsahu atributu defaultSecurityDescriptor modulu ADSI Edit
Hodnota atributu defaultSecurityDescriptor bude vypadat zhruba následovně:
D:P( A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;:DA )(
A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;EA )
( A;CI;RPWPCCDCLCLOLORCWOWDSDDTSWCO )(
A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;;SY )
( A;CI;RPLCLORC;;;AU )( A;CI;LCRPLORC;;;ED )
Jednotlivé řetězce SDDL uložené v atributu defaultSecurityDescriptor jsou vyme-
zené závorkami (). To znamená, že výše uvedená hodnota obsahuje následující ře-
tězce SDDL:
( A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;DA )
( A;CI:RPWPCCDCLCLOLORCWOWDSDDTSW;;;EA )
( A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;C0 )
( A;CI:RPWPCCDCLCLORCWOWDSDDTSW;;;SY )
( A;CI;RPLCLORC;;;AU )
( A;CI;LCRPLORC;;;ED )
488
Kapitola 13 - Struktura a zpracování zásad skupiny
Jednotlivé SDDL řetězce slouží k přiřazení bezpečnostních oprávnění odpovídajíc^
skupinám. Nastavení pro drive zmiňované bezpečnostní skupiny jsou:
	Authenticated Users (A;CI; RPLCLORC;;;All)
	Domain Admins (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;; ;DA)
	Enterprise Admins (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;; ;EA)
	Enterprise Domain Controllers (A;CI;LCRPLORC;;; ED)
	System CA; CI; RPWPCCDCLCLORCWOWDSDDTSW;;; SY)
	Group Policy Creator Owner (A;CI; RPWPCCDCLCLOLORCWOWDSDDTSW ;;;C0)
Upravování atributu defaultSecurityDescriptor
Chcete-li do výchozích nastavení zabezpečení nově vytvářených objektů GPO při-
dat novou skupinu, přidejte do atributu defaultSecurityDescriptor řetězec SDDL
pro tuto skupinu. Nejjednodušším způsobem jak to učinit, je umístit ukazatel myši
na konec existující sady řetězců a přidat iej odtud.
Jestliže chcete dát skupině s názvem GPO Admins pro nově vytvářené objekty GPO
stejná práva jako má automaticky skupina Domain Admins, můžete použít řetězec
SDDL pro skupinu Domain Admins jako šablonu a upravit jej pro skupinu GPO
Admins. Řetězec pro skupinu Domain Admins vypadá přibližně takto:
( A;CI:RPWPCCDCLCLOLORCWOWDSDDTSW;;;DA )
Tento řetězec způsobí, že skupina Domain Admins bude mít pro všechny nově vytvo-
řené objekty GPO bezpečnostní oprávnění Edit Settings, Delete a Modify. Chcete-li
stejnou sadu oprávnění poskytnout i skupině GPO Admins, přidejte tento řetězec
SDDL na konec atributu defaultSecurityDescriptor a DA změňte na SID objektu
skupiny GPO Admins. Jestliže je SID dané skupiny například S-l-5- 21 -817735531 -
42691604031409475253-1123, bude nový řetězec SDDL vypadat následovně:
( A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;S-l-5-21-817735531 4269160403-
1409475253-1123 )
Poté co tento nový řetězec SDDL připojíte na konec atributu defaultSecurity-
Descriptor, klepněte v dialogovém okně String Attribule Editor na tlačítko OK a změ-
na se provede. Nově vytvořené objekty GPO již budou mít přiřazen nový objekt ACE
GPO Admins. Toto si můžete ověřit vytvořením zkušebního objektu GPO s kontrolou
zabezpečení na kartě GPO’s Delegation konzoly GPMC (viz obrázek 13.4).
j\> Upozorněni Při upravování atributu defaultSecurityDescriptor buďte raději opatrní.
ty, Odstranění nebo změna existujících řetězců SDDL může způsobit použití nesprávného za-
bezpečení pro nově vytvářené objekty GPO.
Tip Poté co v atributu defaultSecurityDescriptor provedete změnu, nemusí u nově vy-
tvářených objektů GPO dojít k její okamžité aplikaci. Předání změny do schématu můžete
ověřit tak, že spustíte modul snap-in Active Directory Schéma (Schéma služby Active Directo-
ry) MMC, klepnete pravým tlačítkem na uzel Active Directory Schéma a zvolíte příkaz Reload
The Schéma (Znovu načíst schéma). Změna se pak musí ještě zreplikovat do ostatních domé-
nových řadičů.
Procházení fyzické struktury zásad skupiny
489
OBRÁZEK 13.4: Prohlížení nově vytvořeného objektu CPO s upraveným atributem
defaultSecurityDescnptor
13.2 Procházení fyzické struktury
zásad skupiny
Fyzicky jsou objekty GPO reprezentovány na disku uloženými soubory šablon. Ty-
to soubory šablon obsahují infonnace o tisícovkách nastavení zásad a o jejich stavu.
Každý objekt GPO má svou hlavní složku šablon. Tato složka šablon se fyzicky na-
chází na doménových řadičích ve složce %SystemRoot%\SYSVOL a označuje se jako
GPT (Group Policy Template).
/|\ Upozornění Pamatujte si, že s kontejnery GPC a šablonami GPT není nikdy potřeba pracovat
 přímo. Spíše naopak, budete-li se snažit objekty GPC a GPT měnit přímo, snadno si způsobíte
problémy s objektem GPO. Preferovaným rozhraním pro správu zásad skupiny ;e konzola
GPMC a nástroj Group Policy Object Editor (Editor objektu zásady skupiny). Ve výjimečných
případech, kdy potřebujete kontejnery GPC a šablony GPT přímo prohlížet (při řešení pro-
blémů), je žádoucí rozumět jejich struktuře a vědět jaké informace jsou v nich uložené.
Úpravy
zásad
Práce se šablonami zásad skupiny
Když je vytvořen nový objekt GPO, vytvoří pro něj služba Active Directory také šablo-
nu GPT. Tato šablona GPT má podobu složky a je pojmenována pomocí identifikáto-
ru objektu GPO. Tento identifikátor GUID je shodný s identifikátorem Gl ID
používaným k pojmenování kontejneru GPC. Ve složce GPT je sada souboru a pod-
složek, které obsahují aktuální nastavení zásad objektu GPO.
Poznámka Pro nové objekty GPO jsou šablony GPT uloženy na aktuálním doménovém řadiči (to-
to je implicitně emulátor primárního řadiče domény) ve složce XSystemRoot%\SvSVOL a později
jsou Službou replikace souborů (Filé Replication Service - FRS) replikovány na všechny do-
ménové řadiče. Složka ^SystemRoot%\SYSVOL\ SYSVOL je sdílená pod názvem SYSVOL.
Pro lepší pochopení použijeme znovu příklad z předchozího oddílu:
Kapitola 13 - Struktura a zpracování zásad skupiny
1.	Vytvoříte objekt GPO s názvem Sales Policy, který v doméně cpandl .com pone
se nastavení zásad organizační jednotky Sales.
2.	Služba Active Directory vytvoří objekt kontejneru GPC (Group Policy Container
s identifikátorem GUID {0BF0F7D6-0245-4133-BC78-B98AFBA21F48}} a uloží jej
do kontejneru CN=Policies, CN=System v doméně cpandl .com.
3.	Služba Active Directory ve složce XSystemRoot%\SYSVOL také vytvoří hlavní sou-
bor šablon se stejným identifikátorem GUID.
Plna lokání souborová cesta k šabloně GPT je %SystemRoot^\SYSVOL\domai n\Pol i-
cies\{0BF0F7D6-0245-4133-BC78-B98AFBA21F48}. Co se týče sdílené složky SYSVOL
cesta k šabloně GPT je SYSVOL\CPANDL.C0M\Pol ici es\{OBF0F7D6-0245 - 4133-BC78-
B98AFBA21F48}.
Poznámka Pro každou šablonu GPT se vždy vytvoří dvě kopie. Jedna je uložena ve složce
XSystemRootX\SYSVOL\domain\Pol i cies\GP0GUID a druhá se nachází ve sdílené složce
SYSVOL na cestě SYSVOL\Domai nName\Pol icies\GP0GUID.
Šablonu GPT můžete prohlížet prostřednictvím nástroje Windows Explorer (Prů-
zkumník Windows). Jednoduše přejděte do místní složky nebo sdílené složky
SYSVOL doménového řadiče (viz Obrázek 13.5).
V každé šabloně GPT najdete podadresáře Adm, Machine, User a takc soubor
s názvem Gpt. i ni. Tyto prostředky se používají následujícím způsobem:
 Adm Obsahuje soubory .adm Šablon pro správu, ktere daný objekt GPO použí-
vá. Soubory s příponou .adm se při prvním otevření objektu GPO pro úpravy
zkop-rují nástrojem Group Policy Object Editor (Editor objektů zásady skupiny)
do šablony GPT. Kromě samotných souborů .adm se v této složce nachází sou-
bor s názvem Admfiles.ini, který obsahuje informace o tom, které soubory
. adm se používají v daném objektu GPO a čísla jejich verzí.
Poznámka Šablony pro správu jsou implicitně zkopírovány ze složky XSystemRootíH i nf na
počítač, sjehož pomocí byly zásady vytvořeny. Poté se soubory .adm načítají zdaného ob-
jektu GPO do nástroje Group Policy Object Editor (Editor objektů zásady skupiny). Toto vám
umožňuje během úprav objektu GPO používat stejnou verzi souborů .adm, které byly použi-
ty k vytvoření objektu GPO. Uvedené chování můžete změnit zapnutím zásad Always Use Local
ADM Files For Group Policy Object Editor (Vždy použít místní soubory ADM pro Editor objektů
zásady skupiny) nacházejících se ve složce Computer ConfJqurations\Admi ni strati ve
Templates\System\GroupPolicy ( Konfigurace počítačeXŠablony pro správu\Systém\
Zásady skupiny). Jestliže toto nastavení zapnete, bude nástroj Group Policy Object Editor
při úpravách objektů GPO vždy používat lokální soubory .adm umístěné ve vaší složce
í£SystemRootX\inf. Toto chovaní je užitečné ve vícejazyčných prostředích, kde může být
žádoucí provádění úprav v jazyce lokálního systému. Nezapomínejte ale, že když nejsou po-
žadované šablony pro správu dostupné lokálně, nemusíte vidět všechna nastavení, která by-
la v pravě upravovaném objektu GPO nakonfigurována.
Procházení fyzické struktury zásad skupiny
491
t» I. Am<O3W^5Y5VU don. . h Pokde»\{arir0F7D6 0245-4133-BCr I 4MH*A31F4a}
E*“ E# tfew Ffvortes Jods beto
^Bacfc ’	' 1 j /^Search JqFoMari | A> zX *9 | Q~
Aídress | J C:\WINCOWS\SYSva\domain\PoldesUOeFOF7D6-0245-4133-BC78-e98AFBA21F48h
Fobětí
i_) 5Y5VOL
B Lj
B Potoes
x
245-413
1F4«
* . •> {0C5F4FAF-8749-4EDC 98C9-9B729065D04F
♦ ,, j {3CB6681O-864B-4C95-BA2C 2F799E772286) ,
♦	* {6AC1796C-016F 1102-94 5F-OOCO4Í6904F9)
♦ , ) 49C06AE4A-D033-4004 AC83-1838379EEA2F
*	v*<l<4Afr~626F 4C4C-98AE-C75B779O21BF
* _J {24€C762A<B0F-4076 B9CA-2D2C9C89266Í
_J 496F4AE3B-8265-4E22-99CB-33O662EE69CF)
_j {1835C8AC 3E93 433B-9938-OCDEF8EBA2FE
Q {E1C76DCE-F5D5-4811-8FAD-2!M1AADA7A£J
, 1 {E8E47CF6-6643-45C8-9E13-0A392'0A3E86
* J rtaging areas
B sysvoi
S _j cpand com
B uJFokies
& U) Í06FOF7D6-02-,: 4.33-BC78-8%AFBA21l ।
3 UJ {0C5F4FAF-8749-4EDC-96C9-*3’29O65C
I J {3CB66B10-864B-4C95-BA2C 2F799E77Í.
• j {6AC1786C-016F-11D2-94SF-00C MÍKO-tJ


OBRÁZEK 13.5: Prohlíženi složek šablon zasad v doméně
 Machine Obsahuje nastavení zásad Computer Configuration (Konfigurace počí-
tače) pro daný objekt GPO a související informace, včetně ní stavení Security
Settings sekce Computer Configuration. počítačových skriptu a softwaru zavá-
děného pro jednotlivé počítače.
Úpravy
zásad
 User Obsahuje nastavení zásad User Configuration (Konfigurace uživatele) pro
daný objekt GPO a související informace o konfiguraci, včetně nastaveni Security
Settings sekce User Configuration, uživatelských skriptů a softwaru zavaděného
pro lednotlivé uživatele. Jsou zde také data přesměrování složek a správy aplikace
Microsoft Internet Explorer (v případě, ze tato nastaven' byla nakonfigurována).
 Gpt.ini Obsahuje informace související s číslem verze šablony GPT a zobrazo-
vaným názvem souvisejícího objektu GPO.
Obsahu složek Adm, Machine a User se budeme podrobněji věnovat v oddíle „Se-
známeni se zpracováním serverových rozšíření“, ale soubor Gpt.ini si zaslouží tro-
chu pozornosti již teď. Typicky soubor Gpt.ini obsahuje následující informace:
[ General ]
Version=0
displayName-Sales Policy
Položka di spi ayName a její hodnota určuje zobrazovaný název objektu GPO. Položka
Versi on se vztahuje k poctu změn, které byly v objektu GPO prováděny - hodnota té-
to položky je shodná s atributem versionNumber, který se nachází v odpovídajícím
kontejneru GPC. Verze 0 znamená, že jde o nový objekt GPO a že v něm zatím nedo-
šlo k žádným změnám zásad. S l>m jak přibývá počet zrnem, zvyšuje se tato hodnota.
492
Kapitola 13 - Struktura a zpracováni zásad skupiny
Základy verzování zásad skupiny
Verzoxám není žádná exaktní věda. Číslo verze v kontejneru GPC a šabloně GPT
může lišit. K tomu může dojít z několika důvodů. Změny se například mohou Zazna
menat pouze v kontejneru GPC, ale nezapíší se na disk do šablony GPT (např. kdy£
k replikaci kontejneru GPC již došlo, ale šablona GPT replikovaná ještě není). QpJ
rační systémy Microsoft Windows 2000, Microsoft Windows Server 2003 a Micron
Windows XP Professional přistupují k rozdílům ve verzích různými způsoby:
	Co se tyče systému Microsoft Windows 2000, je-li na určitém doménovém řadiči
rozdíl mezi číslem verze šablony GP1 a kontejneru GPC, nebudou moci žádní
uživatelé ani počaače přistupující k danému objektu GPO na daném doméno-
vém řadiči zpracovat tento objekt GPO, dokud nebudou verze shodné. Takto se
zamčí identická replikace všech změn mezi částmi AD a SYSVOL objektu GPO.
	V systémech Microsoft Windows Server 2003 a Microsoft Window s XP Professi-
onal není synchronizace verzí nutnou podmínkou pro správné zpracování zásad
skupiny- Jestliže se čísla verzí šablony GPT a kontejneru GPC na daném domé-
novém řadiči liší, daný objekt GPO se (pokud možno) zpracuje. Jestliže to mož-
né není, zpracuje se během následujícího procesního cyklu.
Číslo verze objektu GPO se zvyšuje odlišně pro změny týkající se počítače než pro
změny týkající se uživatele:
	Obvykle je po každé změně v sekci Computer Configuration (Konfigurace počíta-
če) číslo verze navýšeno o 1. Jestliže v nastrojí Group Policy Object Editor (Editor
objektu zásady skupiny) například zapnete troje zásady šablon pro správ u, pak se
po jejich uplatnění zvětší čísla verze kontejneru GPC a šablony GPT o 3-
	Pro každou změnu v sekci User Configuration (Keinfigurace uživa tele) se zvětší čís-
lo verze o 65536. To znamená, že když v objektu GPO změníme troje uživatelská
nastaveni zásad šablon pro správná, číslo verze se zvětší o 196608 (65536 x 3).
M Poznámka Navýšení čísla verze ma vyjadřovat všechny požadované inkrementální změny.
Vzhledem k tomu, že někten změny v sekci Computer Configuration (Konfigurace počítače)
je třeba zapsat více než jednou, může změna v souvisejících nastaveních zasad vyústit
v navýšení Čísla verze o 2 nebo více. Některé změny mohou také vyžadovat zapnutí a konfi-
gurace souvisejících zásad (např. Account Policies). V takovém případě by došlo k odpovída-
jícímu zvýšení čísla verze.
Pomocí logického porovnání XOR aktuálního čísla verze může systém W indows ur-
čit přesný počet revizí provedených v sekcích User Configuration (Konfigurace uži-
vatele) a Computer Configuration (Konfigurace počítače). Tyto informace o verzi si
můžete prohlednout následujícím způsobem:
1. V konzole GPMC rozbalte doménovou strukturu, s níž chcete pracovat, rozbalte
odpovídající uzel Domains a poté rozbalte odpovídající uzel Group Policy Objects.
2. Vyberte objekt GPO, pro který chcete zjistit infonnace o verzi, a v pra\ ém
podokně přejděte na kartu Details.
Jak je vidět na Obrázku 13-6, políčka User Version a Computer Version obsahuji
podrobnosti o provedených změnách. Revize služby Active Directory (označené
Procházení fyzické struktury zásad skupiny 493
zkratkou AD) jsou rev ize provedené v rámci kontejneru GPC. Revize SYSVOL
(označené jako sysvol) jsou revize provedené v rámci šablony GPT.
u
OBRÁZEK 13.6: Zjišťovaní počtu revizí provedených v rámci objektu CPO
Pokaždé když změníte nějaký objekt GPO, provedou se odpovídající změny do
kontejneru GPC a šablony GPT. Pro šablonu GPT to znamená, že číslo verze
v souboru Gpt. i ni se zvýší a klientské soubory rozšíření CSE sc odpovídajícím
způsobem zaktualizují. Ve standardní konfiguraci s doménovými řadiči používající-
mi operační systém Microsoft Windows Server 2003 SP 1 je třivteřinové /poždění
před tím, než Služba replikace souborů provede replikaci změn do šablony GPT.
Replikují se pouze upravené soubory. Na síti LAN to znamená, že když v objektu
GPO uděláte několik po sobě jdoucích změn, zreplikuje Služba replikace souborů
zrněny v šabloně GPT v tnvteřinových •ntervalech. Proces replikace pracoviště na
síti WAN tyto změny konsoliduje, aby byly replikovány podle nastaveného repli-
kačního intervalu. Pamatujte si, že replikačni interval muže být ovlivněn nebo pro-
dloužen konfigurací Služby replikace souboru a dalšími faktory. Nějaký nový
opravný balíček muže napnklad změnit způsob replikace Službou replikace soubo-
ru a také interval, v němž jsou prováděny dav kove aktualizace.
Zabezpečení šablon zásad skupiny
Z bezpečnostního hlediska by se oprávněni systémů NTTS na šabloně GPT určitého
objektu GPO měla podobat oprávněním služby Active Directory souvisejícího kon-
tejneru GPC. Neboť opiavnění vztahující se na objekty služby Active Directory se li-
ší od opravném, která se vztahuji na objekty souborového systému NTTS. Navíc
mezi těmito dvěma skupinami objektů ani neexistuje vztah jedna ku jedné. 1 á bulka
13-3 obsahuje přehled vztahu mezi oprávněními objektů GPO služby Active Direc-
tory a oprávněními na šablonách GPT v NTFS.

494
Kapitola 13 - Struktura a zpracování zásad skupiny
TABULKA 13.3: Vztah mezi oprávněními objektů GPO a oprávněními šablon gpy
Oprávnění na objektu GPO Odpovídající oprávnění na šabloně GPT
Read	Jestliže má nějaká skupina na objektu GPO oprávnění Read ^u
de na složce šablony GPT objekt ACE dané skupiny, který p/0
to složku a její obsah zajistí oprávnění Read a Execute.
Jestliže má nějaka skupina na objektu GPO oprávnění Edit Set-
tings, bude na složce šablony GPT objekt ACE dané skupiny, kte-
rý pro tuto složku a její obsah zajistí oprávnění Read a Write.
Edit Settings
Edit Settings, Delete,
Modify Security
Jestliže má nějaká skupina na objektu GPO oprávnění Edit Set-
tings, Delete, Modify Security, bude na složce šablony GPT ob-
jekt ACE dané skupiny, který pro tuto složku a její obsah zajistí
oprávnění Full Control.
13.3 Procházení struktury propojení
zásad skupiny
Tvorba nového objektu GPO a jeho připojení k pracovišti, doméně nebo organizační
jednotce služby Active Directory jsou dva samostatné procesy. Když se v konzole
GPMC rozhodnete vytvořit pomocí možnosti Create And Link A GPO Here nový ob-
jekt GPO, vznikne nový objekt GPO (včetně částí GPC a GPT) a objekt GPO se pří-
pon' k právě vybranému kontejneru. Stejně jako u kontejneru GPC a šablon GPT.
tak i při vytváření připojení objektu GPO se „pod povrchem“ děje mnoho věcí.
Prohlížení propojen11 zásad skupiny
Stejné jako má každý objekt GPO svůj kontejner GPC, tak i pracoviště, domény
a organizační jednotky jsou reprezentovaný určitým typem kontejneru. Když objekt
GPO připojíte k pracovišti, yloméně nebo organizační jednotce, vloží se do atributu
gPLink daného kontejneru odkaz na připojeni. Odkaz na připojení obsahuje plnou
cestu LDAP části GPC objektu GPO a také stavový příznak. Zde je příklad:
LDAP://cn={E6AD4E44-5D5D-4ZE1-A49F-
FF50F03249E9}, cn=policies, cn=system, DC=cpandl, DC=com;0
Jestliže je k určitému kontejneru připojen více než jeden objekt GPO. pak atribut
gPLink obsahuje seznam odkazů jednotlivých objektu GPO rozčleněný pomocí hrana-
tých závorek [ ], Každý rozšiřující název LDAP má svůj vlastni stavový příznak:
[ LDAP://cn={E6AD4E44-5D5D-42E1-A49F-FF50F03249E9}, cn=policies, cn=system,
DC=cpandl, DC=com;0 ][ LDAP://cn={E8E47CF6-8643-45C8-9E13-0A392C0A3E8B},
cn=policies, cn=system, DC=cpandl, DC=com;0 ][ LDAP://cn= {F9D36F52.-E28D-
4D54 87LB-9DFFBE9EAB73}, cn=policies, cn=system, DC=cpandl, DC=com;0 ]
Jak vidíte, k tomuto kontejneru jsou připojeny tli objekty GPO. Všechny rozšiřující
názvy odkazují na kontejner GPC odpovídajícího objektu GPO a v každém odkazu
jt na konci středníkem oddělený číselný příznak. Příznak vyjadřuje aktuální stav
připojení a v závislosti na zvolených vlastnostech připojení může nabývat různých
hodnot. Stavy připojení jsou řízeny správcem z konzoly GPMC na kartě Scope
(Rozsah) objektu GPO (viz Obrázek 13-7).
Z	_______í
Procházení struktury propojení zásad skupiny
495
OBRÁZEK 13.7: Prohlíženi stavu připojení objektu CPO v konzole GPMC
Příznak atributu gpLi nk odráží stav udávající, zda je připojení povolené a vynucované
(viz 3. kapitola). Zda je připojení vynucované a povolené určuje hodnota příznaku,
která se nachází v seznamu atributu gPLink. Hodnoty, kterých muže tento příznak
nabývat, jsou uvedeny v Tabulce 13-4.
Úpravy
zásad
TABULKA 13.4: Seznam hodnot příznaku gPLink
Hodnota příznaku	Povoleno?	Vynucováno?
0	Ano	Ne
1	Ne	Ne
2	Ano	Ano
3	Ne	Ano
Poznámka Když nějaké připojení zablokujete, bude se hodnota nastavení vynucování igno-
rovat až do té doby, než bude připojení znovu povoleno. Zablokování připojení na aktivním
objektu GPO může mít stejný dopad jako přesun počítačů či uživatelů z daného objektu GPO
do jiné oblasti správy. To znamená, že když je připojení zablokované, objekt GPO se již ne-
vztahuje na počítače a uživatele, kteří jej zpracovávali a nastavení uplatněná tímto objek-
tem GPO budou zrušena (bude-li to možné). Další podrobnosti najdete ve 3. kapitole.
Důležité je také pořadí, v němž jsou připojení uvedená, neboť odráží umístění ve
skupině připojení. Níže umístěné objekty zásad jsou zpracovány dříve než výše
umístěné objekty zásad. V atributu gPLink jsou připojení s nižší prioritou na začátku
seznamu rozšiřujících nazvu a připojení s vyšší prioritou se nacházejí na konci to-
hoto seznamu. Pořadí připojeni z přecházející ukázky je následující:
Link Order 3: [ LDAP://cn={E6AD4E44-5D5D-42E1-A49F-FF50F03249E9},
cn=policies,
cn=system, DC=cpandl, DC=com;0 ]
496 Kapitola 13 - Struktura a zpracování zásad skupiny
Link Order 2: [ LDAP://cn={E8E47CF6-8643-45C8-9E13-0A392C0A3E8B}.
cn=policies,
cn=system, DC=cpandl, DC=com;0 ]
Link Order 1: [ LDAP://cn={F9D36F52-E28D-4D54-87DB-9DFFBE9EAB73},
cn=policies,
cn=system, DC=cpandl, DC=com;0 ]
V tomto případě se nejdříve zpracuje objekt GPO prvního připojeni (Link Order 3)
které má nejnižší pořadí a nejnižší prioritu. Následně se zpracuje objekt GPO dru-
hého odkazu (Link Order 2). Objekt GPO třetího připojení (Link Order 1) se zpra-
cuje nakonec. Toto připojení má nejvyšší poradí a nejvyšší prioritu.
Atribut gPLink
Atribut gPLink byste neměli upravovat přímo. Ke změně stavu připojení objektu
GPO byste vždy měli používat konzolu GPMC. K prohlížení atributu gPLink kontej-
neru domény nebo organizační jednotky můžete používat nástroj ADSI Edit. Postup
je následující:
1. Klepněte na tlačítko Start, zvolte položku Run (Spustit), do okna Open (Otevřít)
zadejte adsiedit.msc a poté klepněte na tlačítko OK.
Poznámka Pro vaši přihlašovací doménu byste měli být automaticky připojeni k názvovým
kontextům Domain, Configuration a Schéma. Jestliže s touto doménou nechcete pracovat,
klepněte pravým tlačítkem na ADSI Edit a poté zvolte příkaz Connect To, který vám umožní
připojit se do jiné domény.
2. Poklepejte na názvový kontext Domain a poté poklepejte na uzel domény, se
kterou chcete pracovat (např. DC=Cpandl, DC=Com).
3. Klepněte pravým tlačítkem na kontejner domény nebo organizační jednotky, se
kterou chcete* 1 2 3 pracovat a zvolte Properties.
4. V dialogovém okně Properties nalistujte atribut gPLink a poklepejte na něj. Ob-
jeví se jeho obsah.
Objekty pracovišt nejsou v doménovém názvovém kontextu Domain uložené. Na-
cházejí se v názvovém kontextu Configuration doménové struktury. Chcete-li tedy
prohlížet objekty pracovišť a jejich atributy gPLink, musíte se připojit k názvovému
kontextu Configuration. Postup je následující:
1. V nástroji ADSI Edit poklepejte na názvový kontext Configuration a poté poklepej-
te na konfigurační uzel domény, s níž chcete pracovat (např. CN=Conf i guration,
DC=Cpand 1, DOCom).
2. Poklepejte na položku CN=Si tes. Klepněte pravým tlačítkem na kontejner praco-
viště, se kterým chcete pracoval, a zvolte Properties.
3. V dialogovém okně Properties nalistujte atribut gPLi nk a poklepejte na něj. Objeví
se jeho obsah.
/
Princip zpracování zásad skupiny
497
nwání dědičnosti na připojeních
itributu gPLink je na kontejnerech ještě jeden zajímavý atribut související se
aním zásad skupiny - atribut gPOptions. Tento atribut je příznakem, který
vuje vždy, když se pro daný kontejner povolí blokování dědičnosti.
ní dědičnosti vám umožňuje řídit, které nadřazené objekty GPO se zpracují,
iše určíte, že objekty GPO připojené ke kontejnerům nadřazeným blokova-
ontejneru se nepoužijí. Když je na kontejneru nastaveno blokovaní dědič-
odnota atributu gPOptions na daném kontejneru se nastaví na 1. Jestliže
ikování dědičnosti nastaveno, je hodnota atributu 0 nebo <Not Set>.
ip připojení a zabezpečení zásad skupiny
to zdát evidentní, ale je důležité si uvědomit, že filtrování zabezpečení a dele-
íbjektu GPO se nastavuje na samotném objektu GPO. Přesněji řečeno, na jeho
?h GPC a GPT (jako bylo řečeno dříve v této kapitole). Definice zabezpečeni se
nenachází v připojeni objektu GPO. Výsledkem je, že můžete mít jeden objekt GPO
připojený k několika kontejnerům, ale filtrování zabezpečení aplikované pro tento ob-
jekt GPO se bude vztahovat na všechny připojené kontejnery. To může způsobu ur-
čité nejasnosti v případě, že nějaký objekt GPO používáte pro různé kontejnery, ale
pro každý z nich potřebujete použít jiné filtrování zabezpečení nebo delegování.
Veškeré potřebné filtrování zabezpečení či delegování musíte na objektu GPO na-
stavit pro všechna připojení a zajistit, že žádné skupiny nemají překrývající se pole
správy, což by mohlo ovlivnit požadované chování.
Úpravy
zásad
ckii.MrlV
13.4 Princip zpracování zásad skupiny
Stejně jako samotna služba Active Directory, tak i zásady skupiny jsou postavené na
architektuře klient-server. Klienti zásad skupiny používají ke /pracování nastavení
zásad klientská rozšíření CSE zásad skupiny. Servery zasad skupiny používají pro
správu zásad serverová rozšíření.
Seznámení se zpracováním klientských rozšíření
Klientská rozšíření CSE jsou implementována jako knihovny DLL, které se instalují
spolu s operačním systémem. Modul zásad skupiny běžící na klientovi spustí zpra-
cování zásad na popředí, jakmile dojde ke spuštění počítače nebo přihlášení uživa-
tele. Architektura zpracování zásad skupiny je zachycena na Obrázku 13-8.
Modul zásad skupiny volá klientská rozšíření CSE, která čtou informace z kontejneru
GPC a šablon GPT objektu GPO, aby zjistily, která nastavení zásad se vztahují na daný
počítač či uživatele. Rozšíření CSE provádějí změny (např. změny registru, zabezpeče-
ni nebo změny v instalaci softwaru) specifikované v objektech GPO, které se opra-
covávají uživatelem nebo počítačem.
b niho^ ny rozšířeni CSE se při standardní instalac i operačního systému Microsoft Win-
dows Server 2003 instalují spolu se systémem Windows do složky %Wi nd i r%\System32.
Třetí strany mohou také psát vlastní rozšíření CSE, které poskytnou zásadám skupiny
dodatečnou funkcionalitu. Nainstalovaná rozšíření CSE počítače se systémem Win-
dows jsou zaregistrována pod následujícím klíčem registru:
498
Kapitola 13 - Struktura a zpracování zásad skup ny
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows NT\CurrentVersion\Winlogon\
GPExtensions
Řadič domény
Klient zásad skupiny
OBRÁZEK 13.8: Architektura zpracování zásad skupiny
Jednotil vá rozšíření CSE jsou uložena v tomto klíči registru pod klíčem pojmenova-
ným pomocí identifikátoru GUID. Identifikátor GUID odkazuje na konkrétní rozší-
ření CSE. Tento identifikátor GUID je stejný na všech systémech rodiny Windows.
Například rozšířeni CSF pro instalaci softwaru má stejný identifikátor GUID bez
ohledu na to, na jakém systému je nainstalováno. Podíváte-li se na obsah jednoho
z těchto klíčů pomocí nástroje Registry Editor (regedit.exe), uvidíte sadu hodnot,
která popisuje funkci poskytovanou daným rozšířením CSE a název knihovny DLL,
která tyto zásady implementuje (viz Obiazek 13 9).
Jak je z obrázku vidět, ke způsobu zpracování zasad tímto rozšířením se vztahuje
hned několik hodnot (např. NoSlcwLink a NoBackgroundPo 1 icy - tímto se budeme
zabývat později v teto kapitole). V tabulce 13.5 naidete rozšíření a odpovídající
knihovny DLL, ktere jsou součástí instalace operačního systému Microsoft Windows
Server 2003 Service Pack 1.
OBRÁZEK 13.9: Prohlížení obsahu klíče registru pro rozšíření CSE
Princip zpracování zásad skupiny
499
TABULKA 13.5: Klientská rozšíření instalovaná spolu s operačním systémem Microsoft Windows Server 2003 SP1			
GUID rozšíření CSE	Název knihovny		Zásady
ToACDD4OC-75AC-47ab- BAAO-BF6DE7E7FE63)	Gptext.dl1	Wireless Networking	
{25537BA6-77A8-11D2-9B6C- 0000F80808611	Fdeploy.dl 1		Folder Redirection
{35378EAC-683F-11D2-A89A- 00C04FBBCFA2I	Userenv.dl 1		Administrativě Templates
(3610eda5-77ef-lld2-8dc5- 00c04fa31a66I	Dskquota.dll		Disk Quota (spadají pod zásady Admin- istrativě Templates)
{426031cO-0b47 - 4852- b0caac3d37bfcb39}	Gptext.dll	QoS Packet Schedule (spadají pod zá- sady Administrativě Templates)	
(42B5FAAE-6536-Ild2-AE5A 0000F87571E3)	Gptext.dll	1	Scripts (počítačové i uživatelské skripty)	
(4CFB60C1-FAA6-47Í1-89AA- 0B18730C9FD3)	Iedkcs32.dll		Internet Explorer zone-mapping (spa- dají pod zasady Administrativě Tem- plates)
{827D319E-6EAC-UD2-A4EA- O0C04F79F83A)	Scecli .dl 1	!	Security	
{A2E30F80-D7DE-Ud2-BBDE- 00C04F86AE3B}	Iedkcs32.dll		Internet Explorer Maintenance
{B1BE8D72-6EAC-11D2-A4EA- 00C04F79F83A}	Scecli .dl ।	1	EFS Recovery (spadají pod zásady Pub- lic Key)	
{c6dc5466-785a-lld2-84d0- 00c04fbl69f7}	Appmgmts.dl 1		Software Installation
Ie437bclc-aa7d-1Id2-a382- 00c04f991e27)	Gptext.dl'	1	IPSecunty	
Úpravy
V tabulce si můžete všimnout, že některé oblasti zásad sdílejí stejné rdzširení CSE, za-
tímco jiné mají samostatná rozšíření CSE, přestože spadají do názvového prostoru zá-
sad jiného rozšíření CSE. Například zásady QoS Packet Scheduler mají své vlastní
rozšíření CSE, ačkoliv se tyto zásady nacházejí v zásadách Administrativě Templates
(zásady QoS Packet Scheduler najdete v názvovém prostoru Computer Configurati on\
Admi ni strati ve Templ ates\ Network\QoS Packet Schedul er). Také si všimnete, že zá-
sady Administrativě Templates nemají svou vlastní knihovnu DLL, ale namísto toho
jsou implementovány v rámci hlavního modulu Group Policy Fngine (Userenv.dl 1).
Seznámení se zpracováním serverových rozšíření
Serverová rozšíření zásad skupiny se používají ke správě implementace zásad a vy-
nucování pravidel zásad. Při konfigurovaní nastavení zásad většinou pracujete
s rozhraními pro správu těchto serverových rozšířeni. Všechna serverová rozšířeni
se spravují prostřednictvím sady modulů snap-in konzoly MMC, které poskytuji úži-
500
Kapitola 13 - Struktura a zpracování zásad skupiny
vatelské rozhraní pro upravování zásad a mechanismus pro ukládaní nastavení
sad skupiny.
Tabulka 13.6 obsahuje kompletní seznam modulů snap-in konzoly MMC používa
ných pro upravování zásad skupiny a jejich knihoven DLL. Moduly snap-in dostup-
né v operačním Systému Microsoft Windows Server 2003 SPI a názvy knihoven
DLL, které tyto moduly implementují, můžete najít v registru Windows na cestě:
HKEY_LOCAL_MACHINE\Softwa re\Mi crosoft\MMC\Sna p- i ns
TABULKA 13.6: Moduly snap-in konzoly MMC používané pro upravování
zásad skupiny
Zásady	Název knihovny modulu konzoly MMC
Administrativě Templates and Scripts - Šablony pro Gptext.dll
správu a skriptování
(pro počítače i uživatele)
Software Installation (Instalace software)	Appmgr.dl 1
Wireless Network Policy (Bezdrátové sítě)	Wlsnp.dll
Public Key Policy (Zásady veřejných klíčů)	Certmgr.dll
Security Policy (Zásady zabezpečení)	Wsecedi t .dl 1
Folder Redirection Policy (Zásady přesměrování složek) Fde. dl 1
Software Restriction Policy (Zásady omezení softweru) Certmgr.dl 1
Internet Explorer Maintenance Policy (Zásady údržby Ieaksie.dll
Internet Exploreru)
IP Security Policy (Zásady zabezpečení IP)	Ipsecsnp.dll
Poznámka Obecně lze konstatovat, že moduly snap-in pro upravování zásad se zaregistrují,
když po instalaci systému Windows poprvé spustíte nástroj Group Policy Object Editor. Ne-
platí ale, že všechny výše uvedené moduly snap-in jsou vždy k dispozici. Mnohá nastavení
zabezpečení se například neobjeví při upravování místních zásad. Jiná mohou být někdy
v zásadách úmyslně vynechána.
< TiP Ve výjimečných případech může některá oblast zásad v názvovém prostoru editoru zcela
chybět. V takové situaci můžete znovu zaregistrovat knihovnu DLL, která implementuje da-
nou oblast zásad a ta by se měla při následujícím spuštění nástroje Group Policy Object Edi-
tor (Editor objektů zásady skupiny) již objevit. Chcete-li znovu zaregistrovat modul snap-in,
zadejte do příkazového řádku příkaz regsvr32 <snap-in DLL name>. Dostanete zprávu
potvrzující úspěšné provedení registrace nebo zprávu o jejich selhání.
Poznámka Dá se ale říci, že provádění opětovné registrace je potřeba jen výjimečně. Nástroj
Group Policy Obiect Editor se v případě potřeby o přeregistrování postará při jeho spuštění
následujícím po plné aktualizaci zásad.
Použijete-lj pro úpravu objektu GPO nástroj Group Policy Object Editor, udělají
skutečnou práci právě tyto moduly snap-in konzoly MMC. Zatímco většina dal sou-
visejících se zásadami je uložena v šabloně GPT, malá část se nachází v kontejneru
Princip zpracování z<.sad skupiny
GPC. I romě toho některá rozšíření (např. IPSec) ukládají své informace související
se zásadami zcela jinam.
Dále se budeme podrobněji věnovat způsobu, pkvm jednotlivé oblasti zásad ukládají
svá nastavení zásad do kontejneru GPC nebo šablony GPT (nebo do obou).
Poznámka Možná se divíte, proč nejsou v šabloně GPT uložena veškerá oata zásad. Šablona
GPT slouží rozšířením zásad skupiny jako umístění, kam lze ukládat a zapisovat data, ale ne-
existuje žádný požadavek, který by to přikazoval. Proto se může snadno stát, že se autoři
rozšíření zásad skupiny rozhodnou zapisovat data mimo šablonu GPT (např. do úložiště
služby Active Directory).
Nastavení úložiště pro zásady Wireless Network
Zásady Wireless Network ukládají svá nastavení do kontejneru GPC odpovídajícího
objektu GPO. Funguje to tak, že v kontejneru GPC služby Active Directory se vy-
tvoří nová struktura kontejneru. Cesta je CN=Wi reless, CN=Windows, CN=Mi crosoft.
V kontejneru CN=Wi reless se vytvoří nový objekt třídy msieee80211-Policy, který
obsahuje vámi nakonfigurovaná nastavení zásad Wireless Network.
Nastavení úložiště pro zásady Folder Redirection
Zásady Folder Redirection (Přesměrování složek) jsou uložené v šabloně GPT da-
ného objektu GPO a specifikované v souboru s názvem Fdeploy.ini. Soubor
Fdeploy.ini obsahuje podrobnosti o zásadách. Jestliže například pro složku My
Documents nakonfigurujete přesměrovaní tak, aby ukazovala do uživatelské do-
movské složky, soubor Fdeploy.ini se vytvoří/zaktualizuje a zaznamenají se do něj
odpovídající nastavení. Struktura těchto informací je následující:
[ FolderStatus ]
My Documents=ll
My Pictures=2
[ My Documents ]
s-1 -1 -0=\\%H0MESHARE%%H0MEPATH%
[ My Pictures ]
V tomto příkladu sekce [FolderStatus] informuje rozšíření CSE o tom. co se má se slož-
kou My Documents dělat v případě, že přesměrování již neplatí. Jsou zde uvedené ta-
ké informace o tom. jak pracovat se složkou My Pictures nacházející se ve složce My
Documents. Hodnoty těchto klíčů se mění tak, jak měníte jednotlivé možnosti zásad
Folder Redirection. Část [My Documents] obsahuje platné přesměrování. Protože
definujeme základní přesměrování, je zde uvedeno, že identifikátor SID S-l-1-0 vy-
jadřující skupinu Everyone má byt po přihlášení přesměrován na zakladě uživatel-
ské proměnné prostředí, která ukazuje do uživatelského domovského adresáře.
Během zpracovaní rozšíření Folder Redirection je před samotným přesměrováním ob-
sah souboru Fdeploy. i ni spolu s dalším souborem obsahujícím informace o přesmě-
rování složek uložen do mezipaměti pracovní stanice v uživatelském profilu. I yto
soubory se nacházejí ve složce %UserProfi 1 e%\Loca 1 Settings\Appl^cation
Data\Microsoft\Windows\Fi 1 e Deployment. Tato složka obvykle obsahuje dva sou-
bory . ini -jeden se nazývá {0E35E0EC-FD6D-4CEF-9267-6EDB006940261.ini a obsa-
huje instrukce pro přesměrování složek ze souboru |;depl oy. i ni. Druhý se nazýva
502
Kapitola 13 - Struktura a zpracováni zásad skupiny
{25537BA6-77A8-llD2-9B6C-0000F8080861l.ini a obsahuje informace o všech
směrovaných složkách (např. Desktop, Start Menu atd.) zahrnujících identifi^^'
GUID objektu GPO, který je zodpovědný za případné aktivní přesměrování.
Nastavení úložiště pro zásady Administrativě Templates
Zásady Administrativě Templates (Šablony pro správu) jsou uložené v šabloně GPT
v souboru s názvem regi stry. pol. Když v objektu GPO specifikujete zásady Ad
ministrative Templates pro jednotlivé počítače i pro jednotlivé uživatele, najdete
soubor registry.pol v šabloně GPT ve složkách Mach.ne i User. Soubory
registry.pol jsou textové soubory, ale nelze je upravovat ručně, nebol obsahují
některé speciální znaky a mají pevně daný fonnát.
Nastavení úložiště pro zásady Disk Quota
Protože jsou zásady Disk Quota (Diskové kvóty) podmnožinou zásad Administrati-
vě Templates (Šablony pro správu), jsou nastavení této oblasti zásad uložené (stej-
ně jako pro zásady Administrativě Templates) v souboru regi stry. pol. Vzhledem
k tomu, že jsou zásady Disk Quota dostupné pouze pro počítače, soubor
registry.pol obsahující nastavení těchto zásad se nachází pouze ve složce Machi-
ne šablony GPT.
Nastavení úložiště pro zásady QoS Packet Schedule
Stejně jako je tomu u zásad Disk Quota, tak i zásady QoS Packet Scheduler (Pláno-
vání paketů QoS) mají své vlastni rozšíření CSE pro zpracovaní nastavení zásad. Zá-
sady QoS Packet Scheduler jsou ale podmnožinou zásad Administrativě Template
Nastavení této oblasti zásad jsou uložena v souboru regi stry. pol, stejně jako je
tomu u zásad Administrativě Templates.
Nastavení úložiště pro zásady Scripts
Zásady Scripts se vztahují na skripty1 při spouštění/vypínání i na skripty přihlašova-
cí/odhlašovací. Oboje jsou uložene v šabloně GPT. Skripty při vypínání a spouštění
se nacházejí v podadresáři Machine šablony GPT (ve složce ser i pts)shutdown resp.
scripts)startup). Přihlašovací skripty a skripty při odhlašování se nacházejí
v podadresáři User šablony GPT (ve složce seri pts\l ogon resp. ser i pts)l ogoffT
Když konfigurujete skripty, určíte jejich umístění a parametry, které se jim připadne
mají při spouštěni předávat. Odkazy na skripty jsou uloženy v šabloně GPT v souboru
s názvem Scripts.ini. Tento soubor se nachází bud ve složce machine)scripts nebo
user\scripts,v závislosti na tom, zda se jedná o zásady pro počítačové nebo uživatel-
ské skripty. Soubor obsahuje odkazy na definované skripty a případné parametry, kte-
ré se jim předávají. Při běhu rozšíření CSE Scripts jsou informace o tom, které skript)
je potřeba spustit, uloženy v registru. U skriptu pro jednotlivé počítače je umístěni
v registru následující:
HKEY_LOCAL_MACH IN E\Software)Policí es\Windows\System)Ser ipts
U skriptů pro jednotlivé uživatele je umístění v registru následující:
HKEY_CU RRENT—U SER)Software)Policí es)W indows)System)Ser i pts
Princip zpracování zásad skupiny
503
Když dojde na samotné spuštění skriptu, načte se cesta ke skriptu z jednoho
z těchto dvou umístění.
Nastavení úložiště pro zásady Internet Explorer Maintenance
Zásady Internet Explorer Maintenance (Údržba Internet Exploreru) jsou uložené
v šabloně GPT ve složce \User\Microsoft\IEAK. Nastavení jsou uložena v souboru
s názvem insta 11.ins. Ve složce IEAK se může ještě nacházet složka Branding
která obsahuje případné vlastní obrázky, ikony nebo jiné soubory, které jsou speci-
fikovány v zásadách Internet Explorer Maintenance.
Když rozšíření CSE Internet Explorer Maintenance zpracovává tyto zásady, soubor
install. i ns a případné související složky a soubory nacházející se ve složce Branding
se stáhne a uloží do mezipaměti do složky uživatelského profilu %UserProfi 1 e%\
App 1 i cati on Data\Mi crosoft\Internet Expl orer\Custom Setti ngs. Z tohoto umístění
se zpracují a aplikují na konfiguraci aplikace Internet Explorer.
Tabulka 13-7 obsahuje informace o tom, kde v rámci šablony GPT uchovávají jed-
notlivé oblasti zásad Internet Explorer Maintenance svá nastavení.
Nastavení úložiště pro zásady Security
Zásady Security jsou uložené v šabloně GPT ve složce Machine\Microsoft\Windows
NT\SecEdit. V této složce je vytvořen soubor s názvem GptTmpl.inf, který uchovává
nastaveni zásad. Jsou v něm ale uložené pouze některé zásady zabezpečení. Konkrét-
ně se jedná o zásady nacházející se ve složce Computer Configuration\Wi ndows
Settings\Security Settings (Konfigurace počítače\Nastavení WindowsXNastavení
zabezpečení) a zásady Local Policies, Event Log, Restricted Groups, System Services,
Registry, Filé System (Místní zásady, Protokol událostí, Restrikce skupin. Služby systé-
mu, Registr, Souborový systém). Nastavení zásad Account Policies jsou uložena v data-
bázi LSA. Nastavení zásad Software Restriction jsou uložena v souboru Registry.po1.
Zásady IP Security se zapisují do úložiště služby Active Directory.
TABULKA 13.7: Umístění souborů zásad Internet Explorer Maintenance	
Nastavení	Umístění souboru zásad
Browser Title	Install.ins
Custom Bitmaps	Install.ins Branding\Logo\<<soubor s malým logem>> Branding\Logo\<<soubor s velkým logem >> BrandingXAnimbmp ( prázdná složka )
Toolbar Customization	Install.ins Branding\Btoolbar\<<soubor s barevným logem>> Branding\Btoolbar\<< soubor s logem v odstínech šedé >> Branding\Toolbmp\<<soubor s obrázkem bmp nástrojové 1 išty>>
Connection Settings	Install.irs Brandi ng\cs\connect.set Brandi ng\cs\cs.dat
504
Kapitola 13 - Struktura a zpracování zásad skupiny
Nastavení	Umístění souboru zásad
Automatic Browser Configura- tion	Install.ins
Proxy Settings	Install.ins
User Agent String	Install.ins
Favorites and Links	Install.i ns
Important URLs	Install.ins
Security Zones	Install.i ns Brandi ng\Zones\seczones.i nf Branding\Zones\seczrsop.i nf
Content Ratings	Install.ins Branding\Ratings\ratings.i nf Branding\Ratings\ratrsop.i nf
Authenticode Settings	Install.ins Brandi ng\Authcode\authcode.i nf
Programs	Install.ins Brandi ng\Programs\programs.i nf
Corporate Settings (jen v režimu Preference)	Branding\Adm\inetcorp.adm Branding\Adm\inetcorp.inf
Internet Settings (jen v režimu Preference)	Branding\Adm\inetset.adm Brandi ng\Adm\i netset.i nf
Otevřete-li soubor GptTmpl	. inf v aplikaci Notepad (Poznámkový blok), zjistíte, že
soubor má stejný formát jako šablony nástroje Security Configuration and Analysis
(Konfigurace a analýzy zabezpečení), které můžete vytvářet a používat mimo zásady
skupiny. Vyplývá to z toho, že zásady skupiny používají pro zpracování zásad Security
stejný modul SecEdi t jako šablony nástroje Security Configuration and Analysis.
Když klientské rozšíření CSE Security Policy (Scecli.dll) zpracovává zásady zabez-
pečení, zkopíruje soubor GptTmpl. i nf na lokální pevný disk počítač e a zpracuje zá-
sady odtud. Standardní umístění, do kterého se soubor GptTmpl.inf kopíruje je
složka ŽWi ndi rHsecuri ty\templ a tes \pol i ci es.
Protože počítač muže mít několik zásad zabezpečení z různých objektů GPO, vy-
tváří se ve složce ŽWindi r%\security\templates\pol icies několik dočasných sou-
boru. Dočasné soubory reprezentují nastavení zasad zabezpečeni jednotlivých
objektů GPO a jsou sekvenčně číslovány začínajíce od Gpt0000O.dom. Protože ně-
které zásady zabezpečení (např. zasady účtů a protokolu Kerberos) lze v objektu
GPO připojeném do domény aplikovat pouze na doménu, stahují se tyto zásady do
speciálního souboru s příponou .dom. Tím se zajistí, že všechny doménové řadiče
/pracují pro tato speciální nastavení zásad pouze zasady připojené do domény.
Nastavení úložiště pro zasady Software Installation
Zásady Software Installation (Instalace softwaru) patři do oblasti zásad, kde sc pro
ukládání nastavení používá iak kontejner GPC. tak šablona GPT. V šabloně GPT na-
cházející se ve složce Machine (nebo User) se vytvoří složka Applications obsahující
Princip zpracování zásad skupiny
soubor . aas (Application Assignment Script). Jedná se o soubor specifický pro kon-
krétní aplikaci, její soubor MSI a síťovou cestu, ze které byla nainstalována. Část GPC
zásad Software Installation je uložena v odpovídajícím kontejneru Machine (nebo
User) v kontejneru CN=Packages, CN=C1 ass Store uvnitř GPC. Každa aplikace zave-
dená objektem GPO má v kontejneru Packages svůj objekt packageRegi strati on.
Všechny objekty packageRegi stration obsahují informace o aplikaci, která byla za
vedena. Zde jsou nekteré ze zajímavějších atributu tohoto objektu:
	msiFileList Obsahuje cestu k souboru MSI používanému touto aplikací a cestu
k souborům modifikujícím instalaci (např. transformační soubory .mst).
	msiScriptName Obsahuje stav zavaděni aplikace - P znamená Published, A je As-
signed a R vyjadřuje stav Removed. Všimněte si, že objekt packagRegi strati on od-
straněné aplikace se nemaže, ale namísto toho zůstává nadale v kontejneru GPC.
	msiScriptPath Obsahuje cestu k souboru .aas přiřazenému teto aplikaci - tak
jak je uložena ve složce SYSVOL.
	packageName Obsahuje popisný název zaváděné aplikace.
------------------------------------------------------------------------------
Poznámka Protože je cesta k souboru MSI zapsána v časti GPC i v časti GPT zásad Software
Installation, poté co byla aplikace zavedena, již nemůžete cestu k aplikaci změnit, aniž byste
ji museli znovu zavést. Jak bylo řečeno v 9. kapitole, při zavádění aplikačních balíčků je pro-
to nejlepší používat cesty DFS.
Úpravy
Nastavení úložiště pro zásady IP Security
Narozdíl od ostatních oblasti zásad jsou podrobnosti o zásadách IP Security uložené
v jiné části služby Active Directory než GPC. Zásady IP Security najdete v doménovém
názvovém kontextu v kontejneru CN=IP Security, CN=System. To znamená, že je po-
třeba k mm přistupovat pomocí nástroje ADSI Edit tak. že se připojíte do doménového
názvového kontextu, poklepete na uzel domény (např. DC=cpandl, DC=com), rozbalí-
te CN=System a poté zvolíte položku CN=IP Security (viz Obrázek 13-10).
Když dojde u zásad protokolu IPSec, které byly vytvořeny v doméně a uloženy ve
službě Active Directory, k přiřazeni k objektu GPO, vytvoří se v objektu GPC kontejner
obsahující toto přiřazení. Konkrétně se v kontejneru CN=Windows, CN=Microsoft,
CN=Machi ne pod kontejnerem GPC vytvoří objekt třídy i psecPol i cy obsahující odkaz
na zasady protokolu IPSec, které jsou přirazené k danému objektu GPO. Samotný od-
kaz na záhady IP Security je uložen v atributu ipsecOwnersReference tohoto objektu
třídy i psecPol i cy a v kontejneru CN=I P Security obsahuje rozšiřující název DN objektu
IP Security Policy.
Události související se zpracováním zásad
Existují dva druhy zpracování zásad: zpracován na popředí a na pozadí. Ke zpra-
cování na popředí dochází při spuštění počítače a během přihlášení uživatele. Ten-
to druh zpracovaní se vyznačuje t m, že k němu obvykle dochází ještě před tím,
než muže uživatel pracovat s plochou. Proto se dobře hodí pro určité typy zpraco-
vání, které vyžadují prostředí „bez uživatele“.
506
Kapitola 13 - Struktura a zpracování zásad skupiny
OBRÁZEK 13.10: Prohlížení objektů zásad protokolu IPSec v kontejneru CN=IP Security,
CN=System
Ke zpracování na pozadí dochází pro uživatele i počítače periodicky a asynchronně.
Zpracování na pozadí je užitečné pro zásady, které je potřeba periodicky znovu
aplikovat (např. zasady Security Settings nebo zásady Administrativě Templates). Ke
zpracování na pozadí dochází pro členské servery a pracovní stanice každých 90
minut s tím, že se ještě aplikuje náhodný časový posun, který může dosahovat
hodnoty až 30 minut. Pro doménové řadiče dochází ke zpracováni na pozadí kaž-
dých 5 minut. Tyto intervaly a časový posun je možné měnit. Používají se k tomu
následující zásady:
	Group Policy Refresh Interval For Computers (Interval obnoveni zásad skupiny
pro počítače) nacházející se ve složce Computer Configuration\Admini strative
Templates\System\Group Polcy (Konfigurace počítače\Šablony pro správu\
Systém\Zásady skupiny)
	Group Policy Refresh Interval For Domain Controllers (Interval obnovení zásad
skupiny pro doménové řadiče) nacházející se ve složce Computer Conf  gurati on\
Administrativě Templates\System\Group Policy (Konfigurace počítače\Šablony
pro správu\Systém\Zásady skupiny)
	Group Policy Refresh Interval For Users (Interval obnoveni zásad skupiny pro uži-
vatele) nacházející se ve složce User Confi gurati on\Admi ni strati ve Templ ates\
SystenAGroup Pol icy (Konfigurace už i vatel e\Šabl ony pro správu\Systém\Zásady
skupi ny)
Aktualizační interval a časový posun můžete konfigurovat pro všechny uvedené
skupiny (viz 3. kapitola). Jak jsme se již zmínili, zpracovaní na popředí umožňuje
zásadam skupiny provádět systémové změny bez zápojem uživatele. V operačním
systému Microsoft Windows 2000 docházelo ke zpracování zásad skupiny na po-
předl vždy synchronně - to znamená, že zásady pro počítač se zpracovaly vždy
před tím, než se uživateli zobrazila přihlašovací obrazovka a zásady pro uživatele
se zpracovaly před tím, než se uživatel dostal na plochu. Operační systém Microsoft
Princip zpracování zásad skupiny
507
Windows XP Professional přinesl možnost asynchronního zpracování na popředí,
které je podporováno pomocí mechanismu „optimalizace rychlého přihlášení“.
Optimalizace rychlého přihlášení v podstatě znamená, že systém Windows (před tím
než se spustí a umožni uživatelům přihlášení) nečeká na inicializaci síťovým zásobní-
kem. Proto pii zapnuté optimalizaci rychlého přihlášení nemusí zpracovaní zásad
skupiny na popředí čekat na Zpřístupnění sítě. Optimalizaci rychlého přihtóšení může-
te zablokovat tak, že zapnete nastavení Always Wait For The Network At Computer
itsrtup And Logon (Vždy čekat na připojení sítě při startu počítače a přihlášení) na-
cházející se ve složce Computer Configuration\Administrative Templates\System\
Logon (Konfigurace počítače\Šablony pro správu\Systém\Přihlášení).
Operační systém Microsoft Windows Server 2003 nepodporuje optimalizaci rychlého
přihlášení, proto zpracování na popředí běží vždy synchronně.
Poznámka Aktualizaci zásad skupiny můžete také ručně spustit na pozadí pomocí nástroje
gpupdate. Gpupdate v podstatě simuluje operace, k nimž dochází během obvyklé aktualiza-
ce zásad skupiny na pozadí. Podrobnosti najdete v oddíle „Manuální aktualizace zásad sku-
piny" 3. kapitoly.
Asynchronní vs. synchronní zpracování zásad
Rozdílům mezi zpracováním zásad při běhu na popředí a na pozadí a vlivu asyn-
chronního a synchronního zpracování na něj by měl rozumět každý dobry správce.
Například zásady Software Installation a Folder Redirection lze aplikovat pouze při
synchronním zpracováni zásad na popředí To například znamená, že pri zapnuté op -
timalizaci rychlého přihlášení na počítači s operačním systémem Microsoft Windows
XP Professional bude pro kompletní zpracováni změn v zásadách Software Installation
a Folder Redirection potřeba dvou přihlášení. Podobně se některé zásady nezpraco-
vávají během aktualizace na pozadí, zatímco jiné se zpracují, ale nemusí nutně běžet.
Tabulka 13-8 obsahuje informace o tom, kdy (během zpracování zásad) poběží jed-
notlivá rozšíření CSE. Všimněte si, že u zásad Scripts lze synchronní a asynchronní
chování upravovat. Podrobnosti najdete v oddíle „Řízení běhu skriptu a způsobu jeho
provádění“ 7. kapitoly.
Úpravy
TABULKA 13.8: Podpora rozšíření CSE pro zpracování na popředí a na pozadí			
Rozšíření CSE	Běží na popředí Synchronní	Běží na popředí Asynchronní	Běží na pozadí (Asynchronní)
Wireless Networking (Bezdrátové sítě)	Ano	Ano	Ano
Folder Redirection (Zásady přesměrování složek)	Ano	Ne	Ne
Administrativě Templale (Šablony pro správu)	Ano	Ano	Ano
Disk Quota (Diskové kvóty)	Ano	Ano	Ano		 1
QoS Packet Scheduler	Ano	Ano	Ano		
Scripts (Plánovaní paketů QoS)	*	*	*
508
Kapitola 13 - Struktura a zpracování zásad skupiny
Rozšíření CSE	Běží na popředí Synchronní	Běží na popředí Asynchronní	Běží na pozadí (Asynchronní)
Internet Explorer Maintenance Security (Zásady údržby Internet Exploreru)	Ano	Ano	Ano
	Ano	Ano	Ano*
EFS Recovery (Obnovení EFS)	Ano	Ano	Ano
Software Installation (Instalace softwaru)	Ano	Ne	Ne
IP Security (Zásady zabezpečení IP) Ano		Ano	Ano	"
Poznámka Zásady Security lze na počítač aplikovat během aktualizace zásad na pozadí. Někte-
rá nastavení zásad zabezpečení nemusí ale vstoupit v platnost bez restartování počítače. Navíc,
některá rozšíření CSE uvedená v tabulce 13.8 platí pouze pro uživatele či počítač, proto pro ně
asynchronní zpracování na pozadí může mít různý dopad. Jestliže například není na počítači
přihlášen žádný uživatel, nedojde na pozadí k žádnému zpracování zásad uživatele.
Sledování aplikace zásad
Nyní se podívejme na samotný proces zpracování zásad skupiny. Podíváme se na
dva různé příklady. V prvním přikladu se budeme zabývat tím, co se děje během
jednotlivých fází zpracování zásad na popředí při zapínání počítače a při přihlašo-
vání uživatele. Při spouštěni dochází k následujícím událostem:
1.	Počítač najde doménový řadič a provede ověření ve službě Active Directory.
Cbtejný proces proběhne, i když dochází k přihlášení uživatele do služby Active
Directory, neboť počítač je chápán pouze jako speciální instance uživatelského
účtu.) K provedení tohoto ověření se používá několik síťových protokolu. Patří
mezi ně port 53 protokolu UDP (DNS), port 389 protokolu UDP a TCP (IDAP).
port 135 protokolu TCP ( RPC Portmapper) a port 88 protokolu UDP (Kerberos).
2.	Počítač provede kontrolu spojení (použije ping protokolu ICMP") s doménovým
řadičem. Tak zjistí, zda není k doménovému řadiči připojen pomalou linkou.
3-	Počítač odešle službě Active Direc tory pomocí protokolu LDAP dotaz, aby zjistil,
které objekty GPO jsou připojené k organizační jednotce ( nebo jednotkám), do-
méně a pracovišti, do ktereho daný počítač patří. Z těchto dotazu se vytvoří se-
znam rozš.nijících názvu všech objektu GPO, které se vztahují na daný počítač.
4.	Počítač zašle pomocí protokolu LDAP Službě Active Directory dotaz. Použije se-
znam objektů GPO (viz krok 3) a vyžádá si některé jejich atributy - patří mezi ně
cesta k šabloně GPT. číslo verze kontejneru GPC a atributy gpCMachi neExtension-
Names a gpCUscrExtensionnames. Tyto atributy obsahuji seznam identifikátorů roz-
šíření CSE implementovaných v daném objektu GPO.
---8------F-------1 1 I 1	I . _ _ L H_  -m_ 1 LIJ  I_I  _ m ——
Poznámka Operační systém Microsoft Windows použije výsledky tohoto dotazu ke zjištění
která rozšíření CSE je během zpracování určitého objektu GPO potřeba volat a která ne.
Tímto přístupem se zvyšuje rychlost zpracování zásad skupiny.
Princip zpracování zásad skupiny 509
5.	Operační systém Microsoft Windows se pomocí portu 445 protokolu TCP (SMB)
připojí ke sdílené složce SYSVOL a pro všechny objekty GPO nalezené ve 3.
kroku načte soubor Gpt.ini. Hlavni modul zásad skupiny poté předá zpracová-
ní zásad rozšířením CSE, která je potřeba volat (viz krok 4).
6.	Jakmile začne zpracovaní zásad skupiny, každé rozšířeni CSE porovná čísla ver-
zí objektů GPO, které je potřeba zpracovat s čísly uloženými na počítači
v historii zásad skupiny a stavových klicích. (Více informací na toto terna najde-
te dále v oddíle „Historie a stavová clila zasad skupiny“.)
7.	Jestliže se číslo verze objektu GPO od posledního zpracováni na pozadí nebo
na popředí nezměnilo, tento objekt se vynechá. Jestliže od posledního zpraco-
váni zásad skupiny došlo ke smazání jednoho nebo více objektů GPO ze se-
znamu objektu GPO pro zpracování, odstraní rozšíření CSE případná související
nastaveni zásad.
Poznámka Pravidlo nezpracovávání objektů GPO do té doby, než se změní číslo jejich verze,
platí, dokud pomocí zásad Administrativě Templates (Šablony pro správu) nebo nástroje
gpupdate s přepínačem /force nezměníte chování nějakého rozšíření CSE (více najdete
v oddíle „Modifikace chování rozšíření CSE").
8.	Rozšíření CSE zjistí, zda má dostatečná oprávnění pro všechny objekty GPO, které
má zpracovat. Z listu jsou vyřazeny objekty GPO, ke kterým nemá rozšíření pří-
stup. Jestliže jste specifikovali něco, co má změnit průběh zpracováni zásad skupi-
ny (např. připojení objektu GPO jste nastavili na Enforced - Vynucený), vezme se
tato změna v potaz pravě teď.
Poznámka Když je připojení objektu GPO nastaveno na Enforced, přesune se na konec se-
znamu objektů GPO určených ke zpracování. Tím pádem bude zpracováno jako poslední
a vždy bude mít přednost před konfliktními objekty GPO.
9.	Jak se jednotlivá rozšíření CSE Spouštějí, provádějí ověření uvedená v 6. kroku
a pak pomocí SMB načítají obsah šablon GPT (nebo kontejneru GPC) a zpracováva-
jí objekty GPO. Jestliže je potřeba spustit rozšíření zásad Administrativě Templates
(Šablony pro správná), rozšíření CSE odstraní všechny hodnoty registru v odpovída-
jících klíčích. Zásady Administrativě T emplates poté ze seznamu objektu GPO ke
zpracováni znovu aplikují všechny zásady registru. Následně se spustí další rozší-
ření CSE v seznamu. Rozšíiení CSE běží v pořadí, v němž jsou registrována v klíči
registru GPExtensions a volají se jen, když atributy gpCMdchineExtensionNames
a gpCUserExtensionnames indikují, že je třeba je spustit.
10.	Jak rozšíření CSE dokončují svou práci, zaznamenávají data RSoP přes rozhraní
WMI do databáze CIMOM umístěné na počítači, kde se zásady zpracovávají.
11.	Když se přihlásí uživatel, tento proces se cvikuje, čímž se získají a poté zpracují
objekty GPO vztahující se na momentálně přihlášeného uživatele.
Ve druhem příkladě se podíváme na události, ke kterým dochází při zpracování za
sad na pozadí - při ruční aktualizaci zásad pomocí nástroje Gpupdate.exe. Během
ruční aktualizace dochází k následujícím událostem:
1. Cyklus zpracování zásad skupiny začíná procesem detekce pomalého připojeni.
K tomu dochází i při spouštění počítače (stejně jako v předchozím příkladu).
Úpravy
zásad
510
Kapitola 13 - Struktura a zpracování zásad skupiny
Jestliže je přihlášen nějaký uživatel, proces detekce pomalého připojení se
pakujt podle nastavení sekce User Configuration (Konfigurace uživatele).
nej.
prve uživatelské zpracovaní. Klient zásad skupiny běžící na uživatelově počítač-
zašle službě Active Directory dotaz, jímž získá seznam objektu GPO, které se
mají aplikovat. Stejný proces se provede pro účet počítače.
3.	Službě Active Directory jsou zaslány požadavky na informace o objektech GpQ
(jak bylo zmíněno dříve).
4.	Rozšíření CSE zpracují své seznamy objektů GPO, přičemž podle potřeby kon-
taktují službu Active Directory a složku SYSVOL. Implicitně se zpracují pouze ty
objekty GPO, jejichž nastavení se změnila od těch, která byla naposledy uložena
do mezipaměti. Jestliže je přihlášen nějaký uživatel, zpracování pro počítač
a uživatele může proběhnout současně.
5.	Jak rozšíření CSE postupně dokončují svá zpracování, zapisují data množiny
RSoP do WMI na daném počítači.
Jak vidíte, zpracování zásad skupiny na pozadí se od zpracování na popředí zas to-
lik neliší - používají se stejné protokoly a provádějí se stejná rozhodnutí založená
na tom, zda má uživatel či počítač přístup k objektům GPO, zda se objekty GPO
změnily od posledního procesního cyklu atd.
/ Tip Chcete-li získat lepší přehled o zpracování zásad skupiny, můžete na vašich počítačích se
systémem Windows zapnout podrobné protokolování userenv. Pro zpracování jednotlivých
rozšíření CSE je k dispozici také další protokolovaní. Problematice protokolování se podrob-
ně věnuje 16. kapitola.
Sledování detekce pomalého připojení
Vzhledem k tomu, že na pomalém připojení se určitá rozšíření CSE nezpracovávají,
může být řešení problémů se zásadami poměrné komplikované. Tabulka 13-9 ob-
sahuje výchozí chování rozšíření CSE na pomalém připojení.
TABULKA 13.9: Chování rozšíření CSE při pomalém připojení
Rozšíření CSE	Zpracuje se na pomalém připojení
Security (Zabezpečení)	Ano (nelze zablokovat)	
IP Security (Zásady zabezpečení IP)	Ano	
EFS Recovery (Obnovení EFS)	Ano	
Wireless Network (Bezdrátové sítě)	Ano	
Administrativě Templates (Šablony pro správu)	Ano (nelze zablokovat)	
Scripts (Skripty)	Ňe	
Folder Redirection (Přesměrování složek)	Ne	
Software Installation (Instalace softwaru)	Ne	
IE Maintenance (Zasady údržby Internet	Ne	
Exploreru)
Princip zpracování zásad skupiny
pomocí zasad Administrativě Templates (Šablony pro správu) můžete upravit cho-
vání těchto rozšíření CSE ohledně detekce pomalého připojení (viz 3- kapitola).
Hlavním problémem souvisejícím s detekcí pomalého připojení je, že je závislá na
dostupnosti síťového protokolu ICMP mezi počítačem, který zásady skupiny zpra-
covává a doménovým řadičem, z něhož se zasady skupiny získávají. Jestliže je pro-
tokol ICMP blokovaný nebo omezený, pak detekce pomalého připojení selže.
Nicméně blokovaný či omezený provoz protokolu ICMP má i horší dopad - dojde
k selháni samotného zpracovaní zásad skupiny.
K selhání zpracování dojde, když klient zásad zjisti, že se nemůže spojit s doménovým
řadičem, pro který je ověřen a zastaví zpracov ani zasad skupiny. Jestliže pracujete v sí-
ti, která má zablokovaný nebo omezený protokol ICMP, musíte tuto závislost na pro-
tokolu ICMP obejít. Konkrétně můžete zablokovat detekci pomalého připojení pro
sekce Computer Configuration (Konfigurace počítače) a User Configurati-
on(Konfigurace uživatele). Jak jsme zmiňovali již ve 3- kapitole, detekci pomalého
připojení zcela zablokujete tak, že zapnete zásady Group Policy Slow Link Detection
(Detekce pomalého pnpoiení zásad skupiny) nacházející se ve složkách Computer
ConfigurationXAdministrative TemplatesXSystemXGroup Policy (Konfigurace počí -
tačeXŠablony pro správuXSystémXZásady skupiny) a User ConfigurationXAdmini-
strative Templates\System\Group Policy (Konfigurace uživateleXŠablony pro
spravu\Systém\Zásady skupiny) a parametr Connection Speed (Rychlost připojení)
poté nastavíte na 0 Kbps.
Poznámka Mezi omezení, která mají vliv na detekci pomalého připojení, patří omezení veli-
kosti paketu provozu protokolu ICMP. Detekce pomalého připojení vyžadu-e zasílaní dato-
vých paketů o velikosti 2048 bajtů. Proto v případě, že je maximální povolená velikost
síťového paketu menší než tato hodnota, dojde k selhání detekce pomalého připojeni
a k selhání zpracování zásad skupiny.
Jestliže jste ve vaší síti protokol ICMP již zablokovali, nebude možné tyto zásady
aplikovat pomocí zasad skupiny. V takovém pí ípadě musíte pro tyto dvoje zásady
provést ruční distribuci odpovídajících změn registru. Aby byla detekce pomalého
připojení zcela zablokována, je potřeba zajistit nastavení těchto hodnot registru:
HKEY_LOCAL_MACHINE\Softwa re\Poli ci es\Mi crosoftXWindowsXSystem\GroupPolicyMi
nTransferRate = REG_DWORD 0
HKEY_CURRENT—USER\Software\Poli ci esXMi crosoftXWi ndows\System\GroupPoli cyMi n
TransferRate = REG_DWORD 0
Jakmile toto zajistíte, nebude zpracováni zásad skupiny již dále provádět detekci
pomalého připojení. Všechna připojení budou považovaná za rychlá.
Úpravy zpracování zásad zabezpečení
Chovaní rozšířeni CSE se muže lišit v závislosti na několika faktorech. Obecně se
dá říci, že rozšíření CSE nezpracují objekt GPO, který se od posledního zpracování
zásad skupiny nezměnil. Určitá rozšíření CSE objekt GPO nezpracují v případě, že
bylo detekováno pomalé připojeni. Některá rozšíření CSE objekt GPO nezpracují
v případě, ze události iniciující zpracovaní je aktualizace na pozadí. Jak již bylo ře-
čeno ve 3- kapitole, detekci pomalého připojeni a aktualizaci na pozadí můžete op-
timalizovat pomocí zásad nacházejících se ve složce Computer ConfigurationX
512
Kapitola 13 - Struktura a zpracování zásad skupiny
Administrativě Templates\System\Group Policy (Konfigurace počítačeXŠablony
správu\Systém\Zásady skupiny).
Pro
Jedna z uprav chování rozšíření CSE, která není dostupá v zásadách Administrativ
Templates souvisí se zpracováním zásad zabezpečení. Rozšíření CSE zásad Secu
zpracovává odpovídající nastavení zabezpečení každých 16 hodin na počítačích, kte '
nejsou doménovými řadiči a každých pět minut na doménových řadičích, a to
i v případě, že se tato nastavení nezměnila. Tento mechanismus zajišťuje, že důležitá
hlediska konfigurace zabezpečení zásad skupiny jsou aplikována i tehdy,
v objektu GPO nedošlo k žádným změnám. Tento interval lze podle potřeby snížit
či zvýšit prostřednictvím změny registru. Hodnota, která řídí procesní interval je:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NTXCurrentVersion\Winlogon\
GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}\
MaxNoGPOLi stChanges!nterval
Tato hodnota je implicitně nastavena na 960 (hexadecimálně je to 0x3C0), což je počet
minut mezi aktualizacemi. Interval můžete upravit zvýšením či snížením této hodnoty.
Chcete-li tuto změnu zavést na vaše počítače, můžete vytvořit vlastni soubor .adm, kte-
rý vám umožní tuto změnu spravovat centrálně. Další informace o tvorbě vlastních
souborů .adm najdete ve 14. kapitole.
Procesní interval zpracování zásad zabezpečení neupravujte, aniž byste předtím
dobře zvážili dopad této změny na vaše síťové prostředí. Obecně se dá říci, že bys-
te tento interval měli měnit pouze, když k tomu máte opravdu dobrý důvod. Jestli-
že například pracujete ve vysoce zabezpečeném prostředí, které operuje 24 hodin
denně, možná budete chtít, aby se zasady Security aktualizovaly častěji než obvykle
(např. každých 12 hodin). V takovém případě nastavte aktualizační interval zásad
Security na 720 minut a hodnotu registru MaxNoGPOListChangesInterva* na 0x2D0
(to je hexadecimální vyjádření čísla 720).
Historie a stavová data zásad skupiny
Na všech počítačích, které jsou příjemci zásad skupiny, jsou v registru uloženy sta-
vové informace a historie o objektech GPO, které byly zpracovány. Součástí zpra-
cování zásad je uložení informací o členství ve skupinách. Mezi klíče registru, které
tyto informace obsahují, patří:
	HKEY LOC VL MACHINEX SOFTWARE XMicrosoftXWindowsX CurrentVersionX
Group PolicyXHistory Používá se k uložení dat historie zásad skupiny.
	HKEY CLRRENT l JSERX SOFTWARE X MicrosoftXWindowsX CurrentVersionX
Group PolicyXState Používá se k uložení stavových dat zásad skupiny.
	HKEY_LOCAL_MACHINE\SOFrWARE\Microsoft\Windows\CurrentVersion\
Group PolicyXGroupMembership Používá se k uložení informaci o členství
ve skupinách u počítače, pro který se zpracovaly zásady.
	HKEY CITIRENTJUSERXSOFTWAREX MicrosoftX WindowsX CurrentVersionX
✓
Group PolicyXGroupMembership Používá se k uloženi informací o členství
u uživatelů, pro které se zpracovaly zásady.
Tyto klíče a jejich hodnoty jsou podrobněji popsány v následujících oddílech.
Princip zpracování zásad skupiny
513
Historická data zásad skupiny
Historická data zásad skupiny jsou uložena v registru na cestě HKEY_LOCAL MACHINE\
SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\His tory. Historická da-
ta jsou důležitá především, když je potřeba určit, zda se zpracovávaný objekt GPO
změnil od posledního zpracování. Z tohoto důvodů se uchováván infonnace o verzích
a další podrobnosti o zpracovávaných objektech GPO pro pozdější použití. Jednotlivé
klíče pod klíčem History reprezentuji zpracovávané rozšíření CSE a jsou pojmenované
podle identifikátoru GUID souvisejícího rozšíření CSE. V dalším kroku se uloží histo-
rická data ze zpracování rozšíření CSE Administrativě Templates CSE do klíče
HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVerš i on\Group Poli cy\
History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}.
Uspořádání historických klíčů podle identifikátorů GUID odpovídajících rozšíření CSE
usnadňuje srovnáni dříve zpracovaných objektu GPO. Indexovaný (0, 1, 2 atd.) se-
znam klíčů nacházející se pod klíči rozšíření CSE slouží k uchován:' informací souvise-
jících s objekty GPO, které byly daným rozšířením CSE zpracovány během posledního
procesního cyklu (viz Obrázek 13-11). Hodnoty uložené v těchto klíčích zahrnují po-
pisný název objektu GPO, identifikátor GUID, cestu ke kontejneru GPC a šabloně
GPT a především číslo verze objektu GPO z doby jeho posledního zpracování.
Informace o verzích se používají k porovnání právě zpracovávaného objektu GPO
s tůn. který byl zpracován předtím. Jestliže má zpracovávaný objekt GPO vyšší číslo
verze než to. které je uložené v registru, rozšířeni CSE pokračuje v jeho zpracování.
Jestliže je číslo verze stejné jako číslo v registru, rozšířeni CSE zastaví zpracování
objektu GPC) (pokud jste nepřetížili výchozí chování daného rozšíření CSE).
Poznámka Číslo verze objektu GPO, který má být zpracován by nikdy nemělo být nižší než
hodnota uložená v registru. Jestliže se to ale opravdu stane, znamená to, že ve vaší infra-
struktuře zásad skupiny je nějaký problém. Jestliže je číslo verze objektu GPO rovno 0, pak
se nezpracuje, neboť se předpokládá, že v něm nejsou nastavené žádné zásady.
Historické informace jsou důležité i v další oblasti zpracování zásad skupiny, kterou
jsme se zatím nezabývali - seznam odstraněných objektu. Zde je popis principu
fungování tohoto seznamu:
1.	Počítač s operačním systémem Windows musí být schopen určit kdy se dříve
aplikovaný objekt GPO již neaplikuje. To se realizuje porovnáním historických
informací v registru s aktuálním seznamem objektu GPO pro zpracování.
2.	Jestliže se některé objekty GPO již neaplikují, počítá systém Windows s tím, že
může přijít požadavek na vzetí těchto nastavení zpět (jestliže rozšíření CSE tuto
akci podporuje). Objekty GPO, které se již neaplikují, se přidají do seznamu od-
straněných objektu GPO.
3.	Rozšířeni CSE, která jsou zodpovědná za odstraněné objekty GPO odstraní od-
povídající nastavení zásad. Jestliže se pro jedno rozšířeni přestane používat více
objektu GPO, nastavení se z hlediska přednosti odstraní v opačném pořadí, aby
tak byla zachována původní hierarchie zpracování.
Úpravy
zásad
514
Kapitola 13 - Struktura a zpracováni zásad skupiny
OBRÁZEK 13.11: Prohlížení historie objektu GPO v klíči registru CSE
Příklad použiti seznamu odstraněných objektu GPO múze být následující: Nastavení
Folder Redirection (Přesměrování složek) nabízí možnost, která vám v případě, že
se objekt GPO již nepoužívá, umožňuje přesměrovat složky zpět do jejich původní-
ho umístění. Aby se dalo zjistit, že se nějaký objekt GPO již nepoužívá, musí rozší-
ření CSE Folder Redirection před zpracováním zásad vytvoiít seznam odstraněných
objektů GPO. Jestliže to neudělá, složky nebudou moci být přesměrovaný zpět do
jejich původního umístěni.
Stavová data zásad skupiny
Stavová data zásad skupiny jsou uložena v registru na cestě HKEY_CURRENT_USER\
SOFTWARE\Microsoft\Windows\CurrentVersion\Group Pol icy\State. Stavové infor-
mace se používají především při protokolování množiny RSoP a poskytují informa-
ce o určitých aspektech posledního cyklu zpracování zásad. Některé z nich
informují například o tom, zda bylo během posledního procesního cyklu deteková-
no pomalé připojení, jaký byl čas v době posledního zpracování zásad, jaký by l
stav jednotlivých objektu GPO a stav zpracovaných objektu GPO. Jestliže se podi-
v' •
váté na obsah těchto stavových klíčů, uvidíte, že jsou uspořádány podle počítačů
(pod klíčem Machine) a podle uživatelů (pod klíči pojmenovaných podle identilika-
torů SID).
Klíče SID pro jednotlivé uživatele a klíče pro počítače mají tři společné podklíče:
	Extension-List
 GPLink-List
	GPO-List
Klíč Extension-List obvykle obsahuje podklíč s názvem {00000000-0000-000C-
0000-000000000000}. Tento identifikátor GNID vyjadřuje hlavní modul zasad skupí'
Princip zpracování zásad skupiny
515
v klíči HKFY—LOCAL_MACHINE\SOFTWARE\Mícrosoft\Windows\CurrentVersion\Group Policy\
GroupMembershíp. Pro všechny uživatele, kteří se na počítač přihlásili, je v klíči
Úpravy
zásad
ny (Group Policy Engine). V tomto klíči najdete hodnoty (např. StartlimeLo,
StartTimeHi, EndTimeLo, EndTimeHi) ohledně konce a začátku posledního cyklu
zpracovaní zásad skupiny na úrovni počítače. Další klíče rozšíření obvykle obsahují
informace o protokolovaní množiny RSoP. Hodnota DiagnosticNamespace obsahuje
informaci o tom. který názvový prostor byl zpracován k protokolovaní (např.
\\ENGPC07\R00T\Rsop\Computer).
Tip Nástroj Gptime.exe, který se nachází na přiloženém CD, používá tyto informace
o začátku a konci ke tvorbě zpráv o časech a trvání posledního cyklu zpracování zásad skupiny.
V klíči GPLink-List jsou uvedeny všechny připojené objekty GPO, které byly daným
počítačem zpracovány a také stav jejich připojení (např. Enabled nebo Enforced).
Hodnota DsPath obsahuje rozšiřující název připojeného objektu GPO (např.
cn={9FC124A6-626F-4C4C-9BAE-D75B779D21BF}, cn=pol icies, cn=system, DC=cpandl,
DC=com). Hodnota SOM poskytuje informace o rozsahu platnosti, připojeného objektu
GPO, tzn. na jakou úroveň se vztahuje (např. DC=cpandl, DC=com pro objekt GPO vzta-
hující se na doménli). Pro objekt GPO místního počítače jsou hodnoty parametru
DsPath a SOM nastaveny na Local GPO a Local.
\ klíči GPO-List jsou uloženy informace o zpracovaných objektech GPO. Hodnota
AccessDenied indikuje, zda byl určitý objekt GPO vynechán kvůli bezpečnostnímu
filtrovaní. Hodnota GPO-Di sabl ed nese informace o tom, zda byl objekt GPO zablo-
kován. Hodnota Options nese podrobné informace o parametrech, které byly na
objektu GPO nastaveny (např. zda byla zablokovaná sekce Computer Configuration
(Konfiguiace počítače) nebo User Configuration (Konfigurace uživatele) objektu
GPO). Hodnota GPOID obsahuje identifikátor GUID objektu GPO. Informace klíče
GPO-List se používají při tvorbě zprav o množině RSoP pomocí nástroje iako je
např. Gpresult.exe nebo průvodce konzoly GPMC Group Policy Results Wizard.
Klíče jednotlivých uživatelů pojmenované podle jejich identifikátoru mají ještě dva
podklíče: Loopback-GPLink-List a Loopback-GPO-List. Tyto podklíče se používají
ke změně výchozího režimu zpracování ve zpětné smyčce. Klíč Loopback-GPLink-
Li st obsahuje informace o všech připojených objektech GPO, které byly zpracová-
ny ve zpětné smyčce a Loopback-GPO-List obsahuje informace o objektech GPO
zpracovávaných ve zpětné smyčce.
Data členstvr ve skupinách
Zásady skupiny ukládají informace o členství ve skupinách do mezipaměti, aby by-
lo možné dohledat, do kterých skupin zabezpečení patří daný počítač a aktuálně
nostní filtrovaní ovlivní seznam objektu GPO, které je potřeba zpracovat. Protože se
jedná o důležitě informace, aktualizuji se při každém zpracování zasad. Informace
o členství se také používají k poskytnutí výstupních podrobností pro nastroj
516
Kapitola 13 - Struktura a zpracování zásad skupiny
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVerš i on\Group p0-.
< i den t i f i kátor SID už i vatel e>\GroupMembershi p uložen seznam skupin (p, . jje •
rifikátorů SID), do kterých patří.	n'
'Peč-
GroupO, Groupl, Group2 atd., ktere obsahují identifikátory SID souvisejících beá '
nostních skupin. Najdete zde také hodnotu Count, která udává počet všech pjat'
ných bezpečnostních skupin. Jestliže se aplikují například čtyři skupiny, hodnot;
parametrů Count bude 4 a existoval budou klíče GroupO, Groupl, Group2 a Group3
13.5 Procházení struktury
místního objektu GPO
Lokální objekty zásad skupiny (objekty LGPO) nelze spravovat pomocí konzoly
GPMC. V konzole GPMC jsou viditelné pouze v rámci zpráv o protokolování množiny
RSoP, které obsahují nastavení objektu LGPO, která byla aplikována v rámci běžnéh .
zpracovaní zásad. K objektu LGPO vašeho počítače se ale můžete kdykoliv dostat takr
že do příkazového řádku zadate příkaz gpedit.msc. Chcete-li pracovat s objektem
LGPO vzdáleného počítače, musíte postupovat podle návodu uvedeného ve 2. ka-
pitole v oddíle „Pi ístup k místním zásadám na vzdáleném počítači“.
Vytváření a použití objektu LGPO
Když se provádí čista instalace nového počítače s operačním systémem Microsoft
Windows XP Professional nebo Microsoft Windows Server 2003, ještě žádný objekt
LGPO neexistuje. Objekt LGPO sc vytvoří, kdvž se do něj poprvé pokusíte vložit na-
stavení. Jestliže se například pomoci nástroje Gpedit.msc pokusíte objekt LGPO pro-
hlížet, dojde k jeho vytvořeni a současně se v zásadách skupiny vytvoří i speciální
složka (%Wi ndi r%\System32\ GroupPolícy). Na počítačích bez objektu LGPO samo-
zřejmě při zpracovaní na popředí nebo na pozadí nedochází ke zpracování objektu
LGPO. K aplikaci zásad z objektu LGPO dochází pouze, kdy ž jsou v objektu LGPO
nějaka nastavení (to poznáte tak, že má soubor Gpt. i ni nenulové číslo verze).
Při provádění změn nastavení objektu LGPO na počítači s operačním systémem
Microsoft Windows XP nebo novějším mohou byt některá nastavení zasedlá To se
může stát, neboť nastavení zasad povolena nebo zablokovaná prostřednictvím do-
ménových zásad nelze přetížit nastaveními objektu LGPO. V operačním systému
Microsoft Windows 2000 bylo možné nakonfigurovat nastaveni objektu LGPO, která
bylo možné přetížit zásadami pracoviště, domény nebo organizační jednotky.
V operačních systémech Microsoft Windows XP Professional nebo novějších jsou
v rozhraní tato na sta voní zasedlá, protože žádné lokálně provedené změny nasta-
vení zásad nepřetíží zásady pracoviště, domény nebo organizační jednotky.
Nastavení ostatních objektu GPO nemají žádný vliv na objekt LGPO. Jestliže někde
v doméně povolíte, nebo zablokujete nějaké nastavení, nebude to mít žádný vliv na
to, co uvidíte v objektu LGPO. Nastavení, která v objektu LGPO vidíte, jsou jedno-
duše ta nastavení, která v objektu LGPO administrátor nastavil.
Procházení struktury místního objektu CPO
517
Struktura objektu LGPO
Lokální objekty GPO jsou strukturované trochu odlišně než objekty GPO služby Active
Directory. Objekt LGPO je uložen na místním systémovém souboru vašeho počítače
s operačním systémem Windows - konkrétně ve složce XWindirX\System32\
GroupPol i cy. Když si prohlédnete objekt LGPO nějakého počítače se systémem Win-
dows. tak uvidíte, že jeho souborová struktura se podoba struktuře šablony GPT ob-
jektu GPO služby Active Directory. Nacházejí se v ní složky ADM, Machine, User
a soubor Gpt.ini obsahující informace o verzi daného objektu LGPO.
Atributy gPCMachineExtensionNames a gPCMachineUserNames, ktere se nacházejí
v souboru Gpt.ini objektu LGPO, jsou uložené právě zde, neboť není k dispozici
žádný kontejner GPC, v němž by mohly být uloženy. Tyto atributy slouží kt stej-
nému účelu jako jejich protějšky služby Active Directory. Tyto informace se použí-
vají při zpracováni zásad skupiny a říkají, která rozšíření CSE by se měla na místním
objektu GPO spustit, v závislosti na tom, které oblasti zásad byly nastaveny.
Ve složkách Machine a User složky zásad skupiny najdete soubor Regi stry. pol,
který obsahuje nastavení zásad Administrativě Templates. Jestliže jste nadefinovali
uživatelské nebo počítačové skripty, najdete také složku skriptu obsahující pod-
složky pro skripty při spuštění, vypínání, odhlášení a skripty přihlašovací. Jestliže
pro lokální objekt GPO ale nadefinujete zásady zabezpečení, změny se provedou
přímo do databáze zabezpečení místního počítače. (Namísto toho, aby byly ve
složce zasad skupiny uloženy v nějakém souboru.) Databáze zabezpečení je ulože-
na ve složce XWindor\Security\Database v souboru Secedit.sdb.
Správa a údržba objektů LGPO
Vzhledem k tomu, že objekt LGPO nelze spravovat pomoci konzoly GPMC, nemůžete
provádět mnoho operací podporovaných touto konzolou. Nejdůležitějši z těchto ope-
rací je možnost zálohovat a kopírovat objekt LGPO mezi počítači. Chybějící mecha-
nismus pro kopírování objektů LGPO není zas až takovým problémem, neboť
nastaveni objektu LGPO mají podobu souboru, proto je prostě můžete mezi počítači
kopírovat.
Jestliže v objektu LGPO provedete na jednom počítači nějaké změny a potřebujete ie
rozšířit na další počítače, ale nemáte možnost je do služby Active Directory zavést
(preferovaný způsob zavádění zásad skupiny) - jedním příkazem můžete obsah slož-
ky %WindirX\System32\GroupPolicy kopíroval mezi počítači. Řetězec NewComputer vy-
jadřuje název počítače, na který chcete lokální nastavení zásad zkopírovat:
xcopy %wi ndir%\system32\GroupPoli cy
\\NewComputer\admin$\system32\GroupPoli cy /e
Mezi počítači nemusíte kopírovat celou sadu zásad. Zkopírovat můžete pemze část na-
stavení zásad. Jestliže chcete například kopírovat místní nastavení šablon pro správu,
stačí zkopírovat soubor Regi stry. pol. V případě, že jste na nějakém počítači nadefi-
novali v objektu LGPO skript při spouštění a chcete jej rozdistribuovat na ostatní počí-
tače valcho prostředí, můžete na vzdáleno počítače jednoduše zkopírovat obsah
složky %Wi ndi r%\System32\GroupPol i cy\User\Scri pts\Logon (včetně souboru
Scri pts. i ni) a skript tím bude zaveden. Na cílovém počítači je také potřeba upravit
soubor Gpt. i ni, aby byla v seznamu rozšíření uvedena odpovídající rozšířeni CSE.
Úpravy
zásad
Úpravy šablon
pro správu
Obsah kapitoly:
14.1	Co je šablona pro správu?.........................................522
14.2	Vytváření vlastních souborů .adm..................................532
14.3	Příklad jednoduchého souboru .adm.................................533
14.4	Jazyk souborů .adm................................................534
14.5	Doporučené postupy................................................555
14.6	Shrnutí...........................................................557
518
Kapitola 13 - Struktura a zpracování zásad skupiny
ená~
Jestliže potřebujete zkopírovat zásady zabezpečeni mezi místními počítači,
zkopírovat databázi zabezpečení (Secedi t. sdb) umístěnou ve složce %wi ndi r%\s
rity\datdbase. Nicméně, ne všechny změny týkajíc' se zabezpečení jsou zaznai
ny v databázi zabezpečení. Proto je možné vytvořit šablonu zabezpečení, která
reprezentovat vaše místni zásady zabezpečení, a aplikovat ji na všechny vaše počítá^
pomocí nástroje Secedit.exe. Další podrobnosti o přizpůsobování šablon zabj J
v *	• 1 .	1 f 1	1	Rc—
Tip Kdykoliv pracujete s objektem LGPO, musíte zajistit, aby číslo verze souvisejícího soubor
Gpt.i ni bylo větší než 0. Jestliže například zkopírujete soubor Registry, pol z objektu LGPq
jednoho počítače na jiný počítač, který předtím neměl definované žádné místm zásady skupiny
bude mít číslo verze na takovém objektu LGPO hodnotu 0. Jestliže toto číslo nezměníte, bude otř
jekt LGPO při zpracování zásad skupiny vynechán. Proto se doporučuje číslo verze v souboru
Gpt. i ni zvětšit, aby bylo vyšší než 0 a současně vyšší než číslo verze platné při posledním proces-
ním cyklu. V opačném případě nebudou vaše nova nastaveni zásad nikdy zpracována.
Řízení přístupu k objektu LGPO
Omezení přístupu počítače k objektu LGPO by nemělo žádný smysl, neboť objekt
LGPO může zpracovávat pouze jeden počítač. Na druhou stranu je někdy potřeba
řídit, kteří uživatelé budou místní objekt GPO zpracovávat. Bohužel ale není
k dispozici žádný nástroj pro práci se zásadami skupiny, který by umožňoval dele-
gování a bezpečnostní filtrování objektu LGPO.
Omezeným způsobem jak na objektu LGPO spravovat zabezpečení, je upravit na
souborech tvořících objekt LGPO oprávnění NTFS. Jestliže například nechcete, aby
se na mistr- správce aplikovala omezení plochy, můžete správcům zakazat zpraco-
vání zásad Administrativě Templates - tedy soubor registry.pol.
Soubor Registry.pol se nachází ve složce XWindi rHSystem32\GroupPol icy\User.
Tento soubor implicitně obsahuje práva Administrators Full Control. Odstraníte-'i
pro skupinu Administrators oprávněni Read. zabráníte místním správcům ve čteni
(a Lim pádem zpracování) souboru Regi stry. pol. Posk)Tnete-h oprávněni Write,
docílíte toho, že skupina Administrators bude mít i na dále možnost upravovat zása-
dy Administrativě Templates.
Poznámka Řízení přístupu k objektu LGPO se vztahuje pouze na uživatele, kteří se na poč‘
tač přihlásí pomocí místních pověření. Jestliže se na počítač přihlásí doménový uživatel, mů-
žete pro jeho správu použít doménový objekt GPO.
------------------------------------------------------------------------- __
\ Tip Stejně snadno můžete měnit oprávněni NTFS na ostatních souborech zasad (včetně skrip-
tů a zásad pro správu aplikace Internet Explorer). Pamatujte si ale. že tento přístup není pří-
liš dobie řiditelný. Upravování výchozích oprávnění je vždy riskantní, a když uděláte chybu,
můžete zablokovat použití důležitých nastavení zásad Z tohoto důvodu všechny změny
před nasazením do produkčního prostředí vždy dobře otestujte.
13.6 Shrnutí
V rámci zásad skupiny mají všechny objekty GPO logické a fyzické vyjádření. Lo-
gická část objektu GPO je kontejner zásad skupiny (GPC), který je uložen v úložišti
služby Active Directory. Fyzickou časti je šablona zásad skupiny (GPT), která je
ulcpžena na doménových řadičích. Jestliže této struktuře a způsobu jakým se zpra-
covává, porozumíte, budete schopni řešil i složité problémy zasad skupiny. Vzhle-
dem k tomu, že objekty LGPO kontejner GPC a šablonu GPT nemají, je většina
nastavení zásad uložena na disku lokálního počítače. Nastavení objektu LGPO ulo-
žená v souborech můžete spravovat jen v omezené míře. Dělá se to především
pomocí příkazu pro kopírování a konfigurací oprávnění souborového systému.
Úpravy
zásad
522
Kapitola 14 - Úpravy šablon pro správu
Systém Microsoft Windows Server 2003 využívá šablony pro správu, které jsou sou
částí zásad skupiny, ke konfiguraci nastavení registru. Po uvolnění aktualizace
Windows Server 2003 SPI je součástí nového objektu zásad skupiny (Group Policy
Object - GPO) více než 1300 výchozích nastavení, definovaných šablonami pro
správu. 1 přesto však budete mnohdy potřebovat upravit další nastavení. K tomuto
účelu si budete vytvářet vlastní šablony pro správu.
V teto kapitole se budeme šablonami pro správu zabývat podrobněji. Ukážeme
vám, jak se pomocí Šablon pro správu, tvořících součást objektu zásad skupiny, vy-
tváří rozhraní. Dále vám popíšeme způsob členění šablony pro správu, umožňující
změny hodnot a dat registru. Administrativě Templates (Šablony pro správu) jsou
nesporně integrální součástí zásad skupiny. Microsoft je využívá již od dob systému
Microsoft Windows 95 a Windows NT, u nichž systémové zásady představovaly
jednu ze základních metod řízení zabezpečení a výpočetního prostředí.
Další informace:
	V kapitole 6 najdete detaily o využití šablon pro správu ke konfiguraci desktopů.
	Zajímají-li vás informace týkající se využití šablon pro správu sady Microsoft Office,
pak si z adresy http://office.microsoft.com/en-us/FX011511471033.aspx stáh-
něte nástroj Office Resource Kit.
14.1 Co je šablona pro správu?
soubory šablon pro správu popisují umístění nastavení zásad v registru. Soubory
šablon pro správu, obvykle označované jako soubory .adm, však nemají žádný vliv
na samotné zpracování zásad příslušným rozšířením na straně klienta (CSE - Client-
Sidt Extension). Soubory .adm pouze ovlivňují způsob zobrazení nastavení zásad
v modulu snap-in Group Policy Object Editor (Editor objektů Zásady skupiny). Je-li
soubor .adm odstraněn z objektu zásad skupiny (GPO - Group Policy Object), pak
se nastavení odpovídající příslušnému souboru .adm nezobrazí v modulu Group Po-
licy Object Editor (Editor objektu Zásady skupiny).
Soubory .adm jsou textovými soubory, obsahujícími znaky Unicode. Díky těmto
souborům můžete upravovat nastavení zásad, které budou uloženy v registru, po-
mocí modulu Group Policy Object Editor (Editor objektů Zásady skupiny). Jakmile
v modulu Group Policy Object Editor (Editor objektů Zásady skupiny) změníte ně-
jaké nastavení nakonfigurované souborem .adm, isou informace o tomto nastavení
uloženy do souboru Regi stry. pol, umístěného v šabloně zásad skupiny daného
objektu zásad skupiny. To znamena, že skutečné nastavení zásad je uloženo
v souboru Registry.pol. Díky tomu můžete soubor .adm odstranit z objektu zasad
skupiny. Nastavení zásad však i poté v souboru Registry.pol zůstane a bude nadá-
le používáno při konfiguraci příslušného počítače či uživatele.
Standardními šablonami pro správu je definováno více než 1300 různých nastavení,
přičemž administrátoři mohou přidat stovky dalších.
Co je šablona pro správu?
523
Výchozí soubory .adm
Systémy Windows 2000, Windows XP a Windows Server 2003 jsou dodávány s ně-
kolika výchozími soubory .adm. Tyto soubory jsou využívány při vytváření výchozí-
ho rozhraní části Administrativě Templates (Šablony pro správu) objektu zásad
skupiny. Seznam výchozích souboru .adm najdete v tabulce 14.1.
TABULKA 14.1: Výchozí soubory .adm
Šablona .adm	Popis
Common.adm	Nastavení zásad pro uživatelské rozhraní, společné systémům Windows NT 4.0 a Windows 9x. Soubor je připraven tak, aby jej bylo možné upravovat pomocí editoru systémových zásad (poledit.exe).
Conf.adm	Nastavení zásad umožňující konfiguraci aplikace Microsoft NetMeeting. Tento soubor je standardně načítán v systémech Windows 2000 Server, Windows XP a Windows Server 2003. (Soubor není dostupný u 64bitových verzí systémů Windows XP a Windows Server 2003.)
Inetcorp.adm	Nastavení zásad pro vytáčená připojení, nastavení jazyka a řízení obsahu složky dočasných souborů Internetu (Temporary Internet Files).
Inetres.adm	Nastavení zásad umožňující konfiguraci prohlížeče Microsoft Internet Explo- rer. Tento soubor je standardně nač>tán systémy Windows 2000 Server, Windows XP a Windows Server 2003.
Inetset.adm	Nastavení zásad sloužící ke konfigurad dalších nastavení prohlížeče Internet Explorer: například automatického dokončování, zobrazení a některých po- kročilých nastavení.
Úpravy
System, adm Nastavení zásad umožňující konfiguraci operačního systému. Tento soubor
je standardně načítán systémy Windows 2000 Server, Windows XP
a Windows Server 2003. 
Windows. adm Obsahuje nastavení zásad, umožňující konfigurad těch vlastností zobrazení,
které jsou specifické pro systémy Windows 9x. Soubor je připraven tak, aby
jej bylo možné upravovat pomocí editoru systémových zásad (poledit.exe).
Wi nnt. adm Obsahuje nastavení zásad umožňující konfiguraci těch vlastností zobrazení,
které jsou spedfické pro systém Windows NT 4.0. Soubor je připraven tak,
aby jej bylo možné upravovat pomocí editoru systémových zásad (pole-
dit.exe).	____
Wmpl ayer. adm Nastavení zásad sloužící ke konfigurad přehrávače Windows Media Player.
Tento soubor je standardně načítán systémy Windows XP a Windows Server
2003. (Soubor není dostupný u 64bitových verzi systémů Windows X
a Windows Server 2003.)______________________________________________________
Wuau. adm Nastavení zásad umožňující konfiguraci služby automatických aktualizací.
Tento soubor je standardně načítán systémy Windows 2000 Service Pack 3
(SP3), Windows XP Service Pack 1 (SPI) a Windows Server 2003.
Soubory .adm, dodávané se systémy Windows 2000 Server, Windows XP řrofessio-
nal a Windows Server 2003, jsou uloženy ve složce %windir%\inf.
Existují další soubory .adm, které umožňuji nastavování zabezpečeni, konfiguraci pro-
hlížeče Internet Explorer, sady Microsoft Office a dalších. Některé aplikace jsou také
524
Kapitola 14 - Úpravy šablon pro správu
a nastavení těchto aplikaci. V tabulce 14.2 naleznete přehled souboru . adm, sloužíc' k
ke konfiguraci sady Office 2003 a prohlížeče Internet Explorer. Tyto soubory jsou sOu
části sady Office Administration Kit a sady Windows Server 2003 Resource Kit.
Práce se soubory .adm
Získání či příprava souboru . adm je pouze prvním krokem celého procesu aktualizace
registru cílového počítače či uživatelského účtu. Po získaní tohoto souboru jej musíte
správně vložit do struktury objektu zásad skupiny. To znamená že soubor . adm musí-
te naimportovat do toho objektu zásad skupiny, který bude použit při spouštění vy-
braného počítače či přihlášení uživatele. Nastavení, která jsou definovaná v souboru
. adm, se zobrazí poté, kdy objekt zasad skupiny otevřete v modulu Group Policy Ob-
ject Editor (Editor objektů Zasady skupiny). Pak budete moci začít s úpravami zásad
Několik výchozích souborů .adm je importováno do každého standardního objektu
zásad skupiny, čímž je vytvořena standardní sekce Administrativě Templates (Šab-
lony pro správu), nacházející se jak v uzlu Computer Configuration (Konfigurace
počítače), tak i v uzlu User Configuration (Konfigurace uživatele).
Standardně instalované soubory .adm
Každý nový objekt zásad skupiny obsahuje výchozí sekce Administrativě Templates
(Šablony pro správu). Tyto sekce obsahuji tři či více souboru .adm, a to v závislosti
na operačním systému, se kterým pracujete. Níže následuje přehled souborů .adm
a operačních systému, ve kterých jsou standardně využívány:
	Windows 2000: Conf.adm, Inetres.adm, System.adm. (Soubor Wuau.adm je stan-
dardně instalován na počítačích se systémem Windows 2000 SP3 či vyšším.)
	Windows XP Professional: Conf.adm, Inetres.adm, System.adm, Wmplayer.adm.
(Soubor Wuau.adm je standardně instalován na počítačích se systémem Windows
XP SPI či vyšším.)
	Windows Server 2003: Conf.adm, Inetres.adm, System.adm, Wmplayer.adm,
Wuau.adm.
Každá nová verze operačního systému s sebou přináší další funkce a vlastnosti, vy-
žadující řízení. Součástí systému Windows XP se stal soubor .adm, umožňující kon-
figuraci přehrávače Windows Media Player. Systém Windows Server 2003 přidal
nový soubor .adm, sloužící k řízení služby automatických aktualizaci a služby Soft-
ware Update Senice (SUS). Přitom standardní soubory .a cm se při uvádění nověj-
ších verzí operačních systému mění jen velice málo.
Než začnete přidávat či odstraňovat jakékoliv soubory .adm, měli byste si prohlédnout
seznam standardních souborů .adm, využívaných ve všech nových objektech zásad
skupin, vytvářených na počítači se systémem Windows Server 2003 (viz obr. l i l).
Co je šablona pro správu? 525
TABULKA 14.2: Soubory .adm umožňující konfiguraci sady Office 2003
a prohlížeče Internet Explorer
Šablona .adm Popis
sady Office
Aer_l033.adm Nastavení zásad umožňující konfiguraci klienta zasílání zpráv o chybách sady
Microsoft Office 2003.
Accessll.adm Nastavení zásad sloužící ke konfiguraci aplikace Microsoft Access 2003.
Dw20. adm Soubor .adm určený ke konfiguraci starších verzí klienta zasílání zpráv
o chybách. Nahrazen souborem Aer_1033.adm.
Excelll.adm Nastavení zásad sloužící ke konfiguraa aplikace Microsoft Excel 2003.
Fpll.adm	Nastavení zásad sloužící ke konfiguraa aplikace Microsoft FrontPage 2003.
Galii.adm	Nastavení zásad sloužící ke konfiguraa aplikace Microsoft Clip Organizer.
Infll.adm	Nastavení zásad sloužící ke konfiguraa aplikace Microsoft InfoPath 2003.
Instlrll.adm	Nastavení zásad sloužící ke konfiguraa služby Microsoft Installer.
Offi cell.adm	Nastavení zásad sloužící ke konfiguraa společných nastavení sady Microsoft Office.
Onentll.adm	Nastavení zásad sloužící ke konfiguraa aplikace Microsoft OneNote 2003.
Outlkll.adm	Nastavení zásad sloužící ke konfiguraa aplikace Microsoft Outlook 2003.
Ppt 11. adm Nastavení zásad sloužící ke konfiguraa aplikace Microsoft PowerPoint 2003.
Úpravy
zásad
Publ 1. adm Nastavení zásad sloužící ke konfiguraa aplikace Microsoft Publisher 2003.
Wo rdi1.adm	Nastavení zásad sloužící ke konfiguraa aplikace Microsoft Word 2003.
Aaxa.adm	Nastavení zásad umožňující konfiguraci datových vazeb.
Chat.adm	Nastavení zásad sloužící ke konfiguraa aplikace Microsoft Chat.
Inetesc.adm	Soubor .adm umožňující konfiguraa rozšířeného zabezpečení prohlížeče In- ternet Explorer.		
Oe.adm	Soubor .adm umožňující nastavení správce identit aplikace Microsoft Outlo- ok Express. Chcete-li uživatelům zabránit v provádění změn identit, pak pou- žijte tento soubor.		
Splshel1.adm	Soubor .adm umožňující konfiguraci systému Active Desktop.			
Subs.adm	Obsahuje zásady umožňující nastavení stránek offline.		 	
Wmp.adm	Obsahuje zásady umožňující nastaveni přehrávače Windows Media Player,
panelu nástrojů Rádio Toolbar a nastavení sítě.
526
Kapitola 14 - Úpravy šablon pro správu
OBRÁZEK 14.1 : Standardní soubory .adm, využívané v objektech zásad skupin systému
Windows Server 2005
Tipy pro importování souborů .adm
Chcete-li použít určitý soubor . adm ke konfiguraci nějakého nastavení zásad v objektu
zásad skupiny, musíte jej nejprve do tohoto objektu naunportovat. Budete-li při im-
portu souboru .adm postupovat podle následujících tipů, měl by celý proces proběh-
nout hladce a bez chyby:
	Ujistěte se, že syntaxe souboru . adm je správná. Pokud není, zobrazí se v průběhu
importu chybové hlášení, z něhož bude zřejmé, že v soúbtxru .adm byla nalezena
chyba.
	Jeden soubor .adm může obsahovat |ak nastavení týkající se počítače, tak i nasta-
vení vztahující se na uživatele. Při zobrazování objektu zásad skupiny obsahují-
cího nově naimportovaný soubor .adm je Group Policy Object Editor (Editor
objektů Zásady skupiny) schopen obě sekce oddělit.
	Připravený soubor .adm můžete před importem do objektu zásad skupiny uložit
kam chcete. V průběhu importu se totiž zobrazí dialog, umožňující procházení
souboru na disku lokálního počítače či v síti.
	Jakmile naimportujete soubor .adm do nějakého objektu zásad skupiny, můžete
jej konfigurovat pouze v daném objektu. Chcete-li, aby nastavení nějakého sou-
boru .adm byla přístupná v několika různých objektech zásad skupiny, musíte
požadovaný soubor .adm naimportovat do všech objektů.
	Při importu souboru .adm je vytvořena jeho kopie ve struktuře objektu zásad
skupiny, uložené ve složce SYSVOL řadičů domény. Soubor .adm je nakopíro-
ván do podsložky Adm, nacházející se v té složce objektu zásad skupiny, která
je představovaná identifikátorem GUID daného objektu zásad skupiny.
Viz též Více informací o struktuře objektu zásad skupiny a sdílené složce SYSVOL najdete
v kapitole 13.
Přidávání souborů .adm
Podívejme se nyní na příklad, ve kterém potřebujete přidat šablonu Visioll.adm do
objektu zásad skupiny, nazvaného OFFICE11. Přitom šablona Vi si oll. adm je uložena
na ploše počítače, v němž provádíte změny objektu zásad skupiny. Chcete-li šablonu
Co je šablona pro správu? 527
do objektu vložit, pak nejpne objekt OFFICE11 otevřete v modulu snap-in Group Po-
licy Object Editor (Editor objektů Zásady skupiny) a poté postupujte podle následují-
cího návodu:
1.	Pravým tlačítkem klepněte na uzel Administrativě Templates (Šablony pro správu),
nacházející se v sekci Computer Configuration (Konfigurace počítače) objektu zá-
sad skupiny. Poté zvolte Add Remove Templates (Přidat nebo odebrat šablony).
2.	V tomto dialogu klepněte na tlačítko Add (Přidat).
3.	Zobrazí se dialog Policy Templates (Šablony zásad), v jehož levé části klepněte
na Desktop (Plocha).
4.	V seznamu, který uvidíte, vyberte soubor Visioll.adrn. Klepněte na tlačítko
Open (Otevřít). Vrátíte se zpět do dialogu Add/Remove Templates (Pi idat nebo
odebrat šablony), v němž bude zobrazen soubor Visioll.adrn. Ukázku dialogu
vidíte na obrázku 14.2.
OBRÁZEK 14.2: Šablona Visioll.adrn po přidání do objektu zásad skupiny
5.	Klepněte na tlačítko Close (Zavřít).
6.	Jak je zřejmé z obrázku 14.3, po naimportování souboru .adm se v otevřenem ob-
jektu zásad skupiny zobrazí uzel Microsoft Visio se všemi nastaveními zásad.
Poznámka Standardně platí, že nová šablona zásad skupiny vznikne i v případe vytvoření no-
vých objektů zásad skupiny bez jakýchkoliv úprav. Takové šabloně však nejsou přiřazeny žádné
soubory .adm. Jakmile objekt zásad skupiny upravíte v modulu Group Policy Object Editor (Edi-
tor objektů Zásady skupiny), budou soubory .adm, uložené ve složce %wi ndi r%\i nf toho počí-
tače, na němž provádíte úpravy, zkopírovány do šablony zásad skupiny.
Odstraňování souborů .adm
V některých případech budete možná potřebovat odstranit nějaký soubor .adm
z objektu zasad skupiny. Je nutné zdůraznit, že v takovém případě z modulu snap-
in Group Policy Object Editor (Editor objektů Zásady skupiny) odstraníte veškerá
nastavení, která v něm byla vytvořena příslušným souborem .adm.
528
Kapitola 14 - Úpravy šablon pro správu
Poznámka Pokud jste před odstraněním souboru .adm z objektu zásad skupiny pomocí jeh0
nastavení vytvořili nějaké zásady, pak tato nastavení zásad zůstanou součástí objektu zásad
skupiny i po odstranění souboru . adm. Nastavení zásad nejsou totiž uložena v souboru .
ale v souboru Regi stry. pol. To znamená, že ještě před odstraněním souboru
z objektu zásad skupiny byste měli změnit všechna nastaveni, zpřístupněná daným soubo
rem .adm. Více informací o souboru Registry. pol najdete v kapitole 13.
OBRÁZEK 14.3. Nastavení zásad programu Microsoft Visio po přidání souboru Vision.adm do
objektu zásad skupiny
Podobně jako výše si nyní ukážeme příklad odstraňování souboru .adm. Chcete-li
z objektu zásad skupiny OFFICE11 odstranit soubor V i si oll. adm, pak postupujte takto:
1. Pravým tlačítkem klepněte na uzel Administrativě Templates (Šablony pro správu),
nacházející se v sekci Computer Configuration (Konfigurace počítače) objektu zá-
sad skupiny. Poté zvolte Add/Remove Templates (Přidat nebo odebrat šablony).
2. V dialogu Add/Remove Templates (Přidat nebo odebrat šablony) uvidíte seznam
šablon, v němž vyberte šablonu Vis i oll. a dm. Klepněte na tlačítko Remove
(Odebrat). Zvoleny soubor bude ze seznamu odstraněn.
3. Klepnutím na tlačítko Close (Zavřít) uzavřete dialog.
Správa souborů .adm
Po nějaké době začnete provádět změny vlastních souborů .adm, které jste již použili
v nějakých objektech zásad skupiny. Součástí systému jsou řídicí prvky, umožňující
aktualizaci nových verzí souboru .adm. Pro usnadnění tohoto procesu je vhodné
pro účely vytváření a úprav objektů zásad skupiny, vyčlenit jednu pracovní stanici.
Řízení aktualizací souborů .adm
Standardní nastavení řízení aktualizací souboru .adm zajišťuje, že součásti šablony
zásad skupiny daného objektu zásad skupiny je vždy nejaktuálnější verze souboru
.adm. Při provádění aktualizaci souboru .adm se systém řídí dvěma kritérii. Pivním
z nich je datum a čas (časová značka) souboru .adm. Časová značka lokálního sou-
Co je šablona pro správu?
529
boru .adm, uloženého ve složce Xwindir%\Inf, je porovnána s časovou značkou
souboru . adm, který je součástí šablony zásad skupiny. Je-li lokální soubor . adm no-
vější než ten, který je součástí šablony, pak je do Šablony nakopírován tento lokální
soubor. Původní verze souboru .adm je tak automaticky nahrazena novější. Druhým
kritériem je to, zda modul snap-in Group Policy Objecl Fditor (Editor objektu Zása-
dy skupiny) ma při tvorbě rozhraní uzlu Administrativě Templates (Šablony pro
správu) využívat soubor .adm umístěný v šabloně zásad skupiny, či nikoliv.
Toto chování systému se řídi dvěma nastaveními objektu zásad skupiny:
Turn Off Automatic Updates Of ADM Files (Vypnout automatickou aktualizaci
souboru ADM)
 Always Use Local ADM Files For The Group Policy Editor (Vždy používat místní
soubory ADM pro modul snap-in Editor objektů zásady skupiny).
Turn Off Automatic Updates Of ADM Files (Vypnout automatickou aktualizaci
souborů ADM) Toto nastavení objektu zásad skupiny se nachází v tomto umístění:
User ConfigurationXAdministrative TemplatesXSystemXGroup Policy (Konfigurace
uživateleXŠablony pro správu\Systém\Zásady skupeny). Nastavení popisované zása-
dy říká, zda se mají porovnávat časové značky obou výše uvedených sou borci .adm
a zda má být do šablony zásad skupiny kopírována nejaktualnější verze. Standardně
platí, že časové značky souborů jsou porovnávány a novější soubor je kopírován do
šablony zasad skupiny.
Je-li tato zásada nastavena na Enabied (Povoleno), pak časové značky souborů .adm
nejsou porovnávány, díky čemuž šablona zásad skupiny není aktualizována. Naopak
je-li tato zásada nastavena na Disabled (Zakázáno), časové značky souborů . adm jsou
porovnávaný. V takovém případě platí, že je-li soubor .adm uložený na počítači, na
němž jsou prováděny úpravy, novější než soubor uložený v šabloně zásad skupiny,
pak je Šablona zásad skupiny aktualizována.
Úpravy
Always Use Local ADM Files For The Group Policy Editor (Vždy používat míst-
ní soubory ADM pro modul snap-in Editor objektů zásady skupiny) Toto na-
stavení objektu zásad skupiny se nachází v tomto umístění: Computer
ConfigurationXAdministrative TemplatesXSystemXGroup Policy (Konfigurace
počí tačeXŠabl ony pro správuXSystémXZásady s kup i ny). Nastavení této zásady určuje,
který soubor . adm bude použit při vytváření rozhraní objektu zásad skupiny při jeho
úpravách. Ponecháte-li standardní nastavení, bude vždy použit soubor .adm uložený
v šabloně zásad skupiny.
Je-li tato zásada nastavena na Enabied (Povoleno), jsou používány soubor)7 .adm
uložené na lokálním počítači. Uvědomte si ale, že budou-li lokální soubory upra-
vovány bez vašeho vědomí, může mít toto nastavení nežádoucí následky. Je-li tato
zásada nastavena na Disabled (Zakázáno), budou vždy použity soubory .adm ulo-
žené v šabloně zasad skupiny. Vznikne tak prostředí zajišťující snazší správu verzí
souboru .adm a shodné zobrazení všech zásad ze všech počítačů.
530
Kapitola 14 - Úpravy šablon pro správu
Tipy pro práci se soubory .adm
Níže najdete několik tipů pro práci se soubory .adm.
	Obsahuje-li uložený objekt zásad skupiny nějaká nastavení registru, k nimž ne
existuje žádny odpovídající soubor .adm, tato nastaveni se v modulu Group po
licy Object Editor (Editor objektu Zásady skupiny) nezobrazí. I presto však tato
nastavení budou aktivní a budou ovlivňovat všechny počítače a uživatele, pro
které je daný objekt zasad skupiny připraven.
	Vzhledem k důležitosti časových značek souborů .adm byste nikdy neměli upra-
vovat standardní soubory .adm. Potřebujete-li tedy přidat nějaké nové nastavení
zasad. pak si připravte vlastní soubor .adm.
	GPMC pracuje se soubory .adm při vytváření reportů HTLM značně odlišně: vy-
užívá totiž modelováni zásad skupiny (Group Policy Modeling) a generuje vý-
sledky zásad skupiny (Group Policy Results).
V*Z té* Podrobnější popis GPMC a způsobu, jímž pracuje se soubory .adm, najdete v kapitole 3.
 Systém Windows XP Professional nepodporuje zásadu Always lise Local ADM
Files For The Group Policy Editor (Vždy používat místní soubory ADM pro mo-
dul snap-in Editor objektu zasady skupiny). Z toho vyplývá, že provádite-li
správu objektů zásad skupiny na počítači s tímto systémem, pak musíte vždy
využívat soubory .adm uložené v šablonách zásad skupiny.
Viz též Více informací o struktuře objektů zásad skupiny a šablon zásad skupiny najdete
v kapitole 13.
Otázky související s operačními systémy a jejich aktualizacemi
Každý operační systém či jeho aktualizace obsahuje - kromě jiných - i všechny
soubory .adm, které byly součástí předcházejících verzí. Přitom tyto soubory mohou
obsahovat nastaveni zásad specifická pro předcházející verze operačního systému.
Například systém Windows Server 2003 je dodáván se všemi nastaveními zásad,
platnými pro předcházející verze systému Windows - a to včetně nastavení plat-
ných pouze pro systémy Windows 2000 či Windows XP Professional. To ovšem
znamená, že pouhé otevření objektu zásad skupiny na počítači s novější verzí ope-
račního systému či novější aktualizací povede k aktualizaci souborů .adm, využíva-
ných daným objektem. Protože ale novější verze většinou obsahuji více nastavení
než předcházející, obvykle nevznikají v důsledku této aktualizace zadně problémy
(toto platí za podmínky, že použité standardní soubory .adm nebyly upraveny).
V některých případech však může operační systém či ieho aktualizace obsahovat pou-
ze podmnožinu souborů .adm, které byly součástí verze předcházející. Důsledkem
muže být to, že po otevření objektu zásad skupiny v modulu snap-in Group Policy
Object Editor (Editor objektů Zásady skupiny) nebudou některá nastavení nadále do-
stupná. I přesto však budou tato nastavení nadále uložena v objektu zásad skupiny
1 budou stále aktivní. Protože tato nastaveni nejsou viditelná, nemůže si je správce
snadno prohlednout či upravit. Chcete-li se podobným problémům vyhnout, pak se
musíte podrobně seznámit se všemi soubory . adm, dodanými s novější verzí operační-
Co je šablona pro správu? 531
ho systému či jeho aktualizace, ještě před spuštěním modulu snap-in Group Policy
Object Editor (Editor objektu Zásady skupiny) na počítači s tímto systémem. Nezapo-
meňte také, že pouhé zobrazení objektu zásad skupiny postačuje k tomu, aby systém
aktualizoval soubory .adm uložené v šabloně zásad skupiny (pokud na základě po-
rovnaní časových značek zjistí, že aktualizace má byt provedena).
Chcete-li podobným problémům plánovitě předejít, měli byste postupovat podle
jednoho z následujících doporučení:
	Definujte standardní operační systém a jeho aktualizaci pro veškeré prohlížení
a úpravy objektů zásad skupiny. Díky tomu budou použité soubory7 .adm obsa-
hovat nastavení zásad pro všechny platformy, použité ve vaší firmě.
	U všech správců zásad skupiny aktivujte zásadu Turn Off Automatic Updates Of
ADM Eiles (Vypnout automatickou aktualizaci souboru ADM). Zajistíte tak to, že
soubory .adm uložené ve sdílené složce SYSVOL nebudou přepsaný žádnou re-
lací modulu snap-in Group Policy Object Editor (Editor objektu Zásady skupi-
ny). Dále byste se měli snažit získat nejnovější verze souborů .adm.
Zásady a předvolby
Zásadami se míní taková nastavení registru, která mohou být zcela řízena správci a vy-
tvořenými zásadami skupin. Mnohdy jsou označovaný také jako skutečné zásady. Na-
proti tomu ta nastavení registru, která jsou nastavována uživateli či jejichž standardní
hodnotu nastavuje operační systém v době instalace, jsou nazývána předvolbami.
Skutečné zásady jsou uloženy pouze ve schválených klíčích registru. Tyto klíče
nejsou uživatelům přístupné, čímž je zajištěna jejich ochrana proti nežádoucím
změnám či dokonce zákazu některých nastavení. Všechny čtyři schválené klíče re-
gistru jsou vyjmenovány v tabulce 14.3.
Úpravy
TABULKA 14.3: Schválené klíče registru pro nastavování zásad skupin
Klíč registru pro nastavení zásad	Klíč registru pro nastavení zásad
týkajících se počítače	týkajících se uživatele
HKLM\Software\Polides	HKCU\Software\Policies
HKLM\Software\Microsoft\Windows\ CurrentVer- HKCU\Software\Microsoft\Windows\ Cur-
sion\Policies	rentVersion\Polides
Předvolby jsou taková nastaveni registru, která nejsou umístěna ve schválených klí-
čích registru, uvedených v tabulce 14.3. Většinou platí, že uživatelé mohou svoje
předvolby kdykoliv měnit. Například se uživatel muže rozhodnout, že na pozadí
své plochy použije jiný rastrový obrázek. Většina uživatelů umí nastavovat předvol-
by pomocí uživatelského rozhraní operačního systému či nějaké aplikace.
Můžete vytvářet vlastní soubory .adm, nastavující hodnoty registru v takových klí-
čích registru, které nepatří mezi schválené. Pokud takové předvolby vytvoříte, pak
nezapomeňte, že s jejich pomocí zajistíte pouze nastavení nějakého klíče či hodno-
ty registru určitým způsobem. Tyto předvolby však nejsou zabezpečeny jako sku-
tečné zásady, neboť uživatelé mají k těmto nastavením přistup a mohou je měnit.
Dalším problémem, souvisejícím s použitím předvoleb, je to, že použitá nastaveni
532
Kapitola 14 - Úpravy šablon pro správu
zůstávají v registru. Jediným možným způsobem změn předvoleb je tedy jejich kon
hgurace pomocí souboru .adm či přímo ručním zásahem do registru.
Naproti tomu nastavení skutečných zásad jsou v registru chráněna pomocí seznamů
řízení přístupu, čímž je uživatelům zabráněno v jejich změnách. Hodnoty zásad jsou
z registru odstraněny až tehdy, ztrát-li ten objekt zásad skupiny, na jehož základě
byly nastaveny, platnost (tj. je-li tento objekt zakázán, vymazán či je-li zrušena jeho
vazba na daný počítač nebo uživatele). Z tohoto důvodu jsou skutečné zásady po_
važovány za taková nastavení zásad, která lze plně řídit. Standardně platí, že modul
snap-in Group Policy Object Editor (Editor objektů Zásady skupiny) zobrazuje pou-
ze nastavení skutečných zásad, která lze plně řídit. Chcete-li si zobrazit předvolby
modulu snap-in Group Policy Object Editor (Editor objektu Zásady skupinyj, pak
klepněte na uzel Administrativě Templates (Šablony pro správu), poté zvolte View
(Zobrazit) a následně Filtering (Filtrování). V tomto dialogu můžete zrušit výběr
volby Only Show Policy Settings That Can Be Fully Managed (Zobrazit pouze plně
spravovatelné nastavení zásad).
Poznámka Podrobnější popis možností řízení zásad a předvoleb pomocí modulu snap-in
Group Policy Object Editor (Editor objektů Zásady skupiny) na dete v kapitole 3.
Nastavení skutečných zásad mají přednost před předvolbami, nicméně tato nasta-
veni nepřepisují či nemění klíče registru, využívané předvolbami. Je-li aplikováno
takové nastavení zásady, které je v rozporu s nastavením předvolby, pak systém
použije nastavení zásady, nebol to má přednost před nastavením předvolby. Bu-
de-li pak dané nastavení zásady odstraněno, systém bude nakonfigurován podle
původního nastavení předvolby, provedeného uživatelem, neboť toto zůstalo ne-
změněno.
14.2	Vytváření vlastních souborů .adm
Je velmi pravděpodobné, že kromě stovek nastavení, obsažených ve standardních
souborech .adm, budete chtít pracovat s mnoha tlalšími nastaveními zásad pro apli-
kace a další komponenty instalované na počítače ve vaší firmě. Při vytváření a ná-
sledné implementaci vlastních souborů .adm postupujte takto:
1.	Nejprve zjistěte cesty v registru, potřebné hodnoty a data. Uvážíte-li složitou
strukturu registru a názvy některých hodnot registru, pak tento krok rozhodně
nemusí být tak jednoduchý, jak na první pohled vypadá. Tento krok si můžete
usnadnit například tak, že zkusíte otevnt standardní soubory .adm a vyhledat
v nich správné cesty v registru pro podobná nastavení.
,/i Tip Pro vyhledaní všech hodnot registru měněných operačním systémem či konkrétní aplikací
můžete také využit nástroje třetích stran. Vynikajícím nástrojem tohoto typu je ŘEGMON,
který najdete na adrese http://www.sysinterna 1 s.com/ntw2k/source/regmon.html-
2	Vytvořte svůj soubor .adm obsahující informace získané v předcházejícím kroku.
Nezapomeňte, že soubory .adm musí byl uloženy jako textové soubory ve for-
mátu Unicode, jejichž obsahem je popis nastavení zásad. Součástí platfonny za-
Příklad jednoduchého souboru .adm
sady skupiny je i speciální jazyk pro tvorbu souborů .adm, popsaný v sekci Ja-
zyk souboru .adm“ dále v teto kapitole.
3.	Naimportujte vytvořený soubor .adm do objektu zásad skupiny. Součástí každé-
ho takového objektu je jedinečná sada souborů .adm, z čehož vyplyvá, že tento
krok musíte zopakovat pro všechny objekty zásad skupiny, jimiž chcete distri-
buovat nastavení zásad obsažená v daném souboru .adm.
4.	V sekci Administrative Templates (Šablony pro správu) modulu snap-in Group
Policy Object Editor (Editor objektu Zasady skupiny) si prohlédněte a upravte
vlastní záznamy, vytvořené souborem .adm. Teprve v tomto kroku vytváříte na-
stavení, která budou použita ke konfiguraci uživatelských účtu či počítačů
v doméně.
Poznámka Nezapomeňte, že samotný soubor .adm neobsahuje žádná nastavení, s jejichž po-
mocí by bylo možné konfigurovat uživatelské účty či počítače. Nejprve musíte nakonfigurovat
zásadu v objektu zásad skupiny a zadruhé na cílovém počítači musí byt nainstalována taková
aplikace či komponenta, která reaguje na hodnoty registru, nastavené pomocí zásady.
14.3	Příklad jednoduchého souboru .adm
Abyste získali představu, jak vlastně takový soubor .adm vypadá, podíváme se nyní
na jednoduchý příklad, který je ukázkou souboru System, adm. Chcete-ti se podívat
na kod rozsáhlejšího souboru .adm, můžete si otevřít přímo soubor System.adrr.
í	CLASS USER
I	CATEGORY!!DesktopLockDown
 POLICY!!DisableTaskMgr
r	EXPLAIN!!DisableTaskMgr_Expla in
ř	VALUENAME "DisableTaskMgr"
L	VALUEON NliMERIC 1
[	VALUEOFF NUMERIC 0
F	KEYNAME "Software\Policies\System"
f END POLICY
' END CATEGORY
[ strings ]
DisableTaskMgr="Disable Task Manager"
DisableTaskMgr_Explain="Prevents users from starting Task Manager"
DesktopLockDown="Desktop Settings"
Úpravy
Tato zásada nastavuje následující chování:
	Je-li zásada povolena, její nastavení vytváří klíč registru, nazvaný Di sabl eTaskMg r
a mající hodnotu 1. Přiřazení hodnoty 1 je zajištěno navěstím VALUEON. Po im-
plementaci této zásady nebudou moci uživatelé spouštět Správce úloh.
	Je-li zásada zakázána, její nastaveni vytváří klič registru, nazvaný Disab'cTaskMgr
a mající hodnotu 0. Přirazeni hodnoty 0 je zajištěno navěstím VALUEOFF. Po im-
plementaci této zásady budou moci uživatelé spouštět Správce úloh.
	V obou případech platí, že klíč registru DisableTaskMgr je uložen v sekci Hk '
Software\Pol i cies\Systcm. Všimněte si, ze klíč je vytvářen ve třídě CLASS USER
a nikoliv ve třídě CLASS MACH1NE neboť se jedna o nastavení zásady, tykající se
534
Kapitola 14 - Úpravy šablon pro správu
uživatele. To znamená, že v modulu snap-in Group Policy Object Fdttor (Editor
objektu Zasady skupiny) najdete tuto zásadu v uzlu User Configuration (Konfigu.
Není-li tato zásada nakonfigurována, pak její nastavení zajistí výmaz klíče regist-
ru, nazvaného Di sableTaskMgr.
14.4 Jazyk souborů .adm
Chcete-li distribuovat na všechny či jen některé vybrané počítače ve firmé nějakou
vlastni hodnotu registru, měli byste si připravit vlastni soubor, adm. K tomu je
ovšem nezbytné, abyste znali a chápali jazyk těchto souborů. Nemusíte se ale obá-
vat ničeho složitého - jazyk je jednoduchý a srozumitelný. V této části kapitoly na-
jdete všechny informace, nezbytné pro vytváření vlastních souborů .adm, které pak
budete moci importovat do objektů zásad skupin.
Struktura souboru .adm
Soubor .adm má dvě základní funkce. Zaprvé v modulu snap-in Group Policy Object
Editor (Ed4or objektů Zásady skupiny) vytváří rozhraní pro hodnoty registru, které
chcete distribuovat na ty uživatele či počítače, pro něž je daný objekt zásad skupiny
určen. Formátováni této části je stejné ve všech souborech .adm, což znamená, že při
tvorbě v ladního souboru . adm můžete použít nějaký standardní jako vodítko. Zadruhé
soubor .adm musí obsahovat definici cesty v registru, hodnoty registru a dat, které
musí byl aktualizovány v registru cílového počítače. I v tomto případě platí, že syn-
taxe této části je stejná ve vseth souborech .adm a je snadno srozumitelná.
Poznámka Ačkoliv syntaxe cesty v registru je v souboru .adm srozumitelná a jednoduchá,
samotná cesta musí být zadána naprosto přesně. V opačném případě byste mohli poškodit
registr cílového počítače.
Podívejme se nyní na následující příklad souboru .adm, umožňujícího přihlášení
počítače bez jakéhokoliv zásahu uživatele: pro přihlášení je totiž použito pevně da-
né uživatelské jméno a heslo.
CLASS MACHINE
CATEGORY "Microsoft Custom ADM Entries”
POLICY "Automatic Logon"
KEYNAME "SOFTWARE\Microsof t\WindowsNT\CurrentVerš i on\Winlogon"
PART "What is the name of the user?" EDITTEXT
VALUENAME "autoadminlogon"
END PART
PART "What is the user's password?" EDITTEXT
VALUENAME "defaultpassword"
END PART
END POLICY
END CATEGORY
Jak vidíte, struktura souboru .adm je velmi metodická. Podivate-li se na výše uvede-
ný přiklad podrobněji, zjistíte, že při tvorbě souborů .adm musíte postupovat podle
Jazyk souboru .adm
535
určitých pravidel. Jedním z nich je například to, ze všechny sekce typu PART, PO-
LICY a CATEGORY musí být ukončeny odpovídajícím výrazem END.
Ze struktury přikladu jsou také zřejmé klíčové komponenty, kterým musíte rozumět:
	CLASS MACHINE Tento příkaz říká, že všechny klíče registru, se kterými bu-
deme pracovat, budou umístěny v části registru HKEY_L0CAL_MACHINE (tj. vztahují
se na počítač, nikoliv uživatele.
	CATEGORY Určuje název, který bude přiřazen složce zobrazené v modulu
snap-in Group Policy Object Editor (Editor objektů Zásady skupiny). V našem
příkladu jsme použili název Microsoft Custom ADM Entries.
	POLICY Určuje název, pod kterým se daná zásada zobraz v modulu snap-in
Group Policy Object Editor (Editor objektu Zasady skupiny). V našem přikladu
jsme použili název Automatic Logon.
	KEYNAME Definuje cestu v registru, ve ktere je umístěna ta hodnota, která bu-
de zásadou modifikována. Všimněte si, že se jedná skutečně pouze o cestu:
součástí tohoto parametru není ani název klíče, ani hodnota.
	PART Jakmile modul snap-in Group Policy Object Editor (Editor objektu Zásady
skupiny) narazí na tento výraz, bude od administrátora obiektu zásad skupiny
očekávat nějaký vstup.
	EDITTEXT Toto klíčové slovo říká, že v modulu snap-in Group Policy Object
Editor (Editor objektů Zásady skupiny) bude zobrazeno vstupní pole, umožňují-
cí administrátorovi zadání textu. Zadaný text bude tvořit data hodnoty registru.
	VALUENAME Určuje přesný název hodnoty registru, která bude měněna. Je
nutné zdůraznit, že toto klíčové slovo neurčuje samotná data hodnoty registru
(přitom daty míníme řetězec či nastavení, přiřazené hodnotč registru); jedná se
skutečně pouze o název hodnoty registru. Její data pak budou zadána
z uživatelského rozhraní modulu snap-in Group Policy Object Editor (Editor ob-
jektů Zásady skupiny).
	END PART Tento vyraz označuje konec syntaxe sekce PART.
	END POLICY Tento vyraz označuje konec syntaxe sekce POLICY.
	END CATEGORY Tento výraz označuje konec syntaxe sekce CATEGORY.
Kdybyste měli vytvořit osnovu struktury standardní Administrativě Templates (Šab-
lony pro správu), pak byste zřejmě dospěli k následujícímu výsledku:
CLASS ( modul snap-in Group Policy Object Editor ( Editor objektů Zásady
skupiny ) a registr )
CATEGORY ( modul snap-in Group Policy Object Editor ( Editor objektů násady
skupiny ) )
KEYNAME ( registr )
POLICY ( modul snap-in Group Policy Object Editor ( Editor objektů Zásady
skupiny ) )
PART ( modul snap-in Group Policy Object Editor ( Editor objektů Zásady
skupiny ) )
VALUENAME ( registr )
Při vytváření vlastních souboru .adm musíte z léto struktury vycházet a současné
musíte velmi dobře znát veškerou syntaxi, která smí být při tvorbě těchto souboru
Úpnvy
536
Kapitola 14 - Úpravy šablon pro správu
použita. Pro účely dalšího popisu syntaxe si ji rozdělíme do dvou základních kate
gorií: na syntaxi ovlivňující rozhraní modulu snap-in Group Policy Object Editor
(Editor objektu Zásady skupiny), a na syntaxi definující cesty v registru a hodnoty
#if version
Na zaklade předcházejícího textu se možná domníváte, že pro každou sadu nasta-
vení operačního systému budete musel vytvořit zvláštní soubor .adm. Máte-li
v doméně počítače s různými operačními systémy, pak můžete s výhodou použít
příkaz #if version, umožňující uložení všech nastavení ao jediného souboru .adm
a jeho následné Členění. Tento příkaz je totiž schopen rozdělit soubor .adm do zón
přičemž každá zóna je určena pro jiné verze operačních systémů. Standardní sou-
bory .adm možnost členem do zón využívají, díky čemuž mohou byl nastavení pro
starší i novější operační systémy uložena v jediném souboru .adm.
Každý operační systém pak odpovídá určitému číslu verze, definovanému v souboru
. adm. V tabulce 14.4 najdete přehled všech operačních systémů a souvisejících hodnot
příkazu #i f version.
TABULKA 14.4: Hodnota příkazu #if version pro jednotlivé operační systémy
Operační systém	Verze	Typ
Windows Server 2003 SP1	5.0	Zásady skupiny
Windows XP SP2	5.0	Zásady skupiny
Windows Server 2003 a Windows XP	4.0	Zásady skupiny
Windows 2000 Server	3.0	Zásady skupiny
Windows NT 3.x a 4.x	2.0	Zásady skupiny
Windows 95	1.0	Systémové zásady
V některých případech může býl příkaz #if version vynechán. Kód takového sou-
boru .adm pak bude platný pro několik různých operačních systému. Tuto možnost
však můžete využít pouze tehdy, je-li klíč registru, se kterým chcete pracovat, ve
všech systémech stejný a může nabývat stejných hodnot.
Příkaz #if version umožňuje i použiti operátoru, diky nimž pak můžete vytvářet
kód platný pro několik verzí operačních systémů. Přehled podporovaných operáto-
rů naleznete níže.
>	větší než
<	menší než
==	rovná se
!= nerovná se
>	=	v ětší nebo rovná se
<	= menší nebo rovná se
Syntaxe pro aktualizaci registru
Jal již víte, soubor .adm slouží k vytváření rozhraní modulu snap-in Group Policy
Object Editor (Editor objektu Zásady skupiny) a současně určuje cesty v registru,
Jazyk souborů .adm
537
hodnoty registru a diu Pro práci se všemi těmito proměnnými se v souboru .adm
používá speciální syntaxe.
Syntaxe vytvářející rozhraní modulu snap-in Group Policy Object Editor (Editor ob-
jektu Zásady skupiny) je v souboru .adm naprosto nezbytná. Pokud by v souboru
.adm chyběla syntaxe kterékoliv z těchto komponent, soubor by nebylo možné po-
užít. Součástí syntaxe, vytvářející cestu v registru, hodnotu registru a data, jsou tato
klíčová slova: CLASS, KEYNAME, VALUENAME, VALUEON/VALUEOFF a PART.
CLASS
Klíčové slovo CLASS lze použít se dvěma volbami: MACHINE a LLSER. Použitá volba pak
vlastně říká, která část registru bude následujícími zásadami měněna. Je-li použita volba
MACHINE, bude objekt zásad skupiny pracovat s částí registru HKEY_LOCAL_MACHINE.
Naopak použijete-li volbu USER, bude objekt zásad skupiny měnit část registru
HKEY_CURRENT_USER.
Poznámka Registr obsahuje dvě primární části: HKEY_L0CAL_MACHINE a HKEY_USERS. Zbýva-
jící tři části jsou pouhými podmnožinami těchto dvou. Část HKEY_CURRENT_USER |e podmno-
žinou části HKEY_USERS. Přitom platí, že část HKEY_CURRENT_USER deknuje profil aktuálního
uživatele, který se po přihlášení uživatele načte do registru.
Sekce CLASS muže být definována pro všechny volby, vztahující se k počítači (MA-
CHINE) či uživateli (USER), pouze jednou. To znamená, že v souboru .adm uvedete
sekci CLASS MACHINE, za níž budou seskupena všechna na s ta ve ní tykající se počí-
tače. Totéž platí i pro všechna nastavení týkající se uživatele a sekci CLASS USER.
Poznámka Bude-li vámi vytvořený soubor .adm obsahovat více sekcí CLASS MACHINE či
CLASS USER, budou při vytváření rozhraní modulu snap-in Group Policy Object Editor (Editor
objektů Zásady skupiny) všechny tyto sekce sloučeny dohromady.
Úpravy
Pnpravujete-li soubor .adm, vztahující se pouze k jedné z uvedených částí registru,
pak tento soubor musí obsahovat pouze tu sekci, se kterou chcete pracovat.
Syntaxe CLASS také určuje, ve kterém uzlu modulu snap-in Group Policy Object Edi-
tor (Editor objektu Zásady skupiny) se změny obsazené v souboru .adm projeví.
V případě CLASS MACHINE najdete všechny zásady v uzlu Computer Configuration
(Konfigurace počítače), zatímco v případě CLASS USER v uzlu User Configuration
(Konfigurace uživatele).
Poznámka Syntaxe CLASS se neukončuje výrazem END CLASS.
KEYNAME
Syntaxe KEYNAME není v souboru .adm zcela libovolná. Parametr tohoto výrazu totiž
určuje cestu v registru k požadované hodnotě. Platí, že syntaxe KEYNAME následuje
za syntaxí CATEGORY a před nebo za syntaxí POLICY, což záleží na tom, jakým
způsobem chcete soubor .adm strukturovat. V každém případě platí, že KFYNAME
musí následoval až za syntaxí CLASS a před syntaxí PART či VALUENAME.
538
Kapitola 14 - Úpravy šablon pro správu
Poznámka Chcete-li seskupit dohromady několik nastavení zásad, nacházejících se ve st
cestě v registru, pak můžete syntaxi KEYNAME umístit až za syntaxi CATEGORY. Pokud tako
soubor . adm otevřete v modulu snap-in Group Policy Object Editor (Editor objektů Zásady
piny), budou všechny záznamy následující za syntaxi CATEGORY zobrazeny v jedné složce.
Syntaxe KEYNAME určuje cestu k hodnotě registru. Do cesty registru nikdy neuvá
dejte HKEY_L0CAL_MACHINE či HKEY_CURRENT_USER - část registru totiž určuje již synta
xe CLASS. Součástí cesty, kterou uvedete jako parametr KEYNAME, také nemusí být
úvodní lomítko (/). V našem příkladu vypadá záznam KEYNAME takto:
KEYNAME SOFTWARE\Mi crosoft\WindowsNT\CurrentVersí on\Winlogon
Je li součástí cesty uvedené jako parametr KEYNAME mezera, pak musíte celou cestu
uzavřít do horních uvozovek ("). Nesmíte však do uvozovek uzavřít i klíčové slovo
KEYNAME. Příklad syntaxe KEYNAME, vyžadující použití uvozovek vidíte níže:
KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
Poznámka Syntaxe KEYNAME se neukončuje výrazem END KEYNAME.
VALUENAME
Tato syntaxe určuje hodnotu registru, která bude aktualizována. Je nutné zdůraznit, že
správný název hodnoty registru musíte sami vyhledat - nemůžete totiž vytvářet vlastní
hodnoty registru. Pokud by totiž byla do registru počítače přidána nějaká nesprávná
hodnota registru, mohlo by dojít k zastavení počítače. Přitom platí, že hodnoty registru
jsou povětšinou označovány tajemnými slovy, která ve slovníku nenajdete.
K úpravě hodnot daných syntaxi VALUENAME můžete pouzn dvě metody. Přitom
použití každé z nich je jednoznačně určeno hodnotami, se kterými můžete v dané
hodnotě registru pracovat.
	Mnohé hodnoty registru umožňují zadání pouze dvou číselných hodnou 0 a 1. Je-li
použita hodnota 0, je daná hodnota registru vypnuta. Naopak nacházeli se
v registru hodnota 1, je daná hodnota registru zapnuta. Pro řízeni hodnoty registru
tohoto typu použijte syntaxi VALUEON/VALUEOFF.
	Ostatní hodnoty registru vyžaduj1 buď text, nebo číselné hodnoty, lišící se od 0
a 1. K jejich řízení pak použijte syntaxi PART.
Použijete-li syntaxi VALUEON/VALUEOFF, budete pnmo ovlivňovat chování hod-
noty registru. Pokud použijete syntax PART, budete řídit chovám modulu snap-in
Group Policy Object Fditor (Eduor objektů Zásady skupiny), který vám umožni za-
dání složitější hodnoty.
Poznámka Syntaxe VALUENAME se neukončuje výrazem END VALUENAME.
VALUEON/VALUEOFF
Syntaxe VALUEON/VALUEOFF pracuje podobně jako přepínač: hodnota registru je
buď vypnuta, nebo zapnuta. Lze říci, žc tato syntaxe vychází ze způsobů používám
binárních hodno* 0 a 1. Podiváte-li se na mnohé hodnoty registr i v Editoru registru,
Jazyk souborů .adm 539
uvidíte, že ve skutečnosti podporují řetězcový datový typ, nazvaný REG_SZ. To vsak
nijak ncměrií chován hodnoty registru či omezení výčtu hodnot, se kterými je
možné pracovat.
Ukázku standardního souboru .adm, pracující se syntaxí VALUEON a VALUEOFF,
vidíte níže:
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\System"
VALUENAME "HideStartupScripts"
VALUEON NUMERIC 0
VALUEOFF NUMERIC 1
V případě tohoto záznamu není nutné v modulu snap-in Group Policy Object Edi-
tor (Editor objektu Zásady skupiny) zadávat žádné další hodnoty. Zásadu můžete
pouze zapnout nebo vypnout, tj. můžete přecházet mezi číselnými hodnotami VA-
LUEON a VALUEOFF. K zobrazen/ takové zasady použije modul snap in Group Po-
licy Ob|ect Editor (Editor objektů Zásady skupiny) standardní rozhraní, jehož
ukázku vidíte na obrázku 14.4.
Úpravy
zásad
OBRÁZEK 14.4: Hodnota registru určená v souboru .adm syntaxí VALUEON/VALUEOFF
Z obrázku je patrné, ze při zobrazení teto zásady vam budou nabídnuty tři možnosti:
Not Configured (Není nakonfigurováno), Enabled (Povoleno) a Disabled (Zakázáno).
	Not Configured (Není nakonfigurováno) Hodnota registru nebude zásadou
nijak nastavena; pnými slovy řečeno, hodnota registru zůstane na daném počíta-
či nezměněna.
	Enabled (Povoleno) Do hodnoty registru bude vložena hodnota daná syntaxí
VALUFON.
	Disabled (Zakázáno) Do hodnoty registru bude vložena hodnota dan i syntaxi
VALUEOFF.
540
Kapitola 14 - Úpravy šablon pro správu
syntaxí VALl,E
:tné výrazy yA
Můžete však využít i druhou metodu, nepřímo související se
ON VALUEOFF; tuto metodu využijete tehdy, nepoužijete-li expl
LUEON a VALUEOFF. Příklad využití teto metody vidíte níže:
POLICY!!Enab1eSlowLinkDetect
EXPLAIN!!EnableSlowLinkDetect_Help
KEYNAME "Software\Policies\Microsoft\Windows\System"
VALUENAME ”S1owLinkDetectEnabled”
END POLICY
Všimněte si, že v uvedeném kódu nejsou výrazy VÁLI 11 ON/VALUFOFF explicity
použity. Nicméně výsledné chování bude podobné. V tomto případě se tři výše
popsané možnosti zasady budou chovat takto:
	Not Configured (Není nakonfigurováno) V registru nedojde k žádným změnám
	Enabied (Povoleno) Do hodnoty registru bude vložena číselná hodnota 1.
	Disabled (Zakázáno) Hodnota registru bude vymazána.
Zde bychom rádi upozornili především na stav, kdy je zásada zakázána. Do registru
není zapsána hodnota 0; namísto toho je celá hodnota registru explicitně vymazána!
To znamená, že komponenta, či aplikace načítající danou zásadu žádnou hodnotu
v registru nenajde a pro svůj chod využije nějaké výchozí nastavení, které je sou-
částí kódu.
Poznámka Syntaxe VALUEONA/ALUEOFF se neukončuje výrazem END VALUEONA/ALUEOFF.
Syntaxe pro aktualizaci rozhraní modulu
Group Policy Object Editor
(Editor objektů Zásady skupiny)
Soubory .adm neurčují pouze to, ktere cesty v registru, hodnoty či data mají byl ak-
tualizovány: kromě toho totiž 1 konfigurují rozhraní modulu snap-in Group Policy
Object Editor (Editor objektů Zasady skupiny). Přitom konfigurace rozhraní je velmi
důležitá, neboť vlastní konfigurace zasad probíhá pravě v tomto rozhraní.
Rozhraní modulu snap-in Group Policy Object Editor (Editor objektu Zásady skupi-
ny) je vytvářeno čtyřmi základními syntaxemi:
 STRINGS
 CATEGORY
 POLICY
 PART
Povinnou součástí souboru .adm jsou pouze syntaxe CATEGORY a POLICY. nicmé-
ně zbývající dvě proměnné jsou také důležité. Syntaxe STRINGS je ve značné míre
využívaná ve standardních souborech .adm, nicméně ve vlastních souborech .adm ji
využijete jen zřídka. Syntaxe PAR'1 pak je využívána tehdy, vyžaduje-li daná hodno-
ta registru více než jen pouhé zapnutí (ON) či vypnutí (OFF).
Jazyk souborů .adm
541
STRINGS
Syntaxe STRINGS vam muže pomoci při organizaci a logickém formátováni řetězco-
vých proměnných, použitých v souboru .adm. Nejedná se sice o povinnou součást
souborů . adm, nicméně můžete ji využit k redukci délky kódu v hlavni části souboru
.adm. Syntaxe STRINGS umožňuje použití proměnných pro dlouhé řetězce. Přitom ře-
tězce se využívají pro tvorbu rozhraní modulu snap-in Group Policy Object Editor
(Editor objektu /as idy skupiny). V následujícím přikladu je syntaxe STRINGS využita
pokaždé, když se v kódu vyskytuje nějaký řetězec, vytvářející rozhraní:
CLASS MACHINE
CATEGORY!JCUSTOMADM
POLICY!!Autologon
KEYNAME "SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon"
PART!ÍUsername
EDITTEXT
VALUENAME "autoadminlogon"
END PART
PART!!Password
EDITTEXT
VALUENAME "defaultpassword"
END PART
END POLICY
END CATEGORY
STRINGS ]
CUSTOMADM = "Microsoft Custom ADM Entries"
AutoLogon = "Automatic Logon"
Username = "What is the name of the user?"
Password = "What is the useťs password? "
Jak vidíte, díky syntaxi STRINGS je lilavní část souboru .adm podstatně přehlednější.
Kromě toho použití teto syntaxe značně usnadňuje následnou správu všech řetězců,
neboř všechny se nacházejí V sekci [STRINGS], umístěné na konci souboru .adm. Je-li
řetězcová proměnna v souboťu . adm použita vícekrát, můžete využít syntaxi SIRINGS
a pote namísto celého řetězce pracovat pouze s názvem příslušné řetězcové pro-
měnné. Definice této proměnné se bude nacházet na konci souboru .adm. V hlavní
části souboru .adm se na řetězce odkazujete dvěma vykřičníky (!!), za nimiž násle-
duje název řetězcov é proměnné.
V případě kratších souborů . adm zřejmě syntaxi STRINGS nevyužijete. Nicméně ve vět-
ších souborech . adm muže syntaxe STRINGS napomoci ke zjednodušení hlavních času
těchto souborů. Lze říci, že syntaxe STKJNGS je velmi užitečná především ve spojení
se syntaxi EXPLAIN. Text EXPLAIN bývá totiž velmi dlouhý a může do značné míry
„zahlcovat“ hlavní část souboru .adm. Použijete-li však syntaxi STRINGS, budete
moci všechny dlouhé řetězce nadefinovat až na konci souboru .adm.
Tip Potřebujete-li přeložit soubory .adm do různých jazyků, pak byste měl' všechny řetězce,
vytvářející rozhraní, zapsat do sekce STRINGS. Při vlastním piekladu pak budete muset pře-
kládat pouze řetězce nacházející se na konci souboru . adm.
Syntaxe S fRJNGS může bvt použita s výrazy CATEGORY, POLICY, PART a EXPLAIN
Úpravy
542
Kapitola 14 - Úpravy šablon pro správu
CATEGORY
Pomocí syntaxe CATEGORY se vytváří složky, které jsou zobrazeny v mo<Juiu
snap-in Group Policy Object Editor (Editor objektů Zásady skupiny). Složky
zobrazit jak v uzlu Computer Configuration (Konfigurace počítače), tak i v uzlu
User Configuration (Konfigurace uživatele). To znamená, že v souboru .adm můžete
syntaxi CATFGORY použit v sekci CLASS MÁCI HNE i v sekci CLASS USER. Přitom
syntaxe CATEGORY muže obsahovat další syntaxi téhož typu, čímž se. vytvoří pod-
složky. Každý výraz CATEGORY, který použijete, vytvoří v modulu snap-in Group
Policy Object Fdnor (Editor objektů Zásady skupiny) složku či podsložku.
Níže uvedený kód umožňuje vytvoření hierarchické struktury tří složek:
CATEGORY "First level"
CATEGORY "Second level"
CATEGORY "Third level"
END CATEGORY
END CATEGORY
END CATEGORY
Chcete-li zobrazil několik zásad v jediné složce (výraz CATEGORY), můžete je
všechny vyjmenovat mezi syntaxemi CATEGORY a END CATEGORY.
Poznámka Syntaxe CATEGORY musí být zakončena syntaxí END CATEGORY. To proto, aby
modul snap-in Group Policy Object Editor (Editor objektů Z< sady skupiny) dokazal spolehlivě
rozpoznat, kdy má skončit s vnořováním složek a vkládáním zásad do složek.
Se syntaxí CATEGORY můžete použít i další syntaxe, mezi něž patří KEYNAME, CATEGORY,
END, SUPPORTED a POLICY.
POLICY
Syntaxe POLICY se používá k určení toho nastavení zásad, které uživatel muže v mo-
dulu snap-in Group Policy Object Editor (Editor objektů Zásady skupiny) upravovat.
Tato syntaxe vlastně zajišťuje zobrazení jednotlivých zásad v části podrobnosti mo-
dulu snap-in Group Policy Object Editor (Editor objektů Zásady skupiny), přičemž
zásady jsou umístěny ve složkách vytvořených syntaxí CATEGORY.
Pokud chcete, aby se v modulu snap-in Group Policy Object Editor (Editor objektu
Zásady skupiny) zobrazila jediná zásada, obsahující několik cest v registru a něko-
lik hodnot, pak v souboru .adm musíte nejprve zapsat syntaxi POLICY, za níž te-
prve bude následovat syntaxe KEYNAME. Jestliže ovšem chcete do jedné zásady
umístit několik hodnot registru, majících shodnou cestu v registru (KEYNAME), pak
v souboru .adm musí syntaxe KFYNAME předcházet syntaxi POLICY.
Níže vidíte ukázku kódu souboru .adm, v němž za výrazem KEYNAME následuje
syntaxe POLICY, obsahující několik hodnot registru:
CLASS USER
CATEGORY "Microsoft Custom ADM Entries"
KEYNAME "SOFTWARE\Mi crosoft\Windows\CurrentVerš i on\ExpTorer\Advanced"
POLICY "Controls hidden files."
PART "Do you want to see hidden files?" TEXT
END PART
Jazyk souborů .adm
543
PART "Hidden Files and Folders:" DROPDOWNLIST
VALUENAME Hidden
ITEMLIST
NAME "Yes" VALUE Numeric 1
NAME "No" VALUE Numeric 2
END ITEMLIST
END PART
PART “Do you want to see Super Hidden files?" TEXT
END PART
PART "Super Hidden" DROPDOWNLIST
VALUENAME Showsuperhidden
ITEMLIST
NAME "Yes" VALUE Numeric 1
NAME "No" VALUE Numeric 0
END ITEMLIST
END PART
END POLICY
END CATEGORY
Na obrázku 145 vidíte ukázku rozhraní modulu snap-in Group Policy Object Editor
(Editor objektu Zásady skupiny), vytvořeného výše uvedeným kódem.
OBRÁZEK 14. 5: Výsledný vzhled rozhraní, vyplývající z umístění několika hodnot registru,
nacházejících se ve stejné cestě, do jedné zásady
Úpravy
zásad
Povinnou součástí syntaxe POLICY je výraz END POLICY, který moduki snap-in
Group Policy Object Fditor (Editor objektu Zásady skupiny) říká, kdy ma skončit se
seskupováním jednotlivých nastavení Spolu se syntaxí POLICY můžete použít syn-
taxe KEYNAME, VALUENAME, VALUEON, VALUEOFF, POLICY, PART, END.
ACTIONLISTON, ACTIONLISTOFF a CLIENTTEXT.
544
Kapitola 14 - Úpravy šablon pro správu
PART
Syntaxe PART se používá k definici takových možností, jakými jsou např. rozhal
vací seznamy, textová pole či texty, zobrazené ve spodní části zasady v modu]
snap-in Group Policy Object Editor (Editor objektů Zásady skupiny). Předcházející
příklad, ilustrující použití syntaxe PART, současně názorně ukazuje i použití syntax
PART v souboru .adm. Výsledné rozhraní pak vidíte na obrázku 14.5.
Syntaxi PART vsak můžete využít i k definici nějaké informace týkající se zásady
Tato informace pak bude zobrazena ve spodní části okna zásady. Následující synta-
xe je určena k zobrazení vysvětlující informace, tzn. není propojena s žádnou hod-
notou registru:
PART "Do you want to see Super Hidden files?" TEXT
END PART
Propojeni syntaxe PART s hodnotou registru v rámci zásady by pak vypadalo takto:
PART "Super Hidden" DROPDOWNLIST
VALUENAME Showsuperhidden
ITEMLIST
NAME "Yes" VALUE Numeric 1
NAME "No" VALUE Numeric 0
END ITEMLIST
END PART
Syntaxe PART dokáže pracovat s různými typy hodnot registru, které vkládáte do
vlastních souboru .adm. Přitom každý’ typ hodnoty registru vyžaduje další syntaxi,
sloužící ke zpracování dat vkládaných do hodnot registru. V předcházejícím příkla-
du je použita syntaxe ITEMLIST, avšak můžete použít několik dalších, podporova-
ných možností syntaxe. Syntaxi ITEMLIST a další si podrobněji popíšeme dále
v této kapitole.
Poznámka Povinnou součástí syntaxe PART je výraz END PART, který modulu snap-in Group
Policy Object Editor (Editor objektů Zásady skupiny) říká, kdy má skončit s konfigurací hod-
noty registru ve svém rozhraní. Mezi další syntaxe, které můžete použít spolu se syntaxí
PART, patří např. CHECKBOX, CLIENTTEXT, COMBOBOX, DROPDOWNLIST, EDITTEXT, LIST-
BOX, NUMERIC, PART a TEXT.
Chcete-li připravit prostředí umožňující změnu hodnot registru, pak za syntaxi
PART musíte vložit další syntaxi. V tabulce 14.5 naleznete přehled všech možností
syntaxe, které mohou být použity spolu se syntaxí PART.
TABULKA 14.5: Syntaxe, která smí být použita spolu se syntaxí PART
Typ	Popis
CHECKBOX	Zobrazí zaškrtávací políčko. Zadaná hodnota bude uložena do registru pomocí datového typu REG_ DWORD. Je-li políčko zaškrtnuto, je hodno- ta registru nenulová; neni-li políčko zaškrtnuto, je do registru uložena 0.
CLIENTTEXT	Určuje, které rozšíření na straně klienta má byt použito pro nastavení určité zásady.
COMBOBOX	Zobrazí pole se seznamem.
Jazyk souborů .adm
545
Typ	Popis
DROPDOWNLIST	Zobrazí rozbalovací seznam. Uživatel smí vybrat pouze jednu z nabízených hodnot.
EDITTEXT	Zobrazí textové pole, umožňující zadání alfanumerického textu. Zadaný text je uložen do registru jako datový typ REG_SZ nebo REG_EXPAND_SZ.
LISTBOX	Zobrazí seznam obsahující tlačítka Add (Piidat) a Remove (Odebrat). Jedná se o jedinou syntaxi PART, umožňující prád s několika hodnotami v jednom klíčí.
NUMERIC	Zobrazí textové pole, volitelně s otáčecím ovládacím prvkem. Pole umožňuje pouze zadání číselné hodnoty, kteiá bude uložena do registru jako datový typ REG_DWORD.
TEXT	Zobrazí řádek statického textu. Tato syntaxe PART nesouvisí s žádnou hodnotou registru.
CHECKBOX Chcete-h v jedné zásadě zkombinovat několik hodnot registru, můžete
vyu/it syntaxi CHECKBOX, která za jistí podobné chováni jako syntaxe VALUE-
ONZVALUEOFF. Zaškrtne te-li zobrazené políčko, bude hodnotě registru, související
sc syntaxí CHECKBOX přiřazena hodnota 1, která bude také zapsána do registru Zu-
stane-li zaskrtávací políčko prázdné, bude do hodnoty registru zapsána hodnota 0.
Syntaxi CHECKBOX můžete také kombinovat se syntaxí VALUEON/VALLTOFF.
Budete tak moci jednoznačně určit hodnotu, která by měla byt zapsána do registru
v případě zaškrtnuti políčka a v případě, že ponecháte políčko prázdné. Níže ná-
sleduje ukázka ze souboru System.adm, v níž je využita syntaxe CHECKBOX:
Úpravy
PART!!StdCheckT CHECKBOX
VALUENAME "DisableRol1back"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
Poznámka Spolu se syntaxí CHECKBOX můžete využít některé další syntaxe, mezi něž patří
KEYNAME, VALUENAME, ACTIONLISTON, ACTIONLISTOFF, DEFCHECKED, VALUEON, VA-
LUEOFF, CLIENTTEXT a END.
CLTENTTEXT Klíčové slovo CLIENTTEXT se využívá k určení toho rozšířeni na straně
klienta, které je nezbytné ke zpracování daného nastaveni na klientském počítači.
Standardně platí, že všechna nastaveni nakonfigurovaná v uzlu Administrativě Tem-
plates (Šablony pro správu) jsou zpracovávaná rozšířením registru. Klíčové slovo CLI-
ENTTEXT umožňuje změnu tohoto výchozího chování. Systém se pak chová tak, že
rozšíření registru nejprve načte dana nastaveni do registru, a pote je spuštěno zadané
rozšíření, které tato nastavení zpracuje.
Syntaxe CLIENTTEXT musí být uvedena v rámci syntaxe POLICY či PARI a měla by
následovat za výrazem VALUENAME.
Syntaxe CIJENTTEXT také mění standardní chování typických objektů zásad skupiny.
Naprostá většina těchto objektu totiž zpracovává veškera nastaveni v uzlu Administra-
546
Kapitola 14 - Úpravy šablon pro správu
tive Templates (Šablony pro sprav u). Syntaxe CLIENTTEXT určuje specifický typ
ření, který má být použit ke zpracováni nastavení po jeho načtení do registru.
Níže následuje příklad převzatý ze souboru System.adm. Pomocí tohoto kódu 1Z(
v rámci objektu zásady skupiny nakonfigurovat diskové kvóty. Jak vidíte, pro konfigu
raci diskových kvót se využívá jiné rozš.rcní na straně klienta, definované v kódu.
POLICY!!DQ_Enforce
KEYNAME "Software\Policies\Microsoft\Windows NT\DiskQuota"
VALUENAME "Enforce"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
CLIENTEXT {361Oeda5-77ef-11d2-8dc5-00c04fa31 a661
END POLICY
Poznámka V ce informací o rozšířeních na straně klienta najdete v kapitole 13.
COMBOBOX Tento typ syntaxe PART slouží k zobrazení pole se seznamem. Je
možné použít stejné volby jako v případě EDITTEXT. Navíc je možné využít i syn-
taxi SUGGESTIONS, uvádějící seznam navrhovaných možnosti či voleb, které bu-
dou zobrazeny v seznamu. Přitom na každém řádku se obvykle nachází jedna
volba. Dále platí, že obsahuje-li volba mezeru, musí byt celá uvozena horními uvo-
zovkami (“). Seznam voleb musí být zakončen výrazem END SUGGESTIONS.
Například byste mohli chtít vytvořit seznam názvu šetřičů obrazovky, aby je adminis-
trátor nemusel znát. Níže následuje ukázka kódu původní Administrativě Template
(Šablony pro správu) a za ní je uvedena změněná verze, využívající syntaxi COMBO-
BOX.
POLICY!!ScreenSaverFilename
KEYNAME "Software\Policíes\Microsoft\Windows\Contioí Panel\Desktop"
PART!IScreenSaverFilename EDITTEXT
VALUENAME "SCRNSAVE.EXE"
END PART
END POLICY
Upravená verze téže šablony, využívající COMBOBOX, pak vypadá takto:
POLICY!!ScreenSaverFi1ename
KEYNAME "Software\Policies\Microsoft\Windows\Control Panel\Desktop"
PART!IScreensaverpicker COMBOBOX
VALUENAME "SCRNSAVE.EXE"
SUGGESTIONS
C:\WINNT\System32\ssstars.scr
C:\WINNF\System32\ssbezi er.ser
C:\WINNT\System32\ssf1wbox.ser
END SUGGESTIONS
END PART
END POLICY
Ukázku výsledného rozhraní modulu snap-in Group Policy Object Fditor (Editor
objektů Zásady skupiny) vidíte na obrázku 14.6.
Jazyk souborů .adm
547
Tip Pokud pro vytváření názvu pole COMBOBOX používáte syntaxi STRINGS, pak celý zá-
znam může obsahovat jedinou proměnnou, odkazující se např. na dlouhou větu. Tento pří-
stup je vhodný především proto, že obsahuje-li řetězec v uvozovkách více než jedno slovo
pak se vam při pokusu o naimportovám šablony pro správu do objektu zásad skupiny zobra-
zí chybové hlášení. Spolu se syntaxí COMBOBOX můžete využit i další syntaxe, jako např.
KEYNAME, VALUENAME, DEFAULT, SUGGESTIONS, REOUIRED, MAXLENGTH, OEMCONVERT,
END, EXPANDABLETEXT, NOSORT a CLIENTTEXT.
OBRÁZEK 14.6: Výsledek použití syntaxe COMBOBOX
DROPDOWNLIST Syntaxe DROPDOWNLIST umožňuje zobrazení pole s rozbalova-
cím seznamem. Lze tedy říci, že se do značné míry podoba syntaxi COMBOBOX. Zá-
kladním rozdílem je však to, že v případě DR( )PDOWNLIST je možné jednotlivé volby
popsat normálním jazykem. Současně platí, že uživatel si smí vybrat pouze jednu
z nabízených možností. Domníváme se, že byste měli upřednostnit používáni této syn-
taxe, neboť v případě syntaxe COMBOBOX jsou zobrazeny přímo možné hodnoty
registru, ktere však neříkají zcela jasně, jaký bude výsledek dané zásady. Ukažme si
nyní tentýž kód, ve kterém jsme pracovali se syntaxí COMBOBOX, v němž bude
namísto COMBOBOX použita syntaxe DROPDOWNLIST:
POLICY!!ScreenSaverFi1ename
KEYNAME "Software\Policies\Mi crosoft\Wi ndows\Control Panel\Desktop"
PART "What screen saver do you want? " DROPDOWNLIST
VALUENAME "SCRNSAVE.EXE"
ITEMLIST
NAME "Starfield"
VALUE C:\WINNT\System32\ssstars.scr
NAME "Bezier"
VALUE C:\WINNT\System32\ssbezi er.ser
NAME "Flowerbox"
548
Kapitola 14 - Úpravy šablon pro správu
VALUE C:\WINNT\System32\ssflwbox.ser
END ITEMLIST
END PART
END POLICY
I Tkázku výslední ho rozhraní modulu snap-in Group Policy Object Editor
objektů Zásady skupiny) vidíte na obrázku 14.7.
• F<litor
OBRÁZEK 14.7: Výsledek použití syntaxe DROPDOWNLIST
Tip Potřebujete-li k popisu kterékoliv volby v rozbalovacím seznamu více než jedno slovo,
pak musíte pro jednotlivé volby použít syntaxi STRJNGS. V opačném případě by při importu
souboru . adm vznikla chyba. Syntaxe STRINGS vám umožňuje napsat místo každé vo’by jedi-
ní* slovo (název proměnné). Modul snap-in Group Policy Object Editor (Editor objektů Zása-
dy skupiny) pak při importu nahradí tyto proměnné skutečnými texty.
Poznámka Spolu se syntaxí DROPDOWNLIST můžete využít i další syntaxe, jako např. KEY-
NAME, VALUENAME, DEFAULT, REQUIRED, ITEMLIST, END, NOSORT a CLIENTTEXT.
EDITTEXT Syntaxe EDITTEXT umožňuje uživateli zadání alfanumerického textu do
editovatelneho pole. Příklad použití léto syntaxe jsme již viděli v kódu umožňujícím
zadaní nazvu spořiče obrazovky. Zmíněný kód je ještě jednou uveden níže:
POLICY!IScreenSaverfilename
KEYNAME "Software\Policies\Microsoft\Windows\Control Panel\Desktop"
PART!!ScreenSaverFilename EDITTEXT
VALUENAME "SCRNSAVE.EXE"
END PART
END POLICY
Jazyk souboru .adm	54y
Standardně platí, že díky syntaxi EDITTEXT je zobrazeno prázdné pole, umožňující
zadaní textu. Chcete-li v tomto poli zobrazit nějakou výchozí hodnotu, pak spolu se
syntaxí 1 DITTEXT použijte syntaxi DEFAULT, I dalším možnostem, které můžete
použít sc syntaxi EDITTEXT, patří:
0 DEFAULT hodnota Určuje výchozí řetězec, který bude v poli zobrazen Neni-li
tato syntaxe použita, bude1 zobrazené pole prázdné.
0 EXPANDABLETEXT Tato syntaxe říká, že zadaný text ma být uložen do regist-
ru jako datový typ REG_EXPAND.SZ. Nepoužijete-li tuto syntaxi, bude zadaný text
uložen do registni jako REG_SZ.
	MAXLEN hodnota Definuje maximální možnou délku řetězce. Jinými slovy ře-
čeno, do vstupního pole bude možné zadat text, mající nejvýše tuto definova-
nou délku.
	RI QUIRED Použijete-li tuto syntaxi, pak modul snap in Group Policy' Object
Editor (Editor objektu Zásady skupiny) neumožni povolení zásady obsahující
související syntaxi PAR1'', dokud nebude zadána nějaká hodnota.
	OEMCONVERT Nastavuje u vstupního pole vlastnost ES_0EMCONVERT, Čímž je za-
jištěno přiřazení zadaného textu z ASCII do OEM a zpět. Text je nejprve převe-
den ze znakové sady systému Windows (ASCII) do znakové sady OEM a poté
zpět do znakové sady Windows. Pokud pak nějaká aplikace volá funkci
CharToOemšJavaScript :hhobj_l-Cl ick( )>, převádějící XSCII řetězec ve vstupním
poli na znaky OEM, je zajištěna správná konverze znaku. Použiti této syntaxe je
vhodné především u polí pracujících s názvy souborů.
Poznámka Spolu se syntaxí EDITTEXT můžete využít i další syntaxe, jako např. KEYNAME,
VALUENAME, DEFAULT, REQUIRED, MAXLENGTH, OEMCONVERT, END, EXPANDABLETEXT
a CLIENTTEXT.

skupiny
LISTBOX Pomocí této části syntaxe PART můžete ve spodní části okna modulu
snap-m Group Policy Object Editor (Editor objektů Zasady skupiny) definovat růz-
né další možnosti, jako např. rozbalovací seznamy, textová pole či texty. Jak vidíte
z následující ukázky kódu, převzaté ze souboru System.adm, je použití syntaxe
LISTBOX poměrně jednoduché:
PART!1RestrictAppsList LISTBOX
KEYNAME
"Software\Mi crosoft\Wi ndows\CurrentVerš i on\polici es\Explorer\RestrictRun”
VALUEPREFIX ""
END PART
Výsledné rozhraní modulu snap-in Group Policy Obiecl Editor (Editor objektů Zá-
sady skupiny) je znázorněno na obrázku 1 1.8.
Kromě standardní syntaxe LISTBOX můžete v dané Šabloně pro správu použit ještě
některé další volby, jejichž přehled následuje níže:
ADDITIVE Standardně platí, že zadaný obsah seznamu přepíše všechny hodnoty za-
dané v registru. To žnamená, že do souboru zasady je vložena řídicí hodnota, která
nejprve zajistí výmaz všech stávajících hodnot daného registru, a teprve pote do regist-
ru vloží hodnoty obsažené v souboru zasady. Pouzijetc-li tuto volbu, stávající hodnoty

550
Kapitola 14 - Úpravy šablon pro správu
nebudou z registru vymazány a hodnoty zadané do seznamu budou přid^
k hodnotám uloženým v registru. Pokud zakážete objekt zasad skupiny obsah
tuto syntaxi, pak zakázaná nastavení nebudou při konfiguraci cílových počítačů
uživatelských účtů použita a příslušné hodnoty budou z registru vymazaný.
OBRÁZEK 16.8: Výsledek použití syntaxe LISTBOX
Upozornění Až do uvedení aktualizace Service Pack 2 pro systém Windows XP nebylo možné na-
stavení zásad obsahující syntaxi LISTBOX ADDITIVE v modulu snap-in Group Policy Object Editor
(Editor objektů Zásady skupiny) vůbec zobrazit. Budete-li se tedy pokoušet o úpravy objektu zá-
sad skupiny obsahujícího popisovanou syntaxi na počítači s operačním systémem odlišným od
Windows XP SP2 či Windows Server 2003 SP1, zobrazí se chybové hlášení „The following entry in
the [strings] section is too long and has been truncated". Podrobnější informace najdete v článku
842933 znalostní báze firmy Microsoft (http: //support. mi crosof t. com/ kb/842933).
	EXPUCITVALUE Pomocí této volby můžete uživateli umožnit zadání jak sa-
motných dat, tak i nazvu hodnoty. V seznamu pak budou zobrazeny dva sloup-
ce, z nichž jeden je určen pro zadán1 nezvu a druhý pro zadaní dat. Tuto volbu
nelze použít spolu se syntaxí VALUEPRFFIX.
_________	s
	VALUEPREFIX předpona Zadaná hodnota je použita jako předpona, pomoci niz
jsou vytvářeny všechny názvy hodnot. Zadáte-li nějakou předponu, bude namísto
standardního způsobu vytváření nazvu, popsaného výše, použita tato předpona,
za níž budou přidávána postupné narůstající čísla. Například zadáte li předponu
SampleName, systém vygeneruje názvy hodnot SampleNampl, SampleName2 apod. Je
však možné zadat i prázdnou předponu (""), v důsledku čehož systém vytvoří ná-
zvy hodnot typu 1, 2 apod.
----------------- _---------x-----------------------------------
Poznámka Spolu se syntaxí LISTBOX můžete využít i další syntaxe, jako např. KEYNAME, VA-
LUEPREFIX, END, ADDITIVE, EXPLICITVALUE, EXPANDABLETEXT, NOSORT a CLIENTTEXT.
Jazyk souborů .adm
551
NUMERIC Umožňuje zobrazení editovatelneho pole, k němuž muže být volitelně
připojen ovládací prvek číselníku (řídící prvek obsahující šipku nahoru a dolů). Do
pole je možné zadat pouze číselnou hodnotu. Doporučujeme vám, abyste spolu se
syntaxi NUMERIC používali i syntaxe MIN a MAX - díky nim totiž zajistíte, že se do
registru nedostanou neplatná data. Níže následuje ukázka kódu šablony Sys-
tem, adm, obsahující příklad použití syntaxe NUMERIC:
1 PART!!Profi 1eSize
NUMERIC REQUIRED SPIN 100
VALUENAME "MaxProfi 1eSize"
	DEFAULT 30000
MAX 30000
1	MIN 300
I END PART
Pomocí syntaxe SPIN můžete nadefinovat krok, po jakém bude možné hodnoty
z číselníku vybírat. Tím je ještě zesílen význam syntaxí MAX a MIN, definujících
mezní hodnoty, které je možně do registru zadat. Spolu se syntaxi NUMERIC může-
te použit tyto syntaxe:
	DEFAULT hodnota Určuje počáteční hodnotu, zobrazenou v poli. Není-li tato
možnost použita, je pole zpočátku prázdné.
	MAX hodnota Určuje maximální možnou hodnotu. Výchozím maximem je 9999.
	MIN hodnota Určuje minimální možnou hodnotu. Výchozí hodnota minima je 0.
	REQUIRED Tato volba říká, že dané pole je povinné (tj. musí do něj být zadaná
nějaká platná hodnota). Pokud modul snap-in Group Policy Object Editor (Edi-
tor objektu Zásady skupiny) narazí na zásadu obsahující prázdné povinné pole,
pak neumožní aktivaci takové zásady.
	SPIN hodnota Definuje přírůstek hodnoty, se kterým má pracovat ovládací
pivek číselníku. Výchozí hodnota přírůstku je 1.
	SPIN 0 Pomocí této volby můžete ovládací prvek číselníku odstranit z daného pole.
	TXTCONVERT Zadané hodnoty budou do registru zapsány jako řetězce typu
REG_SZ (tj. "1", "2", "128" apod.) a nikoliv jako binární hodnoty.
Poznámka Spolu se syntaxí NUMERIC můžete využít i další syntaxe, jako např. KEYNAME,
VALUENAME, END, MIN, MAX, SPIN, TXTCONVERT, REQUIRED, DEFAULT a CLIENTTEXT.
Úpravy
TEXT Syntaxi TEXT lze využít k zobrazení textu na strance vlastnosti daného nastavení
zásady. Ukázku použití syntaxe TEXT, převzatou ze souboru System. adm, vidíte níže:
I	PART!!GPRefreshRate_C_Descl	TEXT
1	END PART
I	PART!!GPRefreshRate_C_Desc2	TEXT
I	END PART
Pomoci tohoto kódu byste vytvořili dva řádky statického textu, které by se zobrazí-
ly v dialogu při editaci daného nastavení zásady.
552
Kapitola 14 - Úpravy šablon pro správu
ACTIONLIST
Pomocí syntaxe ACTIONLIST můžete nadefinovat sadu libovolných změn v r<
které mají byl provedeny, bude-li nějakému ovládacímu prvku přiřazena
hodnota. Ukázka využili syntaxe ACTIONLIST následuje níže:
POLICY "Děny connections requests"
EXPLAIN "If enabled, TS will stop accepting connections
ACTIONLISTON
VALUENAME "fDenyTSConnections” VALUE NUMERIC 1
END ACTIONLISTON
ACTIONLISTOFF
VALUENAME "fDenyTSConnections" VALUE NUMERIC 0
END ACTIONLISTOFF
END POLICY
Syntaxe ACTIONLIST má dvě základní varianty, které můžete použít spolu se syn-
taxemi POLICY a CHECKBOX. Jejich popis naleznete v tabulce 14.6.
TABULKA 14.6: Var anty syntaxe ACTIONLIST, které lze použít se syntaxemi
POLICY a CHECKBOX
Varianta	Popis
ACTIONLISTON Definuje volitelný seznam akcí, které mají být provedeny, zaškrtnete-li pří-
slušné políčko.
ACTIONLISTOFF Definuje volitelný seznam akcí, které mají být provedeny, ponecháte-li pří-
slušné políčko prázdné.
Další výrazy používaná v souborech .adm
V tuto chvíli již znáte veškerou základní syntaxi, kterou musíte použít ve vlastních
souborech . adm, chcete-li s jejich pomocí zpracovávat nastavení vybraných hodnot re-
gistru. V souborech .adm však můžete využit ještě mnoho dalších výrazů, sloužících
především pro vývoj a řešení případných problémů. Tyto výrazy sice nejsou povinnou
součástí souborů .adm, nicméně nabízejí vám možnost dodatečného řízení hodnot re-
gistru, vkládaných do souborů . adm.
Poznámky
Ačkoliv ve standardních souborech .adm mnoho poznámek nenajdete, jejich použití
ve vlastních souborech .adm může vám či vašim kolegům, pracujícím s vámi vytvo-
řenými soubory, v budoucnu značně usnadnit práci. Poznámky nemají žádný vliv
na obsah registiu či na rozhraní modulu snap-in Group Policy Object Editor (Editor
objektu Zasady skupiny): v souborech .adm se používají jenom proto, abyste snáze
porozuměli dané syntaxi.
Poznámky lze do souborů .adm vkládat dvěma různými způsoby. Bud můžete po-
známku napsat na samostatném řádku, anebo ii můžete přidat na konec kieréhoko
liv platného řádku. V obou případech ji ale musíte uvést středníkem nebo dvěma
dopřednými lomítky. Llkázku syntaxe poznámek vidíte níže:
PART!ÍProfileSize // this is the user profile
NUMERIC REQUIRED SPIN 100
Jazyk souborů .adm
553
; The spin control will increment by 100's,
; starting at 300, then 400, 500, 600, etc.
VALUENAME "MaxProfi 1eSize"
DEFAULT 30000
MAX 30000
MIN 300
END PART
REQUIRED
Význam syntaxe REQUIRED je zřejmý z názvu: pokud ji v souboru .adm použijete
ve spojitosti s nějakým jiným výrazem, příslušná hodnota registru musí být nějakým
způsobem nastavena. Teprve pote bude možné danou zásadu povolit.
MAXLEN
Tato syntaxe umožňuje nastavení maximální možné délky textu zadávaného do ně-
jaké zásady. Použití této syntaxe je vhodné například tehdy, potřebujete-li zajistit,
aby do hodnoty registru bylo zadáno jednociferné číslo.
EXPLAIN
Pomocí syntaxe EXPLAIN můžete nadefinovat online nápovědu, vztahující se
k nastavování určité zásady. Počínaje systémem Windows 2000 stránka Properties
každého nastavení zásady obsahuje kartu Explain, na níž jsou uvedeny podrobnější
informace týkající se nastavení.
Každé vlastní nastavení objektu zásad skupiny, které vytvoříte, by mělo obsahovat
jedno klíčové slovo EXPLAIN, následované jednou mezerou, za níž bude uveden
potřebný text, uzavřený do uvozovek ("), či odkaz na řetězec obsahující tento text.
Ukázku využili syntaxe EXPLAIN, převzatou ze souboru System.adm, vidíte mže.
Výsledné rozhraní modulu snap-in Group Policy Obiect Editor (Editor objektu Zá-
sady skupiny) je pak zobrazeno na obrázku 14.9.
POLICY!!Run_Startup_Scri pt_Sync
EXPLAIN!!Run_Startup_Script_Sync_Help
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\System"
VALUENAME "RunStartupScri ptSync"
VALUEON NUMERIC 0
VALUEOFF NUMERIC 1
END POLICY
Chcete-li do textu nápovědy vložit pevný posun na začátek řádku, pak použijte
syntaxi /n. Potřebujete-li do textu vložit přechod na nový řádek, můžete použit syn-
taxi /n/n. Jediný záznam EXPLAIN umožňuje zadání textu o maximální délce 4096
Znaků - což je více než dostatečné i pro podrobný popis zasady.
Úpravy
zásad
SUPPORTED
Modul snap-in Group Policy Object Editor (Editor objektů Zásady skupiny) využívá
navěstí SUPPORTED k načteni pole RFQUJRFMENT. Toto navěsti administrátorovi
zásad skupiny vlastně říká, ktere platformy či aplikace podporují dané nastaveni
zásady. Například mnoha nastaveni zásad obsažená v souboru System.adm používají
554
Kapitola 14 - Úpravy šablon pro správu
návěští SUPPORTED, definující konkrétní aktualizaci Service Pack operačního
tému. Řetězec použitý pro vytvoření návěští SUPPORTED se mnohdy odkazuj
několik verzí operačních systému či několik aktualizací Service Pack.
Ačkoliv komponenty operačního systému obvykle používají v tomto poli odkaz
verzi systému či aktualizace Service Pack, aplikace (které mohou být aktualizová
až po uvolnění nějaké aktualizace operačního systému; se mohou odkazovat
konkrétní verzi. Návěští SUPPORTED je naprosto nezbytné k tomu, aby administrá-
toři zásad skupiny měli dostatek informací ke kvalifikovaným rozhodnutím, týkají-
cím se jednotlivých nastavení zásad.
sys-
le na
na
na
OBRÁZEK 14.9: Výsledek použiti syntaxe EXPLAIN
Muže se také stát, že budete muset vytvořený soubor .adm lokalizovat. V takovém
případě byste v návěští SUPPORTED měli použít konstrukci!! Nazev_retezce, neboť
ta vám umožňuie snadnou a rychlou lokalizaci všech potřebných řetězců. Dále je
nutné zdůraznit, že návěští SUPPORTED je podporované pouze operačními systé-
my Microsoft Windows XP a novějšími, z čehož vyplývá, že návěští SUPPORTED
byste vždy měli používat uvnitř syntaxe #if version. Ukázku vidíte níže. (Zajistíte
tím to, že ta verze modulu snap-in Group Policy Object Editor (Editor objektu Zá-
sady skupiny?, která je dodávána spolu se systémy Windows 2000, se nebude snažit
interpretovat návěští SUPPORTED.)
POLICY!!ScreensaverTilename
#if version >= 4
SUPPORTED!!SUPPORTED_Wi ndows2003
#end i f
KEYNAME "Software\Policies\Microsoft\Windows\Control Panel\Desktop"
PART!!ScreenSaverFi1ename EXPANDABLETEXT
VALUENAME "SCRNSAVE.EXE"
END PART
END POLICY
Doporučené postupy
555
Syntaxe SUPPORTED a popis operačního systému zajišťují v modulu snap-in Group
Policy Object Editor (Editor objektu Zásady skupiny) dvě věci. Zaprvé v pohledu
Extended (Rozšířené) zobrazují verze operačních systému, a to v podobě, kterou
vidíte na obrázku 14.10. Zadruhé jsou základem pro využití volby Filtering (Filtro-
vání), která umožňuje výběrové zobrazení jednotlivých verzi operačních systémů.
OBRÁZEK 14.10: Pohled Extended modulu snap-in Group Policy Object Editor (Editor objektů
Zásady skupiny)
Omezení délek řetězců
definovaných v souboru .adm
Soubory .adm nemohou obsahovat neomezené množství informací. Každý soubor
.adm je omezen určitými limity, i když pravděpodobnost dosažení těchto limitů je
u vlastních souboru .adm poměrně malá. Přehled omezeni najdete v tabulce 14.7.
TABULKA 14.7: Omezení délek řetězců definovaných v souboru .adm
Řetězec	Omezení
Maximální délka řetězce použitého v syntaxi EXPLAIN	4096 znaků
Maximální délka řetězce použitého v syntaxi CATEGORY EXPLAIN	255 znaků 
Maximální délka řetězce použitého v syntaxi EDITTEXT	1023 znaků
Úpravy
14.5 Doporučené postupy
Obecně lze říci, že je-li možné nastavit zásadu pomocí jednoduchého uživatelského
rozhraní a uložit výsledek konfigurace do registru ve fonně prostého textu, pak byste
pro konfiguraci dané zásady měli využít soubor .adm. Po podrobnějším zamyšleni
zjistíte, že soubory .adm jsou vhodným řešením zejmena v těchto případech:
 Požadavek na vytvoření funkcionality umožňující nastavení zapnuto, vypnuto či
ano/ne. Nastaveni obsažená v souboru .adm mohou fungovat jako přepínač,
který danou funkci buď zapíná aneLx) vypíná. Tímto způsobem jsou řízeny pře-
devším vlastnosti a funkce plochy systému.
Šablony
zabezpečení
Obsah kapitoly:
15.1	Struktura šablon zabezpečení.......................................560
15.2	Překrývání šablon zabezpečení s objekty zásad skupin...............567
15.3	Práce se šablonami zabezpečení...................................  568
15.4	Úpravy šablon zabezpečení...........................................569
15.5	Úpravy možností zabezpečení.........................................571
15.6	Nastavování služeb v šablonách zabezpečení.........................578
15.7	Řešení firmy Microsoft pro nastavení zabezpečení...................580
15.8	Shrnutí.............................................................
556
Kapitola 14 - Úpravy šablon pro správu
	Požadavek na definici několika statických režimů. Například můžete chtít nasta-
v it jazyk operačního systému. V takovém případě můžete připrávit seznam jed-
notlivých možností. Jakmile pak takovou zásadu povolíte, bude si administrátor
moci vybrat jeden z nabízených jazyků. Podobné akce jsou v uživatelském roz
hraní většinou zobrazovány ve formě rozbalovacího seznamu.
	Požadavek na přípravu takového nastavení zásady, které lze uložit do registru
ve formě prostého textu. Například můžete chtít vytvořit zásadu definující název
šetříce či rastrový obrázek zobrazený na pozadí plochy systému. Povolite-h ta-
kovou zásadu, administrátorům zásad skupiny se zpřístupní textové pole, do
něhož budou moci napsat jak samotný název rastrového obrázku, tak i cestu
k němu. Zadaná infonnace bude do registru uložena jako prosty7 text
z/ JRk Poznámka Data uložená v registru ve formě binárnícn hodnot nelze v souboru . adm použít,
neboť se nejedná o formát ASCII. S takovými hodnotami však můžete pracovat ve vlastních
šablonách zabezpečení, jimiž se budeme zabývat v kapitole 15.
V následujících případech zvažte použití šablony pro správu k distribuci nastavení
zásad uložených v registru:
	Chcete-li začít řídit či chcete-li zvýšit zabezpečení počítačů v doméně.
	Chcete-li před uživateli skrýt či chcete-li jim zabránit v používání těch možností
a funkcí rozhraní, jejichž nesprávné použití by mohlo vést k nutnosti zásahu ze
strany podpory.
	Chcete-li před uživateli skryl či chcete-li jim zabránit v používání nových funkcí
a možností, které by mohly uživatele vést. Diky tomu získá pracoviště podpory
dostatek času na postupné seznámení všech uživatelů s novými funkcemi.
	Chcete-li před uživateli skrýt takova nastavení a možnosti, které by je mohly7 vy-
rušovat od práce či jsou natolik složité, že jejich úplná konfigurace není bez
podpory možná.
Existuje ovsem i řada případů, kdy byste neměli uvažovat o využití souboru .adm
pro konfiguraci nějakých nastavení na všech počítačích pomocí objektu zásad sku-
pin. Některé z nich jsou uvedeny níže:
	Chcete-li implementovat rozsáhlou sadu nastavení a možností nějaké větší apli-
kace. Větší aplikace totiž mohou obsahovat stovky či tisíce nastavení, což může
vést ke zpomalení zpracování obiektů zásad skupin. Navíc se může stát, že uži-
vatel pak již nebude schopen takovou aplikaci nastavit podle svých - oprávně-
ných - potřeb. Při výběru voleb, ktere povolíte či zakážete, byste v tomto
případě měli bvt velmi opatrní. Součásti zásad skupiny by se měla stát jenom
část dostupných možností, vybraných v závislosti na tom, zda administrátor bu-
de požadovat podobný druh správy aplikace.
	Chcete-li implementovat nepodporovaná nastaveni zásad. V souborech . adm byste
měli použit jenom taková nastavení, která dokážete před uvedením do ostrého
provozu plně otestovat a ověřit a po uvedení je budete schopni podporovat.
Při návrhu nastavení ve vlastních soubore* h . adm vždy zvažte požadovaný cílový stav,
možnou správu vašich nastaveni, podporu jejich distribuce a způsoby řešení proble-
Shrnutí
557
mu, vzniklých v případě, že nastavení nebudou fungoval dle vašich očekávání. V prů-
běhu návrhu nastavení zásad byste měli postupovat podle následujících doporučení:
	Zásadně neměňte standardní soubory .adm. To znamená, že z těchto souborů
byste neměli odstraňovat takova nastavení, o nichž se domníváte, že je nepotře-
bujete. ani byste do nich neměli přidávat nastaveni nová. Novější verze těchto
souboru .adm (uvolněné jako součást aktualizace operačního systému) totiž bu-
dou obsahovat původní podobu nastavení, což povede k přepsáni veškerých
vlastních nastavení.
	Vznikne-li konflikt mezi nastaveními zásad počítače a nastaveními zásad uživatele,
pak nastavení zásad počítače vždy přepíší nastavení zásad uživatele.
Pokuste se připravit veškerá nastavení v souborech .adm tak, aby se po jejich
povoleni systém choval přesně opačně než ve standardním stavu. Zachováte tak
konzistenci konfigurací uložených v nastavení zásad se standardním chováním
systému Windows.
Poznámka Tento způsob návrhu nastavení vás možná donutí vytvářet nastavení, která bu-
dou fungovat jako „dvojitá negace". V každém případě však tímto způsobem zachováte jis-
tý soulad (nikoliv shodu!) mezi standardním chováním systému a chováním systému po
povolení takových nastavení. Pro objasnění chování systému v případě povolení či naopak
zákazu dané konfigurace použijte text EXPLAIN.
AABjdn
Ke každému nastavení přidejte přesný a podrobný text EXPLAIN. Dobře napsaný
text EXPLAIN totiž muže vést ke sníženi množství požadavků na podporu. Součas-
ně muže i napomoci při řešení některých problémů s vlastními soubory .adm.
14.6 Shrnutí
Součástí standardních souborů . adm je mnoho různých nastavení, umožňujících řízení
téměř všech částí registru. Ve výchozím objektu zásad skupiny najdete více než 1300
různých nastavení, která jsou součástí standardních souboru .adm a nabízejí vam
mnoho možností. Máte-li pocit, žc ani toto množství nastavení není pro vás posta-
čující, můžete do objektu zásad skupiny naimportovat další soubory .adm, umožňu-
jící řízeni zabezpečení či řízeni jednotlivých aplikací, jako např. editoru Word,
kalkulátoru Excel apod.
A jestliže ani v těchto souborech . adm nenajdete ta nastavení, která potřebujete, pak si
můžete snadno vytvořit vlastní soubory . adm a naimportovat je do stávajících objektů
zásad skupiny. Uvážíte-li flexibilitu, kterou vám systém dává při výběru počítačů
a uživatelů, pro něž mají nastavení platit, pak zjistíte, že vlastní soubory .adm mohou
být - z hlediska aplikace - velmi podrobné. Základním předpokladem úspěšnosti při
tvorbě nových souboru .adm je pochopení jejich jazyka. Lze říci, že jazyk šablon pro
správu není nijak složitý. Proto se domníváme, že byste měli byt schopni začít vy-
tvářel a implementovat nové souboiy .adm během několika desítek minut.
560
Kapitola 15 - Šablony zabezpečení
V této kapitole postupně rozpleteme složitost šablon zabezpečení. Ty představují vy
nikající metodu zvýšen zabezpečení jak serverů, tak i klientských počítačů. Podrobný
vám ukážeme strukturu šablon zabezpečení, abyste pochopili a zapamatovali si. které
části těchto šablon jsou standardní a které lze rozšířit o vaše vlastní nastavení. Šab-
lony zabezpečení se spravují pomocí modulu snap-in Šablony zabezpečení. Tento
modul vám umožňuje přístup ke všem standardním šablonám zabezpečení a sou-
časně napomáhá při vytváření vašich vlastních šablon. V další části této kapitoly se
detailně seznámíte še syntaxí šablon zabezpečení a způsoby jejich tvorby. Celou
kapitolu pak završíme výčtem některých často používaných vlastních nastavení za-
bezpečení, která možná budete také chtít využít, a popisem postupu doporučených
pro tvorbu šablon zabezpečení.
Další informace:
	Více informací o zvýšení zabezpečení serverů a klientských počítačů v doméně
pomocí šablon zabezpečení najdete v kapitole 5.
	Podrobnější popis konfigurace šablon zabezpečení najdete v knize Microsoft Win-
dows Security Resource Kit, Second kdition (vydavatelství Microsoft Press, 2005).
	Registrem systému IV indows se detailně zabývá kniha Microsoft Registry Guide.
Second Edition (vydavatelství Microsoft Press, 2005).
15.1 Struktura šablon zabezpečení
I plnému pochopení možností úprav šablon zabezpečení je nutné, abychom si
nejprve ukázali, co vše nám nabízí standardní šablona zabezpečení, a popsal si její
strukturu. Získáte tik dobrou představu o tom, co vlastně můžete do šablon zabez-
pečení přidávat.
Standardní šablony zabezpečení, které jsou součástí instalace operačního systému, na-
jdete ve složce C: \Wi ndows\Securi ty\Templ ates (jedná se o výchozí složku). Platí, že
všechny šablony zabezpečeni mají shodnou strukturu a shodne konfigurovatelné atri-
buty zabezpečení. Otevření šablon zabezpečení, jakož i jejich následné úpravy, jsou
možné v modulu snap-in Security Templates (Šablony zabezpečení). Na obrázku
15.1 vidíte ukázku rozhraní tohoto modulu spolu se strukturou šablony.
/Viz též Více informací o standardních šablonách zabezpečení a práci s modulem snap-in Se
curity Templates (Šablony zabezpečení) najdete v kapitole 5.
Zásady účtů
Nastavení zasad učtu ovlivňují způsob, jakým z hlediska ověřován* a hesel mohou
uživatelé komunikovat s počítačem či doménou. Platí, že každému učtu domény
smí byt přirazena pouze jedna zásada účtu, Ta musí byt definována ve výchozích
zásadách domény (či v jiném objektu zásad domény přiřazenému celé doméně)
a její použití je vynucováno řadiči domény, spravujícími doménu. Řadiče domény
vždy načítají zásadu učtu z objektu výchozích zasad domény, a to i v případě, že
organizační jednotce, obsahující účty řadičů domény, byla přiřazena jiná zasadí
účtů. Standardně platí, že všechny klientské počítače a servery, připojené k doméně,
Struktura šablon zabezpečení 561
načítají stejnou zásadu účtů i pro lokzlní uživatelské účty. Vytvoříte-li však nějakou zá-
sadu účtů, kterou pak přiřadíte organizační jednotce, v níž jsou obsaženy účty klient-
ských počítačů a serveru, budou tyto počítače a servery pracovat se zásadou účtů
odlišnou od doménové.
OBRÁZEK 15.1: Rozhraní modulu snap-in Šablony zabezpečení a struktura šablony
Úpravy
Jak je zřejmé z obrázku 15.2, zásady účtů mají tři části: Password Policy, Account
Lockout Policy, Kerberos Policy (Zásady hesla. Zásady uzamčení účtu a Zásady modu-
lu Kerberos).
“j Qk fitiun	Fav&Kes Wrdow Help
i* Console 1 [Console Rool SecurRy Templatee\Cf WfMXJWS\seair*y lemplMm’htoecdr Account	»r »\p,
	$ hisec Jr	3	ipokjf	L Comptfer Settng ,				
	B v Accouit Pcioe.		[ E‘"'® - * llwt	24 passwords remembered	1
	Password Poky		. uQMaximum password age	42days
	± .V Acccxnt Lockout Poky		r»un password age	Zdays
	-V hirbortsPoky B Local Pokies ♦ -fjAucftPoky • d l Jser	Assagnment ♦ jj Security Options		xjMim Od password length	’ haracters
			•» f sssword must meet complexky requrenerits	Enabied
		zl	JyQ^ore passwords usng reverstle encrypoon	C ^abied
OBRÁZEK 15.2: Tři části zasad účtů
	Password Policy (Zásady hesla) V této části najdete nastavení týkající se hesla
(např. tedy délky hesla, jeho maximálnílio stáří či složitosti). Tato nastavení jsou
použita pro doménové i lokální uživatelské účty. Je nutné zdůraznit, že do teto
části šablony zabezpečení nelze přidávat žádná vlastní nastavení zásad hesla.
	Account Lockout Policy (Zásady uzamčení účtů) Jedna se o část obsahující
nastavení okolností uzamykaní účtů a doby, po takou zůstanou účty uzamčeny.
Tato nastavení jsou platná jak pro doménové, tak i lokální uživatelské úcty.
Opět platí, že do této části šablony zabezpečení nelze přidávat žádna vlastni na-
stavení uzamčeni účtu
562
Kapitola 15 - Šablony zabezpečení
	Kerberos Policy (Zásady modulu Kerberos) Jde o nastavení týkající se nio.
dulu Kerberos (např. tedy maximální doby platnosti lístku či jeho vynucení
Zásady modulu Kerberos nejsou součástí zasad místního počítače. Používají
pro dóménové uživatelské účty, a i když je možné je konfigurovat v objektu
sad skupiny přiřazeném dané organizační jednotce, jsou vždy platné pouze na
úrovni celé domény. Do teto části šablony zabezpečen nelze přidávat žádná
vlastní nastaven-' modulu Kerberos.
Viz též Podrobnější popis zásad hesla, uzamčení účtů a modulu Kerberos najdete v kapitole 5.
Místní zásady
Mezi místní zásady pati i rúzna nastavení zabezpečení vztahující se na počítače. Nalez-
nete zde tři různé kategorie nastavení: Audit Policy, User Rights Assignment, Security
Options (Zásady auditu, Přiřazení uživatelských práva Možnosti zabezpečení).
Viz též Více informací o zásadách auditu, přiřazení uživatelských prav a možnostech zabez-
pečení najdete v kapitole 5.
* --------------------------------------------------—-------------------------------
	Audit Policy (Zásady auditu) Pomocí těchto nastavení můžete říci, zda událos-
ti zabezpečeni mají bvt zapisovány do protokolu zabezpečení, který si na da-
ném počítači můžete prohlédnout pomocí Prohlížeče událostí. Zasady události
určují napiíklad to, zda přihlášení bylo úspěšné či nikoliv nebo zda byl úspěšný
nějaký pokus o přistup k určitému prostředku. Do této sady nastavení nelze
přidával žádné vlastní zásady auditu.
Tip Ještě před implementací nějakých zásad zabezpečení byste se měli rozhodnout, které ka-
tegorie událostí chcete auditovat. Nastavení auditu, která vyberete pro jednotlivé kategorie
událostí, pak vlastně určují vaše zásady auditu. Na členských serverech a klientských počítačích
připojených do domény nejsou standardně definována žádná nastaveni auditu žádné katego-
rie událostí. Naopak u řadičů domény je standardně audit pro většinu nastavení zásad auditu
zapnut. Definováním nastavení auditu pro jednotlivé kategorie událostí můžete vytvořit tako-
vé zásady auditu, které budou přesně vyhovovat potřebám zabezpečení ve vaši firmě.
	User Rights Assignment (Přiřazení uživatelských práv) T a to i ustavení určují,
kteří uživatelé či jejich skupiny mají práva pro prohlášeni k danému počítači. Opět
platí, že do této sady nastavení nelze přidával žádné vlastní zásady auditu.
	Security Options (Možnosti zabezpečení) Pomocí těchto možnosti můžete
zapnout či vypnout různá nastavení zabezpečen- daného počítače, týkající se
např. digitálního podepisování dat, nazvu účtů uživatelů Administrátor a Guest,
instalaci ovladačů či přihlašovacího dialogu. Do této sady pasta vení nelze přidá-
vat žádné vlastní zásady auditu.
Poznámka Více informací o úpravách nastavení v šablonách zabezpečení najdete v části
„Úpravy možností zabezpečení" dále v teto kapitole.
Struktura šablon zabezpečení
563
Protokol událostí
Nastaveni protokolu událostí definují atributy vztahující se k protokolu aplikací, za-
bezpečení či k systémovému protokolu. Můžete nastavit maximální velikost proto-
kolu, přístupová práva k protokolům či metodu uchovám jednotlivých protokolů.
Nabízena nastavení nelze rozšířit o žádná další vlastní nastavení.
Standardně platí, že na každém počítači jsou zapisovaný události do protokolu aplika-
cí a do systémového protokolu. Pokud se týká členských serverů a klientských počíta-
čů, do protokolu zabezpečení nejsou standardně zapisovány žádné události. Naopak
v případě řadičů domény se systémem Windows Server 2003 jsou do protokolu za-
bezpečení určité události zapisovaný i v případě standardní konfigurace. Chcete-li,
aby se do protokolu zabezpečení zapisovaly události i na členských serverech
a klientských počítačích, pak - jak již bylo řečeno v části „Místní zásady“ - nejprve
musíte povolit audit. Současně musíte povolit auditováni události vyskytnuvších se
na požadovaném prostředku (složce, souboru, klíči registru, tiskárně či objektu
služby Active Directory). Teprve poté systém začne sledoval události související
s přístupem k dílným objektům. Všechny protokoly událostí si můžete prohlížet
pomocí Event Viewer - Prohlížeče událostí.
Viz též Podrobnější popis protokolů událostí najdete v kapitole 5.
Skupiny s omezeným členstvím
Nastavení skupin s omezeným členstvím umožňuje administrátorům řídit dvě vlast-
nosti skupin zabezpečení, a to iak na lokálních počítačích, tak i ve službě Active
Directory. Pivní vlastností, kterou lze řídit, je seznam členů skupiny. Tento seznam
se nastavuje v části Members (Členové) dialogů skupin s omezeným členstvím, je-
hož ukázku vidíte na obrázku 153.
Úpravy
Tip Je-li seznam Members prázdný, pak to znamená, že daná skupina s omezeným členstvím
nemá žádné členy.
Druhou nastavitelnou vlastností je členství dané skupiny v jiných skupinách. 1 toto je
zřejmé z obrázku 15-3.
Tip Prázdný seznam Member Of znamená, že daná skup.na s omezeným členstv in není zá-
sadou zařazena do žádné jiné skupiny.
Pomocí zásady Restricted Groups (Skupiny s omezeným členstvím) můžete řídit
členství ve skupinách. Můžete například říci, kteří uživatelé smí být členy dané
skupiny. Pokud takové nastavení provedete, pak během následující aktualizace zá-
sad skupiny budou všichni ostatní uživatelé z dané skupiny odstraněni. Dále platí,
že pomocí seznamu Member Of lze zajistit, že daná skupina s omezeným členstvím
bude členem pouze definovaných skupin.
Například můžete vytvořit takovou zásadu Restricted Groups (Skupiny s omezeným
Členstvím), která umožní členství ve skupině Administrators pouz< vybraným uživa-
telům (např. tedy uživatelům Alice a John). Jakmile pak dojde k aktualizaci zásad
skupiny, zůstanou ve skupině Administrators pouze tito dva uživatelé.
64
Kapitola 15 - Šablony zabezpečení
Poznámka Popisovanou zásadu byste měli používat primárně pro konfiguraci členství v lokál-
ních skupinách klientských počítačů nebo členských serverů.
Viz též Bližší popis skupin s omezeným členstvím najdete v kapitole 5.
OBRÁZEK 15.3: Dialog pro nastavovaní skuoin s omezeným členstvím, zobrazený
v šabloně zabezpečení
Systémové služby
Část Services (Systémové služby) šablon zabezpečení umožňuje administrátorům
centrální řízení služeb na klientských počítačích, členských serverech a řadičích
domény. V teto části lze určit režim spuštění kterékoliv služby na kterémkol iv počí-
tači připojeném do domény. Nabízené možnosti jsou Manual, Automatic, Disabled
(Ručně, Automaticky, Zakázáno). V části systémové služby lze také definovat pří-
stupová oprávnění ke službě. Přitom je možné nastavit taková oprávnění, která
umožňují libovolné kombinace spouštění, zastavování či pozastavování služby na
počítači. Tím je značně zlepšeno řízení všech služeb běžících na všech počítačích
v doméně. Na obrázku 15.4 vidíte dialog pro práci se standardní službou, jejíž na-
stavení můžete určit pomocí šablon zabezpečení.
Tip Výkon jednotlivých počítačů můžete zvýšit tím, že způsob spouštěni zbytečných či nevyu-
XRf žívaných služeb nastavíte na Ručně.
Je nutné zdůraznit, že část služeb šablon zabezpečení je dynamická, což znamená,
že seznam služeb odpovídá počítači, na němž provádíte správu šablony zabezpe-
čení či objektu zásad skupiny. Z toho ovšem vyplývá, že v seznamu služeb nemusí'
te nalézt právě tu službu, kterou chcete na klientských počítačích či serverech
Struktura šablon zabezpečení
565
konfigurovat. Toto chování lze clo určité míry řídit a upravit. Více informací o úpra -
vách systémových služeb v šablonách zabezpečen1 najdete v části „Nastavování slu-
žeb v šablonách zabezpečení“ dále v této kapitole.
Viz též Více informací o systémových službách najdete v kapitole 5.
IIS Admm Service Properties
Template Security řobcy Setting |
1 IIS Adnw Service
..	  ||—.....	 > —.m...	I nu	.
P £)ehne thispolicysettingmthetemptate
Selecí Service startup mode
C Automatic
C fdanuai
<• Dgabled
Edt Security
OK	Cancd £pply
OBRÁZEK 15.4: V části Systémové služby můžete nastavit způsob spouštění
jednotlivých služeb
Registr
V části Registry (Registr) šablony zabezpečení mohou administrátoři definovat přístu-
pová oprávnění k jednotlivým klíčům registru cílového počítače. Při konfiguraci klíče
registru v šabloně zabezpečení vidíte seznam obsahující hodnoty CLASSES_ROOT,
MACHINE a USERS, v mchž můžete vyhledat ten klíč, se kterým chcete pracovat. Ukázku
tohoto dialogu vidíte na obrázku 15.5.
Po výběru určitého klíče registru získáte možnost konfigurovat všechny aspekty pří-
stupových oprávnění k vybranému objektu. Jak vidíte z obrázku 15.6, jedná se
o následující možnosti:
	Discretionary Access Control List — DACL (Volitelný seznam řízení přístupu)
Část popisovače zabezpečení, která daným uživatelům či skupinám uděluje ne-
bo naopak odebírá oprávnění k přístupu k určitému objektu.
	System Access Control List — SACL (Seznam řízení auditováni přístupu)
Část popisovače zabezpečení, spouštějící auditováni těch událostí, ktere mají být
protokolovaný do protokolu zabezpečení.
	Ownership (Vlastnictví) ( ást popisovače zabezpečení řídící to. který uživatel
či skupina ma nejvyšší oprávnění k řízení objektu, včetně možnosti změny kte-
réhokoliv oprávnění, změny obsahu obiektu či jeho výmazu.
Viz též Více informací o přístupu k registru a možnostech jeho úprav najdete v části TechNet
webu firmy Microsoft (http://www.microsoft.com/technet) po zadání klíčových slov „re-
gistry", „registry editing tools" a „OverView of the Windows registry". Podrobnosti o nasta-
veních registru v šablonách zabezpečení najdete v kapitole 5.
Úpravy
zásad
566
Kapitola 15 - Šablony zabezpečení
OBRÁZEK 15. 5: Konfigurace klíčů registru pomocí šablon zabezpečení
J2SJ
A ďf tnced Security Settíor MACHI^e ,SW rWMt\P<*Mes
Feiratmrr I taftng | Owner |
To vew rnote riamjLon obout tpeuai patranr teiect a pemwMon enby and then ckck E<SL
Petra jn enjnev
	Hama	Pwnw.W’	j	F>nm	I Apply T o
		FlJ [mm	not		
	CRÉATUR ÓWNER	MContid	<not mhetted>	Subfr-y intj
Alow	SYSTEM	Ful Control	<notrhentad>	’ h. koy and :Jiavr
Alow	UnrtíCPANDLUJsett)	Read	<not rhe**M>	Thn key and
Ajd | £ď | flétnové |
Alow rhertabie pm<r notn éw pater* to ptopagat" to *hs obfect and al chid obfedt Incktde
tnete wth enbie\ “ná at1 orflnr" her*
Leatn more abod
| OK | Cancei	|
t	-------	-	-
OBRÁZEK 15.6: Konfigurace oprávnění, auditu a vlastnictví klíčů registru
Systém souboru
Sekce Systém souborů šablony zabezpečení se podobá sekci Registr. Administrátoři
v ní mohou nadefinovat oprávnění k přístupu k různým souborům a složkám cílového
počítače. Z obrázku 15.7 je zřejmé, že při konfiguraci nějakého souboru či složky v Ša-
bloně zabezpečení se vám zobrazí přehled všech souboru a složek lokálního počítače.
Podobné jako u klíčů registru i pro soubory a složky platí, že oprávněni lze nastavovt
velmi podrobně. Pomocí šablony zabezpečení můžete nastavit volitelné seznamy ří-
zení přístupu (DACL), seznamy řízeni auditování přístupu (SACL) či vlastnictví.
/r) Viz též Více informaci o oprávněních ksouborům a složkám, dědění oprávnění, jejich auditovár
a vlastnictví najdete v části TechNet webu fimiy Microsoft (http://www.microsoft.com/technet)
po zadání klíčových slov „DACL", „SACl", „ownership" „security descriptors"a „ACL inheritance".
Překrývání šablon zabezpečení s objekty zásad skupin	557
OBRÁZEK 15.7: Řízení přístupových oprávněni k souborům a složkám pomoci šablon
zabezpečeni
15.2 Překrývání šablon zabezpečení
s objekty zásad skupin
Security Templates (Šablony zabezpečení) jsou výkonným a důležitým nástrojem,
s jehož pomoci můžete zajistit kvalitní a řádné zabezpečení všech klientských počí-
tačů, členských serverů či řadičů domény připojených k doméně. Jak jsme si ukáza-
li, šablony zabezpečení pokrývají mnoho oblastí zabezpečení. Je však velmi nutné,
abyste také pochopili, kde a jak se šablony zabezpečení překrývají s objekty zásad
skupiny. Díky tomu zjistíte, jaká vlastní nastaven1 jsou možná a kde budou zobra-
zena v objektu zásad skupiny.
Běžná Šablona zabezpečeni pokrývá více nez 10 oblastí souvisejících se zabezpeče-
ním. Ty mohou obsahovat stovky různých nastaven zabezpečení. Běžný objekt zá-
sad skupiny pak obsahuje více než 100 oblastí, obsahujících více než 1000 různých
nastavení zásad, jimiž lze konfigurovat různé parametry systému. Velkou otázkou
tedy je, kde se překrývají šablony zabezpečení s objekty zasad skupiny.
Security Templates (Šablony zabezpečení) se týkají pouze účtů počítačů, takže mů-
žete vyloučit všechna nastavení zásad ovlivňující uživatelské účty. Jak již víte, tato
nastavení najdete v uzlu Konfigurace uživatele objektu zásad skupiny. V kapitole 14
jsme si řekli, že uzly Šablony pro správu jak účtů počítačů, tak i uživatelských účtů
jsou vytvářeny pomocí souboru .adm. Můžeme tedy vyloučit i tato nastaveni zásad.
Je vcelku zřejmé, že šablony zabezpečeni nemají žádný vliv na nastavení různých
programů či skriptů, takže můžeme vyloučit i tyto oblasti.
Po vyloučení všeho toho, co nelze v objektu zasad skupiny konfigurovat pomocí šab-
lon zabezpečení, zůstává jedinou oblasti uzel Nastavení zabezpečení, který ve stan-
dardním objektu zásad skupiny najdete v cestě Computer ConfiguratiorbWindows
Settings (Konfigurace počítače\Nastavení systému Wi ndows). V:z obrázek 15.8.
Úpravy
Kapitola 15 - Šablony zabezpečení
OBRÁZEK 15.8: Uzel Nastavení zabezpečení objektu zásad skupiny
Porovnáte-li jeho strukturu s tou, kterou jsme vám ukázali na obrázku 15.1, pak
rychle uvidíte všechnu podobu. I přesto však platí, že některé oblasti zabezpečení,
které jsou součástí objektu zásad skupiny, nejsou šablonami zabezpečeni podporo-
vány. K těmto oblastem patří:
	Zásady bezdrátové sítě (IEEE 802.11)
	Zásady veřejných klíčů
	Zásady omezení softwaru
	Zásady zabezpečení protokolu IP ve službě Active Directory
Tyto oblasti již také nelze spravovat pomocí šablon zabezpečení, nicméně nacházejí
se v té části sekce Nastavení zabezpečení objektu zásad skupiny, která je ovlivňo-
vána šablonami zabezpečení.
15.3	Práce se šablonami zabezpečení
Prvním předpokladem úspěšných úprav šablon zabezpečení je znalost způsobu, ja-
kým lze k těmto šablonám přistupovat a jakým se v nich provádějí potřebné změ-
ny. Ačkoliv šablony zabezpečení jsou jednoduchými textovými soubory, pro přístup
k nim a jejich konfiguraci se obvykle používá speciální nástroj, kterým je modul
snap-in Security Templates (Šablony zabezpečeni). Nicméně pokud budete chtít
v těchto šablonách provést nějaké vlastní změny, budete muset použít nějaký tex-
tový editor, jehož příkladem může být Poznámkový blok.
Modul snap-in Šablony zabezpečení
Pro přístup k šablonám zabezpečení, jejich konfiguraci a úpravy se nejčastěji pou-
žívá modul snap-in Security Templates (Šablony zabezpečení). Ten si můžete ote-
vřít v prostředí konzoly Microsoft Management Console (MMC).
Viz tez Podrobnější popis práce s konzolou MMC a importu modulu snap-in Security Templ a-
tes (Šablony zabezpečení) najdete v kapitole 5.
Úpravy šablon zabezpečení
569
Po spuštění modulu zjistíte, že jste se automaticky přesunuli do standardní složky
sloužící pro uložení těch šablon zabezpečeni, které byly dodány spolu s operačním
systémem. Touto složkou je C:\Windows\Security\Templates. Ukázku rozhraní mo-
dulu snap-in Security Templates (Šablony zabezpečení) pak vidíte na obrázku 15.9-
OBRÁZEK 15.9: Výchozí umístění modulu snap-in Security Templates (Šablony zabezpečení),
do něhož jsou uloženy standardní šablony zabezpečeni
Úpravy
Toto rozhraní je pak východiskem pro úpravy stávajících šablon, jejich kopírování či
vytváření nových. Podrobnější popis všech těchto úkonu najdete dále v této kapitole,

INF soubory šablon zabezpečení
Při provádění uprav nastavení (např. při přidávání vlastních nastavení pro služby,
soubory či složky) se múze stát, že budete potřebovat pracovat přímo se soubory šab-
lon zabezpečení. Všechny soubory šablon zabezpečení mají příponu . inf, díky če-
muž je v přehledu souborů můžete poměrně snadno vyhledat. K úpravám souborů
můžete použit například Notepad (Poznámkový blok), neboť se jedná o soubory ob-
sahující prostý text. Samozřejmě můžete použit i jiný editor, nicméně v takovém
případě si musíte dát pozor na to, aby do souboru nebyly uloženy nějaké dodateč-
né formátovací znaky. Díky nim by systém nemusel byi schopen upravené šablony
otevřít.
Upozornění Nevytvoříte-li potřebná nastavení v modulu snap-in Security Templates (Šablony
zabezpečeno, pak v souboru dané šablony zabezpečení související záznamy nenajdete. Sa-
mozřejmě můžete do souboiu šablon zabezpečení potřebná nastavení zapsat přímo, ovšem
v takovém případě mušle použít přesně stejnou syntaxi, jakou by použil modul snap-in Se-
curity Templates (Šablony zabezpečeno.
15.4	Úpravy šablon zabezpečení
Než začnete provádět nějaké úpravy šablon zabezpečení, musíte se nejprve roz-
hodnout, zda při svých úpravách můžete vycházet z nějaké existující standardní ša-
blony. (V kapitole 5 zjistíte, jaka nastavení jsou součásti šablon zabezpečení a co je
jejich cílem.) Při vytvářeni vlastních verzi šablon zabezpečeni mate v zásadě dve
570
Kapitola 15 - Šablony zabezpečení
možnosti: bud můžete zkopírovat nějakou standardu šablonu a provést v ní po~
třebné úpravy, anebo můžete vytvořit vlastni šablonu od začátku.
Kopírování šablon
Zkopírovaní jedné ze standardních šablon představuje výborný způsob, umožňující
vám využit celé stávající konfigurace uložené v šabloně. Díky tomuto přístupu si
můžete ušetřit spoustu času a práce.
Nejprve si však musíte vybrat takovou standardu, šablonu zabezpečení, která obsahu-
je většinu těch nastavení, jež chcete konfigurovat. (V kapitole 5 naleznete podrobný
popis obsahu jednotlivých šablon zabezpečení.) Dále musíte v modulu snap-in Securi-
ty Templates (Šablony zabezpečení) vytvořit kopii vybrané šablony. Při kopírování
šablony postupujte takto:
1.	Klepněte na tlačítko Start a zvolte Run. Do dialogu Spustit napište mmc a klepněte
na tlačítko OK.
2.	Z nabídky Filé zvolte Add/Remove Snap-ln.
3.	V dialogu Add/Remove Snap-ln klepněte na tlačítko Add.
4.	Přesuňte se do spodní části seznamu všech dostupných modulů snap-in a vyhle-
dejte Security Templates. Poté klepněte na tlačítko Add a následně na plose.
5.	V dialogu Add/Remove Snap-ln klepněte na tlačítko OK.
6.	V seznamu šablon, který se zobrazí v modulu snap-in Sec urity Templates, vy-
hledejte tu šablonu, kterou chcete zkopírovat. Klepněte na ni pravým tlačítkem
a z místní nabídky zvolte Savé As.
7.	Zadejte nový název Security Templates a nakonec klepněte na tlačítko Savé.
Tímto postupem vytvoříte novou šablonu zabezpečení obsahující stejná nastavení
jako původní šablona, kterou jste zkopírovali. V nově vytvořené šabloně můžete
začít provádět potřebné změny konfigurace.
Vytváření nových šablon zabezpečení
Neobsahuje-li žádná ze standardních šablon zabezpečení ta nastavení, která potře-
bujete, můžete si vytvořit zcela novou, prázdnou šablonu zabezpečení.
Rozhodnete-li se pro tuto možnost, pak postupujte takto:
1.	V modulu snap-in Security Templates klepněte pravým tlačítkem na uzel
C:\Windows\Security\Templates a z mistni nabídky zvolte New Template.
2.	Zadejte název nové šablony zabezpečení a její popis.
3-	Klepněte na tlačítko OK.
Vytvoříte novou šablonu zabezpečeni neobsahující žádná nastavení. Ačkoliv tento po-
stup pro vás znamená více práce, neboť všechna nastavení musíte nakonfigurovat sa-
mi, jedna se o poměrně jednoduchý a přímočarý postup vytvoření takové šablony,
kterou budete podrobně znát (tj. budete přesně vědět, jaká nastavení obsahuje). Po
následném provedeni všech potřebných úprav budete moci šablonu zacil využívat.
Úpravy možností zabezpečení
571
15.5 Úpravy možností zabezpečení
I Vlastní úpravy šablon zabezpečení vám však nabízí mnohem více možnosti než jen
pouhé úpravy konfigurace těch šablon, které byly dodány spolu s operačním sys-
témem. Můžete také v ytváiet nová nastavení, řídicí ověřování a další oblasti systé-
mu související se zabezpečením. Není sice možné upravit každou část šablony
zabezpečení je však možné přidat stovky nových nastavení. Chcete-li ale začít
s přidáváním těchto nových nastavení zabezpečení do šablon, musíte nejprve pro-
vést určité úpravy v souboru Sceregvl. inf.
| Struktura souboru Sceregvl.inf
Soubor Sceregvl.inf vytváří všechna nastavení uzlu Možnosti zabezpečení, který je
součástí šablony zabezpečení. To znamená, že všechna tato nastavení najdete v cestě
Místní zásady\Možnosti zabezpečení. Soubor Sceregvl .inf současně vytváří rozhra-
ní a související řídící body v registru počítače zajišťující řízení zabezpečení. Vvchozí
nastavení obsažená v souboru Sceregvl. inf vedou ke vzniku následujících kategorií
nastavení zabezpečení v šabloně:
I  Účty
	Auditováni
	Zařízení
	Řadič domény
	Člen domény
	Interaktivní přihlašovaní
	Khenl sítě Microsoft
Úpravy
	Server sítě Microsoft
	Přístup k síti
	Zabezpečení sítě
	Konzola pro zotavení
	Vypnutí
	Kryptografie systému
	Systémové objekty
	Nastavení systému
Ukázku uzlu Možnosti zabezpečení vidíte na obrázku 15.10.
Soubor Sceregvl. i nf ie jednoduchý textový soubor, uloženy ve složce Xwi ndi r%\Inf.
To znamená, že v případě potřeby jej mi lžete upravit. Například můžete přidat nove
popisy ke stávajícím nastavením anebo můžete do souboru přidat zcela nove zázna
my. Všechny zaznamy přidané do souboru Sceregvl .inf povedou k aktualizaci re-
gistru toho počítače, pro nějž je daný objekt zásad skupiny' určen
Vyznám standardního souboru Sceregvl .inf je vsak mnohem větší než jen pouhé
přidání záznamů do registru, které pak lze konligurovat. Soubor totiž umožňuje i vy-
572
Kapitola 15 - Šablony zabezpečení
maz nastavení z té skupiny klíčů a hodnot registru, která byla dříve nastavena p(j
mocí editoru konfigurace zabezpečení systému Windows NT 4.0.
OBRÁZEK 15.10: Uzel Možnosti zabezpečení
Ačkoliv syntaxe souboru Sceregvl. inf se na první pohled nemusí zdát nijak snadná,
je struktura souboru, jejíž ukázku vidíte na obrázku 15.11, vcelku jednoduchá. Struktu-
ra souboru vám napomáhá při hledáni způsobů, jímž máte přidávat nove záznamy.
OBRÁZEK 15.11: Struktura souboru Sceregvlinf
Každý záznam v souboru Sceregvl. i nf má stejný formát, sestávající z pěti poli. Ne
všechny záznamy musí obsahovat všech pět poli, neboť pouze první čtyři pole jsou
povinná. Každý záznam má tuto strukturu:
Cesta_v_registru, Typ.registru, Zobrazovany_nazev, Zobrazovaný, typ, Volby
Popis jednotlivých polí následuje níže:
	Cesta_v_registru Určuje úplnou cestu ke klíči a hodnotě registru, kterou chcete
zobrazit v rozhraní. Platí, že je možné konfigurovat pouze ty hodnoty, které jsou
součástí podregistru HKEY_LOCAL_MACHINE. K vytvořeni odkazu na tento podregis-
tr se používá klíčové slovo MACHINE.
Úpravy možností zabezpečení
573
 Typ_ registru Číslo určující typ hodnoty registru. Možné hodnoty jsou:
1	- REG.SZ
2	- REG.EXPAND_.SZ
3	- REG.BINARY
4	- REG.DWORD
5	- REG_MULTI_SZ
	Zobrazovaný.název Řetězec, který se zobrazí, pokud si vyberete dané nasta-
vení zabezpečení a začnete jej konfigurovat. Obvykle se zde používá nějaký zá-
stupný parametr ukazující na záznam sekce [Strings] souboru Sceregvl. inf. Tím
je značné usnadněna lokalizace šablon zabezpečení.
	Zobrazovany_typ Definuje typ dialogu, který by rozhraní pro konfiguraci
možností zabezpečení mělo použít, aby uživatel mohl nadefinovat nastavení pří-
slušné hodnoty registru. Podporované typy dialogu jsou:
	0 — Booleovský Na základě tohoto nastavení bude v rozhraní zobrazen dia-
log nabízející možnosti Enabled, Disabled (Povoleno a Zakázáno). Z\olíte-li
Enabled, bude do registru zapsána hodnota 1. Naopak v případě volby Di-
sabled bude do registru zapsána hodnota 0.
Níže následuje příklad záznamu využívajícího booleovský typ dialogu:
MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAudi tFai1,4,
%CrashOnAudi t Fa i 1 %,0
Tento záznam vytváří při práci se šablonou zabezpečení jednoduchý dialog,
jehož ukázku vidíte na obrázku 15.12.
Úpravy
Poznámka Záznamy Xnázev.proměnnéX označují proměnné definovaná vsekd [ Strings ].
Z tohoto hlediska jsou šablony zabezpečení podobné souborům . aGT, o nichž jsme se bavili dříve.
OBRÁZEK 15.12: Záznam šablony zabezpečení, v němž je využit typ dialogu 0
	1 — Číselný Zvolítc-li tento typ, rozhraní zobrazí otočný číselník umožňující
uživateli zadání či výběr hodnoty v rozsahu 0 až 99999. U tohoto typu dialogu
lze zadat „jednotkové“ řetězce, jako např. minuty či sekundy, které jsou v roz-
hraní zobrazeny vedle číselníku. Tyto řetězce se definují v poli Volby, popsa-
ném níže. Do hodnoty registru je zapsáno číslo zvoleno či zadané uživatelem.
Níže následuje příklad záznamu využívajícího číselný ty p dialogu:
574
Kapitola 15 - šablony zabezpečení
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Cached LogonsCount, 1 ,^CachedLogonsCountX, 1 ,%Uni t-Logon s%
Vyberete-li tento zaznam v šablono zabezpečení, pak se v rozhraní zobrazí
dialog, jehož ukázku vidíte na obrázku 15-13.
xz
	2 — Řetězcový V rozhraní se zobrazí pole pro zadání textu. Do hodnoty re-
gistru pak bude zapsán text zadaný administrátorem.
Níže následuie příklad záznamu využívajícího řetězcový typ dialogu:
MACHINE\Software\Mi crosoft\Windows\CurrentVersion\Poli ci es\
System\LegalNoticeCaption,1,%LegalNot iceCapti on^,2
OBRÁZEK 15.13: Záznam šablony zabezpečení, v němž je využit typ dialogu 1
Zvolíte-li tento tvp dialogu, pak se v rozhráň pro úpravy šablony zabezpe-
čení zobrazí jednoduché textové pole, jehož ukázku vidíte na obrázku 15.14.
OBRÁZEK 15.14: Záznam šablony zabezpečení, v němž je využit typ dialogu 2
	3 — Seznam Použijete-li tento tvp dialogu, v rozhráni se zobrazí seznam,
v němž může administrátor vybrat jednu hodnotu. Do registru pak bude za-
psána číselná hodnota odpovídajíc: volbě zvolené administrátorem. Zobra-
zené volby se definují v pob Volby, jehož popiš naleznete níže.
Úpravy možností zabezpečení
575
Níže následuje příklad záznamu využívá jícího typ dialogu Seznam:
MACHINE\Software\Microsoft\Dri ver
Signing\Poli cy,3,%Dri verSigningX,3,0|
%DriverSigningOX,11%Dr iverSigningl%,2|%DriverSigning2X
Pomocí tohoto záznamu byste v rozhraní pro práci se šablonami zabezpeče-
ní vytvořili rozbaiovací seznam, jehož ukázku vidíte na obrázku 15.15.
	4 - Vícehodnotový (podporován pouze systémem Windows XP)
V rozhraní pro úpravy šablon zabezpečení se zobrazí víceřádkové pole,
umožňující administrátorovi zadaní několika řádek textu. Tenio typ dialogu
byste měli používat především pro definici těch hodnot, které mají být za-
psány do klíčů registru typu REG_MUL1I_SZ. Do registru je pak zapsána
hodnota obsahující všechny řetězce zadané uživatelem, přičemž jednotlivé
řetězce (řádky) jsou odděleny bytem NULL.
OBRÁZEK 15.15: Zaznam šablony zabezpečeni, v němž je využit typ dialogu 3
Úpravy
óeqrl
Níže následuje příklad záznamu využívajícího vícehodnotový typ dialogu:
MACHINE\System\CurrentControl Set\Serv ices\LanManServer\Parameters\
NullSessionShares,7,%NullSharesX,4
Vyberete-li tento záznam v .šabloně zabezpečení, pak se v rozhraní zobrazí dia-
log umožňující zadání několika řádek textu. Jeho ukázku vidíte na obr. 15.16.
OBRÁZEK 15.16: Zaznam šablony zabezpečení, v němž je využit typ dialogu 4
576
Kapitola 15 - Šablony zabezpečení
	5 - Bitová maska (podporován pouze systémem Windows XP) Použije-
te-li tento typ dialogu, v rozhraní se zobrazí sada zaškrtávacích políček, při-
čemž každé políčko odpovídá jedné číselné hodnotě definované v polí
Volby. Popis tohoto pole naleznete níže. Do registru je zapsána hodnota
odpovídající bitovému OR vybraných hodnot.
Níže následuje příklad záznamu využívajícího tento typ dialogu:
MACHINE\System\CurrentControl Set\Control\Lsa\MSV1_O\NTLMMi nClientSec,
4,ŽNTLMMi nCl ientSecž,5,16|ŽNTLMIntegri tyž,321SNTLMConfidenti ali tyž,52
42881ŽNTLMv2Sessi onž,5368709121ŽNTLM128Ž
Pokud byste ve své šabloně zabezpečení použili podobný typ záznamu, pak
by se v rozhraní zobrazil formulář s několika zaškrtává čími políčky, jehož
ukázku vidíte na obrázku 15.17.
OBRÁZEK 15.17: Záznam šablony zabezpečení, v němž je využit typ dialogu 5
 Volby Tento parametr dále popisuje různé typy dialogů.
	Zobrazovany.typ = 1 (číselný) Pole Volby může obsahovat řetězec defi-
nující jednotky zadávaného číselného údaje. Řetězec s popisem jednotky je
v rozhraní zobrazen hned vedle číselníku. Samotný řetězec nemá žádný vliv
na hodnotu zapsanou do registru.
	Zobrazovany_typ « 3 (seznam) V tomto případě pole Volby obsahuje se-
znam voleb, které budou uživateli nabídnuty. Přitom každá volba sestává
z nějaké číselné hodnoty, za níž následuje oddělovací znak roury (I) a te-
prve poté textový popis volby. Do registru je zapsána číselná hodnota od-
povídající tomu řetězci, který byl administrátorem vybrán.
	Zobrazovany_typ = 5 (bitová maska) Do pole Volby se zadává seznam
voleb nabízených uživateli. Přitom každá volba sestává z nějaké číselné
hodnoty, za niž následuje oddělovací znak roury (I) a teprve poté textový
popis volby. Do registru je zapsana hodnota odpovídající bitovému OR těch
voleb, které byly vybrány administrátorem.
Úpravy možností zabezpečení
577
Úpravy souboru Sceregvl.inf
Do souboru Sceregvl. inf můžete zapsat téměř libovolnou hodnotu registru, nicméně
doporučujeme vám, abyste se zaměřili především na nastavení související se zabezpe-
čením. Ostatní nastavení registru totiž mohou byt konfigurována pomocí souborů
.adm, jimiž jsme se zabývali v kapitole 14. Jakmile si vyberete potřebné hodnoty regist-
ru, musíte upravit stávající soubor Sceregvl .inf. Pro zápis jednotlivých hodnot pak
musíte použít strukturu, kterou jsme vám právě ukázali.
Výstraha Na rozdíl od souborů .adm, kdy pro všechny vlastní záznamy vytváříte nové soubo-
ry .adm, v případě šablon zabezpečení platí, že vlastní záznamy musíte zapsat přímo do stá-
vajícího souboru Sceregvl.inf.
Následuje ukázka kódu vlastního zaznamu přidaného do souboru Sceregvl.inf:
MACHINE\SystemVCurrentControlSet\Services\Tcpi p\Parameters\SynAttackProtect
,4, "Syn Attack Protection against DoS",3,0|"No additional
protection",1|"Time out sooner if Syn Attack is detected"
Pomocí tohoto záznamu zabezpečení bude možné aktualizovat hodnotu registru
SynAttackProtect. Nabídnuté hodnoty budou 0 nebo 1, přičemž volba, kterou vy-
berete, bude záviset na tom, zda chcete ponechat výchozí nastavení (0 - nechránit
proti Syn útokům) anebo zda chcete ochranu systému zvýšit (1 - je-li rozpoznán
Syn útok, budou spojení přerušovaná dříve). V záznamu je použit typ dialogu Se-
znam, jemuž - jak již bylo uvedeno výše - odpovídá hodnota 3. Tento vlastni zá-
znam by se v šabloně zabezpečení zobrazil tak, jak vidíte na obrázku 15-18.
Úpravy
OBRÁZEK 15.18: Vlastní záznam v šabloně zabezpečení, umožňující nastaveni
ochrany proti Syn útokům
Zobrazení vlastního záznamu
Po vložení vlastního záznamu do souboru Sceregvl .inf se nová zásada nezobrazí
automaticky. Toto je dobré a bezpečné chování - kdyby totiž útočník mohl modifi-
kovat soubor Sceregvl .inf a jím provedena nastaveni by byla ihned platná, doká-
zal by změnit hodnoty registru bez vašeho vědomí.
Z tohoto důvodu je systém navržen tak, že nejprve musíte zaregistrovat nový soubor
Sceregvl. inf na tom počítači, na němž budete provádět správu šablon zabezpečeni.
578
Kapitola 15 - Šablony zabezpečení
Pokud tedy chcete, aby se v rozhraní šablony zabezpečení zobrazily vámi provedené
změny, musíte zaregistrovat tu knihovnu DLL, která řidísoubor Sceregvl. i nf. A touto
knihovnou je Scecl i. dl 1. Při registraci uvedené knihovny na počítači, na němž chcete
provádět správu šablon zabezpečení, postupujte takto:
1. Z nabídky Start zvolte Command Prompt (Příkazový ládek).
2. Do okna příkazového řádku zadejte regsvr32 C:\Windows\system32\scecli .dl]
a stiskněte Enter. Zobrazí se dialog s názvem „RegSvr32“, jímž vám systém po-
tvrdí. že registrace uvedené knihovny byla úspěšná.
Po každé změně šablony zabezpečeni či objektu zásad skupiny na daném počítači
budou nová nastaveni zásad ihned dostupná.
15.6 Nastavování služeb
v šablonách zabezpečení
Již dříve jsme vás seznámili s jednou záludnosti sekce Services - Systémové služby Se-
curity Templates (Šablony zabezpečení): v rozhraní šablony zabezpečení se zobrazí
pouze ty služby, ktere jsou dostupné na tom počítači, na němž je prováděna správa
šablon. Jenomže pro správu šablon zabezpečení a objektů zásad skupiny se převážně
používají pracovní stanic e. Z toho ovšem vyplý vá, že v modulu snap-in Security Tem-
plates (Šablony zabezpečení) nenajdete ty serverove služby, ktere byste chtěli nastavit.
Nastavení požadovaných služeb tak,
aby se zobrazily automaticky
Jedním možným řešením popsaného problému je provádění správy šablon zabez-
pečení z takového počítače, na němž jsou potřebné služby dostupné. Toto řešeni
vsak nemusí být možné, a to především proto, že daný server může být fyzicky
vzdálen anebo k němu nemusíte mít potřebná přístupová oprávnění.
Dalším možným řešením je nainstalovat na tu pracovní stanici, na níž budete pro-
vádět správu šablon zabezpečení, co nejvíce služeb. Samozřejmě takové řešen, bu-
de mít smysl pouze pro podmnožinu všech služeb, které mohou běžet na serveru.
Jiným možným řešením je připojit k doméně server, který bude vyhrazený pouze
pro správu šablon zabezpečení a objektů zásad skupiny. Na takovém počítači bu-
dete moci nainstalovat všechny požadované služby, čímž získáte přístup ke všem
službám, které budete potřebovat pro úpravy šablon zabezpečení a objektu zasad
skupiny související se službami.
Další alternativou, kterou můžete zvážit, je ruční řízení požadovaných služeb pří-
mými úpravami souboru šablon zabezpečení. Toto řešení je však poměrně náročné,
neboť vyžaduje přípravu seznamu všech služeb a odpovídající syntaxe, která bude
použita pro zápis do souboru Security Templates (Šablony zabezpečení).
Nastavování služeb v šablonách zabezpečení
579
Získání syntaxe služeb
používané v souborech šablon zabezpečení
Ne vždy však budete mít k dispozici počítač, na nčmž poběží všechny ty služby, je-
jichž nastaveni chcete upravovat pomocí šablon zabezpečeni či objektů zásad sku-
piny. V takovém případě můžete soubor šablony zabezpečení upravit ručně, a to
zápisem syntaxe odpovídající dané službě. Jenomže toto řešení vyžaduje, abyste si
připravili seznam všech služeb používaných ve firmě a syntaxe, která se používá
pro zápis každé takové služby do šablony zabezpečení.
Chcete-li získat správnou syntaxi zápisu každé služby, musíte se alespoň jednou
dostat k počítači, na němž je daná služba nainstalovaná. Po nakonfigurování služby
si budete moci otevřít uloženou šablonu zabezpečení a vyhledat v ní potřebnou
syntaxi. Protože syntaxe používaná k úpravám služeb se ukládá do souboru . inf
uložených na lokálním počítači, budete schopni poměrné rychle získat syntaxi
všech služeb. Připravený seznam pak budete moci převést do jediného souboru, na
nějž se bude odkazovat každý počítač v síti. Tento soubor budete také moci ručně
vložit do kterékoliv šablony zabezpečení.
Níže vidíte přehled některých často využívaných služeb a syntaxe potřebné pro je-
jich konfiguraci prostřednictvím šablony zabezpečení.
DHCP	"DHCPServer", X,""
DNS	"DNS”, X,""
Služba HTTP SSL	"HTTPFi1ter", X,n"
Správa služby IIS	"I1SADMIN", X,””
Certifikační služba	"CertSvc", X,""
Služba publikování na webu	"W3SVC”, X,"”
V syntaxi každé služby vidíte X, což je číselná proměnná závisející na režimu spuštění,
který chcete pro danou službu nakonfigurovat. Existují celkem tři režimy spuštění: Au-
tomatic, Manual, Disabled (Automaticky, Ručně a Zakázáno). Každému režimu odpo-
vídá nějaká číselná hodnota, kterou musíte zapsat namísto X uvedeného v syntaxi
služby. Číselné hodnoty odpovídající jednotlivým režimům spuštění jsou:
Úpravy
Režim spuštění	Číselná hodnota
Automaticky	2	
Ručně	3	
Zakázáno	4	
Do uvozovek následujících za číselnou hodnotou lze zapsat jakákoliv oprávněni,
která chcete prostřednictvím šablony zabezpečení dané službě přiřadit. Syntaxe
oprávněni je však poměrně složitá a samotná konfigurace trvá dlouho. Proto se ve
většině případu žádna oprávnění nenastavuji.
582
Kapitola 15 - Šablony zabezpečení
KeepAliveTirre2 ="600000 or 10 nrnutes"
KeepAliveTime3 =”1200000 or 20 minutes”
KeepAliveTime4 ="2400000 or 40 minutes”
KeepAliveTime5 =”3600000 or 1 hour"
KeepAliveTime6 ="7200000 or 2 hours (default value)"
DisablelPSourceRouting = "MSS: (Disab1eIPSourceRouting) IP source
routing protection level (protects against packet spoofing)"
DisablelPSourceRoutingO = "No additional protection, source routed
packets are allowed"
DisablelPSourceRoutingl = "Medium, source routed packets ignored
when IP forwarding is enabled”
DisableIPSourceRouting2 = "Highest protection, source routing is
completely disabled”
TcpMaxConnectResponseRetransmissions = "MSS:
(TcpMaxConnectResponseRetransmissions) SYNACK retransmissions when
a connection request is net acknowledged"
TcpMaxConnectResponseRetransmissionsO = "No retransmission,
half-open connections dropped after 3 seconds"
TcpMaxConnectResponseRetransmissionsí = "3 seconds, half-open
connections dropped after 9 seconds"
TcpMaxConnectResponseRetransmissions2 = "3 & 6 seconds, half-open
connections dropped after 21 seconds"
TcpMaxConnectResponseRetransmissions3 = ”3, 6, & 9 seconds,
half-open connections dropped after 45 seconds"
TcpMaxDataRetransmissions = "MSS: (TcpMaxDataRetransmissions) How
many times unacknowledged data is retransmittea (3 recommended, 5 is
efault)"
PerformRouterDiscovery = "MSS: (PerformRouterDiscovery) Allow IRDP
to detect and configure Default Gateway addresses (could lead to DoS)"
TCPMaxPortsExhausted = "MSS: (TCPMaxPortsExhausted) How many drooped
connect requests to initiate SYN attack protection (5 is recommended)"
NoNameReleaseOnDemand = "MSS: (NoNameReleaseOnDemand) Allow the
Computer to ignore NetBIOS name release requests except from W1NS servers
NtfsDisable8dot3NameCreation = "MSS: Enable the Computer to stop
generating 8.3 style filenames"
NoDriveTypeAutoRun = "MSS: Disable Autorun for all drives"
NoDriveTypeAutoRunO = "Null, allow Autorun"
NoDriveTypeAutoRunl = "255, disable Autorun for all drives"
WarningLevel = "MSS: Percentage threshold for the security event log
at which the systém will generate a warning"
WarningLevelO = "50%"
Warni ngLevel1 = "60%"
WarningLevel2 = "70Ž"
WarningLevel3 = "80X"
WarningLevel4 = "90%"
ScreenSaverGracePeriod = "MSS: The time in seconds before the sereen
saver grace period expires (0 recommended)"
DynamicBacklogGrowthDelta = "MSS: (AFD DynamicBacklogGrowthDelta)
Number of connections to create when additional connections are
necessary for Winsock applications (10 recommended)"
EnableDynamicBacklog = "MSS: (AFD EnableDynamicBacklog) Enable
dynamic backlog for Winsock applications (recommended)"
Shrnuti
583
MinimumDynamicBacklog = "MSS: (AFD MinimumDynamicBacklog) Minimum
number of free connections for Winsock applications (20 recommended
for Systems under attack, 10 otherwise)"
MaximumJynamicBacklog = "MSS: (AFD MaximumDynamicBacklog) Maximum
number of 'quasi-free' connections for Winsock applications"
MaximumDynamicBacklogO = ”10000"
MaximumDynamicBacklogl = "15000"
MaximumDynamicBacklog2 = "20000 (recommended)"
MaximumDynamicBacklog3 = "40000"
MaximumDynamicBacklog4 = "80000"
MaximumDynamicBacklog5 = "160000"
SafeDlISearchMode = "MSS: Enable Safe DLL search rode (recommended)"
Poznámka Tento kód můžete zkopírovat z původního dokumentu, připraveného firmou
Microsoft, a rovnou jej vložit do souboru Sceregvl.inf. Původní dokument najdete na adrese
http://www.microsoft.com/technet/securi ty/gui dance/secmod57.mspx.
Z obrázku 15.19 je zřejmé, že po vložení vlastních změn z výše uvedeného sezna-
mu do souboru Sceregvl.inf se vam v šablonách zabezpečení zpřístupní mnoho no-
vých zásad.
p . ,AOU1	[console Root Security Templates C WVHOWS" tecurtty templates, h-se< tfc Local Po'k4». JBaBl		
£•« fiction Joew Favjyltes Jjflndow		w	
	® U (2		
_J ronsote Root		Poky	1 Compiter Setbng * I
B Secirty Templates		•sQmSS' (AFD DynamcBaddogGrowthDeka)	NotDefoed
H C \WMJOWS\secirty\templates		“JJmss >AFD EnabteOynanscBacHogi Enable	NotDefned
	compatws	SJQMSS. (AFD MaxrmrnQnacecBaddoij, Maxmur	NotDefned
	D secufty htsocdc	JjflMSS (AFD MnmumOynwcBacHog' Mrwr u	Not Defned
B rj &	Accomt Pokies	SJQmsS (DtsabielPSdircfRoUtng) IP socrce	NotDefmed
IT		MSS (EnableDeadGWDetect) Alow automabc	NotDefned
	► ji AudtPoky	AXJMSS (EnabtelQWedrect) Alow ICMP redkeds	NotDefned
	± jJ User Rxjhts Assignment	SiQMSS 1 EnablePMI JDiscovery) Alow automatic	NotDefned
	. J Security Options	mJTmsS (NoNameReleaseODemand) Alow the	NotDefned
(♦]	EventLog . í1 F sstnetrd Groups	SjjMS5 [PerformRoUterDbcjveryiAlowIRDP	NotDefned
		3^] MSS (SynAttadProtect) Syn attack protechon	NotDefned
s	, 4 System Serváci	SflMSS: (TcpMaxDataRetranarassnrs) How	NotDefned
,44	4 Regstry	JQmSS (TCPMaxPortsExhausted) How many dropped	NotDefned
s	_3 Fte System	SJjMSS Jtsabte Autorin for al ďrves	NotDefned
> .	FtScr JS	MSS Enable Safe DLL search mode (recommended)	Not Defned
3- a	esac	íy^MSS Enabb the compúter to stop	NotDefned
	rootsec	Sí.MSS How often keep-alve padets are	NotDefned
S J	searedc	•jí MSS Percentage threshold for the secirty event log	NotDefned
► J	securews	R^MSS: The trne n seconds before the screen	NotDefned	T|
		< 			1	21
í			..
OBRÁZEK 15.19: Zobrazení zásad zabezpečení připravených firmou Microsoft
v rozhraní šablony zabezpečeni
Úpravy
zásad
Výstraha Úpravy uvedené výše vycházejí zvláštností dostupných pouze v systémech Micro-
 soft Windows XP Service Pack 1 a vyšší či Windows Server 2003. Nepokoušejte se proto insta-
lovat na počítače se staršími verzemi operačních systémů Windows.
15.8 Shrnutí
Zabezpečeni je nejvyšší prioritou každého administrátora IT, a proto je nezbytné vě-
dět, jaké možnosti jsou vlastně dostupné. Standardní šablony zabezpečeni a objekty
zasad skupiny nabízejí značné množství různých nastavení zabezpečení. Pro všechny
Kapitola 15 - Šablony zabezpečení
počítače v doméně pak můžete využít standardní šablony zabezpečení či vámi
upravené šablony, obsahující specifická nastavení zabezpečení.
Potřebujete-li takova nastavení, která nejsou ve standardních šablonách zabezpečení
dostupná, můžete si připravit nastaveni přesně odpovídající vašim požadavkům. Ja-
kákoliv hodnota registru, již potřebujete na cílových počítačích řídit, múze být vložena
do šablony zabezpečení, a tudíž i objektu zásad skupiny. Ke zpřístupněn^ nových zá-
sad zabezpečení v šablonách zabezpečení a objektech zásad skupiny pak stačí jedno-
duše upravit soubor Sceregvl.infa následně zaregistrovat knihovnu Scecli.dll.
Část 4
Řešení
problémů
se zásadami
skupin
V této části:
16. kapitola: Řešení problémů se zasadami skupin..................................587
17. kapitola: Časté problémy se zásadami skupin a jejich řešení...................633
kapitola
ešení problémů
se zásadami
skupin
Obsah kapitoly:
16.1	Základy řešení problémů se zásadami skupin
16.2	Základní nástroje pro řešení problémů...
16.3	Protokolování zásad skupin..............
16.4	Shrnutí.................................
588
598
615
631
Kapitola 16 - Řešení problémů se zásadami skupin
Zásady skupin, stejně jako všechny ostatní oblasti administrace, musí být spravovány
a řízeny velmi pečlivě a opatrně. Pokud se systém nechová tak, jak jste očekávali, ane-
bo máte podezření, že v důsledku vašich nastavení vznikl nějaký problém, nezbývá
vám nic jiného než si vyhrnout rukávy a začít s řešením problémů. První otázkou je
kde vlastně máte začít. Zásady skupin závisí na funkčnosti mnoha ostatních kompo-
nent celé infrastruktury. To znamená, že má-li vše fungovat správně, pak musíte mít
nejprve bezchybně a správně připravenou infrastrukturu a nesmí docházet k výpad-
kům základních služeb, mezi něž patří např. služba doménových názvů DNS {Domům
Name System), služba distribuovaného systému souboru DFS {Distributed Filé Sys-
tem), či dokonce samotné služby Active Directory. Z tohoto důvodu by proces ře-
šení problémů se zásadami skupin měl vždy začít důkladnou kontrolou podpůrné
infrastruktury. Až se ubezpečíte, že problémy nejsou způsobeny infrastrukturou,
můžete začít řešit problémy přímo se zasadami skupin.
Další informace:
	Více informací o architektuře DNS najdete v kapitolách 26 a 27 knihy Microsoft
Windows Server 2003 Inside Out (vydavatelství Microsoft Press, 2004).
	Podrobnější popis architektury služby Active Directory najdete v kapitole 32
knihy Microsoft Windows Server 2003 Inside Out (vydavatelství Microsoft Press,
2004).
	Struktura zásad skupin je popsána v kapitole 13 této knihy.
	Další informace o obvyklých problémech souvisejících se zásadami skupin na-
jdete v kapitole 17 této knihy.
16.1 Základy řešení problémů
se zásadami skupin
Při řešení problémů vzniklých při zpracování zásad skupiny se můžete vydat něko-
lika různými směry. Protože samotný proces zpracování zásad skupiny má mnoho
„pohyblivých“ součástí, závisejících na několika komponentách infrastruktury, je
metodický přístup základní podmínkou úspěchu. Na základě informac o zpracová-
ní zásad skupiny, se kterými jsme vás seznámili v kapitole 13, si můžete vytvoří:
podrobný seznam komponent, které máte zkontrolovat, selže-li zpracování zásad
skupiny na pracovní stanici či serveru. Jednotlivé kroky jsou popsány níže:
1.	Zkontrolujte potřebnou infrastrukturu. Ujistěte se, že všechny nezbytné služby
jsou správně nakonfigurovány a fungují.
2.	Zkontrolujte základní konfiguraci. Ujistěte se, že daný počítač je připojen k síti,
je součástí domény a má správný systémový čas. Zkontrolujte režim spouštěni
i stav základních služeb a další základní parametry7 konfigurace.
3-	Zkontrolujte obor správy. Ujistěte se, že taková nastavení, jako např. filtrování
zabezpečení, filtry WMI, dědění blokování, vymícení blokováni, zpracování
zpětné smyčky či nastavení pomalého spojení, neovlivňují normální zpracováni
objektů zásad skupiny.
Základy řešení problémů se zásadami skupin 589
4.	Pomocí nástrojů typu GPResult.exe, GPOTool .exe či konzoly Group Policy Ma-
nagement Console (GPMC) se uiistěte, že nastavení zásad skupiny jsou sítí na cí-
lový počítač doručena a že objekty zasad skupiny uložené na řadičích domény
jsou konzistentní a dostupné.
5.	V protokolech událostí a protokolech základních komponent zásad skupiny a roz-
šíření na straně klienta zkuste vyhledal podrobnější informace o problému a nalézt
tak řešení.
V teto kapitole se budeme podrobně věnovat každému z uvedených kroků. Sou-
časně si ukážeme mnohé nástroje a postupy vhodné pro řešení problému se zása-
dami skupin. Další informace o řešení některých častějších problémů se zásadami
skupin najdete v kapitole 17.
Kontrola základní konfigurace
Mnozí administrátoři začínají ihned řešit detailní otázky související se zásadami
skupin, aniž by nejprve zkontrolovali základní komponenty. Ještě než se zcela po-
noříte do řešení problémů, měli byste vždy provést několik základních kontrol:
	Měli byste zkontrolovat síťové připojení a jeho konfiguraci.
	Poté byste měli zkontrolovat účet počítače v doméně a případné vztahy důvěry’
mezi doménami.
	Dále byste měli zkontrolovat systémový čas počítače a systémový čas řadičů
domény.
	A nakonec byste měli zkontrolovat konfiguraci učtu počítače a účtu uživatele.
Kontrola síťového připojení a jeho konfigurace	o
Ma-li počítač být schopen načíst zásady skupiny a zpracovat je, musí být připojen
k síti a dané připojeni musí být správně nakonfigurováno. Konfiguraci připojení
můžete ověřit z okna příkazového řádku, a to zadáním následujícího příkazu:	§
V)
OJ
netsh interface ip show config
Je-li síťové připojení nefunkční, či dokonce zakázané, zobrazí se chybové hlášení
podobající se následující ukázce:
No more data is available.
V takovém případě si musíte otevřít dialog Network Connections (Síťová připojení)
a problém vyřešit buď povolením připojení, anebo úpravou jeho konfigurace. Chce-
te-! připojení povolit, klepněte na něj pravým tlačítkem a zvolte Enable < Povolit).
Pokud potřebujete dané připojení opravit, klepněte na něj pravým tlačítkem a zvol-
te Repair (Opravit).
Je-li síťové připojení povolené, měl by se vam zobrazit vypiš detailních informací
o připojení podobající se tomuto:
Configuration for interface "Local Area Connection"
DHCP enabied: No
IP Address: 192.168.1.28
SubnetMask: 255.255.255.0
Default Gateway: 192.168.1.50
580
Kapitola 15 - Šablony zabezpečeni
Ruční úpravy služeb
v souboru šablony zabezpečení
Jakmile znáte syntaxi služby a víte, do které šablony Zabezpečení ji musíte přidat je
vaše prače téměř dokončena. Zbývá učinit jediné: otevřít soubor šablony' zabezpe
cení v Notepad (Poznámkovém bloku) a vložit do něj kód odpovídající službě, kte-
rou chcete takto řídit.
Po otevření šablony zabezpečení v Notepad (Poznámkovém bloku) musíte vyhledat
sekci [Service General Setting). Pokud tato sekce v souboru dosud neexistuje, mů-
žete ji jednoduše přidat na konec souboru. Například kdybyste chtěli zajistit auto-
matické spuštění služeb DHCP, DNS a certifikační služby, ale současně byste chtěli
zakázat spuštění správy služby IIS, pak byste do příslušné šablony zabezpečení
museli přidat následující kód:
[ Service General Setting J
"DNS",2,""
"DHCPServer",2,""
"CertSvc",2,""
"IISADMIN" ,4,""
15.7 Řešení firmy Microsoft
pro nastavení zabezpečení
Firma Microsoft popravila seznam vlastních záznamů registru znatelně rozšiřující se-
znam zásad zabezpečení. Seznam, který zde uvádíme, můžete implementovat poměr-
ně rychle: stačí vložil následující kód do souboru Sceregvl . i nf a následně zaregistro-
vat knihovnu Scecli.dll (postup je uveden výše):
MACHINE\System\CurrentControlSet\Servi ces\Tcpi p\Parameters\
EnablelCMPRedirect,4,%EnableICMPRedirect%,0
MACHINENSystemNCur^entControl Set\Serv i ces\Tcpip\Parameters\
SynAttackProtéct,4,^SynAttackProtéct",3,0|%SynAttackProtectO%,1|
XSynAttackProtectlX
MACHINENSystemNCurrentContro1Set\Servi ces\Tcpi p\Parameters\
EnableDeadGWDetect,4,% En a b1eDeadGWDetect^.O
MACHINE\System\CurrentControl Set\Serv i ces\Tcpip\Parameters\
EnablePMTUDi scovery,4,%EnablePMTUD iscoveryX,0
MACHINE\System\CurrentControlSet\Serv i ces\Tcpip\Parameters\
KeepAli veTime,4,%KeepAliveTime%,3,150000|%KeepAliveTimeO%,3000001
XKeepAliveTi melX,6000001XKeepAli veTime2$,12000001XKeepAli veTime3%,
24C00001XKeepAli veTi me4%,36000001XKeepAli veTi me5%,72000001
XKeepAliveTime6$
MACHINE\System\CurrentControl Set\Servi cesMcpi p\Parameters\
DisablelPSourceRouting,4 ,XDi sableIPSourceRouting%,3,0
XDi sabl elPSourceRoutinqOX,11%Di sablelPSourceRouting1% ,21
%Di sablelPSourceRouti ng2%
MACH INE\System\CurrentControl Set\Serv i ces\Tcpi p\Parameters\
TcpMaxConnectResponseRetransmi ssions,4,
HcpMaxConnectResponseRetran smi ssions$.3,01
Řešení firmy Microsoft pro nastavení zabezpečení
581
HcpMaxConnectResponseRetransmi ssi onsOX,1
1 HcpMaxConnectResponseRetransmi ssi onsl%,2
HcpMaxConnectResponseRetransmi ssions2%,3
HcpMaxConnect Response Ret ran smi ssions3%
MACHINE\System\CurrentControlSet\Servi ces\Tcpip\Parameters\
I TcpMaxDataRetransmi ssions,4,%TcpMaxDataRetransmissions^,1
MACHINE\System\CurrentControlSet\Services\Tcpi p\Parameters\
PerformRouterDi scovery,4,%PerformRouterDiscovery%,0
MACHINE\System\CurrentControl Set\Servi ces\Tcpi p\Parameters\
TCPMaxPortsExhausted ,4 ,HCPMaxPortsExhausted%, 1
MACHINE\System\CurrentControl Set\Services\Netbt\Parameters\
NoNameReleaseOnDemand,4,%NoNameReleaseOnDemand^.O
MACHINE\System\CurrentContro1Set\Control\Fi1eSystem\
NtfsDi sable8dot3NameCreati on,4,%NtfsDisable8dot3NameCreati on^.O
MACH INE\SOFTWARE\Microsoft\Wi ndows\CurrentVersi on\Poli c i es\
Explorer\NoDri veTypeAutoRun,4.XNoDri veTypeAutoRun%,3,0 i
^B,	%NoDr i veTypeAutoRunO%,2551 %NoDr i veTypeAutoRunlX
MACHINE\SYSTEM\CurrentControlSet\Servi ces\Eventlog\Securi ty\
I WarningLevel ,4,%WarningLevel%,3,5O|XWarningl_evelO$,6O|
^B	r n i ng Le ve 11 %, 7 01 XWarni ng Level 2%, 801 XWarni ng Level 3%, 90!
a r n i ng Le v e 14 %
I	MACHINE\SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Win1ogon\
i	ScreenSaverGracePeri od,4,%ScreenSaverGracePeriodě,1
MACHINE\System\CurrentControl Set\Services\AED\Parameters\
^B DynamicBackl ogGrowthDel ta ,4. ^Dynami cBackl ogGrowthDel t a%, 1
MACH I NE\System\CurrentCont rolSet\Serv ices\AFD\Parameters\
EnableDynami cBacklog,4„%En a b1eDynami cBacklog%,0
MACH IN E\Sy s t em\Cur rent Control Set \ Ser v i ces\AED\Parameters\
MiniirumDynami cBackl og , %Mi nimumDynami cBackl og%, 1
J	MACHINE\System\CurrentControlSet\Services\AED\Parameters\
Maxi mumDy námi cBackl og ,4 .^MaximumDynami cBackl og%,3,100001
^MaximumDynámicBacklog0%,15000 %MaximumDynámicBacklogl%,20000
ZMaximumDynámicBacklog2X,40000 %MaximumDynámicBacklog3%,80000
%Maxi mumDy na mi cBackl og4%, 160000 |%Maxi mumDy námi cBackl og5X
MACHINE\SYSTEM\CurrentControl Set\Control \
Session Manager\SafeDl1SearchMode,4,%SafeDl1SearchModeX.O
[Strings) section
H- EnableICMPRedirect = "MSS: (EnableICMPRedirect) Allow ICMP redirects
to override OSPF generated routes"
SynAttackProtect = "MSS: (SynAttackProtect) Syn attack orotection
level (protects against DoS)"
^B	SynAttackProtectO = "No additional protection, use default settings"
	SynAttackProtectl = "Connections time out sooner if a SYN attack is
etected"
^B EnableDeadGWDetect = "MSS: (EnableDeadGWDetect) Allow automatic
detection of dead network gateways (could lead to DoS)"
B	EnablePMTUDiscovery = "MSS: (EnablePMTUDiscovery ) Allow automatic
detection of MTU size (possible DoS by an attacker using a srna1! Mr0)"
KeepAliveíime = "MSS: How often keep-alive packets are
sent in milí iseconds"
B	KeepAhveTimeO ="150000 or 2.5 minutes"
KeepAliveTimel ="300000 or 5 minutes (recommended)”
Úpravy
zásad
590
Kapitola 16 - Řešení problémů se zásadami skupin
GatewayMetric: 0
InterfaceMetric: 0
Statically Configured DNS Servers: 192.168.1.50
Statically Configured WINS Servers: None
Register with which suffix: Primary only
./ Poznámka Příkaz Netsh je jedním z vestavěných příkazu systému. Více informací o něm na-
leznete v kapitole 15 knihy Microsoft Windows Command-Line Administrátorů Pocket Con-
su/tant (vydavatelství Microsoft Press, 2004).
Tento vypiš ukazuje, že síťové připojení je aktivní. Současné jsou z né patrná
i nastavení daného připojení. Součástí procesu řešení problémů se zásadami skupi-
ny by měla být podrobná kontrola zobrazeného nastavení - měli byste se totiž ujis-
tit, že konfigurace připojení odpov řda vašim požadavkům.
Kontrola účtu počítače a vztahů důvěry
Nezbytnou podmínkou pro to, aby počítač byl schopen načíst zasady skupiny
z domény a dokazal je zpracovat, je připojení počítače k doméně. Současně musí
být i správně nastaven vztah důvěry mezi počítačem a doménou. Účet počítače
a vztah důvěry mezi počítačem a doménou můžete také ověřit z příkazového řád-
ku, a to zadáním následujícího příkazu:
nltest /sc.query:Nazev_domeny
kde Nazev_domeny je název té domény, k níž je počítač připojen. Například:
nltest /sc.query:cpandl .com
Je-li počítač správně připojen do domény a existuje-li mezi doménóú a počítačem
platný vztah důvěry, pak by se odpověď na tento dotaz měla podobat následující
ukázce:
Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name Wcorpsvr04.cpandl.com
Trusted DC Connection Status Status = 0 0x0 NERR.Success
The command completed successfully
£Poznámka Příkaz Nltest je součástí sady Windows Server 2003 Support Tools. Je nutné zdů-
raznit, že výstup tohoto příkazu nelze považovat za věrohodné ověření stavu sítového při-
pojení počítače - příkaz skutečně ověřuje pouze stav účtu počítače a souvisejícího vztahu
důvěry.
Kontrola synchronizace času
Proces ověřování pomoci protokolu Kerberos selže vždy, je-li rozdíl systémového
času klientského počítače a řadiče domény, ke kterému se přihlašuje, větší než 5
minut. Důsledkem selhání ověřovaní mohou byt problémy s registrací DNS, zpra-
cováním zásad skupiny či chodem dalších, naprosto základních, procesu.
Chcete-li zkontrolovat aktuální datum a čas daného počítače, pak si otevřete dialog
příkazového řádku a napište do nej přesně tento pilka z:
net time WXComputerNameX
Základy řešení problému se zásadami skupin
591
Výsledkem bude zobrazení aktuálního data a času daného počítače. Přitom výstup
výše uvedeného příkazu by mohl vypadat například takto:
Current time at WENGPC07 is 2/7/2005 2:02 PM
Potrebujete-li zkontrolovat systémový čas řadiče domény, pak z příkazového řádku
spusťte následující příkaz:
net time
Výstup, jehož ukázku vidíte níže, bude obsahovat aktuální datum a čas toho řadiče
domény, ke kterému jste se přihlásili:
Current time at WC0RPSVR04 is 2/7/2005 2:02 PM
Poznámka K synchronizaci času lokálního počítače s časem řadiče domény můžete využít
příkaz net time /set. K automatické synchronizaci času všech počítačů v doméně můžete vyu-
žít službu W321 me.
Kontrola konfigurace účtu počítače a účtu uživatele
V některých případech pouze předpokládáte, že účty počítačů a uživatelů jsou ulo-
ženy v nějakém kontejneru či jsou členy určité skupiny zabezpečení. V případě ře-
šení problémů se zásadami skupiny se však na žádné předpoklady spolehnout
nemůžete: musíte zkontrolovat jak kontejnery služby Active Directory7, do nichž
jsou zařazeny účet počítače a účet uživatele, tak i skupiny zabezpečeni, do kterých
tyto účty patří.
Nejrychlejším způsobem určení kontejneru, do něhož je zařazen účet počítače, je
spuštění níže uvedeného příkazu:
dsquery Computer -name Nazev_pocitáce
kde Nazev.poci táce představuje název daného poč.tače. Například tedy:
dsquery Computer -name engpc07
Výstup tohoto příkazu určuje kontejner, do něhož je objekt daného počítače právě
zařazen:
Řešeni pjoblémú
"CN=engpcO7, 0U=Engineering, DC=cpandl, DC=com"
Poznámka: Pokud byl uživatel či počítač do zobrazeného kontejneru pravě přesunut, pak se
může stát, že při startu počítače ani přihlášení uživatele nedojde ke zpracování zásad skupi-
ny platných pro daný kontejner. Důvodem je to, že klienti služby Active D-rectory si informa-
ce o svém umístění v této službě načítají do mezipaměti. Uvedený problém je možné řešit
dvěma způsoby: zaprvé restartem počítače a zadruhé vyčkáním do doby, než dojde
k obnovení mezipaměti umístění (k čemuž dochází v intervalu zhruba 30 minut). Ke zjištěni,
které zásady skupiny jsou zpracovávány, můžete využít protokolovaní výsledné sady zásad,
jehož pop's najdete dále v této kapitole. P kazy dsquery, dsget a další umožňující práci
s daty adresářové služby jsou podrobné popsaný v kaplolach 11 až 13 knihy Microsoft Win-
dows Command-Line Administrátorů Pocket Consuitant.
Obdobně platí, že nejrychlejším způsobem zjištění kontejneru, do něhož je umístěn
účet nějakého uživatele, je spuštěni následujícího příkazu:
592
Kapitola 16 - Řešení problémů se zásadami skupin
dsquery user -samici Nazev_uctu
kde Nazev_uctu je přihlašovací jméno uživatele. Například:
dsquery user -samid wrstanek
Výstupem tohoto příkazu pak je kontejner, do něhož je daný uživatel aktuálně za-
řazen. Ukázku výstupu v idíte níže:
"CN=William R. Stanek, CN=Users, DC=cpandl, DC=com"
Používáte-li filtrování zabezpečení, pak vás bude možná Zajímat i to, do kterých
skupin zabezpečení uživatel patří. K jejich zjištění můžete použít následující příkaz:
dsquery user -samid Nazev_uctu| dsget user -memberof
Ve výstupu tohoto příkazu pak uvidíte všechny skupiny, jejichž členem je daný
uživatel:
"CN=Domain Admins, CN=Users, DC=cpandl, DC=com"
"CN=Administrators, CN=Builtin, DC=cpandl, DC=com"
"CN=Domain Users, CN=Users, DC=cpandl, DC=com"
Kontrola klíčových komponent infrastruktury
Má-li zpracování zásad skupiny probíhat bez jakýchkoliv problémů, musí správně
fungovat několik komponent infrastruktury. K těmto komponentám patří:
	Replikace služby Active Directory Řadič domény, na němž byly prováděny
nějaké změny zásad skupiny, využívá službu Active Directory k replikováni
změn na další ladiče domény. Z toho vyplývá, že nefunguje-li replikace služby
Active Directory správně, změny v zásadách skupin nebudou dalším řadičům
známy. Služba Active Directory do značné míry využívá jádro úložiště pracující
s úložištěm nazývaným úložiště služby Active Directory. Toto úložiště a všechny
související soubory se nachází ve složce %SystemRoot%\Ntds řadičů domény.
	DNS Počítače zpracovávající zásady skupiny musí být schopnu vyhledat řadiče
domény vykonávající funkci serverů adresářové služby LDAP. A pravě pro vyhle-
daní řadičů domény je nezbvlná fungující služba DNS. Nefunguje-li služba DNS či
nejsou-li v ni zaregistrovány záznamy SRV řadičů domény, nebudou jednotlivé
počítače schopné dotázat se řadičů domény, které zasady skupiny pro ně platí.
	Protokol ICMP (Ping) Počítače zpracovávající zásady skupiny pomoci příkazu
ping (využívajícího protokolu ICMP) zjišťují, zda řadič domény, ze kterého si
mají načíst zásady skupiny, je dostupný prostřednictvím pomalé, či rychlé sítě.
Je-li protokol ICMP blokován či nejsou li řadiče domény schopné odpovědět na
příkaz ping využívající protokol ICMP, pak zpracováni zásad skupiny selže.
	Služba Podpora rozhraní NetBIOS nad protokolem TCP/IP Jakmile počítač
se systémem Windows ze služby Active Directory získá seznam zasad skupiny,
ktere má zpracovat, pokus? se spojit se sdílenou složkou SYSVOL (ta využívá
distribuovaný systém souborů DFS) a načíst z ni obsah šablon zásad skupiny
pro jednotlivé objekty zásad skupiny. Protože SYSVOL je kořenem systému DFS,
odolného proti ( hýbám, odkazují se na něj počítače pomocí názvu DNS přísluš-
né domény (například Wcpandl .com\SYSV0L). Není-li na počítači zpracovávají-
cím zasady skupiny spuštěna služba Podpora rozhraní NelBIOS nad protokolem
Základy řešení problémů se zásadami skupin
593
TCP IPf pak se nepodaří převést název domény uvedený v názvu UNC na plat-
ný název serveru. Z toho vyplyvá, že na každém počítači, který má zpracovávat
zásady skupiny, musí byt uvedená služba spuštěna.
	Distribuovaný systém souborů (DFS) Řadiče domény využívají DFS
a související služby ke sdílení složky SYSVOL. Nefunguje-h DFS, pak počítače
v doméně nemohou načíst obsah šablon zásad skupiny umístěných ve složce
SYSVOL. Chod systému DFS závisí na komponentách DfsDriver a Mup a služ-
bách Server, Workstation a Správce zabezpečeni účtů.
	Služba replikace souboru (FRS) Řadiče domény využívají tuto službu
k replikování změn provedených v Šablonách zásad skupin na další řadiče do-
mény. Nefunguje-n tato služba správně, nejsou změny v šablonách replikovány
na další servery. Podobně jako služba Active Directory i služba replikace soubo-
rů do značné míry využívá jádro úložiště. Na rozdíl od Active Directory však
pracuje s úložištěm dat, kterému se běžně říká úložiště replikací. Úložiště repli-
kací využívá databázovou technologii Microsoft Jet a všechny související soubo-
ry jsou uloženy ve složce $SystemRoot%\Ntf rs\Jet každého řadiče.
Celý proces řešení problémů se zásadami skupin by měl vždy začít od důsledné
kontroly těchto základních komponent infrastruktury. Jakmile se ujistíte, že infra-
struktura není příčinou vašich potíží, můžete přejít ke kontrole oboru správy. Více
informací o řešení problémů s infrastrukturou najdete v kapitole 17.
Kontrola oboru správy
V některých případech je příčina problémů se zásadami skupiny velice jednoduchá,
avšak ne zcela zřejmá: zásady skupiny nejsou pro daný počítač či daného uživatele
použity prostě proto, že použity být nemají. Ke kontrole toho, zda zásady mají, či
nemají být použity, můžete použit několik různých způsobů.
Kontrola stavu a verze objektu zásad skupiny
Objekt zásad skupiny může mít několik různých stavu ovlivňujících způsob jeho
zpracování. Může se například stát, že daný objekt bude zakazán či bude zakázána
pouze ta část, která se týká počítače nebo uživatele. Chcete-li vyloučit objekt zásad
skupiny z množiny možných zdrojů problémů, pak v konzole Group Policy Ma-
nagement Console provedte tyto kroky:
1.	V konzole Group Policy Management Console rozbalte tu doménovou strukturu,
s níž chcete pracovat. Pokračujte rozbalením příslušného uzlu Domains a poté
uzlu Group Policy Objects.
2.	Vyberte ten objekt zásad skupiny, s nímž mate nějaké problémy, a v pravém
panelu klepněte na kartu Details.
3.	V poli GPO Status uvidíte aktualni stav vybraného objektu zásad skupiny (viz
obrázek 16.1). Obecně platí, že objekt by měl mít stav Enabied. Jakýkoliv jiný
stav znamena, že daný objekt je bučí částečně, či úplně zakazán. Před změnou
stavu byste však měli zkontaktovat i ostatní administrátory a zeptat se jich, proč
byl daný objekt zásad skupiny zakázán.
4.	V polích User Version a Computer Version jsou uvedeny podrobné informace
o aktuální verzi objektu zasad skupiny, načtené jednak ze služby Active Directo-
Rešer-í problémů
594
Kapitola 16 - Řešení problémů se zásadami skupin
ry (která je kontejnerem zásad skupiny) a jednak ze sdílené složky SYSVOL (ol>
sáhující šablony zásad skupiny). Změny v konfiguracích počítače a uživatel^
jsou sledovaný odděleně, nicméně číslo verze každé z nich by mělo být stejné
jak ve službě Active Directory, tak ve složce SYSVOL. Nejsou-li čísla verzí stejná
pak je možné, že nefunguji zcela správně replikace služby Active Directory či
služba replikace souborů
Corporate Policy
- DomařB
Domart
cp«ndLcom
(oman Mm (CPANDiAÍ oman Admm
Group Polcy Management
Corporate Polcy
Cust Support Polcy
« IT Polcy
tí LASte Polcy
Sále* Networitog Polcy
Customer Se více
kH Ucmam Controler*
5^port
Created
Modfied
Uter veraorr
I onputer verfnn
UraqjelD
11/30/2004 1 31 28 PM
2/7/200510581 GAM
6|A016(9*vd)
15(ADJ. 15(iyrvd)
.9r<JBA£4ADD334DB4ACB31P3817SEEA2H

- Group Polcy rbject*
Chcago SKe Poky
jý Corporate Poky
if Cust Support Poky
Jjf Default Oman Coritroler* Poky
GPO Statut
Lompulei corhgttabon settnQ. dhatXBd
General Site* Polcy
OBRÁZEK 16.1 : Kontrola stavu objektu zasad skupiny a jeho verze
Kontrola objektu zásad skupiny na badici domény
Při práci s konzolou Group Policy Management Console nezapomínejte na to, že
jste standardně připojeni k tomu řadiči domény, který vykonává funkci emulátoru
primárního řadiče domény (emulátor PDC), a z tohoto důvodu vidíte obecný stav
daného objektu zásad skupiny. Ve většině případů však problémy nastanou při
komunikaci s jiným řadičem domény či v jiné oblasti sítě. Proto je vhodné, abyste
se přihlásili k tomu počítači, kterv má problémy se zásadami skupiny, a zkusili pak
zjistit, ke kterému řadiči domény jste se vlastně připojili. Budete tak moci daný řa-
dič domény buď vyloučit z řady úložných příčín problému, anebo naopak říci, že
daný řadič je hledanou příčinou problémů.
Při řešení problému s konkrétním řadičem domény postupujte takto:
1. Má-li problémy se zásadami skupiny určitý uživatel, otevřete si na jeho počítači
dialog příkazového radku a spusťte příkaz set. V opačném případě se přihlaste
k libovolnému počítači v tom segmentu sítě, ve kterém se vyskytují problémy se
zásadami skupiny, otevřete si dialog příkazového řádku a spusťte příkaz set.
2. V zobrazeném výstupu vyhledejte hodnotu proměnně prostředí LOGONSFRVER-
Ta určuje řadič domény, k němuž jste vy či aktuální uživatel přihlášeni.
Poznámka Jelikož přihlašovací informace jsou ukládány do mezipaměti, může se stát, že po
čítač bude odpojen od sítě či připojení k síti bude zakázáno, a přesto proměnná LOGONSER-
VER bude oosahovat nějakou hodnotu. Proto nejprve zkontrolujte stav připojen* 1 2 k síti
anebo si zkuste připojit nějaký sdílený síťový prostředek.
Základy řešení problémů se zásadami skupin 595
3. V konzole Group Policy Management Console klepnete pravým tlačítkem na uzel
domény a poté zvolte Change Domain Controller. V části Change To vyberte This
Domain Controller a poté ze seznamu vyberte ten řadič domény, jehož název jste
před chvílí zjistiii. klepněte na tlačítko OK.
Poznámka Konzolu Group Policy Management Console nemusíte spouštět na tom počítači,
s nímž máte problémy: můžete ji spustit na svém počítači či kterémkoliv jiném nacházejícím
se ve stejném segmentu sítě jako počítač, s nímž mate problémy.
4. Rozbalte uzel Group Policy Objects té domény, ke které jste přihlášeni. Dále vy-
berte objekt zásad skupiny, s nímž řešíte problémy, a v pravém panelu klepněte na
kartu Details. Na této kartě uvidíte ten stav a verzi objektu zasad skupiny, jaký „vi-
dí“ vybraný řadič domény.
Poznámka Samozřejmě existují i jiné způsoby, jimiž lze zjistit název řadiče, k němuž jste při-
hlášeni, či stav objektu zásad skupiny týkající se určitého uživatele nebo počítače. Stejné in-
formace byste mohli získat například pomocí protokolování výsledné sady zásad (popsaném
v části „Základní nástroje pro řešení problémů" dále v této kapitole). Nezapomeňte, že fi-
rewall spuštěný na počítačích se systrmem Windows XP Professional Service Pack 2 vám ne-
musí umožnit vzdálený přístup k tomu počítači, s nímž máte problémy. Informace o konfigu-
raci výjimek ve firewallu systému Windows najdete v kapitole 11.
Kontrola stavu a pořadí propojení objektu zásad skupiny
Propojení zásad skupiny může nabýt několika různých staví ovlivňujících to. zda je
objekt zásad skupiny7 pro daného uživatele či pro daný počítač použit anebo nepoužit. «
Propojení zasad skupiny může například bvt zakázané nebo vynucené. Je-li propojení
zakázané, pak objekt zásad skupiny nebude použit pro žádn< počítače či uživatele
nacházející se v tom kontejneru, s nímž je objekt zásad skupiny propojen. Naopak je-li
propojení vynucené, přepise objekt zásad skupiny veškera další nastaveni, která jsou o.
s ním v konfliktu a jsou zpracovávána později. Například objekt zásad skupiny \ vnu-
ceně propojený s doménou přepíše veškerá nastaveni vyplývající z jiného objektu za- £
sad skupiny propojeného s organizační jednotkou dané domény.
Vliv na zpracování zásad má i pořadí propojení. Je-li několik objektu zásad propojeno
s určitou úrovní, pak pořadí propojení určuje pořadí, v němž jsou nastavení zásad
prováděna. Obecně řečeno, pořadí dědění vychází z úrovně sítě, pokračuje na úroveň
domény a poté až do všech vnořených organizačních jednotek
Při kontrole pořadí a stavu propojení daného objektu zasad skupiny postupujte takto:
1. V konzole' Group Policy Management Console rozbalte záznam doménové struk-
tury, s niž chcete pracovat. Přejděte do uzlu Domains a poté rozbalte odpovídající
uzel Group Policy Objects.
2. Vyberte ten objekt zásad skupiny, s mm z máte probléjfhy, a v pravém panelu klep-
něte na kartu Scope.
Na této kartě uvidíte všechny kontejnery, s nimiž je daný objekt zásad skupiny
propojen. Současně zde bude uveden i stav propojení. Ukázku dialogu vidíte na
obrázku 16.2.
596
Kapitola 16 - Řešeni problémů se zásadami skupin
* Group Policy Management	- ř’ X
Ffe Actton Vlew Wmdow Hefc)	_ j

Graf) Poky Management
A Forest qMnd.com
- _-j) Domains
- cpand jom
ÍCorporate Poky
Cust Support Poky
DefaJt Domain Poky
£$ Engfrieertng Poky
JlT Poky
ý LASU Poky
V Sales NetworWng Poky
*	jA Customer Service
♦	»si Domain Cantrders
♦	Engneerlng
Sales
♦	J Support
♦ fel Tedi
- _^| Group Poky Objects
CHraao S*h Pošev
C0.i~.ate PQÍCy
tf Cust Support Poky
V DefaJt Domaři Contrdters Poky
^DefaJt Domain Poky
DevPoky
EntfneeringOUPoky
fEngnoorn j Poky
General Stes Poky
Corporate Policy
Scupe rxsrf: Senng Letegabor
Ljnk»
Drplavhnkjrtt.ilocaiwn	cpandcom
t.....I
The Id MMng wle* domam and OUt ate kked ’o trw GPO:
Louatwn *	Eniaced írkEnábied Path
Security FAerang
The etbrv r tm GPO can orty apply to the fdowmg groips. utert. and compůtere
Name *
Authenticated Utere
[ Add. I Remove | Rop ties
..... ...........................  ................ । _
WMI FAermg
Thre GPO it finked to the foloweig WM> der
<none>	v
OBRÁZEK 16.2: Kontrola stavu propojení objektu zasad skupiny v Group Policy Management
Console
Chcete-li zkontrolovat pořadí propojení a stav objektu zásad skupiny propojených
s určitým kontejnerem, pak postupujte takto:
1.	V konzole Group Policy Management Console rozbalte záznam té doménové
struktury, s níž chcete pracovat.
2.	Další postup závisí na tom, jaké zásady kontrolujete:
	Řešite-li problémy se zásadami domény, vyberte uzel domény.
	\ případě problémů se zásadami organizační jednotky vyberte dmou orga-
nizační jednotku.
	Potrebujete-L vyřešit problémy se zásadami sítě, rozbalte u/el Sites a pote
vyberte uzel příslušné sítě.
Na kartě Linked Group Policy Objects pak uvidíte jak pořadí pi opojení, tak i stav
každého objektu zásad skupiny propojeného s vybraným kontejnerem (viz obr.
16.3). Nastavení obsaženu v propojených objektech zásad jsou vždy prováděna
podle řazení propojení. Platí, že nejprve jsou zpracovány ty objekty zásad, jejichž
propojení se nachází níže, a teprve poté ty, jejichž propojeni je umístěno výše.
Kontrola oprávnění k objektu zásad skupiny
Jak již bylo řečeno v kapitole 3, pokud chcete zajistit zpracovaní objektu zasad
skupiny, musíte mít oprávnění Read (Číst) a Apply Group Policy (Použít zásady
skupiny). Standardně platí, že členům skupiny Authenticated Users jsou přidělena
uvedená oprav není ke všem objektům zásad skupiny. Z toho vyplývá, žc zásady
budou použity pro všechny uživatele a počítače nacházející se v tom kontejneru,
s nímž jsou určité zásady propojeny. Pokud však změníte standardní filtrování za-
bezpečení, ovlivníte i způsob, jakým uživatelé a počítače zpracovávají konkrétní
objekt zásad skupiny. Dalším typem filtru, který muže být použit na objekty zásad
Základy řešení problémů se zásadami skupin
597
skupiny, je filtr služby WMI. V případě jeho použití platí, že daný objekt zásad sku-
piny bude zpracován pouze tehdy, budou-li splněna kritéria definovaná filtrem.
View Wrrfow rtejp
4 Group Policy Man i^cment
: Group Poky Management	a - A Forest cpandl com S l.^Omatw	cpnndl com					
	Lnked Group Poky Obrací G'CM> Poky Inhettancc Delegation					
.j) cpáni com Corporate Poky V Cust Sixport Poky jý Defadt Domain Poky Engineering Foky	1 A	LrkOrdet * 1 2 3	GPO ÁÍ Defaut Domam Poky V Corporate Poky •p E ngmeemg Poky	Eniorced No No No	Link Enabied Yes Yes Yes	
^ITPoky ^LAStePoky V Sales Networkmg Poky ♦	jů| Customer Service *	ťX Domem Controlers ♦	m Engmeermg	v ¥	4 5 6 7	V Sales Networkmg Poky VlT Poky V Ccrat Support Poky tflASte Poky	No No No No	No No No Yes	
♦	I Sales ♦	^1 Support ♦	já) Tech -	_,l Group Poky Objects jf Chicago Sfce Poky Corporate Poky Cust Scpport Poky  DefaJt Domar Controlers Poky Def aJt Domam Poky DevPoky 5$ Engmeermg OU Poky						
V Engmeermg Poky		<			>	
V General Stes Poky	*						
						
OBRÁZEK 16.3: Kontrola stavu propojení na objektu kontejneru pomocí konzoly
Správa zásad skupiny
Mají-h byt nějaké zásady použity, pak příslušná skupina zabezpečení, uživatel či
počítač musí mít k danému objektu zásad oprávnění Read a Apply Group Policy.
Ponechate-li výchozí nastaveni beze změn, budou mít všichni uživatele a všechny
počítače tato oprávněni ke všem novým objektům zásad skupiny. Uvedená oprávnění
totiž budou zděděna z implicitní skupiny Authenticated Users (volně přeloženo
ověření uživatelé). Přitom ověřeným uživatelem se z hlediska systému stane každý
uživatel (či počítač), který se přihlásí k doméně a bude úspěšně ověřen.
roblémú
Chcete-li zjistit, jakým způsobem byly dané objekty zásad skupiny filtrovány, pak
postupujte takto:
1.	V konzole Group Policy Management Console rozbalte tu doménovou strukturu,
se kterou chcete pracovat. Pote rozbalte uzel Domains a mi konec příslušný uzel
Group Policy Objects.
2.	Vyberte ten objekt zásad skupiny, s nímž máte nějaké problémy, a v pravé části
okna klepněte na kartu Scope. Na panelech Security Filtering a WMI Filtering
pak uvidíte aktuální konfiguraci filtrování.
3.	Chcete-li zkontrolovat oprávněni uživatelů, skupin a počítačů, přejděte na kartu
Delegation a poté klepněte na tlačítko Advanced. Následně vyberte tu skupinu
zabezpečeni, uživatele či počítač, jehož oprávněni chcete zkontrolovat. Přitom
mějte na paměti následující:
	Ma li byt daný objekt zásad skupiny použit pro vybraného uživatele, skupinu či
počítač, pak jeho minimální oprávnění musí být Read a Apply Group Policy.
	Pokud daný objekt zásad nemá být použit pro vybraného uživatele, skupinu
či počítač, pak by měl mít povolené oprávnění Read a odepřené oprávněni
Apply Group Policy.
98
Kapitola 16 - Řešení probléme se zásadami skupin
Kontrola režimu zpracování duplicitních objektů zásad skupiny
Zpracování duplicitních zásad skupiny lze nastavit v dialogu Computer Configurati-
onX Administrativě TemplatesXSystemXGroup Policy (Konfigurace počítá če\Šablony
pro spravuXSystemXGroup Policy), a to povolením User Group Policy Loopback
Processing Mode (Režim zpracovaní duplicitních zásad skupiny uživatele). Přitom
se můžete rozhodnout, zda nastavení map být na hrázová na, či slučována:
	Zvohte-li možnost Replace (Nahradit), budou zpracována pouze ta nastavení
uživatele, která jsou součástí objektu zásad skupiny platného pro počítač (GPO
počítače). Nastavení uživatele obsažená v objektu zasad skupiny platném pro
uživatele (GPO uživatele) nebudou vůbec zpracovávaná. To znamená, že nasta-
vení uživatele obsažená v GPO počítače nahradí ta nastavení, která jsou platná
pro uživatele.
	Rozhodnete-li se pro volbu Merge (Sloučit), budou nejprve zpracována ta nasta-
vení uživatele, která jsou obsažena v GPO počítače. Poté budou zpracována na-
stav ení uživatele tvořící součást GPO uživatele. A nakonec budou znovu
zpracována nastavení uživatele obsažená v GPO počítače. Cílem tohoto zdánlivě
komplikovaného postupu je vytvoření kombinace uživatelských nastavení obsa-
žených v obou objektech zásad skupiny. Přitom platí, že v případě jakýchkoliv
konfliktu nastavení uživatele obsažená v GPO počítače přepíší nastavení uživa-
tele obsažena v GPO uživatele.
Protože zvolený režim zpracování duplicitních objektů zasad skupiny zásadně mění
způsob, jakým jsou zásady používány, musí e vědět, zda přihlašující se uživatel má
popisovaný režim povolený, či nikoliv. V opačném případě nemusíte byt schopni na-
lézt správnou příčinu problémů. Jednou z možností zjištění, zda je režim zpracovaní
duplicitních objektů povolen, či nikoliv, je použití průvodce Group Policy Results Wi-
zard, který je součástí konzoly Group Policy Management Console. Uvedený průvod-
ce vam zobrazí všechny zásady, které jsou pro daný počítač použity. Via informací
o zpracování duplicitních objektů zásad skupiny a o způsobech, jímž lze tento režim
zakázat, najdete v části„Změna předvoleb zpracování zásad“ kapitoly 3- V kapitole 12
pak najdete další infonnace o konfiguraci zpracování duplicitních objektu zásad sku-
piny a o práci s tímto režimem.
Kontrola rychlosti připojení
Na zpracován zasad skupiny může mít vliv i rychlost síťového připojení. Standardně
platí, že klientsky počítač považuje veškerá připojení s rychlostí nižší než 500 kbit/s za
pornala. V případě pomalého připojení jsou během aktualizace zasad standardně
přenášena pouze nastavení zabezpečeni a šablony pro správu. Více informací na-
jdete v časti ,.Konfigurace detekce pomalého připojeni“ kapitoly 3-
16.2 Základní nástroje pro řešení problémů
Jakmile se ujistíte, že základní konfigurace a infrastruktura nezbytná pro správné zpra-
covaní zásad skupiny je funkční a dostupná, můžete přistoupit k dalšímu kroku celéhc
procesu, kterým je použití nástrojů pro řešení problémů se zasadami skupin
S jejich pomoci by se vam mělo podařit problém blíže specifikovat. Nejlepším vy-
Základní nástroje pro řešení problémů
599
chodiskem je spuštění nástrojů schopných zobrazit informace o výsledné sadě zá-
sad pro daného uživatele či daný počítač. Přitom dvěma základními nástroji pro
získávání těchto informací jsou průvodce Group Policy Results Wizard a příkaz
Gpresult. K dalším užitečným nástrojům patří příkaz Gpotool, s jehož pomocí si
můžete ověřit stav šablon zásad skupiny, a monitor zásad skupiny, umožňující cent-
ralizaci a automatický sběr reportů výsledných sad zásad.
Práce s výslednými sadami zásad skupiny
V kapitolách 2 a 3 jste se seznámili jak s výslednými sadami zásad, tak i s průvodcem
Group Policy Results Wizard. Tento průvodce (jehož si můžete spustit klepnutím
pravým tlačítkem na uzel Výsledky zásady skupiny, který najdete v konzole Group
Policy Management Console) umožňuje i připojení ke vzdálenému počítači se sys-
témem Windows. Můžete tak zjistit, jaké zásady skupiny byly na daném počítači (na
němž jc přihlášen určitý uživatel) zpracovány při poslední aktualizaci. Tento me-
chanismus se nazývá režim protokolování výsledných sad zásad.
Poznámka Režim protokolování využívá ke vzdálenému získávání dat infrastrukturu WMI,
která je standardní součástí systémů Windows XP a Windows Server 2003. Zpracování zásad
skupiny spuštěné procesem Winlogon využívá k vlastnímu zpracování rozšíření na straně kli-
enta. Tato rozšíření pak odesílají data o výsledných sadách zasad do CIMOM databáze služby
WMI. Konzola Group Policy Management Console tato data z CIMOM databáze načítá
a zobrazuje ve formě HTML reportů.
Chcete-li v průvodci Group Policy Results Wizard nastavit režim protokolování vý-
sledných sad zásad z nějakého vzdáleného počítače, pak postupujte takto:
1.	V konzole Group Policy Management Console klepněte pravým tlačítkem na
uzel Výsledky zasady skupiny a poté zvolte Group Policy Results Wizard.
•Q.-
2.	Po spuštění tohoto průvodce klepněte na tlačítko Next. Chcete-li načíst informa-
ce týkající se místního počítače, pak na stránce Selecí Computer zvolte Local
Computer. Zajímají-li vás informace z nějakého jiného počítače, pak zvolte Jiný
i *	c
počítač a pote klepněte na tlačítko Browse. Do dialogu Selecí Computer zadejte
název počítače a klepněte na tlačítko Check Names. Bude-li kontrola názvu úspěš-
ná, klepněte na tlačítko OK.
Tip Nejste-li schopni se pomocí průvodce Group Policy Results W zard připojit ke vzdálenému
počítači, může být příčinou firewall systému Windows, spuštěný na daném vzdáleném počí-
tači a blokující potřebnou síťovou komunikaci. Tento typ komunikace, nezbytný pro správu
počítačů, můžete povolit pomocí zásady Výjimky vzdáleno správy. Podrobnosti najdete
v části „Povolování výjimek vzdálené správy" kapitoly 11.
3.	Standardně jsou protokolována jak nastavení zásad počítače, tak i uživatele. < hce-
te-li si prohlednout pouze výsledky týkající se nastaveni zásad uživatele, pak zvol-
te Do Not Display Policy Settings For The Selected Computer.
4.	V průvodci klepněte na tlačítko Next Na strance User Selection si vyberte toho
uživatele, jehož nastaveni zásad chcete zkontrolovat. Přitom platí, že prohlednout
si můžete nastaveni zasad kteréhokoliv uživatele, jenž se na daný počítač přihlás 1.
5.	Pokud chcete zkontrolovat pouze nastavení zásad týkající se počítače, pak zvol-
te Nezobrazovat ve výsledcích nastavení zásad uživatele.
I
600
Kapitola 16 - Řešení problému se zásadami skupin
6.	K samotnému spuštění protokolování zbývá dvakrát klepnout na tlačítko Next
a pak na Finish. Průvodce generuje report, který zobrazí v podoknu podrobností.
7.	V levem podoknu klepněte pravým tlačítkem na zobrazený report. Zpřístupní se
vám tak nabídka umožňující další správu reportu. Mezi nabízené možnosti patří:
	Advanced View (Podrobnosti) Zvol te-li tuto volbu, pak se v dalším dialo-
gu zobrazí upravený píehled všech nastavení, která byla použita.
	Rerun Query (Znovu spustit dotaz) Tato volba umožňuje opětovné spuště-
ní původního dotazu. To znamená, že s její pomocí můžete získat aktuálnější
verzi reportu, zobrazující nejnovější zásady zpracované pro vzdálený počítač
a vzdáleného uživatele.
	Savé Report (Uložit zprávu) Pomoci této volby lze zobra/ený report uložit.
Informace získané pomocí průvodce Group Policy Results Wizard mohou být při
řešení problémů se zpracováním zásad skupiny velmi užitečné. Součástí každého
reportu s výsledky jsou tři karty (Summáry, Settings, and Policy Events - Souhrn,
Nastavení a Události zásad). Kromě toho je možné otevřít si i podrobný pohled.
Pohyb na kartě Souhrn
Na kartě Summary (Souhrn) najdete základní infonnace o zpracování zasad skupiny
na cílovém systému. Platí, že jak pro zásady počítače, tak i pro zasady uživatele
jsou zobrazovány obdobné informace. Klepnutím na odkaz Show All si můžete
zobrazit všechny aspekty týkající se této karty.
Z obrázku 16.4 je zřejmé, že souhrnné informace jsou rozděleny do pěti oblasti:
	General Zde najdete údaje o počítači, z něhož jsou načítaný informace o výsledné
sadě zásad. Dále zde uvidíte doménu, do níž je počítač zařazen, síť, v níž byl nale-
zen (v případe zásad skupiny přiřazených síti), a datum a čas posledního zpraco-
vání zásad skupiny (bez ohledu na to, zda proběhlo v popředí nebo pozadí).
	Group Policy Objects Tato oblast obsahuje informace o těch objektech zásad
skupiny týkajících se počítače, které byly buď zpracovány, anebo jejichž zpra-
cování bylo odepřeno. V seznamu zpracovaných objektů zásad skupiny je vždy
vidět název objektu, jeho přiřazení v době zpracování a číslo verze objektu, na-
čtené jak z kontejneru zásad skupiny (označeného zde AD), tak i ze šablon zá-
sad skupiny (zde označených SYSVOL). Jsou-li čísla verzí pro daný objekt zásad
skupiny rozdílná, pak je možné, že nefunguje zcela správně služba Ac tive Direc-
tory či služba replikace souborů.
Seznam objektů zásad skupiny, jejichž zpracování bylo odepřeno, vždy obsahu-
je důvod odepření. Přitom zpracování objektu zasad skupiny muže byt odepře-
no například proto, ze daný objekt je prázdný (neobsahuje1 žádná nastavení
zásad), filtrování skupin zabezpečeni zabraňuje uživateli či počítači v jeho zpra-
covaní anebo je zpracování blokováno filtrováním WMI.
Základní nástroje pro řešení problémů
601
OBRÁZEK 16.4: Souhrnný report výsledné sady zasad
	Security Group Membership When Group Policy Was Applied Zobrazuje
všechny členy všech skupin, do nichž byl daný počítač či uživatel zařazen
v době posledního zpracování zásad skupiny. Tyto informace vám mohou po-
moci při hledání důvodu, proč nějaké filtrování skupin zabezpečení pro určitý
objekt zásad skupiny fungovalo či naopak nefungovalo.
	WMI Filters Zde najdete všechny filtry WMI propojené s objektem zásad sku-
piny, které jsou počítačem zpracovávány. Současně zde uvidíte i výsledek těch-
to filtru pro daný počítač či daného uživatele. Filtry WMI totiž mohou mít
zásadní vliv na to, zda daný objekt zásad skupiny bude či nebude zpracován:
je-li výsledkem těchto filtrů hodnota falše, pak objekt zásad skupiny, jemuž jsou
tyto filtry přiřazeny, nebude zpracován.
Řešení problémů
	Component Status V této oblasti najdete informace o tom, zda samotné zpra-
cováni zásad skupiny proběhlo úspěšně a zda také úspěšně skončil běh každé-
ho spuštěného rozšíření na straně klienta. Současně zde najdete i datum a čas
posledního běhu jak zpracování zásad skupiny, tak i rozšíření na straně klienta.
Poznámka Časy posledního spuštění, které najdete v oblasti Component Status, nemusí být
vždy shodné. To je naprosto v pořádku: například samotné zpracování zásad skupiny může
být spouštěno v každém cyklu zpracování zásad (bez ohledu na to, zda běží v popředí či
v pozadí), zatímco některá rozšíření na straně klienta nemusí zpracovat žádné objekty zásad
skupiny, pokud se tyto od doby posledního zpracování vůbec nezměnily. Z toho vyplývá, že
rozdílný Čas, uvedený v této části reportu u každého rozšíření na straně klienta, nemusí byt
ještě jednoznačným příznakem problémů.
Kapitola 16 - Aešení problémů se zásadami skupin
Tip To, co v části Component Status hledáte především, je informace o neúspěšném chodu
C jednoho či více prvků zajišťujících zpracování zásad. Například neproběhne-li úspěšně sa-
motné zpracování zásad, pak hledejte příčinu problémů nejprve v některé části infrastruktu-
ry a souvisejících komponent. Naopak chyba běhu nějakého rozšíření na straně klienta může
byt způsobena celou řadou příčin, mezi něž patří i poškozená data zásad či problémy
s načtením objektu zásad skupiny obsahujícího příslušná nastavení. Dalším krokem při řešení
problémů s rozšířeními na straně klienta je kontrola různých protokolů, vytvářených během
chodu rozšíření. Použitím protokolů se budeme podrobněji zabývat v části „Protokolování
zásad skupin" dále v této kapitole.
Pohyb na kartě Nastavení
Karta Settings obsahuje podrobné informace o všech nastaveních zásad, která byla na
daném počítači či pro daného uživatele použita. Klepnutím na odkaz Show si můžete
otevřít podrobnosti týkající se každé sekce. Chcete-li rozbalit všechny sekce najed-
nou, pak klepněte na odkaz Show All. V každé podsekci uvidíte název každého
použitého nastavení zásad spolu se jeho stavem (Fnabled či Disabled) a informací
o tom objektu zásad skupiny, který dané nastavení obsahoval (viz obrázek 16.5).
Detailní informace, které na této kartě najdete, jsou důležité zejména proto, že
z nich můžete zjistit, zda je určité nastavení zásad skutečně provedeno či nikoliv.
Dále se zde dozvíte, zda byl zpracován správný objekt zasad skupiny či zda jeho
zpracovaní (a tedy následnému nastavení nějaké zasady) braní nějaká prekažka.
Spojíte-li si tyto informace s údaji z karty Summary, budete schopni určit, proč ně-
jaké nastavení není použito (byť by podle vašich očekávání použilo být mělo).
Pohyb na kartě Události zásad
Na kartě Policy Events najdete přehled událostí načtených z počítače, zadaného při
spouštění průvodce Group Policy Results Wizard. Události jsou načteny z protokolu
aplikací vzdáleného počítače, přičemž načteny a zobrazeny jsou pouze ty, které se
týkají zpracování zásad. Na obrázku 16.6 vidíte ukázku karty Policy Events.
Karta Policy Events je velmi užitečná právě proto, že na ni najdete pouze ty udá-
losti z protokolu aplikací vzdáleného počítače, které mají nějaký vztah ke zpraco-
vání zásad skupin. Podrobnému popisu těchto událostí se budeme věnovat později;
v tuto chvíli byste si měli zapamatovat, že na kartě Policy Events můžete poměrně
rychle najít nějaké přesnější vymezení problémů souvisejících jak se samotným
zpracováním zásad, tak i s chodem příslušných rozšíření na straně klienta. I zběžné
prohlédnuti léto karty po spuštění průvodce vám muže ukazat zjevné chyby, brání-
cí úspěšnému zpracování zásad a vyžadující tedy řešení.
Pohyb v podrobném zobrazení
Pokud si v levem podokně vyberete nějaký report Group Policy Results (Výsledky zá-
sad skupiny), klepnete na něj pravým tlačítkem a z místní nabídky zvolíte Advanced
z
View, otevře se další dialog konzoly MMC, v němž uvidíte módil.kované zobrazeni
všech zasad, které byly použity. Z obrázku 16.7 je zřejmé, že toto zobrazení se podoba
tomu, které vidíte v modulu snap-in Grouj) Policy Object Editor (Editor objektu Zása-
dy skupiny). Základním rozdílem je to, že v podrobném zobrazeni vidíte pouze ta
nastavení zásad, která byla při spouštění počítače či přihlašování uživatele úspěšné
Základní nástroje pro řešení problémů
603
načtena. Naopak v modulu snap-in Group Policy Object Editor (Editor objektů Zá-
sady skupiny) vidíte všechna nastavení tvořící součást nějakého objektu zasad
OBRÁZEK 16.5: Karta nastavení v uzlu výsledků zásad skupiny
" Group Polity Management								
4 •	*• at>í. vtew	Meto							^Ifljxj
	Em g r?							
	$ LA Sto Poky	* if Sales NetworMng Poky » jdi Customer Service	wrstanek on E NGPC07 Sjrmwy Seťr.j Poky ť vénu						
	+ rii Ovnain > ontroleri	Type	Dare	Irm	Source	tarege»	EverilD	Use*
	♦	En^neemg ♦ ^Sdes	IL ,	Mil	U15	Apptcel *	None	3T	'“'i
		1 J Enor	Min	1214	Usetenv	None	10P5	NT/
	♦	Support ♦	Tech	O Enor	Min	1214	Folder Re	None	106	CPA
	E Group Poky Objects	fcWammg	Mm	1209	Uterenv	None	1517	NT/ 1
	S Tvcago Sto Poky	A Information	Min	1037	SceO	None	1704	N/A ;
	Corporate Poky	I Informabon	MV1	10 49	SceO	None	1704	N/A
	Scust Support Poky	JP Informabon	Min	1211	SceC*	None	1704	N/A
	Defadt Domain Controlers Poky	•P Infonhaftn	2/3/2	244 3	ScnCb	None	1704	N/A
	Defauft Domar, Poky	-P irionnabon	2JML	1051	SceO	None	1704	N/A
	DevPoky	P Irionnabon	M\n	5.00.2	Appecar^	None	308	CPA
	Engineenng OU Poky	P Informabon	mn	5:062.	Appecatr	Nrne	301	CPA
	Enpneemg Poky	O Enor	M\n	5061	Uterenv	None	1085	NT/
	tf General Stes Poky	O Enor	MV2	5061	•olderRe	None	106	CPA
	5 IT Poky	í lni'mnabon	2nn	5071	Appkabc	None	308	NT r
	LA Sto Poky	P Informabon	2/\n	5071	Appkatn.	None	305	NT/
	Sales Deskop Poky	1) Irionnabon	2H/2	506.1	Appkabc	None	301	NT t
	Sales Networta rJ I oky	1 plnicí maten	2/1/2	3250	ScrO	None	1704	N/A
	xpport Polcy	P Informabon	1/31/	4 301	SceO	None	1704	N/A
	♦ - J WMI r<er ► _JStos Group Poky Modetng	XJlnícwmabon	1/30/	1110	SceQ	None	1704	N/A
		P 'níonn J tr	1/29/...	1259	Scea	None	1704	N/A
	_ J Group Poky Resdts ^wrstanekonENGPCO? V	P'nformabun <	1/28/	1257	Scea	None	’7O4	N/A v >
—fešem oroblému
OBRÁZEK 16.6: Prohlížení událostí souvisejících se zpracováním zásad
Tip Podrobné zobrazení reportu Výsledky zásad skupiny lokálního počítače si můžete otevřít
také tak, že z příkazové řádky spustíte příkaz rsop.msc. Při spuštění na lokálním počítači
platí, že protokolovaní výsledné sady zásad automaticky načte data tykající se lokálního po-
čítače a právě přihlášeného uživatele. To ovšem znamená, že v případě lokálního oočítače
nemusíte potřebný report generovat ručně - report je totiž vygenerován automaticky, po
spuštění příkazu rsop.msc. Současně je nutné zdůraznit, že konzola rsop.msc je dostupná
pouze na systémech Windows XP Professional či novějších.
Kapitola 16 - Řešení problémů se zásadami skupin
OBRÁZEK 16. 7: Podrobné zobrazeni výsledné sady zásad
Pokud se po spuštění průvodce Group Policy Results Wizard chcete ujistit, zda další
/pracovaní zásad skupiny vyřeší nalezené problémy, můžete spustit vynucenou ak-
tualizaci zasad skupiny. Ta proběhne v pozadí a spouští se příkazem Gpupdate.
Otev rete si tedy dialog příkazového řádku a napište:
gpupdate Zforce
Po spuštění tohoto příkazu budou pro daný počítač a přihlášeného uživatele znovu
načteny fšechny zasady skupiny, a to bez ohledu na to, zda od doby posledního
spuštění byly či nebyly změněny. Jakmile skonči vynucené načítání zásad, můžete
v Konzole Group Policy Management Console klepnout pravým tlačítkem na report
Výsledky zásady skupiny a z místní nabídky zvolit Rerun. Konzola Group Policy
Management Console znovu načte všechna data týkající se zpracování zásad skupi-
ny na daném počítači a pro právě přihlášeného uživatele.
Poznámka Příkaz Gpupdate Zforce je podporován pouze systémy Windows XP Professional či
novějšími. V případě systému Windows 2000 musíte použít příkaz Secedi t Z ref reshpol i cy.
Zobrazení výsledných sad zásad
v příkazovém řádku
Příkaz Gpresult je v podstatě totožný s průvodcem Group Policy Results Wizard,
spouštěným z konzoly Group Policy Management Console. Zásadním rozdílem me-
zi oběma nástroji je to, že příkaz Gpresult se spouští z příkazového řádku, což
znamená, že jej můžete poměrně snadno použít v nějakých automaticky spouště-
ných skriptech provádějících pravidelné kontroly stavu zásad skupiny na počítačích
a u uživatelů. Příkaz Gpresult.exe je standardní součástí systémů RrindowsXrPrO-
fessiunal a U indoivx Server 2003 a lze jej spustit s několika parametry.
Použití příkazu Gptosuli je poměrně jednoduché. Jeho základní syntaxe je:
gpresult Zs Nazev_pocitáce Zuser Domena\Nazev_uzivdtele
Základní nástroje pro řešení problémů
605
kde Ndzev_poci táce je název toho vzdáleného počítače, z něhož chcete načíst vý-
sledky zpracován? zásad, a Domena\Nazev_uzivatele určuje uživatele. Například
kdybyste chtěli spustil protokolování výsledných sad zásad na vzdáleném počítači
nazvaném engpc07 a zajímala by vás pouze data pro uživatele wrstanek, definova-
ného v dome ně CPANDL, museli byste na příkazovém řádku napsat tento příkaz:
gpresult Zs engpc07 Zuser cpandl\wrstanek
Po jeho spuštění se vám zobrazí pouze souhrnné informace, z nichž vyčtete pouze
údaje o těch objektech zásad skupiny, které byly načteny či naopak odepřeny.
Současně uvidíte i informace o členství ve skupinách. To znamená, že ve výstupu
neuvidíte stejná data, jaká zobrazuje karta Nastavení průvodce Group Policy Results
Wizard. Zajfrnají-li vás takto podrobné údaje, musíte příkaz Gpresult spustit
s volbou Z v či Z z. Obě volby znamenají režim podrobného výstupu, přičemž zá-
kladní rozdíl mezi nimi je ten, že použijete-li volbu Z v, pak ve výsledku uvidíte
pouze to nastavení, které bylo načteno ze zásady s nejvyšší prioritou (tj. v pr pádě
I několika objektů zásad skupiny obsahujících konfliktní nastavení uvidíte pouze vý-
sledek), zatímco v případě volby Z z uvidíte jak nastavení, načtené z objektu zásad
s nejvyšší prioritou, tak i všechna ostatní nastavení.
H Tip Chcete-li spustit příkaz Gpresult v kontextu jiného uživatele (používáte-li například něja-
ký účet pro správu), pak můžete pomocí voleb Zu a Zp zadat název tohoto alternativn ho uži-
vatele a jeho heslo. Pomocí voleb Zscope user a Zscope Computer můžete říci, že vás zajímají
pouze data týkající se nastavení uživatele či nastavení počítače.
--	.... —	 —    --------  I   	-	   - —  —
Podobně jako v případě průvodce Group Policy Results Wizard i pro příkaz Gpre-
sul t.exe platí, že je vhodný zejména pro prohlíženi výsledků zpracování zásad sku-
piny. Můžete tak poměrné snadno ziistit, které zásady byly použity a ktere nebyly
použity. Současně se dozvíte i důvod, proč některé zásady nebyly použity.
V případě podrobného výstupu pak příkaz Gpresult nabízí zhruba stejné informace
jako průvodce Group Policy Results Wizard. Kromě nich však v jeho výstupu najde-
te i některé dodatečné informace týkající se především konfigurace daného počíta-
če. Součásti výstupu jsou údaje o verzi operačního systému počítače či o tom, zda
zpracovaní zásad počítače a uživatele probíhalo přes pomalé připojení či nikoliv.
Níže vidíte ukázku první části výstupu příkazu Gpresult, z niž je zřejmé, které do-
datečné informace tento příkaz nabízí:
Řešení problému
OS Type:
OS Configuration:
OS Version:
Terminál Server Mode:
Site Name:
Roaming Profile:
Local Profile:
Connected over a slow
Microsoftí R ) Windowsf R ) Server 2003,
Standard Edition
Primary Domain Controller
5.2.3790
Remote Administration
Default-First-Site-Name
C:\Documents ano Settings\Administrator
1 i nk?:No
Protože výsledkem spuštění příkazu Gpresult v režimu podrobného výstupu muže
být značné množství dat, a to předev ším v prostředí s mnoha objekty zásad skupin, je
lepši přesměrovat výstup příkazu do textového souboru. Ukázku vidíte mže:
gpresult Zs engpc07 Zuser cpandl\wrstanek Zz > gplogging.txt
606
Kapitola 16 - Řešení problémů se zásadami skupin
Kontrola stavu objektů zásad skupin na
straně serveru
Pro kontrolu stavu objektů zásad skupin pnmo na řadičích domény je velmi vhodný
další nástroj, kterým je Gpotool (nástroj pro ověření zásad skupiny). I v tomto p ípadě
se jedna o nástroj spouštěný z příkazového řádku. Najdete jej v sadě Windows Server
2003 Resource Kil a lze říci, že je vhodný především pro řešení těch problémů se
zásadami skupin, které mohou vzniknout na straně serveru. Doporučujeme vám.
abyste v případě problémů se zásadami skupin nejprve spustili tento nastroj a ubez-
pečili se tak, že příčinou problému nejsou samotné objekty zásad skupin.
Nastroj Gpotool lze požít dvěma základními způsoby: zaprvé jím můžete kontrolo-
vat všechny objekty zásad skupin vytvořené ve vaší doméně a nacházející se na
všech řadičích domény; za druhé jei můžete využít ke kontrole určitých objektů zá-
sad skupiny na vybraných řadičích domény. První způsob je vhodný především
tehdy, snažíte-li se zjistit, zda se příčina problému se zásadami skupin nenachází na
straně serveru. Druhý zmíněný způsob použijete v případě, budete-li přesvědčeni,
že máte problémy s objekty zásad skupin pouze na určitých řadičích domény. Ná-
stroj Gpotool kontroluje jak kontejner zasad skupiny, tak i šablony zásad skupiny
a ověřuie jejich konzistenci a čísla verzí. Současně zobrazuje i všechny další volby,
které byly pro daný objekt zásad skupiny povoleny (například zakazán či zakázán
jen pro určitého uživatele).
Kontrola chyb v kontejneru zásad skupiny a šablonách zásad skupiny
Použití nástroje Gpotool ke kontrole všech objektů zásad skupin v aktuální doméně
(tj. té, ke které jste se přihlásili) je vcelku jednoduché: v dialogu příkazového řádku
stačí napsal gpotool a stisknout Enter. Nastroj Gpotool poté ověří konzistenci kon-
tejneru zásad skupiny a šablon zasad skupiny, zkontroluje oprávnění k šablonám
zásad skupiny a nakonec zkontroluje i čísla verzí uložená v kontejneru zásad sku-
piny a šablonách zasad skupin. Jsou-li všechny objekty zásad skupin v pořádku,
měl by výstup příkazu vypadat zhruba takto:
Validating DCs...
Available DCs:
corpsvr04.cpandl.com
• • •
corpsvr25.cpandl.com
Searching for policies...
Found 14 policies
Policy {OBFOF7D6-0245-4133-BC78-B98AFBA21F48}
Friendly name: tngineering Policy
Policy OK
Policy {0C5F4FAF-8749-4FDC-9BC9 9B729DB5DD4F}
Friendly name: General Sites Policy
Policy OK
Základní nástroje pro řešení problémů
607
Policy {F9D36F52-E28D-4D54-87DB-9DFFBE9EAB73}
Friendly name: Support Policy
Poli cy OK
Policies OK
Nejsou-li data kontejneru a Šablon zásad skupiny konzistentní nástroj Gpotool vy-
píše podrobné informace týkající se toho objektu zásad skupin, u něhož byly pro-
blémy nalezeny. Současné zobrazí i informace o konkrétních chybách. Níže vidíte
příklad výstupu, zobrazeného v okamžiku rozdílné verze objektu zásad skupiny
Engineering Policy (tj. v kontejneru zasad skupiny byla nalezena jiná verze než
v šablonách zásad skupiny):
Val idating DCs...
Available DCs:
corpsvr04.cpandl.com
Searching for policies...
Found 14 poli ci es
Policy {0BF0F7D6-0245-4133-BC78-B98AFBA21F48}
Error: Version mismatch on corpsvr04.cpandl.com, OS=1, sysvol=889
Friendly name: Engineering Policy
Details:
DC: corpsvr04.cpandl.com
Friendly name: Engineering Policy
Created: 12/10/2004 8:08:46 PM
Changed: 12/10/2004 8:18:11 PM
DS version: 16384000C user ) 720( machine )
Sysvol version: 16384000 ( user ) 889( machine )
Flags: 0 ( user side enabled; machine side enabled )
User extensions: not founo
Machine extensions: [{0ACDD40C-75AC-47AB-BAA0-BF6DE7E7FE63}{2DA6AA7F-8C88-
4194-A558-
0D36E7FD3E64} ]
Functionali ty version: 2
Policy {0C5F4FAF-8749-4EDC-9BC9-9B729DB5DD4F}
Friendly name: General Sites Policy
Poli cy OK
Policy {F9D36F52-E28D-4D54-87DB-9DFFBE9EAB73}
Friendly name: Support Policy
Poli cy OK
Errors found
Rozdíl ve verzích je jasným příznakem nějakých problému V každém případě byste
se měli snažit zjistit, o jaké problémy se jedná. Rozdíl verzi totiž může být zpuso-
608
Kapitola 16 - Řešeni problémů se zásadami skupin
ben jednak problémy s replikacemi změn v šablonách zásad skupin, jednak pro
blémy se samotným souborovým systémem. A protože změny složky SYSVOL jsou
replikovány pomocí služby replikace souboru, je prvním podezřelým právě tato
služba. Nicméně celý proces řešeni problému by měl začít kontrolou samotné šab~
lony zásad skupin a souvisejících služeb Mohlo by se například stát, že k dané šab-
loně budou nastavena nesprávná oprávnění, disk bude zaplněn, či dokonce
poškozen. Další možnou příčinou muže byt zastavení služby replikace souborů či
služby distribuovaného systému souboru.
Kontrola oprávnění ke složce SYSVOL
Standardně platí, že příkaz Gpotool nekontroluje oprávnění ke složce SYSVOL. Pokud
chcete tato oprávnění zkontrolovat, musíte spustit příkaz Gpotool s volbou /CHECKAC L:
gpotool /checkacl
Je nutné zdůraznit, že uvedený příkaz zkontroluje pouze oprávnění ke složce SY-
SVOL. Jinými slovy řečeno, oprávnění k podsložkám složky SYSVOL zkontrolována
nebudou. Nicméně platí, že pokud by náhodou došlo k nějaké chybné změně
oprávnění, pak byste tuto chybu pomocí příkazu Gpotool odhalili.
Kontrola určitých objektů zásad skupin
Pomoci nástroje Gpotool můžete také zkontrolovat stav určitého objektu zásad skupi-
ny na konkrétním řadiči domény. Řekněme například, že potřebujete zkontrolovat
objekt zásad skupiny Default Domain Policy na řadičích corpsvrOl acorpsvr02.
K tomuto účelu byste mohli použít následující variantu příkazu Gpotool:
gpotool /gpo: "Default Domain Policy" /domain:cpandl.com /dc:corpsvr01,
corpsvr02 /verbose
Nebudou-li při kontrole objektu zásad skupiny nalezeny žádné problémy, příkaz
vrátí stav OK; v opačném případě bude zobrazena chyba.
Výsledky kontroly objektu zásad skupiny
Je-li při kontrole nějakého objektu zasad skupiny zjištěna chyba, příkaz Gpotool
zobrazí podrobné informace o chybě. Pokud chcete, aby tento příkaz zobrazoval
podrobné informace pro všechny objekty zásad skupin, pak jej musíte spustit
s volbou / verbose. Mezi důležité údaje, zobrazené v podrobném výstupu, patří na-
příklad to, která rozšíření na straně počítače či uživatele mají nastavení nakonfigu-
rovaná pro určité objekty zásad skupin. Přitom každé rozšíření na straně klienta
mající nakonfigurovaná nastavení, je uvedeno pomocí svého GUID.
Představme si následující výstup příkazu Gpotool:
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Friendly name: Sales Policy
Policy OK
Details:
DC: corpsvr04.cpandl.com
Friendly name: Sales Policy
Základní nástroje pro řešení problémů 609
Created: 5/11/2004 11:05:05 PM
Changed: 1/14/2005 1:37:13 AM
DS version: 71( user ) 128( machine )
Sysvol version: 71( user ) 128( machine )
Flags: 0 ( user side enabled; machine side enabled )
User extensions: [{25537BA6-77A8-11D2-9B6C-0000F8080861H88E729D6BDC1-
11D1-BD2A-
00C04FB9603F)][{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D?-
8420-
00C04FA372D4}][{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{0F6B957E - 509E -11 Dl -
A7CC-
0000F87571E3}][{C6DC5466-785A-11D2-84D0-00C04 FB169F7}{BACF5C8A-A3C7-11D1-
A760-
00C04FB9603F}]
Machi ne extensions: [{0ACDD4 0C- 7 5AC- 4 7AB-BAA0-BF6DE7E7FE63}{2DA6AA7F-8C88-
4194-A558-
0D36E7FD3E64}][{35378EAC-683F-llD2-A89A-00C04FBBCFA2}{0F6B957D-509E-llDl-
A7CC-
0000F87571E3}{53D6ABlB-2488-llDl-A28C-00C04FB94F17}][{827D319E-6EAC-llD2-
A4EA-
00C04F79F83A|{803E14A0-B4FB-]lD0-A0D0-00A0C90F574B|][{BlBE8D72-6EAC-llD2-
A4EA-
00C04F79F83A}{53D6AB1B-2488 11 Dl-A28C-0CC04FB94F17}][{C6DC5466-785A-11D2-
84D0-
00C04FB169F7){942A8E4F-A261-11D1-A760-00C04FB9603F}]
Functiona 1;ty version: 2
Z tohoto výstupu je zřejmé, že v daném objektu zásad skupiny je aktivních hned
několik rozšíření na straně klienta. Přitom jednotlivá rozšíření jsou identifikována
svými GUID. Například {25537BA6-77A8-11D2 9B6C-0000F8080861} je GUID rozší-
ření Folder Redirection (Přesměrování složky). V kapitole 13 najdete přehled GLF)
všech rozšíření na straně klienta, která jsou součástí standardní instalace systému
Windows Server 2003.
Řešení problémů
Jak ve standardním, tak i v podrobném výstupu najdete mnoho užitečných infor-
mací, mezi něž patři například:
	GPO GUID Jedmečný identifikátor, přiřazený každému objektu zásad skupiny.
	Friendly Name (Přátelský název) Název, kteiy jste zadali při vytvářeni objek-
tu zásad skupiny. Tento název nemusí být jedinečný.
	Policy OK (Zásada je OK) Pokud nástroj Gpotool .exe nenajde při kontrole da-
ného objektu zásad skupiny žádné problémy, pak ve výstupu uvede, že jeho
stav je OK.
	Created (Vytvořeno) a Changed (Změněno) Datum a čas vytvoření objektu zá-
sad skupiny a datum a čas jeho poslední změny. Tato informace může byt uži-
tečná zejména v případě, potřebujete-li zjistit, zda se změna objektu zásad
skupiny přenesla i na ten řadič domény, který pravě pomocí Gpotool .exe kont-
rolujete.
Kapitola 16 - Řešení problémů se zásadami skupin
Poznámka Soubor Gpmonitor.adm bude vzápětí zkopírován do té části složky SYSVOL, d0
níž jsou ukládány šablony pro správu. Poté bude replikován na všechny řadiče domény, kte-
ré jsou součástí dané domény. (Více informací o úložišti zásad skupin najdete v kapitole 13.)
4.	Klepněte na tlačítko Open (Otevřít) a poté na Close (Zavřít). Jak vidíte z obrázku
l6.8, názvový prostor šablon pro správu se změní: objeví se v něm totiž nový uzel
pro Group Policy Monitor.
5.	Poté rozbalte uzel Computer Configuration (Konfigurace počítače), v něm pře-
jděte do uzlu Administrativě Templates (Šablony pro správu) a nakonec rozbalte
uzel Group Policy Monitor. Nakonec poklepejte na Group Policy Monitor.
6.	Chcete-li zahájit monitorování, zvolte Enabled (viz obrázek 16.9). Současně mu-
síte zadat i sdílenou složku, do níž mají řadiče domény, na nichž bude služba
spuštěna, ukládat soubory protokolu výsledných sad zásad.
7.	Dále nastavte interval aktualizací zásad skupiny, v jakém budou generovány
nové reporty a ukládány do sdílené složky. Standardně platí, že služba odesílá
nový report při každé osmé aktualizaci zásad skupiny (přitom nezáleží na tom,
zda tato aktualizace bez v popředí či pozadí), lento interval můžete samozřej-
mě zkrátit nebo prodloužit.
8.	Klepněte na tlačítko OK
OBRÁZEK 16.8: Prohlíženi uzlu Group Policy Monitor v konzole
Group Policy Management Console
Poznámka Velikost prostoru na disku nezbytná pro protokolování výsledných sad zásad závi-
sí především na poctu řadičů domény, které chcete takto monitorovat, a na intervalu aktua-
lizace. Nezapomeňte, že častější odesílání reportů bude mít nepříznivý vliv jak na
propustnost sítě, tak na velikost volného místa na discích daného serveru.
Základní nástroje pro řešení problémů
613
Prohlížení reportů pomocí konzoly Group Poliícy Monitor
Jakmile na vybraných počítačích nainstalujete a nakonfigurujete službu Group Po-
licy Monitor, začnou tyto počítače odesílat reporty výsledných sad zásad do zadané
sdílené složky. V této složce budou data ukládána do podsložek, jejichž názvy bu-
dou vycházet z názvu počítačů odesílajících reporty. Pomoci konzoly Group Policy
Monitor si poté můžete prohlednout všechny reporty, načtené z každého počítače.
Při prohlížení reportu pomocí konzoly Group Policy Monitor postupujte takto:
1.	Klepněte na tlačítko Start. Následné zvolte Programs a poté Administrativě
Tools. V teto nabídce klepněte na Group Policy Monitor.
2.	Z nabídky Filé zvolte New Query.
3.	V dialogu Query zadejte cestu UNC ke sdílené složce, do níž jsou ukládána data
protokolu služby Group Policy Monitor.
4.	Dále zadejte názvy těch počítačů, s jejichž daty chcete pracovat. Platí, že názvy
počítačů by měly být odděleny čárkou (např. corpsvrOl, corpsvr02, corpsvr03).
Chcete-li zpracovávat data všech počítačů, na nichž je spuštěna služba Group
Policy Monitor, můžete zadat i znak *.
5.	Zadejte počet aktualizací, pro které chcete vytvořit reportv. Standardní hodno-
tou jsou 4. Čím více aktualizací zadáte, tím více dat pomocí dotazu načtete.
6.	Po klepnutí na tlačítko OK se v konzole Group Policy Monitor vytvoří pro kaž-
dý zadaný počítač nový uzel.
Řešení problémů
OBRÁZEK 16-9: Konfigurace monitorování a protokolováni
Pod uzlem počítače uvidíte dva základní uzly, nazvané ComputerPolicyRel reshes
a UserPolicyRefreshes. Jak vidíte na obrázku 16.10, oba budou obsahovat řadu ča-
sových značek oznaculících jednotlivé aktualizace zásad skupiny.
610
Kapitola 16 - Řešení problémů se zásadami skupin
	DS Version (Verze DS) a SYSVOL Version (Verze SYSVOL) V podstatě počet
revizí, provedených jak v kontejneru zásad skupiny, tak i v šablonách zásad skupj.
ny. Pokud proběhla pln i replikace daného objektu zásad skupiny na řadič dorné-
ny, který kontrolujete, pak by tato čísla měla být shodná.
	Flags (Příznaky) Zde najdete informace o stavu objektu zásad skupiny - zda je
zakázán, zda je zakázána pouze jeho uživatelská část či zda je zakázána pouze
ta část, která se týká počítače.
	User extensions (Vlastní přípony) a Machine extensions (Strojoé přípo-
ny) Seznam GUID jednotlivých roz-iřeni na straně klienta, implementovaných
daným objektem zásad skupiny.
	Functionality Version (Verze funkcí) Verze funkcionality; jež je vždy rovna 2.
Centrální správa protokolů výsledných sad zásad
Nástroj Group Policy Monitor (GPMoni tor. exe) je další součástí sady Windows Server
2003 Resource Kit, která vám může pomoci při řešení problému. Jedná se o nástroj
umožňující nejen centralizaci správy reportů Výsledky zásad skupiny, ale i automati-
zaci jejich sběru. Pomoci tohoto nástroje můžete poměrně podrobně sledovat proces
zpracování objektu zasad skupiny a vyhledávat tak příčiny případných chyb.
Základní informace o nástroji Group Policy Monitor
Nastroj Group Policy Monitor je tvořen třemi základními komponentami:
	Službou Group Policy Monitor Jedná se o službu, která musí být spuštěna na
každém počítači, z něhož chcete načítat data výsledných sad zásad.
	Konzolou Group Policy Monitor Grafické rozhraní umožňující administrátorovi
prohlížení protokolů výsledných sad zasad načtených z různých počítačů v síti.
xz
	Šablonou pro správu Group Policy Monitor Soubor, s jehož pomocí můžete
nakonfigurovat sdílenou složku na serveru, která bude využívána pro protoko-
lování dat načtených službou Group Policy Monitor na jednotlivých počítačích.
Po nakonfigurování nástroje Group Policy Monitor je možné vygenerovat report vý-
sledných sad zásad po každé aktualizaci objektů zásad skupin či jej generovat
v pravidelných časových intervalech. Toto chování je nastavitelné pomocí šablon
pro správu těch objektu zásad skupin, které monitorujete.
Příprava instalace nástroje Group Policy Monitor
S nástrojem Group Policy Monitor můžete začít pracovat až po dokončení jeho in-
stalace. Prvním krokem instalace je rpzbalení všech komponent ze souboru
Gpmonitor.exe, který je součástí sady U indows Server 2003 Resource Krt Tools. Při
samotné instalaci tedy postupujte takto:
1.	Nejprve vytvořte složku, do niž uložíte rozbalené komponenty nástroje Group
Policy Monitor.
2.	V okně příkazového řádku spustte příkaz gpmonitor.exe.
3.	Jaknuk budete dotázáni na umístění rozbalených souborů, klepněte na tlačítko
Procházet a pole přejděte do složky, kterou jste vytvořili v kroku 1.
Základní nástroje pro řešení problémů
611
4.	Po dokončení rozbalování najdete v určené složce tyto soubory:
	GPMoni tor. adm Soubor, obsahující šablonu pro správu
	GPMonitor.chm Soubor nápovědy
	GPMonitor.msi Balíček služby Windows Installer, který lze na jednotlivé po-
čítače distribuovat pomocí zásad skupiny
	GPMon.cab Soubor .cab, obsahující spustitelný soubor služby Group Policy
Monitor a konzoly Group Policy Monitor
Instalace služby Group Policy Monitor
na jednotlivé počítače a potřebná konfigurace
Nastroj Group Policy Monitor je dodáván ve formě souboru .msi proto, abyste jej
mohli instalovat na vzdálení.1 počítače pomocí funkce Instalace softwaru, která je
součástí zásad skupiny. Pokud se však rozhodnete instalovat nástroj Group Policy
Monitor pomocí této funkce, musíte do instalační složky nakopírovat i soubor
Gpmon.cab, neboť ten je využíván souborem .msi při dokončovaní instalace.
Nástroj Group Policy Monitor je samozřejmě možné instalovat i takto:
1.	Zkopírujte všechny soubory nezbytné pro instalaci na ten řadič domény, který
chcete monitorovat.
2.	Celou instalaci spusťte poklepáním na soubor Gpmoni tor .msi.
3.	Jakmile se objeví průvodce instalací, klepněte na tlačítko Next, v dalším dialogu
potvrefte souhlas s licenčním ujednáním a znovu klepněte na tlačítko Next
4.	Zobrazí se dialog požadující zadaní informaci o vaši firmě. Po dokončeni zadáni
klepněte na tlačítko Next.
5.	Zvolte Complete Installation a poté klepněte na Finish. Instalační program nainsta-
luje a pole i spustí službu Group Policy Monitor. Současně bude nainstalována
i konzola Group Policy Monitor, kterou poté najdete v nabídce Administrativě
Tools (Nástroje pro správu).
Po nainstalování služby na všechny cílové počítače musíte vytvořit nový objekt zasad
skupiny (či upravit nějaký stávající), vložit do něj soubor šablony Gpmoni tor. adm a ná-
sledně nakonfigurovat všechny volby týkající se monitorování. Při provádění těchto
kroků můžete postupovat takto:
1.	Otevřete si ten obiekt zásad skupiny, se kterým chcete pracoval. V uzlu User Con-
figuration (Konfigurace uživatele) klepněte pravým tlačítkem na Administrativě
Templates (Šablony pro správu) a z otevřené místní nabídky zvolte Add Remove
Snap-in (Přidat nebo odebrat šablony). System zobrazí přehled všech souborů
.adm, ktere jsou pravě načteny.
2.	Klepnulún na Add (Přidat) spusťte dialog Policy Templates (Šablony zasad). Dia-
log se standardně otevře ve složce %SystemRoot%\Inf, což je ta složka, ve které
jsou obvykle umístěny všechny nainstalované soubory šablon.
3.	Přejděte do te složky, do niž jste rozbalili instalační balíček služby Group Policy
Monitor. Poté vyberte soubor šablony Gpmoni tor. adm.
Řešení problémů
—	__I__	•
Kapitola 16 - Řešení problémů se zásadami skupin
Chcete-li načíst podrobné informace týkající se dané aktualizace zásad skupiny, pa^
pravým tlačítkem klepněte na vybranou aktualizaci a poté zvolte jednu ze dvou
možností: volba Generate RSoP Report umožňuje vytváření reportů HTML podob-
ných těm, které můžete vytvořit i v prostředí konzoly Group Policy Management
Console, zatímco volba Generate Detailed RSoP View slouží k zobrazení výsledků
dané aktualizace ve formátu odpovídajícímu podrobnému zobrazení v průvodci
Group Policy Results Wizard.
Hledání rozdílů mezi dvěma aktualizacemi
Další zajímavou možností konzoly Group Policy Monitor je zobrazení rozdílů mezi
dvěma aktualizacemi. Tohoto způsobů využijete zejména tehdy, budete-li potřebo-
vat zjistit, jak se výsledky zasad skupin ve dvou aktualizacích změnily. Při porovná-
vání výsledků dvou aktualizací postupujte takto:
1.	V kterémkoliv uzlu a kterémkoliv dotazu si vyberte jednu aktualizaci. Stiskněte
klávesu Ctrl a poté vyberte druhou aktualizaci.
2.	Pravým tlačítkem klepněte na obě vybrané aktualizace a z místní nabídky vyber-
te Show XML Diff.
3.	Spustí se nástroj WinDiff. ukazující ta místi v obou souborech, která se liší.
Z ukázky na obrázku 16.11 je zřejmé, že jeden soubor obsahuje nějaké nastavení,
které druhý soubor neobsahuje. To znamená, že nějaká zásada, která byla původně
buď povolena, nebo zakázána, byla před druhou aktualizací přenastavena do stavu
Nezkonfigurováno.
OBRÁZEK 16.10: Zobrazování reportů pomocí konzoly Group Policy Monitor
Protokolování zásad skupin
615
WinDííf
.=15 , xJ
0e Lek Egpand Qptlons Mar|$ Jje^
.\gpmon9aa40b93 0829 4329 8991_7ffa30419c81 .xml: .\gpmon_a9591 bí6_58c5_4e14_ba C:\DOCUME~1\AOK[ Óutline |
984
96b
966
967
968
969
971
972
973
974
975
976
977
978
979
980
981
,9H2
!>
!>
!>
•>
</q1:SecurityOptions>
</Extension>
<Nane xnlns-**http ://www.Microsoft .coM/GroupPolicy/Settings">Security<
</ExtensionData>
CExtensionData>
<Extension xnlns:q2-**http://www.nícrosoFt.com/GroupPolicy/Settings/RE
lq£:Policy> ____________________________________
<GPO XMlns»"http://www.Microsoft.con/GroupPolicy/Settings/Base**>
<Identifier XMlns«*’http://www. Microsoft.con/GroupPolicy/Types")
<Donain xnlns-"http://www.Microsoft.com/GroupPolicy/Types'*>cpar
</GPO>
<Precedence XNlns-*'http://www.Microsoft.coM/GroupPolicy/Settings/
<	q2:Hame>D^ not display Manage Vour Seruer page at logon</q2:Namf
<q2:State>Enabled</q2:State>
<	q2:Explain>Specifies wbether to turn "FF the autonatic display c
<	q2:Supported>At least Microsoft Windows Server 2O03</q2:Supportt
<q2:Category>System</q2:Category>
</q2:Policy>
<q2:Policy>
<	GPO xnlns-”http://www.nicrosoft.con/GroupPolicy/Setting5/Base**>
<ldentifier xnlns-' http://www.nicrosoft.con/Gi aupPolicy/Types'*>
<Donain xnlns-"http://www.Microsoft.con/GroupPolicy/Types**>cpar
</GPO>
<Precedence xmlns-"http://www.microsoft.com/GroupPolicy/Settings/
<	q2:Nane>Group Policy Honitor</q2:Nane>
<q2:State>Enabled</q2:State>
<	q2:Explain>This will allow you to control *GP Monitor Service* r
<	q2:Category>Group Policy Monitor</q2:Category>
<q2:EditText>
<q2:Nane>UNC path to the Share where Policylnfo is to be uploac
<o2:State>Enabled</ i2:State>

OBRÁZEK 16.11: Zobrazování rozdílů mezi dvěma aktualizacemi pomocí nástroje WinDiff
Řízení výmazu souborů protokolů
Chcete-li řídit výmaz souborů ukládaných službou Group Policy Monitor do vámi
zadané sdílené složky, pak z nabídky Filé zvolte Delete Refresh Info From GPMON
Share. Tato volba vám umožní výběr sdílené složky, zadání nazvu počítačů a počtu
aktualizací, které mají být zachovány. Například kdybyste ‘zadali, že mají být ucho-
vány poslední čtyři aktualizace, pak by systém automaticky vymazal všechny aktua-
lizace z vybraných počítačů, které byly do sdíleného adresáře uloženy dříve.
16.3 Protokolování zásad skupin
V předcházející části jsme si ukázali několik nástrojů, s jejichž pomocí si můžete zob-
razit informace o zásadách zpracovaných pro daný počítač či daného uživatele. Co
když ale tato data nepostačují k vyřešení vašeho problému? Je nutné říci, že v někte-
rých případech je odhalení problémů, souvisejících především se samotným zpraco-
váním zásad skupin či chodem rozšíření na straně klienta, velmi nesnadné. Pak je
nezbytné přistoupit ke hledání příčin v podrobných protokolech zásad skupin.
__fcašeniproblémů
V podstatě existují dvě třídy podrobných protokolů umožňující řešení problému se
zásadami skupin:
	Protokol aplikací daného počítače. Do tohoto protokolu jsou zapisovány veške-
ré události související se zásadami skupin.
	Textové soubory protokolů, generované různými komponentami infrastruktury
zásad skupiny.
Pokud se týká protokolu aplikací, události zásad skupiny jsou do něj zapisovány
automaticky. V případě některých textových souborů protokolů však platí, že nej-
616
Kapitola 16 - Řešení problémů se zásadami skupin
prve je musíte explicitně povolit a teprve poté můžete očekávat, že v nich najdete
nějaka data.
Protokol aplikaci muže byt dobrým východiskem této fáze procesu řešení problému
- je-li totiž povoleno podrobné protokolovaní, pak vám může nabídnout kvalitní
informace popisující krok za krokem, které části celeho cyklu zpracování proběhly
úspěšně a které nikoliv. Pokud ovšem ani protokol aplikací neobsahuje dostatek in-
formací či jeho infonnace* nevedou k řešení problému, pak musíte začít přemýšlet
o zkoumaní ještě podrobnějších textových souboru protokolu.
Na CD Na doprovodném CD najdete soubor Gpolog.adm, sjehož pomocí můžete povolit
všechny protokoly, o nichž budeme v této kapitole mluvit.
Tip Poměrně dobrou strategií, platnou pro veškere protokoly, o nichž sme v této kapitole
hovořili (a ještě budeme hovořit), je povolit podrobné protokolování pouze v případě řešení
problému. Po vyřešení problému je vhodné podrobné protokolování zase zakázat.
Protokol aplikací
Standardně platí, že po dokončení instalace systému Windows Server 2003 je do
protokolu aplikací zapisována celá řada událostí souvisejících se zpracováním zásad
skupiny. Přitom sc jedná iak o události vzniklé při samotném zpracovaní zásad
skupiny, tak i o události související s chodem rozšířeni na straně klienta, každý typ
události související se zásadami skupin ma jiný zdroj, závisející pravě na lom, zda
daná událost vznikla při samotném zpracovaní zásad skupin anebo při běhu r< >zsí-
ření na straně klienti.
Nastavení úrovně podrobností zapisovaných do protokolu aplikací
Prohlédnete-li si informace obsažené v událostech zásad skupin, pak zjistíte, že jsou
poměrně stručné. Pokud chcete, aby se do protokolu aplikací zapisovalo více
podrobnosti, pak musíte upravit několik klíčů registrů.
	Chcete-li povolit podrobné protokolovaní, pak do hodnoty RunDiagnostícLog-
gingGroupPol i cy, kterou najdete v klíči HKEY_LOCAL_MACH INEXSOFTWARE\Mi cro-
soft\Windows NT\Current Version\Diagnostics, vložte 0x00000001. Podrobné
protokolování bude spuštěno po restartů počítače.
	Zajímá-li vás podrobné protokolováni všech událostí zásad souvisejících s instala-
cemi softwaru, pak do hodnoty RunDiagnosticLoggingApplicatioriDeployment,
kterou najdete v klíči HKE Y_L0C AL_MACH IN E \ SOFTWARE\M i c r os o f t \ W i nd ows NT\
CurrentVersion\Diagnostics, vložte 0x00000001.
	Pokud požadujete podrobné protokolovaní všech události souvisejících se zpra-
cováním objektů zásad skupin (týkající se tedy jak událost samotného zpraco-
vání, tak i instalací softwaru), pak do hodnoty RunDiagnosticLoggingGlobal,
kterou najdete v klíči	HKEY_L0CAL_MACHINE\	S0FTWARE\Microsoft\Windows
NT\Current Version\Diagnostics, vložte 0x00000001.
Výše uvedené hodnoty do registru zapište (či - pokud jiz existuji - v registru uprav-
te) pomoci editoru registru. Provedením popsaných změn povolíte úplné protoko
Protokolování zásad skupin
617
lování zpracování zasad skupin, což znamená, že během každého cyklu /pracování
se do protokolu aplikací zapvše podstatně více informací. To ovšem také znamená,
že do protokolu aplikací bude zapisováno podstatně více událostí. Proto vám do-
poručujeme, abyste podrobné protokolovaní nastavili jenom v případě řešení pro-
blému se zpracováním zásad skupin.
Po povolení podrobného protokolování bude do protokolu aplikací zapisován kaž-
dý krok celého procesu zpracovaní zásad skupin, a to včetně informací o dalších
událostech, které se v průběhu zpracovaní vyskytly. Samozřejmě v protokolu najde-
te i základní události označující začátek a konec procesu zpracování. Mezi nimi pak
najdete události, v nichž uvidíte, co se děje při zpracování každého objektu zásad
skupiny pro daný počítač či daného uživatele a při následném volám souvisejících
rozšíření na straně klienta.
Události zásad skupin
Protokoly událostí lokálního či vzdáleného počítače si můžete otevřít těmito způsoby:
1. V nabídce Administrativě Tools (Nástroje pro správu) zvolte Computer Ma-
nagement (Správa počítače).
2. Chcete-li se připojit ke vzdálenému počítači, pak pravým tlačítkem klepněte na
uzel Computer Management (Správa počítače) a z místní nabídky zvolte Con-
nect to Another Computer (Připojit k jinému počítači).
3. Dále rozbalte Systém Tools (Systémové nástroje) a poté Event Viewer (Prohlížeč
událostí). V pravé části dialogu poklepejte na Applications (Aplikace).
V tabulce 16. j najdete piehled hlavních zdrojů událostí používaných při zpracování
zásad skupin. Každý zdroj událostí pak používá společné ID událostí, jimiž odkazu-
je na problémy vzniklé v dané fázi zpracování zasad skupin.
TABULKA 16.1: Zdroje události související se zpracováním zásad skupin
Zdroj události Popis	  _
Userenv	Události vztahující se k samotnému zpracování zásad skupin
(včetně šablon pro správu)	 
SceCli	Události související s chodem rozšíření Zabezpečení 
Appmgmt nebo Ap- Události související s chodem rozšíření Instalace softwaru
phcation Manager 
Userinit	Události související schodem rozšíření Skripty ________________
Folder Redirection Události související schodem rozšíření Přesměrování složky _
DiskQuota	Události související s chodem rozšíření Disk Quota 
Tabulka 16.2 obsahuje nejčastější ID událostí pro každý zdroj událostí. Uvedena II)
jsou převzata ze sady Group Policy Management Pack pro Microsoft Operations
Manager. Lze říci, že tato ID jsou obvykle příznakem nějakých problémů souvisejí-
cích s danou fází procesu zpracováni zasad skupin. V některých případech však ty-
to události mohou znamenat i úspěšné dokončení zpracování.
618
Kapitola 16 - Řešení problémů se zásadami skupin
TABULKA 16.2: ID událostí související se zpracováním zásad skupin
Zdroj události	ID události	Popis
Userenv	1003, 1036, 1037, 1038, 1040, 1041, 1085	Přinejmenším při chodu jednoho rozšíření na straně klienta vznikla nějaká chyba. Příslušná zásada nemohla být plně zpracována.
Userenv	1002, 1035, 1063, 1075, 1078, 1081, 1082, 1094, 1107	Zpracování zásad skupin nebylo úspěšné z důvodu nedostatku paměti či místa na disku.
Userenv	1099, 1100, 1101	Proces zpracovávající zásady skupiny nezískal přístup k požadovanému objektu služby Active Directory.
Userenv	1001, 1066, 1083, 1084, 1108	Zpracování zásad skupiny nebylo úspěšné z důvodu poškozeného souborového systému či poškozeného registru na klientském počítači. Knihovna DLL, nezbytná pro zpracování zásad skupin, buď není registrována, anebo je vyma- zána.
Userenv	1057, 1058, 1059, 1060, 1064, 1072, 1077	Zpracování zásad skupin nebylo úspěšné, neboť příslušný objekt zásad skupiny byl poškozen.
Userenv	1065, 1104, 1106	Proces zpracovávající zásady skupiny nebyl schopen kontaktovat službu WMI a použít po- žadovaný filtr WMI anebo se mu nepodařilo tento filtr, přiřazený objektu zásad skupiny, na- jít.
Userenv	1052, 1097	Zpracování zásad skupin nebylo úspěšné, neboť účet počítače v doméně buďchybí, anebo je poškozen.
Userenv	1088	Zpracování zásad skupin nebylo úspěšné, neboť pro daný počítač či uživatele bylo použito příliš mnoho objektu zásad skupin. Maximální počet objektů zásad skupin, který smí být použit na jeden počítač či na jednoho uživatele, je 1000^
Userenv	1089, 1090, 1091, 1095	Zásady skupiny byly možná úspěšně zpracová- ny, ale nebylo možné zapsat informace výsled-
ných sad zásad. Tento stav může být způsoben
nějakými problémy se službou WMI.
Protokolování zásad skupin
619
Zdroj událost;	ID události	Popis
Userenv	1005, 1006, 1008, 1053, 1054, 1055, 1056, 1079, 1080, 1105, 1110	Zpracování zásad skupin nebylo úspěšné v důsledku nějakých chyb připojení k síti.
DiskQuota	1,2, 3, 4, 5, 6, 7,8	Rozšíření Disk Quota nemohlo na nějakém svazku použít kvótu.
Folder Redi- rection	401	Běh rozšíření Přesměrování složky byl úspěšně dokončen.
Folder Redi- rection	101, 102, 103, 104, 106, 107, 108, 109, 110, 111, 112	Rozšíření Přesměrování složky neproběhlo úspěšně a sloŽKy nejsou přesměrovány tak, jak by měly být.
Folder Redi- rection	301	Rozšíření Přesměrování složky odložilo přesmě- rování uživatelských složek až na další přihlá- šeni, neboť je povolena optimalizace rychlého přihlášení k systému Windows XP.
Userenv	1019, 1020, 1022, 1043, 1096	Rozšíření Šablony pro správu nemohlo použít nějakou zásadu registru, neboť soubor Registry.pol byl poškozen, nebyl vůbec nale- zen anebo se k němu nepodařilo získat přístup. Další možnosti je, že se nepodařilo zapsat po- třebná data do registru.
Userinit	1000, 1001	Rozšíření Skripty nedokázalo spustit požadova- ný skript. Je možné, že skript nebyl přístupný anebo platný.
SceCli	1704, 1705	Rozšíření Zabezpečení úspěšně zpracovalo zá- sady.		
SceCli	1202	Rozšířeni Zabezpečení možná neproběhlo úspěšně, neboť nebylo schopno přeložit účet zabezpečení uvedený v zásadě zabezpečení na platný SID nějakého účtu v aoméně.	
SceCii	1001, 1005	Rozšíření Zabezpečení nemohlo úspěšně použít zásadu zabezpečení. Tato chyba nastává obvyk- le tehdy, není-li počítač schopen načíst zásady související se zabezpečením ze šablony zásad skupiny příslušného objektu.
620
Kapitola 16 - Řešení problémů se zásadami skupin
Zdroj události	ID události	Popis
Application Management	201, 202, 203	Rozšíření Instalace softwaru úspěšně zpracoval lo zásady, avšak v průběhu jeho chodu se vy- skytla nějaká upozornění vyžadující vaši pozornost.
Application Management	204	Rozšíření Instalace softwaru sice proběhlo úspěšně, avšak nepodařilo se zapsat data vý- sledné sady zásad.
Application Management	101, 102, 103, 104, 105, 106, 107, 108, 109, 110, 150	Rozšíření Instalace softwaru nezpracovalo zá- sady úspěšně. V průběhu některé instalace, de- instalace, reinstalace či aktualizace se vyskytla chyba.
Application Management	301,302, 303, 304, 305, 306, 307, 308	Rozšíření Instalace softwaru úspěšně zpracova- lo zasady.
Řízení protokolování do souboru Userenv.log
Pravdc podobně ňejpódrobnČjším souborem protokolu s informacemi o zpracování
zasad skupin je Userenv.lcg. Soubor se nachází ve složce %Windi r£\debug\usermode
a protokolovaní do ne j je standardně povoleno. Díky informacím z tohoto souboru
můžete velmi často zjistit, ve ktere fázi zpracováni zásad skupin se vyskytla nějaká
chyba. V některých případech však budete muset při hledaní příčin nějakého problé-
mu hledat ještě podrobnější informace, a to v souborech protokolu jednotlivých rozší-
řeni na straně klienta. V této souvislosti je nutné uvést, že možnost podrobného
protokolováni nabízí jenom některá rozšíření.
Konfigurace úrovně protokolovaní do souboru Userenv.log
Podobně jako u protokolu aplikací i v případě protokolu Userenv.log platí, že in-
formace, které jsou do něj standardně zapisovány, jsou poměrně stručné. Chcete-li,
aby se do tohoto protokolu zapisovalo více informací, pak musíte upravit hodnotu
registru UserEnvDebugLevel, nacházející se v klíči HKEY_LOCAL_ MACHINE\SOFTWARE\
Microsoft\Windows NT\CurrentVersion\ Winlogon.
Uvedenou hodnotu můžete do registru přidat pomocí Editoru registru; pokud již
v registru existuje, pak ji pomocí tohoto nástroje můžete upravit. Platí, že do hod-
noty UserEnvDebugLevel smíte vložit následující hodnoty (či jejich kombinace):
	0x00000000 - žádné protokolování
	0x00000001 - normální protokolování
	0x00000002 - podrobné protokolování
	0x00010000 - použití souboru protokolu
	0x00020000 - režim ladění
Vložením hodnoty 0x0000000 do UserEnvDebugLevel lze vypnout veškeré protoko-
lování do souboru Userenv.log. Standardním režimem protokolování je normální
protokolování s použitím souboru protokolu, což odpovídá hodnotě 0x00010001.
Protokolování zásad skupin 621
Pokud byste tedy chtěli použil podrobné protokolování s použitím souboru proto-
kolu, pak byste musel, zkombinovat hodnotu znamenající podrobné protokolovaní
(0x00000002) s hodnotou znamenající použit souboru protokolu (0x00010000). Vý-
sledkem by byla hodnota 0x00010002.
Poznámka V protokolu Userenv.log najdete jak informace týkající se zpracování zásad
skupiny, tak i informace týkající se uživatelských profilů. Při práci s tímto protokolem tedy
musíte počítat s tím, že nejprve si budete muset vybrat jenom ty události, které mají nějaký
vztah ke zpracování zásad skupin.
Práce s protokoly Userenv.log
Základní podmínkou pro to, aby vám informace z protokolu Userenv.log přinášely
nějaký užitek, je alespoň základní znalost jeho struktury a formátu. Platí, že každý řá-
dek představuje nějakou událost, která vznikla při zpracování zásad skupiny. Napří-
klad následující řádek obvykle najdete na začátku každého cyklu zpracování zásad
skupin. (V uvedencmi příkladu se jedná o aktualizaci zásad, spuštěnou na pozadí.)
USERENVÍ 2c0.13c ) 21:07:48:573 ProcessGPOs:
Starting user Group Policy ( Background ) Processing...
Jak vidíte, každý řádek začíná řetězcem USERENV. Číslo v závorkách, které za ním
následuje (v našem případe 2c0.13c), určuje ID procesu a vlákna přidělena danému
kroku celého cyklu. Ve většině případů ID procesu odpovídá ID procesu V -nlo-
gon, pod nimž je zpracování zásad skupiny Spouštěno. V záznamu události dále vi-
díte čas (21:07:18:573), kdy byla daná událost zapsána do protokolu. Návěští
události ProcessGPOs obvykle určuje název aplikačního programového rozhraní,
které bylo voláno. Za ním následuje popis samotné události, přičemž v uvedeném
případě je zřejmé, že se jedná o spuštění procesu zpracovaní zásad uživatele.
Tip Jak vidíte, datum není součástí zápisu událostí do protokolu Userenv. 1 og. Platí však, že
novější události jsou vždy připojovaný na konec souboru. Po spuštění zpracování zásad sku-
pin na pozadí (především pak v případě spuštění příkazem gpupdate) probíhá zpracování
zásad uživatele i počítače současně. Může se tedy stát, že ihned za výše uvedenou udáiostí
označující začátek zpracováni zasad uživatele uvidíte v podstatě totožnou událost identifi-
kující začátek zpracování zásad počítače. To, zda se následující událost tyká zpracování za-
sad uživatele nebo zpracování zasad počítače, poznáte pouze podle ID vlákna: zpracování
zasad uživatele i počítače má sice stejné ID procesu, ale vždy rozdílné ID vlákna.
Pnm události následující za zprávou označující začátek zpracování cyklu zásad
skupiny se obvykle týkají testu rychlosti připojení. V průběhu tohoto testu jsou pří-
kazem ping odeslaný tri žádosti o odezvu na ten řadič domény, ze kterého si ma
daný počítač načíst zasady skupiňy. V protokolu Userenv.log se tento test projeví
následtijícím způsobem:
USERENVÍ 4c0.378 ) 16:23:50:792 PingComputer: Adapter speed 11000000 bps
USERENVÍ 4c0.378 ) 16:23:50:962 PingComputer: First time: 129
USERENVÍ 4c0.378 ) 16:23:51:122 PingComputer: Second time: 141
USERENVÍ 4c0.378 ) 16:23:51:302 PingComputer: First time: 175
USERENVÍ 4c0.378 ) 16:23:51:443 PingComputer: Second time: 131
USERENVÍ 4c0.378 ) 16:23:51:443 PingComputer: Second time less than first
Kapitola 16 - Řešení problémů se zásadami skupin
time.
USERENVÍ 4c0.378 ) 16:23:51:543 PingComputer: First time: 96
USERENVÍ 4c0.378 ) 16:23:51:683 PingComputer: Second time: 135
USERENV( 4c0.378 ) 16:23:51:683 PingComputer: Transfer rate: 1280 Kbps
Loop count: 2
Uvedena přenosová rychlost je vypočítána ze skutečné odezvy a následné je po-
rovnána s hranicí pomalého připojení. Pokud systém tímto způsobem zjistí, že při-
pojení je pomalé, změní chování některých rozšíření na straně klienta.
Dalším úkolem po testu rychlosti připojení je vyhledaní těch objektu zásad skupin,
které platí pro daný počítač či uživatele. Tyto informace se načítají ze služby Active
Directory a příslušné události vypadají v protokolu Userenv. 1 og takto:
USERENVÍ 2c0.13c ) 21:07:52:372 SearchDSObject:
Searching <DC=cpandl, DC=com>
USERENVÍ 2c0.13c ) 21:07:52:372 SearchDSObject: Found GP0( s ):
<[ LDAP://CN={31B2F340-
016D-11D2-945F-00C04FB984F9}, CN=Policies, CN=System, DC=cpandl,
DC=com;0 ]>
První událost tohoto výpisu říká, že je prohledávána cela doména (nikoliv síť či or-
ganizační jednotka). Z následující události pak vyplývá, že v doméně byl nalezen
odkaz na objekt zásad skupiny. Vracena je pak cesta k příslušnému kontejneru
služby Active Directory.
Jakmile se podaří nalézt všechny objekty zásad skupin týkající se daného počítače
či uživatele, je nutné určit, zda počítač i uživatel ma k těmto objektům přístup (na-
příklad zda objekt zásad skupiny není filtrován nějakými skupinami zabezpečení,
aby se zabránilo jeho zpracování). Ukázku tohoto kroku z protokolu Userenv.log
vidíte níže:
USERENVÍ 2c0.13c ) 21:07:52:452 ProcessGPO:
Searching <CN={31B2F340-016D-llD2-945F-
00C04FB984F9}, CN=Policies, CN=System, DC=cpandl, DC=com>
USERENV( 2c0.13c ) 21:07:52:452 ProcessGPO: User has access to this GPO.
USERENVÍ 2c0.13c ) 21:07:52:452 ProcessGPO: GPO passes the fiIter check.
Po vyhledání všech objektů zásad skupin je prozkoumán kontejner každého nale-
zeného objektu. Cílem je zjistit jeho popisný název, verzi, jakákoliv případná návěš-
tí (například zda je zakázán celý objekt zásad skupiny či jen jeho část) a veškera
rozšíření na straně klienta, která jsou daným objektem použita. Příslušné události
vypadají v protokolu Userenv.log takto:
USERENVÍ 2c0.13c ) 21:07:52:622 ProcessGPO:
Found common name of: <{31B2F340-0160-11D2-945F-00C04FB984F9}>
USERENVÍ 2c0.13c ) 21:07:52:622 ProcessGPO:
Found display name of: <Default Domain Policy>
USERENVÍ 2c0.13c ) 21:07:52:622 ProcessGPO:
Found user version of: GPC is 7, GPT is 7
USERENVÍ 2c0.13c ) 21:07:52:622 ProcessGPO: Found flags of: 0
USERENVÍ 2c0.13c ) 21:07:52:622 ProcessGPO:
Found extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}
{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Protokolování zásad skupin
623
[{C6DC5466-785A-11D2-84D0-00C04FB169F7}
{BACF5C8A-A3C7-11D1-A760 00C04FB9603F} ]
V události Found extensions vidíte seznam GUID všech rozšíření na straně klienta,
která jsou daným objektem zasad skupiny používána. Načtena GUID jsou pak
v procesu zpracovaní objektu využita k volání jednotlivých rozšíření. Poté je každé
rozšířeni spuštěno, přičemž jeho úkolem je zpracování příslušné části zásad. Na ná-
sledujícím radku vidíte, jak se v protokolu Userenv.log projeví spuštění rozšíření
Administrativě Templates (Šablony pro správu):
USERENVÍ 2c0.13c ) 21:07:52:783 ProcessGPOs: Processirg extension Registry
První, co uvedené rozšíření po svém spuštění provede, je výmaz všech stávajících
hodnot zásad. Díky tomu je možné použit všechny zásady, obsažené ve zpracováva-
ném objektu, znovu. Celý výmaz popisují následující řádky protokolu Userenv. 1 og:
USERENVÍ 2c0.13c ) 21:07:52:813 DeleteRegistryVal ue:
Deleted Software\Policies\Microsoft\ Conferencing\Use AutoConfig
USERENVÍ 2c0.13c ) 21:07:52:823 DeleteRegistryValue:
Deleted Software\Poli ci es\Mi crosoft\ Conferencing\ConfigFile
Z uvedeného příkladu je patrné, že pro daného uživatele byly použity pouze dvě
zásady, a tudíž pouze dvě zásady musí být vymazány. Po jejich výmazu jsou zpra-
covány všechny zásady registru obsažené ve všech objektech zásad skupin plat-
ných pro daného uživatele:
USERENVÍ 2c0.13c ) 21:07:52:823 ParseRegistryFi1e:
Entering with <C:\WIND0WS\System32\GroupPolicy\User\registry.pol>.
USERENVÍ 2c0.13c ) 21:07:52:823 SetRegistryValue:
Use AutoConfig => 1 [ OK ]
USERENVÍ 2c0.13c ) 21:07:52:823 SetRegistryValue: ConfigFile => [ OK ]
USERENVÍ 2c0.13c ) 21:07:52:823 ParseRegistryFi1e: Leaving.
První řádek naznačuje, že rozšíření Administrativě Templates načítá z lokálního
souboru Registry.pol nastavení zásad registru. Následují dva řádky události
SetRegistryValue, obsahující informaci o tom, které hodnoty registru jsou na zá-
kladě souboru Registry.pol nastavovány. Jak ale vidíte, z protokolu Userenv.log
nezjistíte klíče registru, v nichž jsou tyto hodnoty umístěny. Poslední řádek pak ří-
ká, že zpracování zásad registru bylo dokončeno. Po skončení chodu tohoto rozší-
řeni jsou postupně volána další rozšíření zapisující svoje události do protokolu
Userenv.log. Přitom platí, že pokud nějaké rozšíření po svém spuštění zjistí, že se
daná část objektu zásad skupiny od doby posledního zpracován’ nezměnila a že
žádný objekt zásad skupiny nebyl vymazán, pak jednoduše skončí a předá řízení
dalšímu řízení. Ukázku příslušných událostí z protokolu Userenv.log vidíte níže:
USERENV( 2c0.13c ) 21:07:52:953 ProcessGPOs: Processing extension Scripts
USERENVÍ 2c0.13c ) 21:07:52:953 CompareGPOLists: The lists are the same.
USERENVÍ 2c0.13c ) 21:07:52:953 CheckGPOs:
No GPO changes but couldn't read extension Scripts's status or policy time.
USERENV( 2c0.13c ) 21:07:52:953 ProcessGPOs:
Extension Scripts skipped because both deleted and changed GPO lists are
empty.
Řešení problémů
624
Kapitola 16 - Řešení problémů se zásadami skupin
Z tohoto výpisu je zřejmé, že bylo spuštěno rozšířen Scripts (Skripty). Jak ale vy-
plývá z posledního řádku, jelikož nebyly nalezeny žádné změněné nebo vymazané
objekty z^sad skupin, byl chod rozšnení ukončen.
Každé spuštěné rozšíření na straně klienta zapisuje do protokolu Userenv.log po-
měrně podrobné informace. I presto lze říci, že některá rozšíření zapisují do tohoto
protokolu užitečnější informace než jiná. Proto si v následující části řekneme, jakým
způsobem se dá povolil protokolovaní určitých informací specifických jen pro kon-
krétní rozšířeni, Této možnosti využijete zejména tehdy, nebudou-li vám standardní
informace z protokolu Userenv.log postačovat. Po skončeni zpracovaní zásad sku-
pin se v protokolu Userenv.log objeví následující události:
USERENVÍ 2c0.13c ) 21:07:53:053 ProcessGPOs:
User Group Policy has been applied.
USERENVÍ 2c0.13c ) 21:07:53:053 ProcessGPOs: Leaving with 1.
USERENVÍ 2c0.13c ) 21:07:53:053 GPOThread:
Next refresh wi11 happen in 107 minutes
Z uvedeného výpisu vyplývá, že cyklus zpracování zásad skupin byl dokončen
a k dalšímu zpracování na pozadí dojde za 107 minut.
Řízení úrovně protokolování jednotlivých rozšíření
na straně klienta
Potřebujete-li pro řešení svých problému získat podrobnější informace, můžete
u některých rozšíření zapnout zapiš do jejich vlastních protokolů. V těchto protoko-
lech pak najdete informace týkající se správy aplikací a instalací softwaru.
Povolení protokolování ladících informací služby Windows Installer
Zapiš podrobných ladících informací služby Windows Installer můžete povolit úpra-
vou hodnoty registru AppmgmtDebugLevel, nacházející se v klíči HKEY_L0CAL_MACHINE\
S0FTWARE\ Microsoft\Windows NT\CurrentVersion\Diagnostics. Uvedenou hodnotu
můžete do registru vložit pomocí editoru registru; pokud již v registru existuje, mů-
žete ji pomocí tohoto nástroje upravit. Poklepejte na hodnotu registru a zapište do
ní hodnotu 0x0000004b.
Po uložení této hodnoty se ve složce %WindirX\debug\usermode vytvoří další soubor
protokolu, nazvaný Appmgmt.log. Do něj budou zapisovány veškeré události týkající
se zásad souvisejících s instalacemi softwaru. Níže následuje ukázka tohoto proto-
kolu, zachycující chybu vzniklou při pokusu o instalaci programu Microsoft Visi o
Professional 2003:
Assigning application Microsoft Office Visio Professional 2003 from policy
Vislo Deployment. Application Microsoft Office Visio Professional 2003 from
policy Visio Deployment is configured to remove any unmanaged install
before being assigned. Calling the Windows Installer to advertise
application Microsoft Office Visio Professional 2003 from seript
C:\WIND0WS\system32\appmgmt\S-l-5-21-817735531-4269160403-1409475253-
1107\{32cb86da-f34c - 4074 - 9855-d86a2c689d64}.a as with flags 61.
The assignment of application Microsoft Office Visio Professional 2003 from
policy Visio Deployment succeeded. Calling the Windows Installer to install
application Microsoft Office Visio Professional 2003 from policy Visio
Protokolování zásad skupin
625
Deployment.
The install of application Microsoft Office Visio Professional 2003 from
policy Visio Deployment failed. The error was: %1612
Removing application Microsoft Office Visio Professional 2003 from the
software installation database.
Calling Windows Installer to remove application advertisement for
application Microsoft Office Visio Professional 2003 from script
C:\WINDOWS\system32\appmgmt\S-l-5-21-817735531-4269160403-1409475253-
1107X{32cb86da-f34c-4074 - 9855-d86a2c689d64}.aas.
The removal of the assignment of application Microsoft Office Visio
Professional 2003 from policy Visio Deployment succeeded.
Policy Logging for Software Management is attempting to log application
Microsoft Office Visio Professional 2003 from policy Visio Deployment.
Failed to apply changes to software installation settings. Software changes
could not be applied. A previous log entry with details should exist. The
error was: %1612
Software installation extension returning with finál error code 1612.
Z výpisu je zřejmé, že se služba Windows Installer pokouší o instalaci programu
Visio na základě zásady instalace softwaru. Služba nejprve kontroluje systém, zda
není nutné odinstalovat nějakou starší, neřízenou instalaci programu Visio. Poté
služba Windows Installer spouští skript přiřazení aplikace (soubor typu .aas), do-
časně uložený do složky C:\WIND0WS\system32\appmgmt\S-l-5-21-817735531-
4269160403-1409475253-1107. Název SID na konci názvu této složky naznačuje, že
se jedná o instalaci pro uživatele.
Skript přirazeni aplikace sice proběhne v pořádku, avšak když se služba Windows
Installer pokusí o samotnou instalaci programu Visio, skonči tato s chybou 1612.
Z uvedené chyby služby Windows Installer vyplývá, že zdrojový soubor .msi bud
není dostupný, nebo není přístupný (daný uživatel například nemusí mít oprávnění
ke čtení souboru z dané sdílené složky). Proto služba Windows Installer odstraní
veškerá přiřazení aplikace, která na základě souboru .aas provedla, a na závěr vrátí
chybové hlášení 1612.
Soubor Appmgmt.log může být vhodný pri hledání zřejmých chyb, jejichž příkladem
muže být chyba výše popsaná, kdy uživatel neměl dostatečná oprávnění ke čtení
instalačního balíčku. V mnoha jiných případech se však může stát, že ani ze soubo-
ru Appmgmt.log nebudete schopni vyčíst natolik podrobné informace, abyste doká-
zali úspěšné vyřešit problém. V takovém případě je nejlepšim postupem použiti
protokolování služby Windows Installer: v příslušném protokolu totiž najdete
všechny kroky, které služba během spuštěné instalace prováděla.
Řešení problémů
Protokolování služby Windows Installer je standardně povoleno, nicméně standardní
úroveň podrobností nemusí být pro vás postačující. V takovém případě můžete upra-
vit nastaveni zásady Logging (Protokolování), kterou najdete v uzlu Computer Confi-
gurationXAdministrative TemplatesW indows ComponentsXWindows Installer
(Konfigurace počítačeX Šablony pro správuX Součásti systému XX indowsXWindows In-
staller). Vybrat si můžete z několika úrovni protokolování; chcete-li zapnout úplné
protokolováni, pak do příslušného pole zadejte volbu iweaprucmvo (viz obr. 16.12).
Je-li protokolování služby Windows Installer povoleno, jsou příslušné protokoly zapi-
sovány do dočasné složky. Přitom standardně se jedná o složku XWindi rXXtemp. Jed-
626
Kapitola 16 - Řešení problémů se zásadami skupin
notlivým souborům protokolu je přiřazen jedinečný název, začínající vždy řetězcem
MSI (například MSIla77f.log). Níže vidíte ukázku tohoto protokolu, z níž je zřejmé,
jakou úroveň podrobnosti z něj můžete vyčíst. lak vidíte, do protokolu je zapsán
každý krok celého procesu instalace:
=== Verbose logging started: 1/30/2005 8:40:05
Build type: SHIP UNICODE 3.00.3790.2180 Calling process:
\??\C:\WIND0WS\system32\winlogon.exe ===
MSI ( c ) ( BC:74 ) [ 08:40:05:338 ]: User policy value 'DisableRol1back'
is 0
MSI ( c ) ( BC:74 ) [ 08:40:05:338 ]: Machine policy value
'DisableRol1back' is 0
MSI ( c ) ( BC:74 ) [ 08:40:05:348 ]: Executing op: Headerí
Signature=l397708873,
Version=301, Timestamp=842940553, LangId=1033, Platform=0, ScriptType=3,
ScriptMajorVersion=21, ScriptMinorVersion=4, ScriptAttributes=0 )
MSI ( c ) ( BC:74 ) [ 08:40:05:348 ]: Executing op: ProductInfo!
ProductKey={90510409-6000-11D3-8CFE-0150048383C9}, ProductName=Mi crosoft
Office Visio Professional 2003, PackageName=VISPR0.MSI, Language=1033,
Version=184552592, Assignment=l, 0bsoleteArg=0, Productlcon=misc.exe,6,
PackageMediaPath=\ENGLISH\0FFICE_SYSTEM\VISI02003\, PackageCode={0C7A8254-
2463-495BBA6A-AD74E3A5FEF1}, InstanceType=0, LUASetting=0 )
MSI ( c ) ( BC:74 ) [ 08:40:05:348 ]: SHELL32::SHGetFolderPath returned:
C:\Documents and Settings\debbiec\Application Data
MSI ( c ) ( BC:74 ) [ 08:40:05:348 ]: Executing op: Dialoglnfo! Type=0,
Argument=1033 )
MSI ( c ) ( BC:74 ) [ 08:40:05:348 ]: Executing op: Dialoglnfoí Type=l,
Argument=Microsoft Office Visio Professional 2003 )
MSI ( c ) ( BC:74 ) [ 08:40:05:348 ]: Executing op: Rol 1 backlnfo!,
Rol 1backAction=Rol1back, Rol 1 backDescription=Rol1ing back installation,
Rol 1backTemplate=[ 1 ], CleanupAction=RolIbackCleanup,
CleanupDescription=Removing backup files, CleanupTemplate=File: [ 1 ])
MSI ( c ) ( BC:74 ) [ 08:40:05:358 ]: Executing op: ActionStart!
Name=MsiPublishAssemblies, Description=Publishing assembly information,
Template=Application Context:[ 1 ],
Assembly Name:[ 2 ])
MSI ( c ) ( BC:74 ) [ 08:40:05:358 ]: Executing op: AssemblyPublish(
Feature=Forms_PIA, Component={835AC3CE-E36B-4D65-B50F-2863A682ABEE},
AssemblyType=l, AssemblyName=Microsoft.Vbe.Interop.Forms,
Version="l1.0.0.0000", Cul ture="neutrál",
PublicKeyToken="71e9bcellle9429c", Fi1eVerš ion="11.0.5530.0",)
Máte-li alespoň hrubou představu o tom, jak by instalace měla probíhat, a rozumíte-li
obsahu protokolu, pak taková úroveň podrobnosti by již měla býl dostačující
k řešení veškerých problému souvisejících s instalací. Budete-li poté chtít zakázat
zapisování příliš mnoha informací do protokolu, pak stačí upravit zásadu Adminis-
trativě Templates (Šablony pro správu), definující nastavení protokolování služby
Windows Installer.
Protokolování zásad skupin
627
OBRÁZEK 16.12: Povolení podrobného protokolování služby Windows Installer pomocí zásady
Šablony pro správu
Povolení protokolování ladících informací zásady Přesměrování složky
Podrobné protokolování ladících informací zásady Folder Redirection (Přesměrování
složky) lze nastavit změnou hodnoty FdeployDebug Level, nacházející se v klíči registru
HKEY-LOCAL—MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics.
Uvedenou hodnotu můžete do registru přidat pomocí Editoru registru; pokud již v re-
gistru existuje, můžete ji pomocí téhož nástroje upravit. Chcete-li povolit podrobné
protokolování, pak do hodnoty FdeployDebugLevel zapište hodnotu OxOOOOOOOF;
chcete-li naopak protokolovaní zakázat, pak použijte hodnotu 0x00000000.
Je-li protokolování ladících infonnací zásady Folder Redirection povoleno, jsou pří-
slušné události zapisovaný do souboru protokolu %Wi ndi r%\Debug\UserMode\
fdeploy.log, a to při každém zpracováni zasady Folder Redirection. Protokol, který
takto získáte, se bude podobat následující ukázce:
09:25:21:984 Entering folder redirection extension
09:25:21:984 Flags = 0x0
09:25:22:024 Group Policy Object name = {0E35E0EC-FD6D-4CEF-9267-
6EDB00694026}
09:25:22:024 Filé systém path =
\\cpandl.com\SysVol\cpandl,com\Policies\{0E35E0ECFD6D-4CEF-9267-
6EDB00694026}\User
09:25:22:024 Directory path = LDAP://CN=llser, cn={0E35E0EC-FD6D-4CEF-9267-
6EDB006940261, cn=policies, cn=system, DOcpandl, DOcom
09:25:22:024 Display name = Marketing Folder Redirection Policy
09:25:22:044 Found folder redirection settings for policy Marketing Folder
Redirection Policy.
09:25:22:084 The user was found to be a member of the group s-1-1-0.
The corresponding path was \\%H0MESHARE%%H0MEPATH%.
09:25:22:084 Successfully obtained redirection data for My Documents,
( Flags: 0x31 ).
09:25:22:084 Successfully obtained redirection data for My Pictures,
( Flags: 0x2 ).
09:25:22:084 Querying the DS for user debbiec's home directory.
628
Kapitola 16 - Řešení problémů se zásadami skupin
09:25:22:334 Obtained home directory: \\corpsvr01\home\debbiec.
09:25:22:344 Homedir redirection path XHOMESHAREHHOMEPATH% expanded to
Wcorpsvr01\home\debbiec.
09:25:22:344 Successfully gathered folder redirection settings for policy
Marketing Folder Redirection Policy.
09:25:22:344 Homedir redirection path %HOMESHAREHHOMEPATO expanded to
\\corpsvr01\home\debbiec.
09:25:22:344 Redirecting folder My Documents to TOHOMESHAREUHOMEPATO.
09:25:42:453 Previous folder path C:\Documents and Settings\debbiec\My
Documents
expanded to C:\Documents and Settings\debbiec\My Documents.
09:25:42:453 New folder path \\%H0MESHARE%%H0MEPATH% expanded to
Wcorpsvr01\home\debbiec.
09:25:42:513 Contents of redirected folder My Documents will be copied to
the new location.
09:25:43:304 Homedir redirection path % HOME SH AREHH0M EPATH%\My Pictures
expanded to Wcorpsvr01\home\debbiec\My Pictures.
09:25:43:304 Redirecting folder My Pictures to \\%H0MESHAREXXHOMEDATH%\My
Pictures.
09:25:43:415 Previous folder path C:\Documents and Settings\debbiec\My
Documents\My Pictures expanded to C:\Documents and Settings\debbiec\My
Documents\My Pictures.
09:25:43:415 New folder path \\%HOMESHARE%%HOMEPATH%\My Pictures expanded
to Wcorpsvr01\home\debbiec\My Pictures.
09:25:43:595 Contents of redirected folder My Pictures will be copied to
the new location.
09:25:44:025 Previous contents of folder My Pictures at C:\Documents and
Settings\debbiec\My Documents\My Pictures will be deleted.
09:25:44:086 Successfully redirected folder My Pictures.
The folder was redirected from <C:\Documents and Settings\debbiec\My
Documents\My Pictures> to <Wcorpsvr01\home\debbiec\My Pictures>.
09:25:44:086 Previous contents of folder My Documents at C:\Documents and
Settings\debbiec\My Documents will be deleted.
09:25:44:236 Successfully redirected folder My Documents.
The folder was redirected from <C:\Documents and Settings\debbiec\My
Documents> to <Wcorpsvr01\home\debbi ec>.
09:25:44:236 Disabling permission for user redirection of My Documents.
09:25:44:336 Successfully updated the shortcut to My Pictures in
<Wcorpsvr01\home\debbiec>.
Z výpisu jasně vyplývá, že zpracování zásad Folder Redirection (Přesměrovaní složky)
je protokolováno od počátku až do konce. V našem příkladu se uživatelka debbie při-
hlásila ke svému počítači poprvé a její složky Documents a MyPictures (Dokumenty
a Obrázky) budou přesměrovány na domovský adresář, nacházející se na sdíleném sí-
ťovém disku. Rozšíření Folder Redirection začína svůj chod tím, že najde cesty7 k tomu
kontejneru zásad skupiny a té šabloně zásad skupiny, obsahujícím daný objekt zásac
skupiny. Poté rozšíření zjistí, že uživatelka je členem skupiny Everyone (SID S -1 -1 ‘
a proto její složky mají byt přesměrovány do %H0MESHAREHH0MEPATO. V dalším kroku
rozšíření ze služby Active Directory načte informaci o domovském adresáři uživatelky
a pak přesměruje složky Dokumenty a Obrázky z lokálního prof ilu na sdílený disk.
Protokolovaní zásad skupin
629
V dalším příkladu neúspěšného zpracování zásad Folder Redirection můžete využít
soubor fdeploy.log k vyhledání příčiny. Následující vypiš ukazuje, jak by wpadal
protokol fdeploy.log v případě neúspěšného přesměrování pro uživatele joew.
09:38:44:609 Entering folder redirection extension
09:38:44:609 Flags = 0x0
09:38:44:649 Group Policy Object name = {0E35E0EC-FD6D-4CEF-9267-
6EDB00694026}
09:38:44:659 Filé systém path =
Wcpandl.com\SysVol\cpandl.com\Policies\{0E35E0ECFD6D-4CEF-9267-
6EDB00694026}\User
09:38:44:659 Directory path = LDAP://CN=User, cn={0E35E0EC-FD6D-4CEF-9267-
6EDB00694026}, cn=policies, cn=system, DC=cpandl, DC=com
09:38:44:659 Display name = Marketing Folder Redirection Policy
09:38:44:679 Found folder redirection settings for policy Marketing Folder
Redirection Policy.
09:38:44:769 The user was found to be a member of the group s-1-1-0. The
corresponding path was \\%HOMESHARE%%HOMEPATH%.
09:38:44:769 Successfully obtained redirection data for My Documents,
( Flags: 0x31 ).
09:38:44:769 Successfully obtained redirection data for My Pictures,
( Flags: 0x2 ).
09:38:44:769 Querying the DS for user joew's home directory.
09:38:45:019 Obtained home directory :.
09:38:45:019 Homedir redirection path %H0MESHAREHH0MEPATH% expanded to.
09:38:45:019 Successfully gathered folder redirection settings for policy
Marketing Folder Redirection Policy.
09:38:45:029 Homedir redirection path %H0MESHARE%%H0MEPATH% expanded to.
09:38:45:029 Redírecting folder My Documents to \\%H0MESHAREHH0MEPATHX.
09:38:45:039 Failed to perform redirection of folder My Documents.
The full source path was <C:\Documents and Settings\joew\My Documents>.
The full destination path was O.
At least one of the shares on which these paths is currently offline.
Jak vidíte, tento výpis říká, že při zpracování zásady Folder Redirection nebylo
možné správně přesměrovat složku Documents (Dokumenty). To je poměrně zřej-
mý problém, nicméně bez tohoto protokolu či bez podrobného prohlédnuti proto-
kolu aplikací byste jen stěží hledali jeho příčinu.
Povolení protokolování ladicích informací Zásad zabezpečení
Rozšířeni Security Policy (Zásad zabezpečení) hraje velmi důležitou roli při centrál-
ní správě počítačů se systémy Windows - právě ono totiž musí zajistit, že kriticky dů-
ležitá bezpečnostní nastavení jsou vždy použita. To také znamená, že byste měli
vědět o všech případech selhání zpracování této zásady. Prvním zdrojem informací,
v němž můžete hledat případné příčiny problému, je protokol aplikací, nicmene
pokud požadujete či potřebujete podrobnější informace, můžete povolit zápis dal-
ších informací do souboru protokolu, Winlogon.log.
Nastavení protokolováni ladicích informací Security Policy je uloženo v hodnotě
txtensionDebugLevel, nacházející se v klíči HKEY_L0CAL_MACH 1 NE\SOFTWARE\Micro-
sof t\Windows NT\CurrentVerši o n\W i n1ogon\ GPExtensi ons\{827D319E-6EAC-11D2-
kapitola
Časté problémy
se zásadami
skupin
a jejich řešení
Obsah kapitoly:
17J Řešeni problémů se správou objektů zásad skupin........................634
17.2	Nastavení zásad skupin nejsou použita kvůli problémům s infrastrukturou.. 647
17.3	Řešeni problémů s implementací.......................................656
17.4	Shrnutí..............................................................66“
30
Kapitola 16 - Řešení problémů se zásadami skupin
A4EA-00C04F79F83A}. Uvedenou hodnotu můžete do registru přidat pomocí editoru
registru; pokud již v registru existuje, můžete ji pomocí téhož nástroje upravit. Chcete-
li povolit podrobné protokolování, pak do hodnoty ExtensionDebugLevel zapište
hodnotu 0x00000002; chcete-li naopak protokolování zakázat, pak použijte hodnotu
0x00000000.
Povolíte-li zápis ladicích informaci, budou při každém cyklu zpracování Security Po-
licy zapisovány jednotlivé události do souboru Winlogon.log, nacházejícího se ve
složce %Wi ndi r%\secur i ty\l ogs. Jak vidíte z následující ukázky, v uvedeném souboru
najdete podrobné informace o všech událostech zpracování zásad zabezpečení:
Process GP template gptOOOOl.inf.
—	— — — _ — « — — — — — — — —' — — — — — — — — I— —	_
Sunday, January 30, 2005 10:05:20 AM
Administrativě privileged user logged on.
Parsing template C:\WINDOWS\security\templates\poli cies\gpt00001. inf.
----Configuration engine was initialized successfully.-----
----Reading Configuration Template infc...
----Configure Group Membership...
Configure CPANDLADesktop Admins.
Group Membership configuration was completed successfully.
----Configure Security Policy...
Start processing undo values for 7 settings.
There is already an undo value for group policy setting
<MinimumPasswordLength>.
There is already an undo value for group policy setting
<PasswordHi storySize>.
There is already an undo value for group policy setting
<MaximumPasswordAge>.
There is already an undo value for group policy setting
<MinimumPasswordAge>.
There is already an undo value for group poUcy setting
<PasswordComplexi ty>.
There is already an undo value for group policy setting <RequireLogonTo-
ChangePassword>.
There is already an undo value for group policy setting
<ClearTextPassword>.
Configure password Information.
Start processing undo values for 3 settings.
There is already an undo value for group policy setting <LockoutBadCount>.
There is already an undo value for group policy setting
<ForceLogoffWhenHourExpi re>.
Configure account force logoff information.
System Access configuration was completed successfully.
Audit/Log configuration was completed successfully.
Confi gure
mach i ne\system\currentcontrolset\servi ces\1anmanserver\parameters\autodi sco
nnect.
There is already an undo value for group policy setting
<machi ne\system\currentcontrolset\servi ces\1anmanserver\parameters\autodisc
onnect>.
Configuration of Registry Values was completed successfully.
Shrnutí
631
----Configure available attachment engines...
Configuration of attachment engines was completed successfully.
----Un-initialize configuration engine...
this is the last GPO.
V tomto příkladu je při zpracovaní zásad zabezpečení použita kopie souboru šab-
lony zabezpečení, načtená z objektu zásad skupiny a dočasně uložená na disku.
Příslušný soubor se jmenuje GptOOOOl.inf a nalézá se ve složce $SystemRoot%\
security\templates\policies. Prvním úkolem, který rozšíření provede, je konfigu-
race členství ve skupinách. Jedná se o zásadu, které se také někdy tíká Restricted
Groups (Skupiny s omezeným členstvím). Při zpracování této zásady je skupina
Desktop Admins vložena do jiné skupiny. Následně je zpracována zbývající část zá-
sady zabezpečení, obsahující mimo jiné informace zásad účtů (které - v našem pří-
kladu - vyžadují odstranění) a další nastavené zásady související se zabezpečením.
Jak vidíte, v popisovaném souboru protokolu najdete veškeré problémy, které se
vyskytly při zpracování zásad zabezpečení. V mnoha případech vám tedy tento
soubor pomůže při hledání příčin problémů.
16.4 Shrnutí
Při hledání příčin problémů vzniklých během zpracování zásad skupiny můžete využít
celou řadu nástrojů. Vždy byste měli nejprve zkontrolovat ty komponenty systému,
které jsou nejčastějšími přič’námi takových problémů: jedná se především o celkovou
konfiguraci zásad skupiny a konfiguraci systému, které zásady zpracovávají. Nepoda-
ří-li se vam příčinu problému najít v těchto komponentách, musíte se problémem začít
zabý vat hlouběji. Nástrojem, který vám může pomoci při hledání příčiny, je výsledná
sada zásad - tu je nutné zkontrolovat jak z hlediska daného lokálního počítače, tak g
i z hlediska serveru. Pokud příčinu problémů nenajdete ani v protokolech výsledné
sady zásad, můžete použít protokoly zásad skupin. Těch existuje mnoho typů, při- £
čemž některé z nich musí být nejprve povoleny, u jiných je zase nutné nejprve po- E
volit podrobné protokolování. Jakmile se vám podaří problém vyřešit a přestanete g
potřebovat podrobné protokoly, měli byste podrobné protokolování zase zakázat
a obnovit tak normální režim zpracování zásad a jeho protokolování.
>34	Kapitola 17 - Časté problémy se zásadami skupin a jejich řešení
V této kapitole vás seznámíme s nektervm obvyklými problémy, vyskytujícími se
při použití objektu Group Policy (Zásady skupiny). Současně vam ukážeme základ-
ní postupy jejich řešení. Obecně lze říci, žt řešení problému souvisejících s objekt
zásad skupin není nikterak složité. Je však nutné si uvědomil, že se jedná spíše
o komplexní problémy, při jejichž řešení budete muset použít veškeré znalosti kte-
ré jste Četbou teto knihy získali, a na jejich základě sc pak budete muset pokusit
o logickou interpretac problému a zjištění jejich příčin.
V případě problémů s šířením objektu zásad skupin lze říci, že nejčastěji jsou způ-
sobeny problémy vzniklými při počáteční replikaci nastavení těchto objektu, chyb-
nou správou objektů zásad skupin a jejich nastavení, chybami při delegaci
oprávnění ke správě těchto objektu, chybnou konfigurací sítě či jinými chybami při
správě anebo konfiguraci sítě a jednotlivých počítačů. Přitom mnohdy je velmi ob-
tížné předem odhadnout, s jakými obtížemi se uživatel či administrátor setká, bu-
dou-li použita nesprávná nastavení objektu zásad skupin. Může se stát, že uživatelé
nebudou schopni přistupovat k potřebným prostředkům anebo dokonce adminis-
trátor ztratí možnost správy všech objektů zásad skupin. Při hledání příčin problé-
mu s objekty zásad skupin můžete využít několik nástrojů, jejichž popis najdete na
příslušných místech této kapitoly. Popis některých podobných nástrojů najdete
i v kapitole 16, nicméně v této kapitole vam ukážeme jejich použití na konkrétních
příkladech, souvisejících s implementací objektů zásad skupin.
Další informace:
	Více informací o nástrojích a postupech pro řešení problémů se zásadami sku-
pin najdete v kapitole 16.
	Další informace o řešení problémů s objekty zásad skupin najdete na adrese
http://go.microsoft.com/fwl i nk/?linkid=14949.
17.1 Řešení problému
se správou objektů zásad skupin
Na celém procesu práce s objekty zásad skupin, tj. počínaje okamžikem jejich vy-
tvořen; přes úpravy až po následnou správu všech aspektů těchto objektů, se podílí
mnoho části operačního systému a služby Active Directory. Dojde-li k poškození
kterékoliv součásti, snížení její dostupnosti, změně konfigurace či stane-li se zcela
nepřístupnou, muže se stát, že nebudete schopni s objekty zásad skupin a jejich
nastaveními pracovat.
Obecně lze říci, že je možné ovlivnit mnoho oblasti práce s objekty zásad skupin.
Tyto oblasti je možné rozdělit do pěti základních kategorií:
	Vytváření objektů zasad skupin
	Propojování objektu zasad skupin s uživateli a počítači
	Úpravy nastavení objektů zásad skupin
	Správa objektů zásad skupin
	Prohlížení nastavení objektů zásad skupin
Řešení problémů se správou objektů zásad skupin 635
Podívejme se nyní na některé základní problémy, které vám mohou zabránit v přístu-
pu k objektům zásad skupin či v provádění nezbytných úkonů, souvisejících s jejich
správku.
Řadič domény vykonávajíc! funkci emulátoru PDC
není dostupný
Proces vytváření, úprav a následnt správy objektů zásad skupin standardně probíhá
na jednom řadiči domény. Je-li součástí vaší domény několik řadičů, pak celý proces
má smysl jedině tehdy, je-li jeden z nich předem vybrán jako řadič, na němž budou
prováděny veškeré změny objektů zásad skupin. A tímto předem vybraným řadičem
je vždy ten, který současně vykonává funkci emulátoru primárního řadiče domény.
Pokusíte-li se o nějakou změnu objektů zásad skupin a nebude-li emulátor PDC
dostupný, zobrazí se vám chybové hlášení, jehož ukázku vidíte na oblfezku 17.1.
OBRÁZEK 17.1: Chybové hlášení, z něhož vyplývá, že emulátor PDC není dostupný
V tomto okamžiku se musíte rozhodnout, jak budete pokračovat dále. Stále máte
možnost provedeni potřebných úprav objektu zasad skupin, nicméně tyto úpravy
budou provedeny na řadiči odlišném od toho, který vykonává funkci emulátoru
PDC. V okamžiku rozhodování si musíte uvědomit jednu zásadní věc: emulátor
PDC nemá žádné speciální funkce, díky nimž by pro úpravy objektů zásad skupin
byl lepší volbou než kterýkoliv jiný řadič. Firma Microsoft vybrala tento řadič jako
standardní řadič domény pro úpravy a správu objektů zásad skup.n z jednoho pros-
tého důvodu: je to řadič, který musí v prostředí Active Directory vždy existovat.
Vyberete-li jiný řadič domény, pak si musíte uvědomit, jaké důsledky bude mít ta-
kové rozhodnutí na následné zpracovaní objektů zásad skupin. Nejdůležitější otáz-
kou je to, kde je fyzicky umístěn řadič, vykonávající funkci emulátoru PDC, a kde
řadič, který jste si vybrali pro úpravy objektů zásad skupin. Fyzické umístění řadičů
má totiž vliv na to, ktere účty budou schopné zpracovat upravené objekty zásad
skupin okamžitě a které až po dokončeni replikace všech řadičů domény.
Doporučujeme vám, abyste pro úpravy objektu zásad skupin používali vždy stejný
řadič. Nemusí se však jednat o stejný řadič pro každého administrátora, což platí
především v případě, kdy administrátoři pracují v různých lokalitách (to obvykle
znamená rozdílné sítě služby Active Directory). Nebude-li pak řadič, který používá-
te pro úpravy objektů zásad skupin, dostupný, měli byste nejprve určit, proč není
dostupný. Poté byste se měli rozhodnout, zda zamýšlené úpravy objektů zásad
skupin mohou být odloženy až do doby, kdy tento řadič bude opět dostupný, ane-
bo zda je nezbytné je provést ihned, na nějakém jiném řadiči.
Řešeni problémů
Kapitola 17 - Časté problémy se zásadami skupin a jejich řešení
Rozhodncte-li se pro jiný ladič, pak nejhorší varianta je, že provedené ťi pravý objektu
zásad skupin nebudou dostupné tak rychle, jak byste potřebovali. Tato prodleva je
dana strukturou replikace a jejím rozvrhem, který jste nadefinovali při propojování
jednotlivých sítí služby Active Directory.
V editoru zásad skupin nejsou zobrazena
všechna nastavení
V některých případech se muže stát, že v editoru zasad skupiny sice budete schopni
daný objekt zasad otevřít, ale neuvidíte v něm všechna nastavení. K této situaci muže
dojít například tehdy, prohlížíte-li si objekt zasad obsahující pouze výchozí nastavení,
či tehdy, pokud jste provedli nějaké úpravy šablony pro správu nebo šablony zabez-
pečení. Bez ohledu na konkrétní situaci ale platí, že díky něčemu nejsou některá - či
dokonce všechna - nastavení daného objektu zásad dostupná pro úpravy. Zaměříte-li
se na to, která nastavení v editoru chvbí a která jste očekávali, budete schopni poměr-
ně rychle odhalit počinu tohoto problému. V následujících sekcích najdete popis ně-
kterých typických situací, do nichž se můžete dostat. Současně v nich bude uveden
popis toho, co uvidíte v editoru zasad skupiny, a popis řešení problému.
Vlastní nastavení šablony pro správu nejsou zobrazena
Jak jsme si ukázali v kapitole 14, nová nastavení můžete přidat do standardních ob-
jektu zasad skupin pomocí vlastních šablon pro správu, které si sami vytvoříte. Tato
vlastní nastavení, vložena do Šablony pro správu, upravují cesty v registru a pří-
slušné hodnoty. Níže následuje stručné shrnutí správného postupu přípravy nové
šablony, zajišťujícího zobrazení všech nastavení v objektu zásad V případě řešení
problému si tedy postup prohlédněte a ujistěte se, že jste postupovali správně:
1.	Vytvořte novou šablonu pro správu v Security Templates. kterou uložíte do soubo-
ru s příponou .adm.
2.	V Group Policy Object Editor otevřete ten objekt zásad skupiny, do nčhož chcete
vlastní nastavení registru a vytvoienou šablonu vložit.
3-	V sekci Computer Coufiguration (Konfigurace počítače) či User Configuration
(Konfigurace uživatele) rozbalte uzel Šablony pro správu.
4.	Pravým tlačítkem klepněte na tento uzel a z místní nabídky zvolte Add/'Remove
Templates.
5.	Vyberte soubor .adm, který jste v kroku 1 vytvořili. Vložíte jej tak do objektu zásad
Pokud jste neprovedli všechny tyto kroky anebo pracujete s objekty zásad umístěnými
na řadiči, lišícím se od toho, který jste použili pii počátečním vytvářen* souboru .adm,
pak znovu zkontrolujte všechny kroky a shodu všech souborů objektů zásad zkopíro-
vaných během replikace na všechny řadiče.
Muže se však stát, ze vlastní nastavení neuvidíte v editoru zásad skupiny aru v případě,
že jste všechny výše popsané kroky provedli. Nejpravděpodobnější příčinou tohoto
chovaní je, že máte zaškrtnutou volbu Only Show Policy Settings That Can Be Eully
Manáged (uzel Security Templates, View, Filtering). Ukázku příslušného dialogu vidíte
na obiazku 17.2.
Řešení problémů se správou objektů zásad skupin
637
OBRÁZEK 17.2: Nastavení editoru zásad skupiny, na jehož základě budou zobrazována
pouze ta nastavení, která lze plně spravovat
Je-b tato volba zaškrtnuta, pak v editoru zásad skupiny uvidíte pouze ta nastavení
objektu zásad, která pracuji s jedrám ze čtyř podkjíču Policies celého registru. Na-
stavení týkající se jiných klíčů registru budou skryta. Ve skutečnosti jsou tato nasta-
vení v objektu zásad stále obsazena; jejich zobrazení je však možné pouze
v případe, že výše zmíněná volba není zaškrtnuta.
Jedním z příznaků, že právě toto je příčinou problému, je to, že struktura zásady pro
dané nastavení objektu sice bude zobrazena, ale nastaveni nikoliv (viz obr. 17.3k
Viz též Více informací o zásadách, které lze plně spravovat a řídit, příslušných podklíčích re-
gistru Policies a syntaxi, potřebné ke konfiguraci těchto nastavení v šabloně pro správu, na-
jdete v kapitole 14.
Řešení problémů
OBRÁZEK 17.3: Struktura zásady nového nastavení zásady je sice zobrazena;
vlastní nastavení však nikoliv
Šablony pro správu a nastavení závisí na verzi operačního systému
Existuje mnoho různých variant souborů .adm, závisejících na tom, jaké operační sys-
témy používáte jak na straně řadičů domény, tak na straně počítačů, z nichž provádíte
správu objektů zásad skupin. Díky různým aktualizacím, verzím operačních systému
Kapitola 17 - Časté problémy se zásadami skupin a jejich řešení
a bezpečnostním záplatám prošly soubory .adm od doby prvního uvolnění systému
Windows 2000 značnými změnami. Neshoduje-li se verze operačního systému řadiče
domény s verzí operačního systému počítače, na němž je prováděna správa objektů
zásad, pak se můžete setká s mnohem více problémy než v případě, kdy jsou verze
operačního systému na obou počítačích shodné. K typickým problémům například
patří chybějící nastavení objektu zásad při jeho úpravách, přepisováni šablon pro
správu v průběhů úprav objektů zásad, či chyby vznikající tehdy, je-li nějaký objekt
zásad upravován na počítačích s nižnými verzemi operačního systému.
Z hlediska objektu zásad skupiny a práce s nimi lze následující produkty považovat
za shodné verze operač ního systému:
	Windows 2000 Server a Windows 2000 Professional
	Windows Server 2003 a Windows XP Professional
Zásady skupiny totiž vždy zobrazuje pouze to, co najde v šabloně pro
	Windows Server 2003 SPI a Windows XP Professional SP2
Tyto kombinace vychází ze zásadních úprav, provedených v nastavení šablon pro
správu. Problémům, vyplývajícím ze zmíněných rozdílů, se můžete vyhnout tak, že při
úpravách objektů zásad skupin budete vždy používat nejnovější verzi souborů .adm.
Editor objektů
správu.
Na práci se soubory .adm však mají vliv ještě dvě další nastavení. Zaprvé můžete ří-
ci, zda počítač, na němž provádíte správu objektu zásad skupin, bude používat lo-
kální šablony .adm anebo ty, které jsou uloženy na řadiči domény. Toto nastavení
se nachází v uzlu Computer ConfigurationXSecurity Templates\System\Group
Policy (Konfigurace počítačeXŠablony pro správu\Systém\Zásady skupiny) a na-
zývá se Always Use Local .adm Files For Group Policy Object Editor. Je-li toto nastave-
ní povoleno, pak Group Policy Object Editor (Editor objektů Zásady skupiny) bude
ke své práci využívat lokální kopie souboru .adm; je-li toto nastavení zakázáno, pak
editor pracuje vždy se soubory . adm uloženými na řadiči domény.
Za druhé můžete říci, zda při zahálení úprav nějakého objektu zásad má být porov-
nán soubor .adm, uložený na řadiči domény, s tímtéž souborem, uloženým na lo-
kálním počítači. Standardně platí, že v důsledku tohoto porovnání jsou pro úpravy
objektů zásad skupin vždy použity nejnovější verze souborů .adm. Popisované na-
stavení najdete v uzlu User Configuration\Security Templates\System\Group
Pol icy (Konfigurace uživatel e\Sablony pro správu\System\Zásady skupiny) a nazý-
vá se Turn Off Automatic Update Of .adm Files.
Poznámka Více informací o těchto nastaveních objektů zasad skupiny najdete v kapitole 14.
Nastavení šablony zabezpečení nemají žádný vliv
Pomocí šablony zabezpečení můžete připravil základní bezpečnostní nastavení pro
počítače v doméně. Přitom lze říci, že šablony zabezpečení se nejčastěji vytvářejí
pomocí modulu snap-in šablony zabezpečení konzoly Microsoft Management Con-
sole (MMC). Ukázku tohoto modulu vidíte na obrázku 17.4.
Řešení problémů se správou objektu zásad skupin 639
OBRÁZEK 17.4: Vytváření základních bezpečnostních nastavení v jednotlivých souborech
Pokud jste šablony zabezpečení vytvořil? pomocí uvedeného modulu, pak musíte za-
jistit, že tyto šablony budou na jednotlivé počítače šířeny určitým způsobem. Těchto
způsobu je několik, avšak použiti objektu zásad skupin je způsobem rozhodně nej-
lepším a nejefektivnějším. Chcete-li bezpečnostní nastavení nakonfigurovaná
v šabloně zabezpečení šířit pomocí zásad skupin, musíte nejprve naimportovat pří-
slušnou šablonu do vybraného objektu zásad. Při importu postupujte takto:
1.	V editoru zasad skupin otevřete objekt zásad, do něhož chcete šablonu importovat.
2.	Rozbalte uzel Security TemplatesXWindows Settings\Security Settings (Šablony
pro správu\Nastavení systému Windows\Nastavení zabezpečení).
3-	Pravým tlačítkem klepněte na tento uzel a z místní nabídky zvolte Import Template.
4.	Pak vyberte požadovanou šablonu zabezpečení a klepněte na tlačítko OK.
Tímto procesem naimportujete zvolenou šablonu zabezpečení spolu s veškerou
související konfigurací do objektu zásad. Zajistíte tak rozšíření těchto nastaveni na
všechny počítače, pro které je daný objekt zásad určen.
Viz též Více informací o šablonách zabezpečení a metodách jejich šíření najdete v kapitole 4.
Nová vlastní nastavení zabezpečení nejsou zobrazena
Podobně jako můžete upravovat šablony .adm, můžete měnit i nastavení zabezpe-
čení, obsažená ve standardních objektech zásad skupin. Jak již bylo řečeno v kapi-
tole IS, v takovém případě musíte ale nejprve upravit soubor Sceregvl. i nf. Přitom
vlastni úpravy nastavení zabezpečeni mohou být motivovaný mnoha různými dů-
vody. Avšak bez ohledu na konkrétu1 důvod se vám muže stát, že upravená nasta-
vení nebudou v Group Policy Object Editor zobrazena.
Základní rozdíl mezi úpravami souboru .adm a nastavením zabezpečení spočívá ve
způsobu, jímž jsou nastavení aktualizována, aby s mm i mohl pracovat Editor objek-
Kapitola 17 - Časté problémy se zásadami skupin a jejich řešení
tu Zásady skupiny. Jak jsme si před chvílí řekli, šablony .adm se importují do objek-
tů zásad skupin. Avšak upravený soubor Sceregvl.inf nelze do objektu zásad
naimportovat. Namísto toho musíte znovu zaregistrovat tu dynamickou knihovnu
(soubor DLL), která s tímto souborem sou vím. Teprve poté se nová nastavení zpří-
stupní i v Editoru objektu Zásady skupiny. Přitom opakovanou registraci knihovny
DLL musíte provést z toho počítače, na němž je uložena nová verze souboru
Sceregvl. inf a jenž bude používán ke správě objektu zásad skupin. Registrace se
provádí z příkazového řádku, a to následujícím příkazem:
regsvr32 C:\Windows\system32\scecli.dli
Dokud tuto registraci neprovedete, nebudou nová vlastní nastavení zabezpečení
v Editoru objektu Zásady skupiny vůbec přístupná.
Viz též Více informací o úpravách nastavení zabezpečení v objektech zásad skupin najdete
v kapitole 15.
Restrikce oprávnění
v Group Policy Management Console
/
Muže se vam stát, že při pokusu o správu nějakého objektu zásad skupiny v Group
Policy Management Console se neobjeví některé možnosti, ktere byste měli mít. Je
nutné si uvědomit, že systém vam zpřístupní jenom ty možnosti, které jsou dány
vašimi oprávněními. Konzola Správa zásad skupiny je vynikajícím prostředím,
v němž lze přesně řídit, za co je každý administrátor objektu zásad skupin odpo-
vědný. Pomocí uvedené konzoly lze na jednoho či více administrátoru delegovat
pěl mzných úkonu. To znamená, ze to, co vnímáte jako problém, múze být ve sku-
tečnosti důsledek činnosti nějakého jiného administrátora, který omezil váš přístup
k objektům zasad skupin v Group Policy Management Console.
A protože přesné nastavení delegování oprávněni v teto konzole je poměrně ná-
ročné, ukážeme si, kde se příslušné delegace oprávnění v Group Policy Manage-
ment Console nastavují.
Vytváření objektu zásad skupin
Objekty zásad skupin lze v Group Policy Management Console vytvářet dvěma způ-
soby. Zaprvé se můžete přesunout na uzel, s nímž má byt nový objekt propojen,
klepnout na něj pravým tlačítkem a z místní nabídky zvolit Create And Link A GPO
Here. Ukázku příslušného dialogu vidíte na obrázku 17.5.
Druhý možný způsob je zřejmý z obrázku 17.6. V Group Policy Management Console
klepněte pravým tlačítkem na uzel Group Policy Object a z místní nabídky zvolte New.
Všimněte si, že na obou obrázcích není volba pro vytvoření nového objektu zásad pří-
stupna To proto, že aktuálnímu uživateli, provádějícímu správu zásad skupiny
v Group Policy Management Console, nebyla delegována možnost vytváření nových
objektů zasad v doméně.
Řešení problémů se správou objektů zásad skupin
641
OBRÁZEK 17.5: Vytváření a propojováni objektů zásad skupin s uzly služby Active Directory
pomoci konzoly Správa zásad skupiny
OBRÁZEK 17.6: Vytváření nových objektů zásad skupin v uzlu Objekty zásad skupiny konzoly
Správa zásad skupiny
Řešení problémů
Chcete-li nastavit toto delegování, pak v Group Policy Management Console zvý-
razněte uzel Group Policy Object a poté přejděte na kanu Delegáte. Jak vidíte na
obrázku 17.7, na této kartě najdete seznam administrátorů, majících oprávnění
k vytváření nových objektů zásad skupiny. To znamená, že pouze témto adminis-
trátorům budou přístupné příslušné volby.
42
Kapitola 17 - Časté problémy se zásadami skupin a iejich řešení
OBRÁZEK 17.7: Přiřazování možnost: vytváření objektů zásad jednotlivým administrátorům
Propojování objektů zásad skupin
Propojování objektu zásad s uzly služby Active Directory je velmi důležitým úkonem -
zcela určitě se jedna o úkon, který byste neměli brat na lehkou váhu. Vlastni propojo-
vání se provádí na úrovni domény, organizační jednotky či sítě služby Active Directo-
ry. Jak je zřejmé z obrázku 17.8, kjepnete-li pravým tlačítkem na vybraný uzel, měli
byste v místní nabídce uvidět volbu l ink An Existing GPO. Pokud přejdete na i roveň
domény, organizační jednotky ci sítě a zjistíte, že volba propojení objektu zásad s vy-
braným uzlem služby Active Directory není přístupná, neměli byste se nijak vylekat.
Není-li vám volba Link An Existing GPO přístupna (stejně jako na obrázku 1^.8), pak
to znamená, že nemáte oprávnění k propojování objektu zásad skupin s daným uz-
lem. Připomeňme si, že objekty zásad skupin jsou vytvářeny na úrovni celé domény,
zatímco jejich propojování s uzly služby Active Directory probíhá na úrovni jednotli-
vých kontejneru této služby. Proto pokud přejdete na úroveň kteréhokoliv kontejneru
(domény, organizační jednotky, sítě), vždy uvidíte kartu Delegáte. Na ní budete moci
určit, kteří administrátoři smí propojovat objekty zásad skupin s vybranou časti služby
Active Directory. Ukázku karty Delegáte vidíte na obrázku 17.9.
Správa objektu zasad skupin
Správa objektu zásad skupin zahrnuje úpravy jejich nastavení, nastavování jejich
zabezpečeni či jejich výmaz. Potřebujete Ji provést některý z uvedených úkonu
a není-li vam příslušná volba přístupna (viz například nastavení seznamu řízení pří-
stupu na obrázku 17.10), pak vám velmi pravděpodobně nebylo delegováno
oprávnění ke správě daného objektu zásad.
Řešení problémů se správou objektů zásad skupin
643
OBRÁZEK 17,8: Propojení objektu zásad skupiny s uzlem služby Active Directory
OBRÁZEK 17.9: Přiřazování možnosti propojování objektů zásad s uzly služby Active Directory
Řešení problémů
Oprávnění ke správě objekt?; zásad se nastavují pnino na úrovni jednotlivých ob-
jektu. Chcete-li si prohlednout seznam administrátorů, majících oprávnění ke správě
nějakého objektu zásad, pak postupujte takto:
1.	V uzlu Group Policy Objects Group Policy Management Console rozbalte seznam
objektů zasad.
2.	Klepněte na objekt, který vás zajímá.
3.	Přejdete na kartu Delegáte.
44
Kapitola 17 - Časté problémy se zásadami skupin a jejich řešení
4.	Pravým tlačítkem klepněte na uživatele či skupinu, jíž chcete přidělit oprávnění kc
správě daného objektu zásad.
5.	Jak vidíte na obrázku 17.11, zpřístupní se Vám dialog, v němž budete moci přidělit
oprávnění Edit Settings, Delete a Modify Security Pennissions.
OBRÁZEK 17,10: Volba pro úpravu objektu zásad není v Group Policy Management Console
přístupná
OBRÁZEK 17.11: Přiřazovaní oprávnění ke správě vybraného objektu zásad jednotlivým
uživatelům či skupinám
Úpravy objektů zásad skupin
('právnění k úpravam objektů zásad je do jisté míry významnější a důležitější než
oprávnění k vytváření těchto objektů či jejich propojování. Je-li totiž objekt zásad již
vytvořen a propojen s uzlem služby Active Directory, pak daný administrátor jej smí
otevřít a smí v něm provést jakékoliv úpravy, ke kterým je oprávněn Z obrázku
17.12 vyplývá, že pokusíte-li se o úpravy nějakého objektu zasad a nebudete-li mít
potřebná oprávnění, nebude příslušná volba přístupná.
Řešení problémů se správou objektu zásad skupin
645
OBRÁZEK 17.12: Možnost úprav objektů zásad není
v Group Policy Management Console přístupná
M< ížnost provádění úprav objektů zasad se do jisté míry podobá možnosti správy těch-
to objektů: příslušná oprávnění se totiž v obou případech nastavují na úrovni jednotli-
vých objektu zásad. Chcete-li tedy pomocí konzoly Správa zásad skupiny nastavit
oprávněni k úpravam nějakého objektu zásad, pak postupujte takto:
1.	V uzlu Group Policy Objects Group Policy Management Console si rozbalte se-
znam objektů zásad.
2.	Klepněte na objekt, který vás zajímá.
3.	Přejdete na kartu Delegáte.
4.	Pravým tlačítkem klepněte na uživatele či skupinu, jíž chcete přidělit oprávnění
k úpravám daného objektu zásad.
5.	Jak vidíte na obrázku 17.13, zpřístupní se vam dialog, v němž budete moci přidělit
oprávněni Edit Settings.
Prohlížení objektů zásad skupin
Oprávnění k prohlížení nastavení objektů zásad skupin sice nemá žádné zavažné
bezpečnostní následky, nicméně je nutné si uvědomit, že zbytečné přidělení tohoto
oprávněn; do jisté míry zvyšuje zranitelnost systému. Má-li totiž uživatel možnost zjis-
tit, jaká nastavení objektů zásad skupin se vztahují na servery či jiné počítače, pak by
na základě znalosti o konfiguraci počítače mohl objevit či využít již známou chybu sys-
tému. Samozřejmě tato chyba v systému existovala již předtím, ovšem díky možnosti
prohlížet si nastavení objektu zásad se její objevení či vyhledán; stalo snazším.
Z tohoto důvodu se může stát, že v Group Policy Management Console nebudete
mít ani oprávnění k prohlíženi nastaveni obiektů zásad. Pokud vám na kartě Dele-
gáte nebylo přiděleno oprávnění k prohlížení daného objektu zásad, pak tento ob-
jekt zasad v uzlu Group Policy Objects vůbec neuvidíte (viz obrázek 17.14, na
kterém objekt Default Domain Controllers Policy není viditelný).
Řešení problémů
----; -1..
16
Kapitola 17 - Časté problémy se zásadami skupin a jejich řešení
OBRÁZEK 17.13: Přiřazování oprávnění k úpravám vybraného objektu zásad jednotlivým
uživatelům či skupinám
OBRÁZEK 17.14: Jeden z objektů zásad není v uzlu Group Policy Objects viditelný
Z obrázku 17.15 je zřejmé, že samotný objekt zásad bude v tom kontejneru služby
Active Directory, s nímž je propojen, označen jako nepřístupný.
OBRÁZFK 17.15: Nepřístupný objekt zásad skupiny
Možnost prohlíženi objektu zásad se do jisté míry podobá možnostem správy a uprav
těchto objektu: příslušná oprávněni se totiž ve všech případech nastavuji na úrovni
Nastavení zásad skupin nejsou použita kvůli problémům s infrastrukturou
jednotlivých objektu zásad. Chcete-li tedy pomocí Group Policy Management Console
nastavit oprávnění k prohlížení nějakého objektu zásad, pak postupujte takto:
1.	V uzlu Group Policy Objects Čroup Policy Management Console rozbalte se-
znam objektů zásad.
2.	Klepněte na objekt, který vas zajímá
5.	Přejděte na kartu Delegáte.
4. Pravým tlačítkem klepněte na uživatele či skupinu, jíž chcete přidělit oprávnění
k prohlíženi daného objektu zásad.
5. Jak vidíte na obrázku 17.16, zpřístupní se vám dialog, v němž budete moci při-
dělit oprávnění Read.
Group Pobcy Management
Ffe Achor View ftjndow třeip	-li?l |
<= ©e B c?
OBRÁZEK 17.16: Přiřazování oprávnění k prohlížení vybraného objektu zásad
jednotlivým uživatelům či skupinám
17.2 Nastavení zásad skupin nejsou použita
kvůli problémům s infrastrukturou
Protože konečné použití a zpracovaní zásad skupin do značné míry závisí na řadi-
čích domény replikujících objekty zasad, obsahuje celý proces mnoho různých ob-
lastí či míst, kde může selhat. Tím nechceme říci, že služba Active Directory je
nestabilní; spise chceme zdůraznit, že celý proces vyžaduje správnou konfiguraci
mnoha komponent. A nesprávná konfigurace muže vést k tomu, že nastaveni zásad
skupin nebudou příslušnými počítači či uživateli vůbec použita nebo zpracovaná.
© v 
Tato část je zamořena na mnohé aspekty7 konfigurace, týkající sc pnmo serveru ci
prováděné na seivorech. Přitom se zaměříme pouze na nejčastější problémy, díky
nimž se nepodaří zpracovat nastavení zásad skupin na klientských počítačích.
48
Kapitola 17 - Časté problémy se zásadami skupin a jejich řešení
Řadiče domény nejsou přístupné
Nastavení zá»ad skupin se velmi často nepodaří zpracovat na počítačích umístěných
v nějakých pobočkách, připojených k centrále firmy nespolehlivou linkou WAN.
Nefunguje-li tato linka a není-li v pobočce dostupný nějaký lokální řadič, který by
jej ověřil, pak se uživatel, který ještě nikdy nebyl na daném počítači přihlášen, ne-
bude vůbec schopen přihlásit. Pokud však uživatel na daném počítači již někdy
pracoval, pak se bude moci přihlásit, neboť k jeho autentizaci budou použita pově-
řeni uložená v mezipaměti. Toto platí i v případě, kdy linka WAN nefunguje a řadič
domény není dostupný. Existuje vsak několik nastavení zásad, jimiž lze podobné
chování omezit. Pokud zjistíte, že určitá nastavení zásad skupin nejsou při přihlašo-
vání určitých uživatelů vůbec zpracovávána, pak je možné, že se tito uživatelé při-
hlašují pomocí pověření uložených v mezipaměti.
Prvním nastavením, které můžete nakonfigurovat pomocí zasad skupin, je počet při-
hlášeni, která mohou být na klientském počítači uložena do mezipaměti v případě ne-
dostupnosti řadičů domény. Toto nastavení najdete v uzlu Computer Configuration\
Windows Settings\Security Settings\Local Policies\Securi ty Options (Konfigurace
počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti
zabezpečení). Jak vidíte z obrázku 17.17, název tohoto nastavení je Interactive logon:
Nuniber of previous logons to cache (in čase domain controller is not available) (In-
teraktivní přihlašováni: Počet předchozích přihlášení uložených v mezipaměti pro
případ, že řadič domény není k dispozici). Je-li hodnota této zásady rovna 0, pak pro
přihlašován1' nesmí být použita pověiení uložena v mezipaměti. To ovšem znamená,
že nefunguje-li linka WAN a není-li řadič domény dostupný, nebude možné se k počí-
tači vůbec přihlásit.
OBRÁZEK 17.17: Nastavení zásad skupiny omezující počet přihlášeni uložených v mezipaměti
lokálního počítače či serveru
Další možnost nastavitelná pomocí zasad se týká použili cestovních profilů. Toto na-
stavení se nachazí v uzlu Computer Configuration\Security Templates\System\User
Profiles (Konfigurace počítače\ŠabIony pro správu\Systém\Profily uživatelů).
Z obrázku 17.18 vyplývá, že příslušné nastavení se jmenuje Wait for Roaming User
Profile (Čekat na vzdálený profil uživatele). Pomoci něj lze systém donutil k tomu, aby
při přihlašování uživatele počkal na načteni cestovního profilu daného uživatele ze sí-
Nastavení zásad skupin nejsou použita kvůli problémům s infrastrukturou
649
tě. Přitom cestovní profil uživatele je určen tím ladičem domény, který uživatele ově-
řuje. Nenr-li tedy dostupný žádný řadič domény, který by uživatele ověřil, nebude
možné najit a načíst žádný cestovní profil. V optimálním případě by toto nastavení mě-
lo být používáno spolu se zásadou pro odstraňování kopie cestovních profilu z mezi-
paměti, nacházející se ve shodné cestě. Touto zásadou zajistíte, že uživatel nebude
schopen se přihlásit pomocí jakýchkoliv pověření uložených v mezipaměti (prostě
proto, že žádna nebudou existovat).
OBRÁZEK 17.18: Povoleni nastavení zasad skupiny, diky nimž bude systém při přihlašování
uživatele čekat na jeho cestovní profil
Pokud se uživatel úspěšně přihlásí pomoci pověření uložených v me/ipaměti, bude
v uživatelském profilu stále uloženo to nastavení objektu zásad skupin, ktere bylo
použito pi posledním přihlášení. To však znamená, že pro daného uživatele nebu-
dou zpracována a použita žádná nová nastavení objektů zásad, připravená po jeho
posledním přihlášení. Výsledkem muže být snížen bezpečnosti systému; míra sní-
žení bezpečnosti pak bude záviset především na tom, jaká nastavení zabezpečení
byla pomocí zásad skupin od jeho posledního přihlášení nakontigurována
Z tohoto důvodu mnohé firmy neumožňují přihlašovaní do sítě pomocí pověření
uložených v mezipaměti.
Databáze služby Active Directory je poškozena
Dojde-li k poškození databáze služby Active Directory, pak je téměř jisté, že nebude
možné úspěšně zpracovávat objekty zásad sktipín. Pokud se databáze služby Active
Directory odkazuje na špatný identifikátor GUID. server DNS či záznam SRV, muže se
stát, že při spouštění počítačů a přihlašovaní uživatelů nebudou zpracovávaná nasta-
vení obsazená v objektech zásad. V mnoha případech se však uživatel či počítač ne-
bude moci vůbec přihlásit: při pokusu o přihlášeni se zobrazí chybové hlášeni, v nemz
vam systém řekne, že doména, ke které se chcete přihlásit, není nadále dostupná.
Řešeni .pr nlému
50
Kapitola 17 - časté problémy se zásadami skupin a jejich řešení
V tukovém případe se musíte snažit najít především zakladni příčinu všech problé-
mů. Jedná-ii se o případ poruchy či havárie řadiče domény, mažete se pokusit da-
tabázi služby Active Directory na daném řadiči nahradil anebo musíte vyměnit celý
řadič. Zjistite-h však, že celá databáze služby Active Directory je poškozená, pak se
musíte pokusit o obnovu této databáze pomocí aplikace, kterou používáte pro zá-
lohovaní dat, případně se můžete pokusit o použiti procesu vynuceného obnovení.
Viz též Více informací o postupech nevynuceneho a vynuceného obnovení databáze služby Acti-
ve Directory najdete v článku „The Active Directory Operations Guide" na www.microsoft.com/
technet.
Místní přihlášení
a přihlášení pomocí Active Directory
Pokud zjistíte, že nastavení týkající se počítače jsou zpracovávána úspěšně, zatímco
nastavení uživatele nikoliv, pak je možné, že příčinou problémů je způsob ověření
uživatele. Jsou-li totiž všechna nastaveni počítače, sítě a DNS správná, pak je velmi
nepravděpodobné, že by nedošlo ke zpracování těch nastavení objektů zásad sku-
pin, která se tykají počítače. \ případě uživatele je to ale jiné: pokud se uživatel
přihlásí k lokálnímu počítači a je ověřen lokálním Správcem zabezpečení účtů, ne-
budou nastavení uživatele uložená v databazi služby Active Directory vůbec použi-
ta. Uživatelé se přihlašuj místně z mnoha důvodů. Někteří administrátoři využívají
lokální účty pravě k obcházení nastavení zabezpečení, obsažených v objektech za-
sad skupin. Někteří uživatelé mají lokální úcty z důvodů jen obtížně vysvětlitelných.
Ve všech těchto pi ípadech platí, že je-li uživateli povoleno místní přihlášení, pak
nastavení zásad skupin, propojených s objekty kontejnerů služby Active Directory,
vůbec nebudou při přihlašování uživatele zpracovávána.
Jedním z možných řešení je zákaz používaní lokálních uživatelských učtu na klient-
ských počítačích a serverech. Tvto účty jsou potřebné jen občas. Uvážíme-li tedy,
že důsledkem jejich používaní múze b\i značná zranitelnosi celé sítě, pak máme
silný důvod k eliminaci těchto účtů a k nastavení systému takovým způsobem, aby
se uživatelé nemohli přihlašovat místně.
Použití účtu uživatele Administrátor, definovaného v lokálním Správci zabezpečeni
účtů každého počítače, můžete zabránit i tak, že tento učet zakážete. Pokud se
k tomuto kroku rozhodnete. pak nakonfigurujte nastavení zabezpečeni, nacházející se
v uzlu Computer Configuration\Windows Settings\Security Settings\Local Policies\
Security Options (Konfigurace počítače\Nastavení systému Windows\Nastavení zabez-
pečeni \Mí stní zásady\Možnosti zabezpečeni). V tomto uzlu najdete zásadu Accounts:
Administrátor Account Policy. Nastav íte-li ji na zakazano (viz obr. 17.19), bude lokální
ucel Administrátor zcela zakazán - nikdo jej nebude moci využívat pro místní přihla-
šováni či pro přístup k nějakým prostředkům. Jedinou výjimkou bude nouzový režim.
Nastavení zásad skupin nejsou použita kvůli problémům s infrastrukturou
651
OBRÁZEK 17.19: Zákaz lokálního učtu Administrátor na klientských počítačích a serverech
Příčinou problémů se zpracováním objektů zásad
jsou soubory ve složce SYSVOL
Složka SYSVOL obsahuje konfigurační soubory, související s objekty zásad skupin.
Právě v této složce najdete šablony .adm, soubory Registry.pol, skripty a další.
Samozřejmě je možné s těmito soubory pracovat i ručně, ovšem v žádném případě
vám to nedoporučujeme. Nicméně ruční konfigurace není jedinou příčinou špatné
konfigurace či dokonce poškození souboru ve složce SYSVOL.
Protože zpracování objektu zásad závisí na obsahu složky SYSVOL, nesprávná na-
stavení uvnitř struktury této složky mohou vést k tomu, že některá či všechna na-
stavení nebude možné zpracovat. Nejhorší variantou je, že žádný objekt včetně
řadičů domény nebude schopen zpracovat žádná nastavení, a to bez ohledu na ob-
jekt zásad skupiny, v němž budou tato nastavení uložena. Z tohoto důvodu byste
nikdy neměli pomýšlet na změny seznamů řízení přístupu ve struktuře složky SYS-
VOL či dokonce na ruční úpravy souborů, složek nebo nějakých nastavení.
Ve zbývajících částech této sekce najdete bližší informace o možných způsobech
špatné konfigurace či poškození složky SYSVOL.
Soubory objektů zásad jsou modifikovány ručně, a to nesprávně
V podsložce Policies složky SYSVOL najdete mnoho složek objektů zásad.
Z obrázku 17.20 je zřejmé, že název těchto složek je tvořen identifikátorem GUID.
V každé složce (tj. v každém GUID) najdete sadu souborů a složek, logicky uspo-
řádaných tak, aby bylo možné objekty zásad skupin aktualizovat, zálohovat či
správně zpracovávat. Bude-li však obsah těchto souborů či složek nějakým ne-
vhodným způsobem změněn, velmi pravděpodobně nebude možné příslušná na-
stavení zpracovávat.
Kapitola 17 - Časté problémy se zásadami skupin a jejich řešeni
OBRÁZEK 17.20: Složky objektů zásad skupin nacnazející se v podsložce Policies
a řazene dle GUID
Vezměme si jako příklad aktualizaci souboru Registry.pol. Tento soubor obsahuje
veškeré změny provedené v šablonách pro spi avu daného objektu zásad skupiny.
Podíváte li se do tohoto souboru, zjistíte, že část jeho obsahu je čitelná, zatímco další
nikoliv (a nelze ji tedy upravovat ručně). V tomto případě platí, že i když můžete část
obsahu přečíst, neměli byste se pokoušel o nějaké ruční úpravy. Pokud by se totiž
administrátor pokusil o úpravu nějaké hodnoty vybraného nastavení v tomto souboru
a hodnotu by nastavil špatně, pak by poškodil i syntaxi následující za danou hodno-
tou. Díky tomu byr nebylo možné zpracovat celou sadu nastavení, obsažených
v souboru Registry. pol. Toto však není jediný problém, který by vzniknul: souboru
Regi stry. pol by v důsledku změny byla přiřazena nová časová značka, což by vedlo
k následné replikaci tohoto souboru na všechny řadiče domény. V konečném dů-
sledků by dana nastavení nebylo možné zpracovat na žádném počítači v doméně.
Sdílení složky SYSVOL bylo zrušeno
Sdílení složky SYSVOL je jedním ze základních předpokladu pro správnou funkci
služby Active Diiectory, jejíž součástí jsou i objekty zásad skupin Ukončeni sdíleni
této složky na kterémkoliv' řadiči domény je velmi snadné - jenomže poté přestane
fungovat veškera replikace. A pokud byl řadič, na němž bylo ukončeno sdíleni
složky SYSVOL, využíván jako jakýsi most pro replikace mezi dvěma dalšími řadiči,
pak replikace přestane fungovat na v íce řadičích domény.
V případě ukončení sdílení složky SYSVOL naidete v Prohlížeči události mnoho zá-
znamu. z nichž bude vyplývat, že replikace databáze služby Active Directory ne-
probíhá správně. Jediným možným řešením tohoto problému je obnovení sdílení
složky SYSVOL a následně připojení daného řadiče k aktualn replice. Podrobnější
popis těchto kroku najdete v7 článku 257338 databáze Microsoft Knowledge Base.
Nastavení zásad skupin nejsou použita kvůli problémům s infrastrukturou
653
Nesprávné datum a čas souborů objektu zásad skupin
Při instalaci a konfiguraci řadičů domén je někdy nutné změnit systémový čas či časo-
vou zónu. V lakovém případě však musíte dat značný pozor na to, aby při replikaci
nedošlo k narušení synchronizace souborů. Je-h systémový čas počítače nastaven na
nějaký budoucí čas, pak všechny soubory vytvořené po teto změně obdrží časovou
značku odpovídající upravenému času. Pokud však záhy poté změníte čas zpět na pů-
vodní (napi . v důsledků nějaké chyby), pak časová značka těchto souborů zůstane
nezměněna, tj. bude odpovídat nějakému budoucímu času. Což ovšem znamená, že
tyto soubory sc nebudou správně replikovat. Důsledkem jsou závažné problémy
s funkcionalitou služby Active Directory a objektů zásad skupin.
Chcete-li se těmto problémům vyhnout, pak musíte zajistit správné nastavení sys-
témového času serveru a časové zóny ještě před provedením úprav jakýchkoliv
souborů. V opačném případě se múze stát, že budete muset obnovit soubory služ-
by Active Directory7 nebo soubory objektů zásad skupin ze zálohy na pásce.
Problémy s replikací a shodou
databáze Active Directory a složky SYSVOL
Je-li nějaký objekt zásad vytvořen či upraven, musí dojít k aktualizaci daného ob-
jektu na všech řadičích domény. Pokud proces replikace selže či neskončí dříve,
než je nutné aktualizovat objekty zasad, může se stát, že cílové účty nebudou
schopné načíst požadovaná nastavení objektů zásad Příčin, proč replikace trvá
dlouho či dokonce selže, je několik. V následujících částech si ukážeme ty nejdůle-
žitější a nejčastější z nich.
Synchronizace kontejneru a šablon zásad skupin	J
Řekli jsme si, že každý objekt zásad skupiny je tvořen dvěma částmi. Jedna je ulo-
žena v databázi služby Active Directory a označuje se pojmem kontejner zásad
skupiny. Naopak druhá je uložena ve složce SYSVOL a nazývá se šablonou zásad
skupiny. Pokud nějaký objekt zásad vytvoříte či změníte, jsou na řadiči domény, na
němž provádíte tyto úpravy, změněny obě části. Následně musí byl změny repliko-
vaný na všechny ostatní řadiče domény. Teprve poté mohou být zpracovávány
všemi účty existujícími v doméně.
Hlavním problémem souvisejícím s rozdělením objektu zásad na dvě části je to, ze
každá z nich závisí na jiné službě, zajišťující replikaci změn. Kontejner zásad skupi-
ny závisí na replikaci služby Active Directory, která je řízena kontrolou konzistence
znalostí a generátorem mezisiťových topologií, zajišťujícím replikace mezi sítěmi
služby Active Directory. Naopak šablony zásad skupiny závisí na službě replikace
souboru, zajišťující replikaci obsahu složky SYSVOL mezí dvěma řadiči domény.
Tyto dva mechanismy replikace spolu nijak nesouvisí a vzájemně spolu nekomuni-
kují. To ovšem znamená, že každý z nich provádí replikaci v rozdílných intervalech
a časech. V důsledku toho mohou - před dokončením replikace obou častí - na
nějakém řadiči domény existovat rozdílné verze kontejnerů a šablon zásad. Běl cm
teto doby sc může stát, že nastavení objektů zásad zpracovaná jednotlivými účty
nebudou odpovídat aktuálnímu stavu nastaveni
54
Kapitola 17 - Časté problémy se zásadami skupin a jejich řešení
Máte-li podezření, že pučinou vašich problémů jsou rozdílné verze kontejneru
a šablony zásad, můžete si pomocí Group Policy Management Console zkontrolovat
číslo verze každé části. Ukázku příslušného dialogu vidíte na obrázku 17.21. Pomo-
cí této konzoly budete schopni zjistit, která část objektu zásad není na daném řadiči
synchronizována. Pote se budete moci podívat, zda příčinou je dosud nedokončená
(či neproběhlá) replikace služby Active Directory či služby replikace souborů, ane-
bo zda máte s replikací nějaké závažnější problémy.
OBRÁZEK 17.21: Čísla verzi kontejneru a šablony zasad vybraného objektu zasad skupiny
Viz též Mechanismus replikací objektů zásad skupin je podrobněji popsán v kapitole 13.
Replikace v rámci sítě
Po úpravě objektu zasad skupiny na nějakém řadiči domény připojeném k určité síti,
by během nejvýše 15 minut měly být příslušné změny replikovány na všechny ostatní
řadiče, které jsou součástí stejné sítě. Pokud tedy čekáte na to, až se nějaké nastavení
objektu zásad projeví na klientském počítači, pak musíte být poněkud trpěliví. Jestliže
st ale příslušná nastavení na daném počítači neprojeví ani po více než 15 minutách,
měli byste se ujistit, zda jsou provedené změny replikovány na všechny řadiče domé-
ny. Zjistíte-li, že změny nejsou replikovány na všechny řadiče, měli byste zkontrolovat,
zda probíhá replikace služby Active Directory a zda správné funguje služba replikace
souborů. Jsou-li změny replikovány na všechny řadiče domény, pak musíte hledat
příčinu problémů někde jinde.
Replikace mezi sítěmi
Replikace mezi sítěmi zvyšuje složitost celého konceptu standardní replikace objektu
zásad skupin. V případě replikace mezi sítěmi je totiž nutné zajistit nejenom replikaci
na zbývající řadiče připojené k jedné síti, ale i na všechny řadiče připojené k ostatním
sítím. A protože jedním z hlavních důvodu vytvářeni oddělených sítí je pravé řízení
replikace, pak proces kopírování změněných objektu zasad z jedné sítě do druhé se
muže v průběhu času měnil.
Nastavení zásad skupin nejsou použita kvůli problémům s infrastrukturou
655
Je nutné říci, že hledání příčin problému s icplikací objektů zásad mezi sítěmi muže
být velmi obtížné, /počátku můžete použít stejnou filozofii jako při kontrole repli-
kací v rámci jedné sítě: nejprve se můžete ujistit, zda jsou synchronizovány verzi 
kontejneru a šablon zásad skupiny na řadičích umístěných v různých sítích. Nejsou-
li synchronizovány, pak především zkontrolujte, zda příslušná replikace* měla již
proběhnout. V případě replikací mezi sítěmi platí, že interval replikací je definován
administrátorem v době vytvářeni sítí. Výchozí interval replikací je 180 minut,
nicméně lze jej zkrátit až na 15 minut a prodloužit na několik hodin. Proto se do-
mníváme, že je vhodné nejprve zkontrolovat interval replikaci a ujistit se, zda daná
replikace měla již proběhnout.
Zjistíte-li, že proběhnout měla, musíte se přesvědčit, zda správně funguje replikace
služby Active Directory a zda běží služba replikace souborů. Pokud ano, je velmi
pravděpodobné, že problémy s replikaci mezi sítěmi isou způsobeny něčím jiným.
Při hledán1 příčin vam může do značné míry pomoci prohlížeč událostí.
Problémy se službou DNS, jejichž následkem jsou
problémy se zpracováním objektů zásad skupin
Služba DNS je integrální součástí služby Active Directory. Bez správně nastavené
služby DNS by nefungovaly ani ruzne vlastnosti, funkce či komunikace služby Acti-
ve Directory. To ovšem znamená, že pro zpracování objektů zásad je nezbvlné, aby
klientský počítač byl schopen pomoci služby DNS najít ten řadič, z něhož má po-
třebná nastavení načíst. Příslušná nastavení služby DNS týkající se jak serverů, tak
i klientských počítačů, nejsou nijak složitá. V někrerých oblastech je všal možné
udělat chyby, v jejichž důsledku nebude možné objekty zásad zpracovat.
DHCP servery poskytují nesprávně informace o DNS serverech
Ve většině sítí jsou klientské počítače nastaveny tak, aby si konfiguraci protokolu
TCP/IP načítaly z DHCP serverů. Ke konfiguračním údajům, které takto získávají, patří
i IP adresy primárního a sekundárního serveru služby DNS. Tato informace je ručně
zadávána do nastavení serveru DHCP. To ovšem znamená, že při jejím zadaní může
vzniknout chyba. Při změně DNS serverů se může stát, že opomenete provést změnu
i v nastavení DHCP serveru, díky čemuž daný server začne odesílat nesprávné údaje.
Klientský počítač bude sc hopen ověřit uživatele, i když obdrží nesprávnou IP adresu
DNS serveru. Téměř v každém případě vsak dojde k tomu, že daný počítač nebude
schopen z radíce domény načíst objekty zasad skupin. A protože systém v tomto pří-
padě nezobrazí chybové hlášeni, muže byt vyhledání takové chyby velmi obtížné.
Ruční konfigurace klientského počítače je nesprávná
i Dtotúémůl
1 když je klientský počítač nastaven tak, aby si načítal svoji IP adresu z DHt 1 serve-
ru, mohou být adresy primárního a sekundárního serveru služby DNS stale zadaný
ručně. Jsou-li při ruční konfiguraci zadány nesprávné adresy DNS serveru, nebude
systém schopen objekty zásad načíst.
Tato situace může nastat v několika případech. Například uživatelé přenosných po-
čítačů mohou navštívit pobočky firmy a kvůli připojení k síti si mohou ručně upra-
vit IP adresy DNS serverů. Anebo se tito uživatelé připojují ke svým domácím sítím,
Kapitola 17 - Časté problémy se zásadami skupin a jejich řešení
v nichž potřebují zadat IP adresy DNS serverů poskytovatele svého připojení, aby
mohli procházet web i v době, kdy nejsou připojeni k firemní síti. Dalším příkla-
dem může být uživatel lokálního počítače, který -úmyslně změní IP adresy DNS ser-
verů, aby zabránil načtení objektů zasad skupin na svůj počítač. Ačkoliv takové
jednání je porušením firemních zásad zabezpečení, uživatelé někdy podobné změ-
ny dělají, aby se vyhnuli načítání objektů zásad, ale zachovali si možnost procháze-
ní webu. Chcete-li takovému chovám zabránit, pak buď musíte firemní zásady
zabezpečení vnutit všem uživatelům, anebo musíte uživatelům odebrat možnost
provádění takových změn na počítačích.
SRV záznamy byly vymazány
Klientské počítače připojené k doméně vyhledávají řadiče domény prostřednictvím
služby DNS. V závislosti na tom, jakou službu klientský počítač od hledaného řadi-
če domény požaduje, vyhledá příslušné záznamy ve službě DNS a poté se pokusí
kontaktovat server, na němž je daná služba spuštěna. Informace o službách jsou ve
službě DNS uloženy ve formě záznamů typu SRV. Podíváte-li se do DNS, najdete
zde záznamy služeb řadičů domény, služby distribuovaného systému souborů,
služby Kerberos apod.
Nepodaří-li se potřebné zaznamy typu SRV, týkající se řadičů domény, vložit do služby
DNS, pak některé klientské počítače nemusí být schopné načíst a zpracovat objekty
zásad skupin. Záznamy typu SRV však mohou být ze služby DNS i vymazány, a to bud
v důsledků lidské chyby, anebo úmyslně. Pokud zjistíte, že ve službě DNS chybí zá-
znamy typu SRV pro určitý řadič domény, můžete se na daném řadiči pokusit restarto-
vat službu NFTLOGON a provést tak aktualizaci záznamů typu SRV ve službě DNS.
Výstraha O restart služby NETLOGON na vybraném řadiči byste se měli pokoušet jenom
v době, kdy se žádný klientský počítač nesnaží daný řadič kontaktovat a ověřit uživatele. Nao-
pak nekomunikuje-li nějaký řadič domény s žádným počítačem připojeným do domény, pak
službu NETL OGON musíte restartovat bez ohledu na data přicházející na daný řadič ze sítě.
17.3 Řešení problémů s implementací
Uvážíme-li, že typický objekt zásad skupiny obsahuje 1600 různých nastaveni, že
v infrastruktuře vámi spravované služby Active Directory se mohou nacházet až
stovky objektů zásad, ze tyto objekty lze blokovat, vynucovat, filtrovat pomocí filtru
zabezpečení či fikni WMI, pak je zřejmé, že při implementaci objektů zásad se mo-
hou někdy vyskytnout chyby. I při nejlepším testování objektu zásad a kontrole je-
jich integrity se muže stát, že určitá nastavení a jiné konfigurace způsobí při svém
nasazení v reálném provozu nějaké problémy. V této sekci najdete popis některých
častých chyb, které můžete udělat v průběhů implementace objektu zasad.
Vyhledání nesprávných nastavení objektů zásad
Nabízí-li systém tolik různých nastavení objektu zasad, pak se může stát, že některá
z nich nakonfigurujete špatně. Z tohoto důvodu je velmi důležité, abyste dokázali
nesprávné nastavení ryclile najít a současně určit i objekt zásad, v němž je uloženo.
Řešení problémů s implementací
657
Níže najdete popis některých obvyklých situací, vedoucích k nesprávnému nasta-
vení objektu zásad skupin, a jejich řešení.
Nastavení objektů zásad která lze povolit či zakázat
Jak jsme si řekli, většina nastavení, uložená v šablonách pro správu, umožňuje volbu
ze tří přednastavených hodnot: Enabied (Povoleno), Disabled (Zakázáno) a Not Con-
figuied (Nezkonfigurováno). Uvažuiete-li o volbách Enabied (Povoleno) či Disabled
(Zakázáno), pak si musíte piedem a velmi pozorně přečíst text popisující dané nasta-
vení. V některých případech totiž volba Enabied (Povoleno) znamená odstranění urči-
té funkce, zatímco v jiných případech totéž nastavení nějakou funkci přidává. Totéž se
tvká i volby Disabled (Zakázáno). Na obrázku 17.22 vidíte ukázku nastavení, v němž
volba Enabied (Povoleno) vede k odstranění funkce. Na obrázku 17.23 pak vidíte
ukázku nastavení, v němž volba Enabied (Povoleno) naopak přidává novou funkci
OBRÁZEK 17.22: Povolením určitého nastavení objektu zásad lze funkci odebrat
fiešení problémů
Při konfiguraci těchto nastavení si musíte velmi pozorně přečíst jejich popis. Přede
vším budíte pozorní na popisy obsahujíc.1 dvojí negaci či naopak dvojí souhlas
Chcete-li zjistit, jaký bude výsledek nastavení dané zasady, přejděte na kartu Expla-
in: na ní obvykle naidete popis výsledku, kterého docí te jak pomocí nastavení
Enabied, tak i Disabled
Mezi nástroje, které vám mohou pomoc i při určování nastavení použitých v dané
konfiguraci zásad, patří:
	Výsledná sada zásad Tento nastroj lze spustil na klientském počítači a s jeho
pomocí určit, k jakým změnám konfigurace vedla konečná nastaveni
	GPRF.SIHLT Nástroj podobny předchozímu: na rozdíl od něj se však spoušti
z příkazového řádku
58
Kapitola 17 - Časté problémy se zásadami skupin a jejich řešení
	Modelování Zíisad skupiny Tento nástroj lze spustit pomocí konzoly Group
Policy Management Console. S jeho pomocí můžete určit, jaká budou konečná
nastavení zásad a který objekt zásad bude tato nastavení obsahovat.
OBRÁZEK 17.23: Povolením jiného nastavení objektu zásad lze funkci přidat
Viz též Více informací o práci s uvedenými nástroji najdete v kapitole 16.
Výb@r nesprávného nastavení
Jakmile otevřete objekt zásad v příslušném editoru, zjistíte, že máte před sebou
mnoho rozhodnuti a zasad Nastavíte-li něiakou zasadu omylem či zaškrtnete-li ne-
správné políčko, zvolíte-li nesprávný přepínač apod., pak se může stát, že klientské
počítače budou mít problémy s připojením k síti, přístupem k prostředkům, Inter-
netu atd. Tato nesprávná nastavení se hledají skutečné velmi obtížně, neboť jejich
výsledek je ten, že počítač určitým způsobem nepracuje. Nezobrazí se však jediné
chybové hlášení, které by vás upozorňovalo na to, že nějaká funkce počítače ne-
funguje v důsledku nějakého nastavení objektu zásad.
V takových případech je naprosto nezbytné, abyste našli objekt zásad obsahující
nesprávné nastavení, a v něm pote vyhledali konkrétní nastavení. A toto hledaní
múze nějakou dobu trvat. Existuje však několik nástrojů, které vám mohou při hle-
dání pomoci. Patří k nim:
	Výsledná sada zásad Tento nástroj lz< spustit na klientském počítači a s jeho
pomoct určit, k jakým změnám konfigurace vedla konečná nastavení.
	GPRIMjl.r Nástroj podobný předchozímu; na rozdíl od nej se však spoušti
z příkazového řádku.
ftei ení problémů s implementací
659
	Modelování zásad skupiny Tento nástroj lze spustit pomocí konzoly Group
Policy Management Console. S jeho pomocí můžete určit, jaká budou konečná
nastavení zásad a který objekt zásad bude tato nastavení obsahovat.
Chcete-li se uvedeným problémům vyhnout, měli byste všechna uvažovaná nasta-
vení objektů zásad nejprve vyzkoušet v testovacím prostředí. Uvážíme-li počet
možných nastavení, pak se jistě jedná o časově náročný úkol; povedete-li však
dobrou dokumentaci a budcte-li vše nejprve testovat, můžete značné snížit počet
problémů, které se vyskytnou v reálnem provozu.
Viz též Více informací o práci s uvedenými nástroji najdete v kapitole 16.
Nastavení konfigurace počítače a konfigurace uživatele
Administrátoři mnohdy přesně nev ědí, která nastavení obiektu zásad se týkají počítače
a která uživatele. Z obrázku 17.24 je zřejmé, že objekt zásad skupiny obě sady nasta-
vení zřetelně odděluje; může se však zdát, že některá nastavení se týkají uživatelských
účtu, zatímco ve skutečnosti jsou to nastavení počítače. Dobrým příkladem jsou na-
příklad nastavení Account Policies (Zásady účtu), obsahující různé restrikce, týkající se
hesel uživatelů. Jelikož se tyto zásady vztahují k heslům uživatelů, mnozí administráto-
ři se domnívají, že se jedná o nastavení uživatelů. Jenomže příslušná nastavení ovliv-
ňují práci s hesly tak, že přímo nastavují či řídí adresářovou databázi toho počítači, na
němž jsou účty uloženy. A proto tyto zásady najdete v uzlu Computer Configuration
(Konfigurace počítače) a nikoliv v uzlu User Configuration (Konfigurace uživatele).
OBRÁZEK 17.24: V typickém objektu zasad skupiny jsou nastavení počítače oddélena od
nastavení uživatele
Existuje jenom omezený počet nástrojů umožňující vyhledání nastaveni počítače, kte-
ré bude mít vliv na uživatelské úcty. Není-li nějaké nastavení objektu zásad zpracová-
váno podle vašich předpokladů, měli byste nejprve určit, zda se jedná o nastaveni
počítače či uživatele. Poté byste měli ve struktuře organizačních jednotek služby Acti-
ve Directory vyhledat příslušné účty. Velmi často se totiž stává, že účty jsou umístěny
660
Kapitola 17 - Časté problémy se zásadami skupin a jejich řešení
ve špatné organizační jednotce, díky čemuž nejsou nastavení objektů zasad zpracová-
vána tak, jak by měla být.
Propojeni objektů zásad
vedoucí k problémům s jejich použitím
Každý vytvořený objekt zásad skupiny musí byt propojen s nějakým kontejnerem
služby Active Directory. Na základě tohoto propojení budou příslušná nastavení pou-
žita všemi účty, nacházejícími se v daném kontejneru. Jak jsme si ukázali v kapitole 4t
návrh a implementace služby Active Directory a objektu zásad vytvářejí základ pro
rozhodování o propojení objektu zásad Dojde-li ke změně filozofie návrhu či roz-
hodne-li se nějaký administrátor začít měnit propojení objektu zásad bez znalosti ná-
sledků, mohou vzniknout problémy. V této sekci najdete popis některých typických
problémů, způsobených špatným či nevhodným propojováním objektů zásad.
Propojování objektů zásad s několika kontejnery
Propojování vytvořených objektů zásad skupin s několika kontejnery služby Active
Direciory rozhodně nelze označit za špatný postup. Ve skutečnosti se tento postup
používá poměrně často, neboť umožňuje redukci počtu potřebných objektů zásad.
Tím je samozřejmě usnadněni i jejich následná sprava. Někdy se však muže stát, že
se administrátor rozhodne propojit nějaký objekt zásad s takovým kontejnerem
služby Active Directory, jehož propojení s daným objektem zásad nebylo v době
návrhu vůbec zamýšleno. Výsledkem mohou být problémy nejen s klientskými po-
čítači, ale i se servery. Administrátor, který takové propojen výtVoří, nemusí mít
dostatečné zkušenosti s objekty zásad a návrhem služby Active Directory, aby do-
kázal dopředu a správně odhadnout následky.
Chybná propojení objektů zasad však mohou vést ke ztrátám dat, snížení dostup-
nosti či finančním ztrátám, a to v důsledků jediného nastavení objektu zásad, ovliv-
ňujícího účty, nacházející se v tom kontejneru služby Active Directory, s nímž je
daný objekt propojen. Bez patřičné dokumentace může byt vyhledání těchto chyb-
ných propojení velmi obtížné. Pomocí následujících nástrojů můžete vyhledat
všechny objekty zásad, mající vliv na určitý účet. Nebudete-li však mít jasná pravi-
dla pro vytváření názvů objektů zasad či dobrou dokumentaci, pak ani tyto nástroje
nemusí být pro řešení vašich problému dostatečné.
	Resultant Set of Policies (Výsledná sada zásad) Tento nástroj lze spustit na
klientském počítači a s jeho pomocí určit, k jakým změnám konfigurace vedla
konečná nastavení.
	GPRESULT Nástroj, podobný předchozímu; na rozdíl od něj se však spouští
z příkazového řádku.
	Group Policy Modeling (Modelování zásad skupiny) Tento nástroj lze spustit
pomocí Group Policy Management Console. S jeho pomocí mužetf • určit, jaká bu-
dou konečná nastavení zásad a který objekt zásad bude tato nastavení obsahovat.
Viz též Více informací o práci s uvedenými nástroj; najdete v kapitole 16.
Řešení problémů s implementací
661
Správa objektů zčsad propojených s několika kontejnery
Při správě objektu zásad skupin pomocí konzoly Group Policy Management Conso-
le je vždy dobré si jesle před provedením jakýchkoliv změn zasad prohlédnout
vazby daného objektu na kontejnery služby Active Directory. Obvykle předem víte,
že změny objektu zásad ovlivní jen určité účty služby Active Directory, nicméně
vámi provedené změny mohou mít vliv i na další účty, umístěné v jiných oblastech
služby Active Directory, se kterými je objekt zásad také propojen.
Při aktualizaci nastavení objektu zásad propojených s několika kontejnery služby
Active Directory byste měli respektovat dvě základní doporučení. Zaprvé byste měli
vybraný objekt zásad upravovat v uzlu Group Policy Objects. který najdete v Group
Policy Management Console. Budete tak nuceni přemýšlet o celé struktuře služby
Active Directory a o možnosti, že upravovaný objekt zásad je propojen s několika
kontejnery této služby. Zadruhé ještě před provedením jakýchkoliv úprav v objektu
zásad byste si měli prohlédnout všechny kontejnery služby Active Directory, se kte-
rými je daný objekt propojen. Pokud v Group Policy Management Console klepne-
te na vybraný objekt, najdete všechny jeho vazby na kartě Scope. Ukázku tohoto
dialogu vidíte na obrázku 17.25. Z obrázku je zřejmé, že na kartě Scope najdete
přímo seznam všech kontejneru, s nimiž je vybraný objekt propojen.

OBRÁZEK 17.25: Group Policy Management Console umožňuje zobrazení seznamu všech
kontejnerů, s nimiž je vybraný objekt zásad propojen
Řešení problémů
Účty nejsou umístěny
ve správné organizační jednotce
Organizační jednotky jsou určeny pro ukládám účtu počítačů a uživatelů. Nenl-li
účet umístěn ve .správné organizační jednotce, pak je zřejmé, že příslušné zásady
nebudou tímto účtem vůbec zpracovány a použity. V následujících sekcích si uká-
žeme několik typických situaci umístěni účtů v nesprávných organizačních jednot-
kách, vedoucích k nemožnosti zpracování objektu zásad.
62
Kapitola 17 - Časté problémy se zásadami skupin a jejich řešení
Důvody umístěni účtů v nesprávných organizačních jednotkách
Pokud účet není umístěn ve správné organizační jednotce, pak nebude schopen
zpracovávat požadované objekty zásad skupin. Podobným drobným přehlédnutím
se můžete většinou vyhnout tak, že při provádění změn budete postupovat podle
správných postupu pro provádění změn. Avšak ani používáni těch nejdokonalejších
postupu nezajistí, že občas nebude nějaký účet vložen do nespraxne části struktury
služby Active Directory. Níže najdete přehled některých běžných důvodů umístění
účtů do nesprávných organizačních jednotek:
	Nově vytvořeny účet počítače či uživatele je omylem umístěn do nesprávné or-
ganizační jednotky.
	Po implementaci struktury služby Active Directory nebyly účty počítačů či uživa-
telů přesunuty’ z kontejneru Computers či Users.
	Po změně struktury organizačních jednotek nebyly příslušné účty přesunuty.
	Objekt služby Active Directory představující zaměstnance či jeho počítač nebyl po
přechodu zaměstnance do jiného oddělení přesunut do nové organizační jednotky.
	Po implementaci nové struktury organizačních jednotek nebyly některé účty po-
čítačů či uživatelů přesunuty do správných organizačních jednotek.
Nesprávný účet v organizační jednotce
Nastavení objektu zásad skupin mohou platit pro účty počítačů nebo pro účty uži-
vatelů. Jak jsme si řekli již dříve, v některýqb případech je dost obtížné říci, zda se
daná zásada týká počítače či uživatele. Domnívá-li se administrátor, že se daná zá-
sada týká počítače, přičemž ve skutečnosti se jedná o nastavení uživatele, nebude
taková zásada zpracovávána podle očekávaní.
Chcete-li se podobným problémům vyhnout, měl byste se dopředu přesvědčit, zda
se nastavení objektu zásad, která chcete použít, týkají účtů počítačů anebo účtu
uživatelů. Poté byste měli zajistit, že do té organizační jednotky, s níž bude objekt
zásad propojen, budou umísťovány pouze účty správného typu.
Snaha o použití zásad skupin pro účty skupin
Od dob systémových zasad, které byly součástí systému Windows Nl’ 4.0, se mnozí
administrátoři snaží použit nastavení objektu zásad skupin na účty skupin. Systémové
zásady totiž mohly měnit nastavení účtů počítačů a uživatelů na základě jejich členství
ve skupinách. Proto se někteří administrátoři snaží docílit podobného výsledku
i v prostředí služby Active Directory, ovšem bezvýsledně. Níže následuje několik tipu,
které by vám měly pomoci vyhnout se snaze o použiti objektu zásad na účty skupin.
Propojování objektu zasad s organizačními jednotkami
obsahujícími pouze skupiny
Velmi častou chybou je propojení objektů zásad s organizačními jednotkami obsahují-
cími pouze účty skupin. Administrátoři obvykle vychází z předpokladu, že nastaveni
těchto objektu budou zpracována všemi účty uživatelů, zařazenými do daných skupin.
Toto ovšem není pravda: objekty zasad skupin mohou byt použity pouze účty počíta-
čů a uživatelů, nikoliv skupin, a proto předpokládaný proces nemůže fungovat.
Řešení problémů s implementací
663
Všechny nástroje, ktere pomáhají vyhledat objekty zásad skupin zpracovávané počí-
tačem či uživatelem, vám tento základní koncept objektu zásad potvrdí. Nástroje
typu Resultant Set of Policy (Výsledná sada zasad), GPRESULT či Group Policy Mo-
deling vynechávají všechny objekty zásad, snažící se o změnu nastavení účtu počí-
tačů či uživatelů na základě jejich členství ve skupinách.
Toto omezení některé administrátory stále mate, nicméně můžeme vám nabídnout
jednoduchou pomůcku, která vám vždy spolehlivě připomene, že objekty zásad mají
vliv pouze na účty počítačů a uživatelů: když si otevřete objekt zásad v příslušném edi-
toru, uvidíte pouze dvě základní sekce - Computer Configuration (Konfigurace počí-
tače) a User Configuration (Konfigurace uživatele). Nenajdete zde nic, co by bylo
nazváno Group Configuration (Konfigurace skupiny)! Tímto vam systém připomíná,
že objekty zásad nemají na účty skupin ci jejich členy žádný vliv.
Nastavení filtrování zabezpečení, které by mělo zajistit zpracován
objektů zásad úcty skupin
Administrátoři se někdy snaží upravit seznam řízení přístupu nějakého objektu zá-
sad tak, aby nastavení daného objektu byla platná pro členy nějaké skupiny, lato
snaha však nebude mít žádný výsledek. Podíváte-li se totiž na standardní nastavení
seznamu řízem přístupu objektu zásad, pak ihned uxidíte, proč zmíněná snaha ne-
může vést k žádnému výsledku.
Všechny účty počítačů a uživatelů standardně načítají nastavení objektů zásad pro-
střednictvím skupiny Authcnticated Users, a lo na základě jejích oprávnění, defino-
vaných v seznamu řízení přístupu. Platí totiž, že členem této skupiny se stává každý
účet počítače či uživatele, který je úspěšně ověřen službou Active Directory. Pokud
se pak nějaký administrátor snaží do seznamu řízení přistůj ni přidat další skupinu
v naději, že tím zajíst’ zpracování nastavení daného objektu zasad všemi členy teto
skupiny, pak touto akcí pouze dupliku je již nastavená oprávněni
Je nutné zdůraznit, že účet počítače či uživatele musí být umístěn v té organizační jed-
notce, s níž je daný objekt zasad propojen. (Případně se může nacházet i v nižších
úrovních, tj. v dalších organizačních jednotkách, vytvořených v rámci té jednotky,
s níž je daný objekt zásad propojen.)
Řešení problému
Viz též Více informací o používaní filtrovaní zabezpečen* objektů zásad skupiny najdete
v kapitole 3.
Konfliktní nastavení ve dvou objektech zásad
Výsledkem implementace zasad skupin je ve většině případu několik objektu zasad.
vztahujících se k cílovým účtům. V některých případech se může slat, že budete mít
několik objektů zásad, ovlivňujících nastavení jednoho cílového účtu. Vyhledaní ta-
kových nastavení, která jsou v konfliktu s jinými nastaveními, pak bývá velmi obtížné.
Samotná skutečnost, že v různých objektech zásad máte konfliktní nastaveni, ještě
nepředstavuje žádny problém. Ovšem nejsou-li tato nastaveni zpracována cílovým
účtem podle vašich představ, pak se muže stát, že počítač či uživatel nebude mít
přístup k nějaké funkci, aplikaci, konfiguraci sítě, nastaveni zabezpečeni a pod To
>4
Kapitola 17 - Časté problémy se zásadami skupin a jejich řešení
samozřejmě povede k výpadkům, lx?hem kterých se budete snažit vyhledat ta kon-
fliktní nastavení, která jsou příčinou problémů.
V této situaci vám může pomoci několik nástrojů připravených firmou Microsoft
a určených ke hledání a řešeni těchto problémů. Musíte však vědět, které nastavení
je příčinou problémů; poté budete schopni poměrně rychle určit, kde se konfliktní
nastaveni nacházejí. Jedna se o ryto nástroje:
	Výsledná sada zásad Tento nástroj lze spustit na klientském počítači a s jeho
pomocí určit, k jakým změnám konfigurace vedla konečná nastavení.
	GPRESULT Nástroj podobný předchozímu; na rozdíl od něj se však spouští
z příkazového řádku.
	Modelování zásad skupiny Tento nastroj lze spustit pomocí konzoly Správa
zásad skupiny (Group Policy Management Console). S jeho pomocí můžete ur-
čit, jaká budou konečná na stmění zásad a který objekt zásad bude tato nasta-
veni obsahovat.
Viz též Více informací o práci s uvedenými nástroji najdete v kapitole 16.
Změna standardního dědění objektů zásad skupin
Při standardním nastavení dědění platí, že výsledná sada zásad je určena kombinací
nastavení platných pro síť, doménu a organizační jednotku. Doporučujeme vám. abys-
te toto standardní dědím a z něj vyplývající postup zpracováni objektu zásad při im-
plementaci služby Active Directory využili a pokud možno se vyhnuli úpravám
standardního procesu zpracování objektu zásad. Ponecháte-li dědění beze změn, pak
jediné problémy, na které můžete narazit, jsou ty, o nichž jsme se bavili v předcházejí-
cích částech této kapr oly. Pokud ovšem změníte standardní dědění a nebudete přitom
dostatečně pozorní, mohou vzniknout další problémy. V následující sekci najdete po-
pis běžných způsobů změn dědění objektů zásad a postupu pro řešení případných
problému.
Vynuceni objektu zásad
Vynucením objektu zásad docílíte toho, že jeho nastavení budou použita všemi
úrovněmi struktury služby Active Directory, nacházejícím* se pod úrovní, s níž je
d.-nv objekt zásad propojen. Je nutné upozornit, že žádnému účtu pak nelze zabrá-
nit ve zpracováni objektu zásad, u něhož je zaškrtnuta volba Vynucené (Enforced).
V kapitole 4 jsme si řekli, že v některých případech je použití této volby ideálním
řešením. Nicméně budete-li používat toto nastavení příliš často a bez uvážení, pak
konečný výsledek vůbec nemusí odpovídat vašim představám.
Domníváte-li se, že nastavení vašich objektů zásad nejsou zpracovávaná správně
proto, že jiné objekty zasad mají nastavenou vlastnost Vvnucené (Enforced). může-
te se pomocí následujících nástrojů pokusit o vyhledání takových nastavení:
	Resukant Set of Policies (Výsledná sada zásad) Tento nástroj lze spustil na
klientském počítači a s jeho pomoci určit, k jakým změnám konfigurace vedla
konečná nastavení.
Řešeni problémů s implementací
665
	GPRESULT Nastroj podobný předchozímu; na rozdíl od něj se však spouští
z příkazové ho řádku.
	Group Policy Modeling Tento nástroj lze spustit pomocí konzoly Group Po-
licy Management Console. S jeho pomocí můžete určit, jaká budou konečná na-
stavení zásad a který objekt zasad bude tato nastavení obsahovat.
	Rozhranii konzoly Group Policy Management Console) V tomto rozhraní
snadno - podle ikony propojení - uvidíte, zda objekt zasad, přiřazený k nějakému
kontejneru služby Active Directory, má nastavenou vlastnost Enforced (Vynucené)
či nikoliv. Jak vidíte na obrázku 17.26, má-li nějaké nastavení vlastnost Enforced
(Vynucené), pak je k ikoně propojeni připojen symbol zámku.
OBRÁZEK 17.26: Propojení objektů zásad, majících nastavenou vlastnost Enforced, lze
rozpoznat podle speciální ikony
Viz tež Více informací o práci s uvedenými nástroji najdete v kapitole 16.
Blokování děděni zásad
Nastavení objektů zásad jsou zpracovávána jedno za druhým, a to nejprve z lokálního
počítače, poté sítě, domi ny a nakonec z organizačních jedndbek. V některých speciál-
ních případech se může stát, že nebudete chtít, aby pro určité účty byla použita všech-
na nastavení ze sítě, domény a některých organizačních jednotek. Použitím nastavení
Block Policy Inheritance (Zablokovat dědičnost zásad) na úrovni domény či organi-
zační jednotky pak můžete negovat nastavení objektů zásad, mající nižší prioritu.
Avšak s ohledem na značnou náročnost implementace zásad a případné problémy,
vyplývající z nesprávného použití tohoto nastavení, byste jej měli používat jen zřídka.
Nastavení Block Policy Inheritance (Zablokovat dědičnost zásad) lze konfigurovat na
úrovni domény či organizační jednotky. To znamená, že v Group Policy Management
Console se můžete přesvědčit, zda toto nastavení není náhodou použito. Podobně ja-
ko v pi ipadě nastavení Fnforced (Vynucené) platí, ze takové nastavení lze poznat
snadno: je-li totiž na úrovni kontejneru nakonfigurováno nastavení Block Policy Inhe-
ritance (Zablokovat dědičnost zásad), pak se u ikony kontejneru objeví modrý vykřič-
ník. Ukázku vidíte na obrázku 17.27. K dalším nástrojům, s jejichž pomoci můžete
zjistit, kde je nastaveno Block Policy Inheritance (Zablokovat dědičnost zásad), patři:
	Resultant Set of Policies (Výsledná sada zásad) Tento nastroj lze spustit na
klientském počítači a s jeho pomocí určit, k jakým změnám konfigurace vedla
konečná nastaveni.
Část 5
Přílohy
V teto části:
Příloha A: Přehled zásad skupiny........................................671
Příloha B: Nové funkce v systému Windows Server 2003 Service Pack 1.....681
Příloha C: Práce se skripty v Group Policy Management Console...........703
Příloha D: Základní informace o šablonách pro správu sady Office 2003...723
Kapitola 17 - Časté problémy se zásadami skupin a jejich řešeni
	GPRESULT Nastroj podobný předchozímu; na rozdíl od něj se vsak spouští
z příkazového řádku.
	Group Policy Modeling Tento nástroj lze spustit pomocí konzoly Group Policy
Management Console. S jeho pomocí můžete určit, jaka budou konečná nasta-
vení zasad a který objekt zásad bude tato nastavení obsahovat.
OBRÁZEK 17.27: Kontejner služby Active Directory, mající nastavenou vlastnost Block Policy
Inheritance (Zablokovat dědičnost zásad)
Viz též Více informací o práci s uvedenými nástroji najdete v kapitole 16.
Filtrováni zabezpečení
Máte-li z důvodu administrace všechny úcty počítačů a uživateli umístěné v jediné
organizační jednotce, neznamená to ještě, že všechny tyto účty musí zpracovávat
stejné objekty zásad. V takovém případě je vhodným řešením použití filtrování za-
bezpečen (ačkoliv dobrý návrh struktury služby Active Directory a organizačních
jednotek by většinu podobných problému vyřešil).
Rozhodnete-li se pro filtrováni zabezpečení, pak mějte na paměti, že výsledkem
muže byt přesně opačný stav: objekty zasad nebudou zpracovávaný všemi těmi
účty, kterými by měly být zpracovány. Potom je nutné zkontrolovat všechna nasta-
vení filtrovaní zabezpečení a opravit nastaveni seznamů řízení přístupu: jedině tak
zajistíte správné zpracování nastavení objektu zásad.
Pro řešení problémů souvisejících s filtrováním zabezpečení můžete použit tytéž
nástroje, o kterých jsme hovořil v předcházejících částech. Patří k nim:
	Resultant Set of Policies Tento nástroj lze spustit na klientském počítači a s jeho
pomocí určit, k jakým změnám konúgurace vedla konečná nastavení.
	GPRESULT Nastroj podobny předchozímu; na rozdíl od něj se však spoušti
z příkazového řádku.
	Group Policy Modeling Tento nástroj lze spustit pomocí konzoly Správa zasad
skupiny tGroup Policy Management Console). Umožňuje určit, jaká budou ko-
nečná nastavení zásad a který objekt zasad bude tito nastavení obsahovat.
	Group Policy Management Console Na kartě Security tohoto rozhraní najdete
seznam řízení přístupu daného objektu zásad. Ukázku zmíněné karty vidíte na
obrázku 17-28.
Shrnutí
667
OBRÁZEK 17.28: Zobrazeni seznamu uživatelů a počítačů, jimž bylo přiřazeno oprávnění ke
zpracování daného objektu zásad
Viz též Více informací o práci s uvedenými nástroji najdete v kapitole 16.
17.4 Shrnutí
Je velmi pravděpodobné, ze v průběhů návrhu, implementace a uprav objektu zá-
sad skupin se setkáte s problémy. Prače s těmito objekty vypadá na první pohled
složitě, avšak jak jsme si ukázali, součásti systému je několik vynikajících nástrojů,
s jejichž pomoci můžete problémy vyhledat, najít nesprávnou konfiguraci a násled-
ně opravit zásady zpracovávané cílovými účty.
Řeítní problémů
Přehled zásad
skupiny
Obsah přílohy:
Přehled informací o uzlu Computer Configuration (Konfigurace poč tače)......671
Přehled informací o uzlu User Configuration (Konfigurace uživatele).........676
Přehled informací o uzlu Computer
Configuration (Konfigurace počítače)
V tomto dodatku najdete stručný přehled informací o zásadách skupiny, obsahující
především odkazy na kapitoly teto knihy či další zdroje zabývající se danou oblastí za-
sad. Cely dodatek tvoří vlastně dvě tabulky. \ tabulce A. 1 najdete přehled jednotlivých
oblastí zásad uzlu Computer Configuration (Konfigurace počítače) spolu s odkazy na
ta místa v knize či na přiložený disk CD, kde je dana oblast popisována. Tabulka A.2 je
v podstatě shodná, zabývá se vsak uzlem User Configuration (Konfigurace uživatele).
n
Přílohy
TABULKA A.1: Odkazy na jednotlivé oblasti uzlu Computer Configuration (Kon-
figurace počítače)
Oblast zásad skupiny:	Popis najdete:
Software Settings\Software Installation	Kapitola 9 „Zavádění a správa softwaru pro-
(Nastavení softwaruMnstalace softwaru)	střednictvím zásad skupiny"
Windows SetimgsXScripts	Kapitola 7 „Správa už-vatelských nastavení a
(Nastavení systému Windows\Skripty)	dat"
	Windows SettingsXSecurity Settings (Nasta- Kapitola 5 „Zpřísňováni režimu klientů a serverů"
vení systému Windows\Nastavení zabezpe-
čení)
	Windows SettingsXSecurity Settings\Account
Polides (Nastaveni systému Win-
dows\Nastavení zabezpečení\Zásady účtů)
	Windows SettingsXSecurity SettingsXLocal
Polides (Nastavení systému Win-
dowsXNastavení zabezpečemAMístní zásady)
	Windows SettingsXSecurity Settings\Event
Log (Nastavení systému Windows\Nastavení
zabezpečemAProtokol událostí)
	Windows SettingsXSecurity Set-
tingsXRestricted Groups (Nastavení systému
Wmdows\Nastavení zabezpečemASkupiny
s omezeným členstvím)
	Windows SettingsXSecurity Settings\System
Services (Nastavení systému Win-
dows\Nastavení zabezpečen í\Systemové
služby)
	Windows SettingsXSecurity SettingsXRegistiy
(Nastavení systému Windows\Nastavení za-
bezpečemARegistr)
	Windows SettingsXSecurity SettingsXFile
System (Nastavení systému Windows\Nas-
tavení zabezpečeniASystém souborů)
Windows SettingsXSecurity SettingsWireless
Network Polides (Nastavení systému Win-
dows\Nastaveni zabezpečemAZasady bezdrá-
tové sítě))
Tabulka popisující zasady skupiny dostupná na
webové adrese
http://www.microsoft.com/dcwnloads/
detai1s.aspx?FamilyId=7821C32F-DA15-
438D-8E48-45915CD2BC148&displaylang=en
Windows SettingsXSecurity SettingsXPublic Key Kapitola 11 „Správa bezpečné síťové komunikace
Polides (Nastaveni systému Win-
dows\Nastavení zabezpečemAZásady veřejných
klíčů)
Příloha A - Přehled zásad skupiny
673
Oblast zásad skupiny:	Popis najdete:
Windows SettingsXSecurity Settings\Software Kapitola 9 „Zavádění a správa softwaru pio-
Restriction Policies (Nastavení systému Win- střednictvím zásad skupiny"
dows\Nastavení zabezpečení\Zásady omezení
softwaru)
Windows Settings\Security SettingsX!P Security Kapitola 11 „Správa bezpečné síťové komunikace"
Poliaes on Active Directory (Nastavení systému
Windows\Nastavení zabezpečení\Zásady za-
bezpečení protokolu IP ve službě Active Direc-
tory)______________________________________________________________________________
Administrativě TemplatesWVindows Compo- Tabulka popisující zásady skupiny dostupná na
nents\NetMeeting (Šablony pro sprá-	webové adrese
vu\Součásti systémuWmdows\NetMeeting)	http://www.microsoft.com/downloads/
detai1s.a s px ? Fami1yId=7821C3 2 F-DA15 -
438D-8E48-45915CD2BC148&díspiaylang=en
Administrativě TemplatesWVindows Compo- Kapitola 8 „Správa konfigurací aplikace Internet
nentsMnternet Explorer (Šablony pro sprá- Explorer"
vu\Součásti systému WindowsMnternet
Explorer)
Administrativě TemplatesWVindows Compo- Kapitola 6 „Správa a údržba základních kompo-
nents\Application Compatibility (Šablony pro	nent operačního systému Windows"
správu\Součásti systému Win-
dows\Kompatibilita aplikací)_______________________________________________________
Administrativě TemplatesWVindows Compo- Kapitola 6 „Spiava a údržba základních kompo-
nents\Event Viewer (Šablony pro sprá- nent operačního systému Windows"
vu\Součásti systému Windows\Prohlížeč
událostí)________________________________________________________ __________ 
Administrativě TemplatesWVindows Compo- Kapitola 6 „Správa a údržba základních kompo-
nentsMnternet Information Services (Šablony nent operačního systému Windows"
pro správu\Součásti systému Win-
dowsMnternetová informační služba)
Administrativě TemplatesWVindows Compo- Kapitola 6 „Správa a údržba základních kompo-
nents\Security Center (Šablony pro sprá- nent operačního systému Windows"
vu\Součásti systému Windows\Centrum
zabezpečen í)	_____________________________________________________
Administrativě TemplatesWVindows Compo- Kapitola 6 „Správa a údržba základních kompo-
nents\Task Scheduler (Šablony pro spra- nent operačního systému Windows"
vu\Součásti systému Windows\Plánovač úloh)	____________________
Administrativě TemplatesWVindows Compo- Kapitola 12 „Vytváření vlastních prostředí"
nents\Terminal Services (Šablony pro sprá-
vu\Součásti systému Windows\Terminálové
služby)	_ _____
Ořilnhv
Přílohy
Oblast zásad skupiny:
Administrativě TemplatesWVindows Compo-
nentsWVmdows Explorer (Šablony pro sprá-
vu\Součásti systému Windows\Průzkumník
Windows)
Popis najdete:
Kapitola 6 „Správa a údržba základních kompo-
nent operačního systému Windows"
Administrativě TemplatesWVindows Compo-
nentsWVindows Installer (Šablony pro sprá-
vu\Součásti systému WindowsMnstalační
služba systému Windows)
Kapitola 6 „Správa a údržba základních kompo
nent operačního systému Windows"
	Administrativě TemplatesWVindows Compo-
nentsWVindows Messenger (Šablony pro
správu\Součásti systému Windows\Služba
Windows Messenger)
	Administrativě TemplatesWVindows Compo-
nentsWVindows Media Digital Rights Ma-
nagement (Šablony pro správu\Součásti
systému Windows\Správa práv k digitálním
médiím služby Windows Media)
Tabulka popisující zásady skupiny dostupná na
webové adrese
http:/ /www.microsoft.com/downloacis/
detai ls.aspx?Fami‘ly!d=7821C32F-DA15-
438D-8E48-45915CD2BC148&dispiaylang=en
	Administrativě TemplatesWVindows Compo-
nentsWVindows Movie Maker (Šablony pro
správu\Součásti systému Wmdows\Aplikace
Windows Movie Maker)
Administrativě TemplatesWVindows Compo-
nentsWVindows Update (Šablony pro sprá-
vu\Součásti systému WindowsWVindows
Update)
-----
Administrativě TemplatesWVindows Compo-
nentsWVindows Media Player (Šablony pro
správu\Součásti systému WindowsWVindows
Media Player)
Kapitola 6 „Správa a údržba základních kompo-
nent operačního systému Windows"
Tabulka popisující zásady skupiny dostupná na
webové adrese
http://www.microsoft.com/dowrloads/
details.aspx?Family!d=7821C32F-DA15-
438D-8E48-45915CD2BC148&di spiaylang=en
 Administrativě Templates\System
(Šablony pro správu\Systém)
Kapitola 7 „Správa uživatelských nastavení a dat"
	Administrativě Templates\System\User Profiles
(Šablony pro správu\Systém\Profily uživatelů)
	Administrativě Templates\System\Scripts
(Šablony pro správu\Systém\Skripty)
Administrativě Templates\System\Logon Kapitola 6 „Správa a údržba základních kompo-
(Šablony pro správu\Systém\Přihlášení) nent operačního systému Windows"
Administrativě Templates\System\Disk Quotas Tabulka popisující zásady skupiny dostupná na
(Šablony pro správu\Systém\Diskové kvóty) webové adrese
http://www.microsoft.com/downloads/
detai1s.aspx?FamilyId=7821C32F-DAl5-
438D-8E48-45915CD2BC148&dispiaylang=en
Příloha A - Přehled zásad skupiny
675
Oblast zásad skupiny:	Popis najdete:
Administrativě Templates\System\Net Logon Kapitola 6 „Správa a údržba základních kompo-
(Sablony pro správu\Systém\Pňhlašování k síti) nent operačního systému Windows"
Administrativě Templates\System\Group Policy Tabulka popisující zásady skupiny dostupná na
(Šablony pro správu\Systém\Zásady skupiny) webové adrese
http://www.microsoft.com/downloads/
details.aspx?Family!d=7821C32F-DA15-
438D- 8E48-45915CD2BC148&di sp1ay1 ang=en
	Administrativě Templates\System\Remote Kapitola 6 „Správa a údržba základních kompo-
Assistance (Šablony pro sprá-	nent operačního systému Windows"
vu\Systém\Vzdálená pomoc)
	Administrativě Templates\System\System
Restore (Šablony pro sprá-
vu\Systém\Obnovení systému)
	Administrativě Templates\System\Error Re-
porting (Šablony pro správu\Systém\Zasílání
zpráv o chybách)
Administrativě Templates\System\Windows Filé Kapitola 5 „Zpřísňování režimu klientů a serverů"
Protection (Šablony pro správu\Systém\Prog-
ram Ochrana souborů systému Windows)
Administrativě Templates\System\Remote Pro- Kapitola 6 „Správa a údržba základních kompo-
cedure Call (Šablony pro sprá-	nent operačního systému Windows"
vu\Systém\Vzdálené volání procedur (RPC))
Administrativě Templates\System\Windows
Time Service
(Šablony pro správu\Systém\Systémový čas)
Tabulka popisující zásady skupiny dostupná na
webové adrese
http://www.microsoft.com/down1oads/
details.aspx?FamilyId=7821C32F-DA15-
438D-8E48-45915CD2BC148&di spiay1ang=en
Administrativě TemplatesMnternet Communi- Kapitola 8 „Správa konfigurací aplikace Internet
cation Management (Šablony pro sprá- Explorer"
vu\Systém\Správa internetové komunikace) 
Administrativě Templates\System\Distributed Tabulka popisující zásady skupiny dostupná na
COM (Šablony pro správu\Systém\Model Dis- webové adrese
tributed COM)	http://www.microsoft.com/downloads/
details.aspx?FamilyId=7821C32F-DA15-
438D-8E48-45915CD2BC148&dispiay1ang=en
Administrativě Templates\Network	Kapitola 11 „Správa bezpečné síťové komunikace'
(Šablony pro správu\Síť)	_________
 Administrativě Templates\Network\Microsoft Tabulka popisující zásady skupiny dostupná na
Peer-to- Peer (Šablony pro správu\Síť\Služby
sítě rovnocenných počítačů (Peer to peer))
 Administrativě Templates\Network\DNS Cli-
ent (Šablony pro správu\Síť\Klient DNS)
webové adrese
http://www.microsoft.com/downloads/
detai 1 s .aspx?Fami ly!d=7821C32F-DM5-
438D-8E48-45915CD2BC148&di spiaylang=en
 Administrativě Templates\Network\Offline
Files (Šablony pro správu\Síť\Soubory offline)
6
Přílohy
Oblast zásad skupiny:
Administrativě Templates\Network\Network
Connections (Šablony pro správu\Síť\Sítbvá
připojení)
Popis najdete:
Kapitola 11 „Správa bezpečné síťové komunikace"
	Administrativě Templates\Network\QoS
Packet Scheduler (Šablony pro sprá-
vu\Síť\Plánovač paketů technologa? QoS)
	Administrativě Templates\Network\SNMP
(Šablony pro správu\Síť\SNMP)
	Administrativě Templates\Network\
Background Intelligent Transfer Service (Šab-
lony pro správu\Síť\Služba inteligentního
přenosu na pozadí (BITS))
	Administrativě TemplatesXPrinters
(Šablony pro správu\Tiskárny)
Tabulka popisující zásady skupiny dostupná na
webové adrese
http://www.microsoft.com/downloads/
detai1s.aspx?Family!d=7821C32F-DA15-
438D-8E48-45915CD2BC148&di spiaylang-en
Přehled informací o uzlu User Configuration
(Konfigurace uživatele)
TABULKA A.2: Odkazy na jednotlivé oblasti uzlu User Configuration
(Konfigurace uživatele)
Oblast zásad skupiny:	/ Popis najdete:
 Software Settings\Software Installation Kapitola 9 „Zavádění a správa softwaru pro-
(Nastavení softwaruMnstalace softwaru) střednictvím zásad skupiny"
 Windows Settings\Remote Installation Servi-
ces (Nastavení systému Windows\Služba
vzdálené instalace)
Windows Settings\Scripts	Kapitola 7 „Správa uživatelských nastavení a dat"
(Nastavení systému Windows\Skripty)
Windows Settings\Security Settings
(Nastavení systému Windows\Nastavení za-
bezpečení)
Windows Settings\Security Settings\Public Key Kapitola 11 „Správa bezpečné síťové komunikace"
Policies (Nastavení systému Windows\Nastavení
zabezpečení\Zásady veřejných klíčů)	t
Windows SettingsVSecurity Settiiigs\Software Kapitola 9 „Zavádění a správa softwaru pro-
Restriction Policies	střednictvím zásad skupiny"
(Nastavení systému Windows\Nastavení za-
bezpečenAZásady omezení softwaru)
Windows Settings\Folder Redirection (Nasta- Kapitola 7 „Správa uživatelských nastavení a dať
vení systému Windows\Přesměrování složky)
řřloha A - Přehled zásad skupiny
677
Oblast zásad skupiny:	Popis najdete:
Windows SettingsXInternet Explorer Mainte- Kapitola 8 „Správa konfigurací aplikace internet
nance (Nastavení systému Windows\Údržba	Explorer"
aplikace Internet Explorer)
Administrativě TemplatesWVindows Compo-
nents\NetMeeting (Šablony pro sprá-
vuXSoučásti systému WindowsXNetMeeting)
Tabulka popisující zásady skupiny dostupná na
webové adrese
http://www.microsoft.com/down1oads/
detai1s.aspx?Family!d=7821C32F-DA15-
438D-8E48-45915CD2BC148&dispiay1ang=en
AdministrativěTemplatesWVindows Compo- Kapitola 8 „Správa konfiguraci aplikace Internet
nentsXInternet Explorer (Šablony pro sprá- Explorer"
vuXSoučásti systému WindowsXInternet Explorer)
	Administrativě TemplatesWVindows Compo- Kapitola 6 „Správa a údržba základních kompo-
nents\Application Compatibility (Šablony pro nent operačního systému Windows"
správuXSoučásti systému Win-
dows\Kompatibilita aplikací)
	Administrativě TemplatesWVindows Compo-
nents\Attachment Manager (Šablony pro sprá-
vu\Součásti systému Windows\Správce příloh)
	Administrativě TemplatesWVindows Compo-
nentsWVindows Explorer (Šablony pro sprá-
vu\Součásti systému WindowsXPrůzkumník
Windows)
	Administrativě TemplatesXWindows Compo-
nentsXMicrosoft Management Console (Šab-
lony pro správuXSoučásti systému WindowsX
Konzola Microsoft Management Console)
	Administrativě TemplatesXWindows Compo-
nentsXTask Scheduler (Šablony pro sprá-
vuXSoučásti systému WindowsXPlánovač úloh)_________________________________________
Administrativě TemplatesXWindows Compo-
nentsXTerminal Services
(Šablony pro správuXSoučásti systému Win-
dowsXTerminálové služby)
Administrativě TemplatesXWindows Compo-
nentsXWindows Installer
(Šablony pro správuXSoučásti systému Win-
dowsXInstalační služba systému Windows)
Administrativě TemplatesXWindows Compo-
nentsXWmdows Messenger
(Šablony pro správuXSoučásti systému Win-
dowsXSlužba Windows Messenger)
Kapitola 12 „Vytváření vlastních prostředí"
Kapitola 6 „Správa a údržba základních kompo-
nent operačního systému Windows"
tabulka popisující zásady skupiny dostupná na
webové adrese
http://www.microsoft.com/downloads/
detai1s.a spx ? Fami1yId=7821C32 F-DA15 -
438D-8E48-45915CD2BC148&di spiaylang=en
U jy
příloha
Mové funkce
v systému
Windows
Server 2003
rvice Pack 1
78
Přílohy
Oblast zásad skupiny:	Popis najdete:
Administrativě TemplatesWVindows Compo- Kapitola 6 „Správa a údržba základních kompo-
nentsWVindows Update	nent operačního systému Windows"
(Šablony pro správu\Součásti systému Win-
dowsWVindows Update)
	Administrativě TemplatesWVindows Compo-
nentsWVindows Movie Maker (Šablony pro
správu\Součásti systému Windows\Aplikace
Windows Movie Maker)
	Administrativě TemplatesWVindows Compo-
nentsWVindows Media Player (Šablony pro
spravu\Součásti systému WíndowsWVindows
Media Player)
Tabulka popisující zásady skupiny dostupná na
webové adrese
http://www.microsoft.com/downloads/
details.aspx?Family!d=7821C32F-DA15-
438D-8E48-45915CD2BC148&di spiay1ang=en
	Administrativě Templates\Start Menu and
Taskbar (Šablony pro správu\Nabídka Start
a Hlavní panel)
	Administrativě Templates\Desktop
(Šablony pro správu\Plocha)
	Administrativě Templates\Control Panel
(Šablony pro správu\Ovládací panely)
	Administrativě Templates\Control Panel\Add
or Remove Programs
(Šablony pro správu\Ovládací panely\Přidat
nebo odebrat programy)
	Administrativě Templates\Control Pa-
nel\Display (Šablony pro správu\Ovládací
panely\Zobrazení)
	Administrativě Templates\Control Pa-
nel\Printers (Šablony pro správu\Ovládací
panely\Tiskárny)
	Administrativě Templates\Control Pa-
nel\Regional and Language Options (Šablo-
ny pro správu\Ovládací panely\Místní
a jazykové nastavení)
	Administrativě Templates\Control Pa-
nel\Shared Folders (Šablony pro sprá-
vu\Ovládací panely\Sdílené složky)
Administrativě Templates\Network	Kapitola 11 „Sprava bezpečné síťové komunikace"
(Šablony pro správu\Síť)	_
Administrativě Templates\Network\Offline Files Tabulka popisující zásady skupiny dostupná na
(Šablony pro správu\Síť\Soubory offline) webové adrese
http://www.microsoft.com/downloads/
deta i 1s.a spx? Fami1yId=7821C32F-DA15 -
438D 8E48-45915CD2BC148&dispiaylang=en
Příloha A - Přehled zásad skupiny
679
Oblast zásad skupiny:
Administrativě Templates\Network\Network
Connections
(Šablony pro správu\Síť\Síťová připojení)
Popis najdete:
Kapitola 11 „Správa bezpečné síťové komunikace"
Administrativě Templates\System
(Šablony pro spravu\Systém)
	Administrativě Templates\System\User Profiles Kapitola 7 „Správa uživatelských nastavení a dat"
(Šablony pro správu\Systém\Profily uživatelů)
	Administrativě Templates\System\Scripts
(Šablony pro správu\Systém\Skripty)
	Administrativě Templates\System\Ctrl+
Alt+Del Options
(Šablony pro správu\Systém\Možnosti kláve-
sové zkratky Ctrl+Alt+Del)
	Administrativě Templates\System\Logon
(Šablony pro správu\Systém\Přihlášení)
	Administrativě Templates\System\Disk Quotas
(Šablony pro správu\Systém\Diskové kvóty)
	Administrativě Templates\System\Net Logon
(Šablony pro správu\Systém\Přihlašování k síti)
	Administrativě Templates\System\Group Policy
(šablony pro správu\System\Zásadv skupiny)
	Administrativě Templates\System\Power
Management (Šablony pro sprá-
vu\Systém\Napájení)
Tabulka popisující zásady skupiny dostupná na
webové adrese
http://www.microsoft.com/downl oads/
detai1s.aspx?FamilyId=7821C32F-DA15-
438D-8E48-45915CD2BC148&di spiay1ang=en
Administrativě TemplatesMnternet Communi- Kapitola 8 „Správa konfigurací aplikace Internet
cation Management (Šablony pro sprá- Explorer"
vu\Správa internetové komunikace)
12
Přílohy
Obsah přílohy:
Adprep...................................................................  683
Nástroje pro správu........................................................683
Nastavení funkcí prohlížeče Internet Explorer..............................685
Zabezpečení akcí odkazů URL v prohlížeči Internet Explorer...............  687
Výsledná sada zásad........................................................688
Aktualizace zabezpečení po instalaci...................................    692
Průvodce konfigurací zabezpečení.....................................      693
Brána firewall systému Windows.............................................694
Součástí systému Windows Server 2003 Service Pack 1 je sada nových technologií,
zvyšujících jeho zabezpečení a snižujících tak riziko úspěšného útoku na tento sys-
tém. Další novinkou systému jsou nástroje usnadňující nastavení jeho zabezpečení.
Některé z těchto technologií již znáte ze systému Windows XP Service Pack 2;
mnohé další jsou však specifické pro operační systémy řady Windows Server. Sou-
časně je nutné zdůraznit, že implementace jedne funkce v serverovem operačním
systému se muže značně lišit od implementace téže funkce v operačním systému
určeném pro běžné pracovpí stanice.
Nove technologie zabezpečení přináší rozšíření funkci systému především v těchto
oblastech:
	ve Správě, zabezpečeni a výkonu,
	ve souborových a tiskových službách a v oblasti nástrojů pro týmovou spolu-
práci,
	v internetových, aplikačních a síťových službách
r Poznámka Výsledný přínos všech těchto změn je podstatné zvýšení obtížnosti jakéhokoliv
útoku na systém Windows Server 2003 - a to i v případě, nejsou-li nainstalovány poslední
aktualizace systému.
Tento dodatek se věnuje především těm změnám v systému Windows Server 2003
SPI, které mají vliv na zásady skupiny. Proto v něm nenajdete popis změn zajišťují-
cích aktualizaci registru, ale nemajících žádný vliv na zásady skupiny (ačkoliv - jak
jsme si ukazali v kapitolách 14 a 15 - tyto hodnoty se díky šablonám pro správu či
šablonám zabezpečení mohou stát součástí zásad skupin).
Další informace:
	Přehled všech změn, které jsou součástí systému Windows Server 2003 SPI, na-
jdete na adrese http://www.microsoft.com/downloads/details.aspx7familyid*
C3C26254-8CE3-46E2-B1B6-3659B92B2CDF&di spiay1 ang=en.
	Na adrese http://go.microsoft.com/fwl ink/?LinkId=l5165 najdete tabulku „Group
Policy Settings Reference for .adm Files and Security Settings Included with Win-
dows XP Professional Service Pack 2”, obsahující informace o všech novinkách
Příloha B - Nové funkce v systému Windows Server 2003 Service Pack 1
683
týkajících se šablon pro správu a nastavení zabezpečení v systému Windows XP
Service Pack 2.
Adprep
Adprep.exe je nástroj spouštěný z příkazového řádku a umožňující přípravu domé-
ny či doménové struktury s řadiči se systémem Windows 2000 Server k přechodu
na systém Windows Server 2003. V předcházejících verzích systému Windows Ser-
ver 2003 byla po spuštěni příkazu adprep /domainprep všem objektům zasad sku-
pin uloženým ve složce SYSVOL přidána nová dědičná položka řízení přístupu. Ta
zaručovala řadičům domény oprávnění ke čtení všech objektu zásad skupin, čímž
byla zajištěna funkcionalita výsledné sady zásad i pro zásady platné pro sít. Služba
replikace souborů rozpoznala přidání léto položky a vzápětí iniciovala synchroni-
zaci všech objektů zásad skupin ve složce SYSVOL.
V případě systému ^Windows Sener 2003 SPI již tato položka není objektům zásad
skupin umístěným ve složce SYSVOL přidána po spuštění příkazu adprep
/domainprep: její přidání zajišťuje nový přepínač (/gpprep) příkazu adprep. To zna-
mená že administrátoři nyní mohou provést aktualizaci seznamu řízení přístupu
všech objektů zásad tehdy, kdy sami potřebuji.
Díky tomu, že administrátoři nyní mohou sami rozhodnout o terminu aktualizace
seznamu řízení přístupu objektů zásad, lze tuto operaci plánovat jako jeden z kroků
přechodu na systém Windows Server 2003. V případě firem, které mají větší počet
objektu zásad umístěných ve složce SYSVOL či pomalá spojení mezi jednotlivými
servery, by totiž synchronizace spuštěná příkazem adprep /domainprep mohla velmi
nepříznivě ovlivnit celý plán přechodu na systém Windows Server 2003.
M Tip Instalaci řadiče domény se systémem Windows Server 2003 můžete zahájit již po spuštění
příkazů adprep /forestprep a adprep /domainprep. Mějte však na paměti, že výsledné
sady zásad budou funkční až po spuštění příkazu adprep /gpprep.
Nástroje pro správu
Nástroji pro správu se v systému Windows Server 2003 SPI označuje sada modulu
snap-in konzoly Microsoft Management Console, které slouží ke správě uživatelů,
počítačů, služeb a dalších systémových komponent jak na lokálních, tak i na vzdá-
lených počítačích.
Je-li na počítači spuštěn firewall systému Windows, pak tyto moduly snap-in využí-
vají pro správu dva systémem generované dialogy: Select Users, Computers, Or
Groups a Find Users, Contacts, And Groups. První z nich je určen k provádění ná-
sledujících úkonu:
	Nastavování seznamů řízení přístupu u sdílených složek
	Výběr vzdáleného počítače, se kterým má daný modul snap-in začít pracovat
	Správa místních uživatelů a skupin
Přílohy
Dialog Fmd Users, Contacts, And Groups lze použít k těmto účelům:
	Vyhledávaní prostředků v síti pomocí služby Active Directory v dialogu My Ne-
twork Places (Místa v síti)
	Vyhledání tiskárny pomocí průvodce Add Printer Wizard (Průvodce přidáním tis-
kárny)
	Vyhledání objektů v adresáři pomocí modulu snap-in Active Directory Users and
Computers (Uživatelé a počítače služby Active Directory)
Oba dialogy se. používají ke hledání a výběru objektů, iako např. uživatelů, ‘počíta-
čů, tiskáren a dalších zaregistrovaných objektů zabezpečení definovaných buď na
lokálním počítači, či v databázi služby Active Directory. Ačkoliv tyto dialogy mohou
být využity i jinými aplikacemi, v tomto dodatku se budeme věnovat jenom těm
změnám, které mají vliv na práci s níže uvedenými nástroji pro správu.
V případě následujících nástrojů pro správu platí, že má-li být možné připojení ke
vzdálenému počítači, pak daný cílový počítač musí mít povolenou příchozí síťovou
komunikaci na portu 445 protokolu TCP. Je-li však na daném vzdáleném počítači
spuštěn firewall systému Windows, je možné, že uvedena příchozí komunikace je
zakázána. V takovém případě se může stát, že při pokusu o připojení se vám zob-
razí některé z uvedených chybových hlášení:
	Failed to open Group Policy object on Computer.Name.
You might not háve
appropriate rights.
	Detai1s: The network path was not found.
Tyto chyby se mohou objevit především tehdy, pokouši!e-li se pro vzdálenou sprá-
vu použít některý z následujících modulů snap-m konzoly MMC:
	Group Policy’ (Zásady skupiny)
	IP Security Policy (Zásady zabezpečení protokolu IP)
	Resultant Set of Policy (Výsledná sada zásad)
Chcete-li tyto nástroje použít k připojení ke vzdálenému počítači se spuštěným fi-
rewallem systému Windows, musíte v nastavení firewallu otevřít port 445. Otevření
portu 445 lze provést takto:
1. Klepněte na tlačítko Start, poté vyberte All Programs (Všechny programy), dále
zvolte Accessories (Příslušenství) a nakonec klepněte na Command Prompt (Pří-
kazový řádek).
2. V dialogu příkazového řádku napište příkaz netsh firewall set portopening
TCP 445 ENABLE a stiskněte klávesu Enter.
Upozornění Otevření portů firewallu znamená zvýšené bezpečnostní riziko. Proto byste měli
každou podobnou změnu nejprve důkladně otestovat.
Příloha B - Nové funkce v systému Windows Server 2003 Service Pack 1
685
Nastavení funkcí
prohlížeče Internet Explorer
Součástí systému Windows XP SP2 se staly nové klíče a hodnoty registru umožňují-
cí nastavení funkcí prohlížeče Internet Explorer. Tyto funkce zabezpečení, spravo-
vané pomocí technologie Feature Control (Nastavení funkcí), se staly i součástí
systému Windows Server 2003 SPI. V této sekci najdete popis nastavení registru
pro každou funkci zabezpečení.
Upravený soubor Inetres.adm obsahuje všechna nastavení funkcí zabezpečení jako
zásady. To znamená, že administrátoři mohou řídit tato nastavení pomocí objektů
zásad skupin. Po dokončení standardní instalace prohlížeče Internet Explorer najde-
te v klíči HKEY_LOCAL_MACHINE následující funkce zabezpečení. Použijete-li k jejich
správě zásady skupiny, budete je moci nastavit buď v uzlu Computer Configuration
(Konfigurace počítače — HKEY_LOCAL_MACHINE), nebo v uzlu User Configuration
(Konfigurace uživatele - HKEY_CURRENT_USER).
K novým zásadám Feature Control (Nastavení funkcí) patří:
	Binary Behavior Security Restriction (Zabezpečení omezením chování binárních dat)
	MK Protocol Security Restriction (Omezení zabezpečení protokolu MK)
	Local Machine Zone Lockdown Security (Uzamčení zóny místního počítače)
	Consistent MIME Handling (Konzistentní práce s rozšířeními MIME)
	Mime Sniffing Safety Feature (Analýza rozšíření Mime)
	Object Caching Protection (Ochrana objektů v mezipaměti)
	Scripted Window Security Restriction (Omezeni otevíráni oken pomocí skriptů)
	Protection From Zone Elevation (Ochrana před zvýšením úrovně zóny)
	Information Bar (Informační panel)
	Restrict ActiveX Install (Omezit instalaci modulů ActiveX')
	Restrict Filé Download (Omezit stahování souborů)
	Add-on Management (Správa doplňků)
	Network Protocol Lockdown (Uzamčení síťového protokolu)
Správa nastavení funkcí zabezpečení
Všechny zásady týkající se Feature Control (Nastavení funkcí) lze spravovat pomocí
konzoly GPMC (Správa zásad skupiny). Zásady počítače najdete v tomto uzlu:
\Compiiter ConfigurationXAdministrative lemplatesXWindows
ComponentsXInternet ExplorerXSecurity Features
(\Konfigurace počítačeXŠablony pro správuXSoučásti systému WirdowsXlnternet
ExplorerXFunkce zabezpečení)
Zásady uživatele pak hledejte v tomto uzlu:
Xllser ConfigurationXAdministrat1 ve TemplatesXWindows ComponentsXInternet
FxplorerXSecurity Features
86
Přílohy
(\Konfigurace uživatele\Šaolony pro správu\Součástí systému
WindowsMnternet Explorer\Funkce zabezpečení)
Platí, že nejprve musí být povolena zásada dan< funkce pro celý proces - například
IExplore.exe - a teprve poté mohou byt použity individuální zásady či předvolby
jednotlivých zón.
Administrátoři zásad skupin mohou spravdvat tyto nové zásady v rozšíření Adminis-
trativě Templates (Šablony pro správu) konzoly GPMC (Správa zásad skupiny), pfj
konfiguraci zásad muže administrátor jednotlivé funkce zabezpečení povolit či za-
kázat pro procesy průzkumníka (Internet Explorer a Windows Explorer), pro jím
definované spustitelné procesy či pro všechny procesy WebOC.
S výjimkou zásady Local Mac hine Zone Lockdown Security (Uzamčení zóny místního
počítače) uživatelé v programu Internet Explorer neuvidí žádné nastavení výše uve-
dených zásad. Zásady Feature Control (Nastavení funkcí) totiž mohou být nastaveny
pouze pomocí konzoly GPMC (Správa zásad skupiny), přičemž jednotlivá nastavení
pak lze změnit pouze programově či přímým zásahem do systémového registru.
Konfigurace zásad a předvoleb
Doporučeným nástrojem pro správu prohlížeče Internet Explorer nainstalovaného
na klientských počítačích ve firemní síti jsou zásady skupiny. Jejich prostřednictvím
lze u tohoto prohlížeče spravovat jak nastavení všech funkcí podporovaných sys-
témy Windows XP SP2 či Windows Server 2003 SPI, tak i všech nastavení, která na-
jdete na kartě Security (Zabezpečení), či nastavení akcí odkazů URL. Administrátoři
zásad skupm mohou tato nastavení zasad spravovat pomocí šablon pro správu.
Při implementaci nastavení zásad byste měli v jednom objektu zásad nakonfigurovat
všechna vzorová nastavení a v jiném objektu zásad byste měli konfigurovat všechna
související individuální nastavení zásad. Budete-li pak chtít použít individuální na-
stavení pro určité klientské počítače, budete moci použit všeclmy funkce zasad
skupin umožňující jejich správu (například nastavení priorit)’, dědění či vynucení).
Přitom platí, že uživatele mohou zásady pouze číst; jejich změny smi standardně
provádět pouze administrátoři či jiné osoby mající oprávnění ke změně zásad. Na-
staveni jednotlivých předvoleb lze měnit přímými úpravami registiu anebo - což
platí v případě akcí odkazů URL - přímo v prohlížeči Internet Explorer.
Poznámka Nastavení daná zásadami mají přednost před nastaveními provedenými přímo
v prohlížeči Internet Explorer.
Sada Internet Explorer Administration Kit
Doporučeným nástrojem pro úpravy uživatelských nastavení starších verzí prohlíže-
če Internet Explorer, nainstalovaného na počítačích s operačními systémy předchá-
zejícími Windows XP SP2 a Windows Server 2003 SPI, je sada Internet Explorer
Administration krt (IEAK) 6.0 SPI. Podpora teto sady a procesu IEAK/IEM (Internet
Explorer Maintenance) je shodná i pro ty verze prolijížeče Internet Explorer, které
byly používány v operačních systémech starších než Windows XP SP2. Samotný
proces se nezměnil ani v případě použití teto sady pro nastavování uživatelských
předvoleb v té verzi prohlížeče Internet Explorer, která je použita v systému Win-
Příloha B - Nové funkce v systému Windows Server 2003 Service Pack 1
687
dows Server 2003 SPI, či ve verzích starších. Toto samozřejmě platí i pro Internet
Explorer 6.0, který je součásti jak systému Windows XI5 SP2, tak i Windows Server
2003 SPI. Je však nutné zdůraznit, že skutečná nastavení zásad, která jsou součástí
uvedených verzi operačních systému, lze spravovat pouze pomocí zásad skupin.
* Viz též Více informací o sadě IEAK najdete v článku „Microsoft Internet Explorer 6 Adminis-
. / tration Kit Service Pack 1" na adrese http://go.microsoft.com/fwl i nk/?Li nk!d=26002.
Zabezpečení akcí odkazů URL
v prohlížeči Internet Explorer
Součásti systému Windows XP SP2 se staly skutečné zásady umožňující nastavení kon-
figurovatelných akcí, které najdete na kartě Security (Zabezpečení) prohlížeče Internet
Explorer. Tyto zásady jsou podporovány i prohlížečem Internet Explorer dodávaným
spolu se systémem Windows Server 2003 SPI. Pomoci těchto nastaveni můžete nasta-
vit například méně bezpečné chování prohlížeče v určité zóně zabezpečení. V této
verzi prohlížeče platí, že všechna příslušná nastavení zabezpečení se spravují po-
mocí konzoly GPMC (Správa zásad skupiny); jsou-li nastavena, pak je lze změnit
pouze prostřednictvím objektů zásad skupin či je může změnil administrátor.
Administrátoři mohou spravovat nové zásady zabezpečeni pomocí objektu zásad.
Aktualizovaná šablona Inetres.adm obsahuje stejná nastavení akcí odkazu URL, jaká
najdete v předvolbách prohlížeče Internet Explorer. Po instalaci prohlížeče jsou do
klíče HKEY_CURRENT_USER zapsána stejná výchozí nastaveni těchto akcí odkazů URL,
jaká byla používána i v předcházejících verzích prohlížeče.
Poznámka Z akcí odkazů URL lze vytvořit zásady pouze pomocí modulu snap-in GPMC (Sprá-
va zásad skupiny). Administrátoři zásad skupin pak mohou shodné konfigurovat nové zása-
dy zabezpečení akcí odkazů URL jak pro všechny počítače, tak i pro všechny uživatele. Pokud
se však administrátor rozhodne nastavit pouze vybrané akce odkazů URL, a nikoliv všechny,
pak je nezbytné, aby o provedených nastaveních informoval uživatele: vybrané akce totiž
nebudou reagovat na změny nastavení prováděné uživatelem.
Přidáním nových zásad zabezpečeni akcí odkazů URL do zásad skupiny může ad-
ministrátor dosáhnout takového stavu, kdy bude schopen pomocí těchto standard-
ních nastavení zabezpečení shodně zabezpečit všechny jím spravované počítače.
Současně je administrátor schopen tato nastavení spravovat takovým způsobem, že
je bude možné změnit pouze pomocí zásad skupin či uživatelem majícím oprávnění
ke správě počítače. Tím je zajištěno, že uživatelé si nemohou nastavit akce odkazů
URL nějakým vlastním způsobem, který by byl v rozporu se zásadami.
Změny v nastavení zabezpečení akcí odkazů URL
Následující definice se týkají nastaveni prohlížeče Internet Explorer dodávaného se
systémem Windows Server 2003 SPI:
 Zóny zabezpečení: Internet, intranet a Local Machine (Zóna místního počítače).
Existují i zóny se speciálními nastaveními: Locked-Down Local Machine Zone
d
Přílohy
(Uzamčená zóna místního počítače), Trusted Sites (Důvěryhodné servery’)
a Restricted Sites (Servery s omezeným přístupem).
	Šablony: standardní nastaveni pro všechny akce odkazů URL v jedni zóné za-
bezpečení. Šablony mohou by t využity’ v libovolné zóně, přičemž možná nasta-
vení sahají od nízkého pies středné nízké, střední až po vysoké zabezpečení.
	Akce odkazu URL: nastavení zabezpečení, uložena v registru a určující akce, které
mají být použity v případě konkrétní funkce v zóně zabezpečení dané URL adre-
sou. Možná nastavení akcí odkazu URL jsou povolit, zakázat, dotázat se a jiná.
	Zásady akcí odkazu URL: jednotlivé zásady můžete přidat tak. že povolíte poža-
dovanou zásadu akce odkazu URL a posléze vyberete nastavět v pro příslušnou
hodnotu registru Lze je však nastavit i pomocí šablony’ zóny.
Prohlížeč Internet Explorer vyhledává zásady v následujícím pořadí:
	V klíčích zásad podregistru HKEY_L0CAL_MACH INE
	V klíčích zásad podregistru HKEY_CURRENT_USER
	\ klíčích předvoleb podregistru HKEY_CURRENT_USER
	V klíčích předvoleb podregistru HKEY_LOCAL_MACHINE
Najde-li Internet Explorer příslušnou zásadu v podregistru HKEY_L0CAL_MACHINE,
proces hledaní zastaví. Nenaide-li příslušnou zásadu v tomto podregistru, bude po-
kračovat hledáním v podregistru HKEY_CURRENT_USER atd Administrátor muže nasta-
vit zásadu pro jednu či více akcí odkazu URL v jedné či více zónách a umožnil tak
uživateli spravoval si předvolby pro ty akce odkazu URL, které nevyžadují správu
zabezpečení pomocí zásad.
Viz též Podrobné informace o návěštích akcí odkazů URL najdete v článku „URL Action Flags",
publikovaném na webu MSDN (viz http://go.microsoft.com/fwl ink/?Link 10=32776).
Poznámka Pop s nastaven zásad akcí odkazů URL najdete v článku „URL Action Flags", pub-
likovaném na webu MSDN (viz http://go.microsoft.com/fwl i n k / ? L i n k I d=327 7 7).
Výsledná sada zásad
Pomocí nástroje Resultant Set of Policy (Výsledná sada zasad) si můžete zobrazit pře-
hled všech nastavení zásad skupin použitých pro daný’ počítač či při přihlášení daného
uživatele V konzole GPMC (Sprava zásad skupiny) najdete funkci Group Policy Re-
sults (Výsledky zásady skupiny), načítající data o výsledných sadách z cílových počíta-
čů a zobrazující wtvořené reporty ve formátu HTML. Nastroj Group Policy Modeling
' Modelování zásad skupiny 1 sice pracuje se shodnými informacemi, avšak načítá je ze
služby, která výslednou sadu zásad pro danou kombinaci počítače a uživatele pouze
simuluje. Zmíněná simulace je prováděná na řadiči domény se systémem Windows
Server 2003, přičemž její výsledky jsou v ráčeny počítači, na němž je spuštěna konzola
GPMC (Správa zásad skupiny). Posledním možným nástrojem je modul snap-in Resul-
tant Set of Policy (Výsledná sada zásad), nabízející alternativní způsob zobrazen: po-
Příloha B - Nové funkce v systému Windows Server 2003 Service Pack 1
68
psaných informací. Lze vsál říci, že ve většině případů je dávána přednost funkci
Group Policy Results (Výsledky zásady skupiny).
Změny v nástroji Resultant Set of Policy
(Výsledná sada zásad), které jsou součástí
aktualizace Service Pack 1
V případě systému Windows Server 2003 SPI není firewall systému Windows po
dokončení standardní instalace spuštěn. Naopak po dokončení instalace systému
Windows XP SP2 tento firewall spuštěn je. Připomeňme si, že firewall systému
Windows blokuje všechny síťové požadavky přicházející na neotevřené porty. To
znamená, že povolení firewallu značně zvyšuje ochranu proti mnoha síťovým úto-
kům. Například kdyby byl povolen firewall systému Windows v době nedávného
útoku viru Blaster, byly by následky podstatně menší, a to i kdyby na počítačích
jednotlivých uživatelů nebyly nainstalovány poslední aktualizace systému.
Viz též Více informací o bráně firewall systému Windows najdete v části „Brána firewall sys-
tému Windows" tohoto dodatku.
Pokud se ovšem rozhodnete používat firewall systému Windows, měli byste si sou-
časně uvědomit následky, které toto rozhodnutí muže mít na nastroj Resultant Set
of Policy (Výsledná sada zásad). Níže najdete dvě zásadní změny tohoto nástroje,
které byly uvedeny spolu se systémem Windows Server 2003 SPI:
	Po spuštění braný firewall systému Windows na daném počítači není nadále
možné z tohoto počítače vzdáleně načítat data vyžadovaná nástrojem Resultant
Set of Policy (Výsledná sada zásad).
	Po spuštění brány firewall systému Windows na daném po*. ítači funkce Group
Policy Results (Výsledky zásady skupiny) či Group Policy Modeling (Modelování
zásad skupiny) konzoly GPMC (Sprava zásad skupiny) nemohou z tohoto počí-
tače vzdáleně načítat potřebná data.
V tabulce B.l najdete přehled všech změn nastavení, které musíte provést, chcete-li
používat nástroj Resultant Set of Policy (Výsledná sada zásad) i v případě systému
Windows XP SP2 a Windows Server 2003 SPI se spuštěným firewallem systému Win-
dows. Podrobný popis změn pak najdete v sekcích následujících za tabulkou B.l.
•o
Přílohy
TABULKA. B.1
Úloha
Generování
výsledků zásad
skupin
Delegování
přístupu
k výsledkům
zásad skupin
Úlohy nástroje Resultant Set of Policy (Výsledná sada zásad)
Cílový počítač
V zásadách skupiny povolte nastavení
Windows Firewall: Allow Remote Adminis-
tration Exception (Brána firewall systému
Windows: Povolit výjimky pro vzdálenou
správu).
Toto nastavení najdete v uzlu Computer
Configuration\Administrative Templates\
Network\ Network ConnectionsWVindows
Firewall\[Domain | Standard] Profile\
(Konfigurace počítače\5ablony pro správu\
Síť\Síťová připojen í\B rána firewall systému
Windows\[Profil domény | Standardní prof il]\)
Počítač použitý pro správu
Konzola GPMC (Správa zásad
skupiny) s SPI
Žádné další akce nejdou nutné
Modul snap-in Resultant Set of
Policy (Výsledná sada zásad)
V zásadách skupiny povolte na-
stavení Windows Firewall: Define
Program Exceptions (Brána fi-
rewall systému Windows: Nasta-
vit výjimky programů). Do
seznamu programů majících vý-
jimku uveďte plnou cestu
k programu Unsecapp.exe.
Umožníte tak přenos zpráv WMI.
V případů standardní instalace
platí, že program Unsecapp.exe
se nachází v cestě
C:\Wi ndows\System32\Wbem32.
Otevřete port 135 pomocí nasta-
vení Windows Firewall: Define
Port Exception Policy (Brána fi-
rewall systému Windows: Nasta-
vit výjimky portů).
V zásadách skupiny povolte nastavení Žádné změny nejsou nutné
Windows Firewall: Allow Remote Adminis-
tration Exception (Brána firewall systému
Windows: Povolit výjimky pro vzdálenou
správu).
Nakonfigurujte následující nastavení za-
bezpečení modulu DCOM:
DCOM: Machine access restrictions
(Omezení přístupu pro počítač)
DCOM: Machine launch restrictions
(Omezení spouštění pro počítač)
Tato nastaveni najdete v uzlu Computer
ConfigurationWVindows Settings\Securiry
Settings \Local Policies\Security Options\
(Konfigurace počítače\Nastavení systému
Windows\Nastavení zabezpečenftMístní
zásady \Možnosti zabezpečeni)
Příloha B - Nové funkce v systému Windows Server 2003 Service Pack 1
691
Úloha	Cílový počítač	Počítač použitý pro správu
Vzdálené úpravy V zásadách skupiny povolte nastavení	Žádné změny nejsou nutné
lokálního objektu Windows Firewall: Allow Filé And Printer
zásad	Sharing Administration Exception (Brána fi-
rewall systému Windows: Povolit výjimky
pro sdílení souborů a tiskáren).
Toto nastavení najdete v uzlu Computer
ConfigurationXAdministrative TemplatesX
NetworkX Network ConnectionsXWindows
FirewallX[Domain | Standard] ProfileX
Konfigurace počítačeXŠablony pro sprá-
vuXSitXSíťová připojeníXBrána firewall systému
WindowsXfProfil domény | Standardní profil]\
Správa výsledných sad zásad
vzdálených počítačů pomocí
konzoly GPMC (Správa zásad skupiny) s SP1
Původní verze konzoly GPMC (Group Policy Management Console) fungovala tak,
že po spuštění funkcí Group Policy Results (Výsledky zásady skupiny) či Group Po-
licy Modeling (Modelování zásad skupiny) nejprve odeslala na daný vzdálený počí-
tač požadavek a poté čekala na odpověď. Při odesílání odpovědi pak vzdálený
počítač využíval mechanismus zpětného volání. To ovšem znamená, že počítač po-
užitý pro správu musel „naslouchat“. Pokud však povolíte bránu firewall systému
Windows, budou podobné odpovědi blokovány. Ačkoliv zmíněný problém lze řešit
otevřením všech příslušných portu, použití konzoly GPMC SPI je podstatně vhod-
nější, neboť tato verze již nepoužívá mechanismus zpětného voláni. Pokud tedy
chcete nadále používat funkce Group Policy Results (Výsledky zásady skupiny) či
Group Policy Modeling (Modelování zásad skupiny), pak vám doporučujeme, abys-
te si nainstalovali tu verzi konzoly GPMC (Správa zásad skupiny), která je dodávána
spolu se systémem Windows Server 2003 SPI - na počítači použitém pro správu
totiž nebudete muset otevírat porty.
Viz též Informace o instalaci konzoly GPMC dodávané se systémem Windows Server 2003
SP1 najdete v článku „Group Policy Management Console with Service Pack 1" na adrese
http://go.microsoft.com/fwlink/?LinkId=23529 (tato adresa je součástí Microsoft
Download Center).
Vzdálená správa výsledných sad zásad také vyžaduje, abyste na cílových počítačích
povolili zásadu Windows Firewall: Allow Remote Administration Exception (Brána
firewall systému Windows: Povolit výjimky pro vzdálenou správu).
Delegování přístupu k výsledkům zásad skupin
Standardně platí, že funkce Group Policy Results (Výsledky zásady skupiny) a modul
snap-in Resultant Set of Policy (Výsledná sada zásad) funguji vzdáleně pouze tehdy,
je-li uživatel odesílající příslušný požadavek současně místním správcem daného
vzdáleného počítače. Součástí systému Windows Server 2003 SPI se stala možnost de-
92
Přílohy
legace, díky niž lze toto právo delegovat na uživatele, kteří nejsou administrátory či
správci vzdáleného počítače. Jedna se o velmi potřebnou funkci, neboť v mnoha pří-
padech potřebují načíst data ze vzdálených počítačů pracovnici pracoviště podpory,
kteří většinou nejsou administrátory těchto vzdálených počítačů.
V případě systémů Windows XP SP2 a Windows Server 2003 SPI byl model zabez-
pečení využívaný při ověřováni DCOM (využívaném modulem Resultant Set of Po-
licy /Výsledná sada zásad/) značně vylepšen. 1 když správně delegujete přístup
k výsledkům zásad skupin, pak toto zlepšení znemožní uživatelům, kteří nejsou
administrátory vzdáleného počítače, načtení informací o výsledných sadách.
Poznámka Tato otázka se netýká funkce Group Policy Modeling (Modelování zásad skupiny),
neboť v jejím případě je požadavek na simulovaná data výsledných sad odesílán na řadič do-
mény. A na něm může bézet pouze systém Windows Server 2003, nikoliv systém Windows XP.
Pomocí zásad skupiny můžete upravit seznam uživatelů a skupin souvisejících
s ověřováním DCOM. Pokud tedy chcete využívat delegování přístupu k výsledkům
zásad, pak uživatelé, na které chcete toto opr ivncní delegovat, musí mít i přístup
prostřednictvím modelu ověření DCOM.
Aktualizace zabezpečení po instalaci
Může se stát, že v době. kdy budete instalovat nový server, iiž budou firmou Microsoft
uvolněny nějaké aktualizace zabezpečení snižující riziko jeho nákazy nejnovějšími vi-
ry. Je-li nový instalovaný server připojen k síti a není-li spuštěn firewall, může být infi-
kován nějakým virem ještě dříve, než se podaří stáhnout a nainstalovat potřebné
aktualizace zabezpečení. 1 unkce Post-Setup Security Updates (Aktualizace zabezpe-
čení po instalaci) využívá ke snížení popsaného rizika firewall systému Windows.
Tato funkce je navržena tak, aby zajistila ochranu serveru před infekcí v době mezi
prvním Spuštěním serveru a stažením nejnovějších aktualizací zabezpečeni ze serveru
Windows Update. Z důvodu zajištění ochrany serveru je v době nové instalace jakéko-
liv verze systému Windows Sen er 2003 obsahující aktualizaci Service Pack standardně
povolen firewall systému Windows. Je-li firewall systému Windows povolen a admi-
nistrátor jej explicitně nepovolil pomocí skriptu pro bezobslužnou instalaci či zásad
skupiny, pak se po prvním přihlášení administrátora automaticky zobrazí dialog funk-
ce Post-Setup Security Updates (Aktualizace zabezpečení po instalaci). Veškerá pří-
chozí komunikace je blokována až do té doby, dokud administrátor v tomto dialogu
neklvpne na tlačítko Finish (Dokončit). Pokud administrátor v době instalace povolí
výjimky v nastavení firewallu pomocí zasad skupin či povolením vzdálené plochy,
zůstanou všechny porty související s definovanými výjimkami otevřené.
Funkce Post-Setup Security Updates (Aktualizace zabezpečení po instalaci) je ovšem
spouštěna pouze v případě plných instalací těch verzí systému Windows Server
2003, které již obsahují aktualizaci Service Pack. Z toho vyplývá, že v následujících
případech uvedená funkce spuštěna není:
	Použije li administrátor k instalaci systému skript pro bezobslužnou instalaci,
v němž je firewall systému Windows explicitně povolen či naopak zakázan.
Příloha B - Nové funkce v systému Windows Server 2003 Service Pack 1
693
	Firewall systému Windows byl povolen či zakázán v důsledků použití nějakých
Zásad skupin ještě předtím, než se spustil dialog funkce Post-Setup Security Up-
dales (Aktualizace zabezpečení po instalaci).
Funkce. Post-Setup Security Updates (Aktualizace zabezpečení po instalaci) není
spouštěna ani tehdy, instaluje-li administrátor aktualizaci Service Pack na již funkční
server se systémem Windows Server 2003 či provádí-li administrátor aktualizaci ser-
veru se systémem Windows 2000 Server na systém Windows Server 2003 SPI.
Díky funkci Post-Setup Security Updates (Aktualizace zabezpečení po instalaci) ne-
vznikali žádné rozdíly v chování aplikací. Dialog Manage Your Server (Správa ser-
veru) se spustí až po ukončení funkce Post-Setup Security Updates (Aktualizace
Zabezpečení po instalaci). Nicméně i v době jejího chodu je možné dialog Manage
Your Server (Správa serveru) spustit, a to z nabídky Start. Uvážíme-li tedy výše po-
psané podmínky, domníváme se, že firewall systému Windows můžete bez obav
ponechat povolený až do uzavření dialogu Post Setup Security Updates (Aktualiza-
ce zabezpečení po instalaci).
Průvodce konfigurací zabezpečení
Průvodce Security Configuration Wizard (Průvodce konfigurací zabezpečení) je no-
vinkou systému Windows Server 2003- Tato funkce zmenšuje prostor pro útoky na
server, cbž je z hlediska zabezpečení ideální přístup. Zmenšení prostoru pro útoky
na jednotlivé servery se systémem Windows Server 2003 SPI může vest ke snížení
počtu serverů, jejichž zabezpečení musí byt aktualizováno ihned po objevení něja-
ké bezpečnostní díry - dana bezpečnostní díra se totiž zdaleka nemusí u všech
konfigurací vyskytovat. Doporučujeme vám, abyste tohoto průvodce použili zejmé-
na pro konfiguraci firewallu systému Windows a výtvroření Šablon uzamčení zabez-
pečení pro jednotlivé servery vycházejících z jejich rob v síti.
Spustite-li tohoto průvodce, systém vám postupně zobrazí řadu otázek, s jejichž
pomocí se bude snažit určit vaše požadavky na funkce serveru. Poté zakáže; veške-
ré funkce, které nejsou pro zadané funkce potřebné.
Pomocí průvodce Security Configuratrion Wizard (Průvodce konfigurací zabezpe-
čení) můžete snadno:
	Zakázat nepotřebné služby
	Zakázat nepotřebná webová rozšíření internetové informační služby
	Blokovat nepoužívané porty, a to včetně případů serveru s více adresami
	Nakonfigurovat protokol IPSec pro zabezpečení všech portů, které ponecháte
otevřené
	Zvýšit zabezpečení protokolů Lightweight Directory Access PrQtocol (LDAP),
LAN Manager a Server Message Block (SMB)
	Nakonfigurovat nastaveni auditování tak, aby do příslušných protokolů byly za-
pisovány pouze důležité události
	Naimportovat šablony zabezpečení systému Windows umožňující práci s těmi
nastaveními, která nelze nakonfigurovat pomoci priivodce
94
Přílohy
Kromě nastavení zabezpečení na zakladě rolí, které bude server v síti vykonával,
podporuje popisovaný průvodce i tyto funkce:
	Vrácení změn Konfiguraci serveru je možné vrátit do předcházejícího stavu (tj.
do stavu platného v době před spuštěním průvodce Security Configuration Wizard
/Průvodce konfigurací zabezpečení/). Tuto funkci oceníte především tehdy, po-
kud zjistíte, že použité zásady ovlivňují chod serveru nějakým nežádoucím způso-
bem.
	Analýzu Můžete zkontrolovat, zda konfigurace jednotlivých serverů odpovídá
očekávaným zásadam.
	Vzdálený přístup Pro konfiguraci a následnou analýzu můžete využít vzdálený
přístup.
	Příkazový řádek Pro vzdálenou konfiguraci a analýzu skupin sen erů můžete
využít i příkazový řádek.
	Integraci ve službě Active Directory Zásady připravené pomocí priu odce Se-
curity Configuration Wizard (Průvodce konfigurací zabezpečení) můžete šířit na
další servery prostřednictvím zásad skupin.
	Úpravy’ Zásady zabezpečení připravené pomoci průvodce Security Configurati-
on Wizard (Průvodce konfigurací zabezpečení) můžete upravovat. Tuto funkci
využijete především v případě změny funkcí nějakého serveru.
	Zobrazení pomocí XSL Můžete si prohlížet soubory XML, obsahující data
z databaze Knowledge Base, zásad skupin a výsledky analýz.
Souhrnně lze říci, že průvodce Security Configuration Wizard (Průvodce konfigurací
zabezpečeno je nástrojem, s jehož pomocí můžete - na základě odpovědí na řadu
otázek - vytvářel vlastní zásady zabezpečení. A pokud potřebujete pracovat s našla
veními, se kterými tento průvodce nepracuje, můžete si na importovat stávající šablony
zabezpečení.
Brána firewall systému Windows
Windows Firewall (Brana firewall systému Windows - dříve nazývana Brána fi-
rewall pro připojení k internetu) je softwarovým stavovým firewallem určeným pro
systémy Windows XP a Windows Server 2003. Brána firewall systému Windows za-
jišťuje ochranu počítačů připojených k síti tím, že zakazuje veškerou nevyžádanou
příchozí komunikaci, doručovanou pomocí protokolů TCP íP verze 4 (IPv i) či 6
(IPv6). K možnostem konfigurace patří:
	Konfigurace a povolování výjimek pro jednotlivé porty
	Kor águrace a povolováni výjimek pro jednotlivé programy
	Konfigurace základních možností protokolu ICMP
	Protokolování jak úspěšných připojení, tak i všech zahozených paketů
Změny ve firewallu systému Windows
V předcházejících verzích systému Windows byl firewall konfigurován pro jednotli-
vá rozhraní, což znamená, že každé síťové připojení mohli? pracovat s vlastni sadou
Příloha B - Nové funkce v systému Windows Server 2003 Service Pack 1
695
nastaveni firewallu. Například v jednom počítači mohla byt použita jedna sada na-
staveni pro připojeni pomocí bezdrátové snové karty a jiná sada v případě připojení
pomocí ethernetového adapteru. Takový způsob konfigurace však značně zne-
snadňuje synchronizaci nastavení firewallu pro jednotlivá připojení. Navíc platí že
pro nově přidávaná připojení nejsou automaticky použita žádna nastaveni platná
pro stávající připojení. Nestandardní síťová připojení (například ta, která jsou vytvá-
řena pomocí instalačních progiain a pro vytáčená připojení různých poskytovatelů)
nemohou být chráněná vůbec.
Globální zásady usnadňují uživatelům správu jejich nastavení firewallu. neboť
umožňují jejich použití pro všechna síťová připojeni a navíc je možné je konfiguro-
vat pomocí zásad skupin. Kromě toho můžete povolit chod jakékoliv aplikace na
kterémkoliv síťovém rozhraní prostřednici vím jediného nastavení.
V případe globální konfigurace platí, že veškeré změny konfigurace jsou platné pro
všechna síťová připojení nacházející se ve složce Network Connections (Síťová připo-
jeni). Toto platí i pro všechny speciální programy pro vytáčení, které nebyly \yvinuty
firmou Microsoft. Připravena konfigurace je automaticky použita i pro všechna nově
vytvářena připojení. Stále je však možné upravovat konfiguraci pro jednotlivá roz-
hraní zvlášť, přičemž pro nestandardní síťová připojeni lze použil pouze globální
konfiguraci. Veškeré změny konfigurace platí jak pro protokol ÍPv4, tak i IPv6.
Změny v protokolování auditování
Chcete-li zkrátit čas reakce na útoky na vámi spravované servery, pak byste měli do
své obranné strategie zahrnout i auditování aktivity brány firewall systému Win-
dows. Pomocí protokolování auditování můžete sledovat nejen změny provedené
v nastaveních firewallu systému Windows, ale i aplikace či služby, které se chtěly
k danému serveru připojit pomocí nějakého portu. Povolne-li protokolovaní audi-
tování, budou všechny příslušné události zapisovány do protokolu událostí zabez-
pečení. Platí, že protokolování auditování lze povolit na klientských počítačích se
systémem Windows XP SP2 a serverech se systémem Windows Server 2003 SPI.
Chcete-li na svém počítači povolit protokolování auditování, pak postupujte takto:
1.	Přihlaste se k počítači pomocí uživatelského učtu majícího administrátorská
oprávnění k danému lokálnímu počítači.
2.	Klepněte na tlačítko Start, poté zvolte Control Panel (Ovladači panely) a nako-
nec Administrativě Tools (Nástroje pro správu).
3.	Otevře se dialog, v němž poklepejte na konzolu Local Security Settings (Místní
zásady zabezpečení).
4.	Poté rozbalte uzel Local Policies (Místní zásady) a nakonec klepněte na Audit
Policy (Zásady auditu).
5.	V podokně podrobností poklepejte na Audit policy change (Auditovat změny
zásad). Zaškrtnete Success (Úspěšné pokusy) i Failure (Neúspěšné pokusy
a klepněte na tlačítko OK.
6.	V podokně podrobností poklepejte na Audit process tracking (Auditovat sledo-
vaní procesu). Zaškrtněte Success (Úspěšné pokusy) i Failure (Neúspěšné poku-
sy) a klepněte na tlačítko OK.
Přílohy
Tip V doméně řízené službou Active Directory můžete k povolení protokolování auditování
na více počítačích využít zasady skupiny. Chcete-li tak učinit, musíte upravit nastavení Audit
policy change (Auditovat změny zásad) a Audit process tracking (Auditovat sledováni proce-
sů), která najdete v uzlu Computer Confi guča ti on\Windows SettingsXSecurity
Settings\Local Policies\Audit Policy (Konfigurace počítače\Nastaveni systému
WindowsXNastavení zabezpečení \Mí stní zá sady \ Zá sady auditu) v jednotlivých objek-
tech zásad skupin, přiřazených k systémovým kontejnerům domény.
Změny v nástroji Netsh Helper
Součástí sady Advanced Networking Pack, určené pro systémy Windows XP, se stal
i kontext firewallu nástroje Netsh Helper. Ten však byl použitelný pouze pro fi-
rewall systému Windows pracující s protokolem IPv6. V důsledku integrace obou
firewallu systému W indows (tj. firewallu pracujícího s protokolem IPv4 i firewallu
pracujícího s protokolem IPvó), nemá nástroj Netsh Helper nadale žádný speciální
kontext pro IPvó. Tato změna je důsledkem změn v samotném firewallu systému
Windows a integrace různých možností filtrovaní protokolu IPv4 přímo do stávají-
cího kontextu firewallu nástroje Netsh Helper.
Poznámka Je nutné zdůraznit, že v důsledku těchto změn přestanou fungovat všechny skrip-
ty využívající kontext firewallu, který se objevil po přidání sady Advanced Networking Pack.
Nové zásady skupiny podporující
firewall systému Windows
Provoz aplikací v prostředí velkých firem je usnadněn především díky novým zásadám
skupin umožňujícím administrátorům centrální správu nastavení firewallu systému
Windows. V předcházejících verzích systému Windows jste našli jedinou zásadu týka-
jící se brány firewall pro připojení k internetu: Prohibit Use Of Internet Connection Fi-
rewall On Your DNS Domain Network I Zakazat používání brány firewall pro připojení
k Internetu v síťové doméně DNS). V případě systému Windows Server 2003 SPI však
pomocí zásad skupin můžete nastavit všechny konfigurační možnosti firewallu. Níže
následuje přehled několika nových možností konfigurace:
	Define Program Exceptions (Nastavit výjimky programu)
	Allow Local Program Exceptions (Povolit výjimky místních programů)
	Prohibit Notifications (Zakázat upozorňování)
	Allow Filé And Printer Sharing Exception (PovoLt výjimku pro sdílení souboru
a tiskáren)
	Allow Logging (Povolit protokolování)
Každý z těchto objektů muže být nastaven jak ve firemním, tak ve standardním profilu.
Poznámka Úplný přehled možností zásad skupin najdete v článku „Deploying Windows Fi-
rewall Settings for Microsoft Windows XP with Service Pack 2", nacházejícím se na adrese
h11p: //go.mi crosof t. com/fwl i nk/? 1 i nki d=23277 (tato adresa je součástí Microsoft
Download Center). Aktualizovaný dokument popisující novinky v systému Windows Server
2003 SP1 bude zpřístupněn před uvolněním konečné verze aktualizace Service Pack.
Příloha B - Nové funkce v systému Windows Server 2003 Service Pack 1 gg
Administrátoři ÍT mohou nyní pracoval se standardní sadou zásad firewallu systému
Windows - tj. mohou povolovat či zakazoval aplikace nebo scénáře. Administrátoři
tak získali více možností pro řízení nastavení firewallu; je však nutné zdůraznit, že
funkcionalita firewallu není těmito možnostmi nijak dotčena. Přehled všech změn
v zásadách skupin týkajících se firewallu systému Windows najdete v tabulce B.2.
TABULKA B.2: Změny v objektech zásad týkajících se firewallu systému Windows		
Nastavení	Umístění	Původní výchozí Výchozí hodnota	Možné hodnoty
	hodnota	
Protéct all	(objekt zásad skupiny) Neexistovala Enabled	Enabled
network	Computer Configurati-	(Povoleno)	(Povoleno)
connections	on\Admmistrative	Disabled
(Chránit všechna síťová připojení)	Templa- tes\Network\Network ConnectionsWVindows Firewall (Konfigurace počítače\ Šablony pro správu\Síť\ Síťová připojení\Brána firewall systému Win- dows)	(Zakázáno)
Do not allow	(objekt zásad skupiny) Neexistovala Nezkonfigurováno	Enabled
exceptions	Computer Configurati-	(Povoleno)
(Nepovolit vy-	on\Administrative	Disabled
jímky)	Templa- tes\Network\Network ConnectionsWVindows Firewall (Konfigurace počítače\ Šablony pro správu\Síť\ Síťová připojeníXBrána firewall systému Win- dows)	(Zakázáno)
Define	(objekt zásad skupiny) Neexistovala Nezkonfigurováno	Enabled
program	Computer Configurati-	(Povoleno)
exceptions	on\Administrative	Disabled
(Nastavit vý-	Templa-	(Zakázáno)	|
jímky progra- mu)	tes\Network\Network ConnectionsWVindows Firewall (Konfigurace počítače\ Šablony pro správu\Síť\ Síťová připojemABrána firewall systému Win- dows)	Program path (Cesta k programu) Scope (Obor)
)8
Přílohy
Nastavení Umístění	Původní výchozí Výchozí hodnota Možné hodnoty
hodnota
Allow local (objekt zásad skupiny) Neexistovala Nezkonfigurováno Enabied
program	Computer Configurati-	(Povoleno)
exceptions	on\Administrative	Disabled
(Povolit výjim- Temp|a_	(Zakázáno)
ky místních	tes\Network\Network
programů)	Connections\Wmdows
Firewall
(Konfigurace počítače\
Šablony pro správu\Síť\
Síťová připojení\Brána
firewall systému Win-
dows)
Allow remote (objekt zasad skupiny) Neexistovala
administration computer Configurati-
exception on\Administrative
(Povolit výjim- Temp|a_
k y p1 o vz dále tes\Network\Network
nou správu) ConnectionsWVindows
Firewall
Nezkonfigurováno
Enabied
(Povoleno)
Disabled
(Zakázáno)
(Konfigurace počítače\
Šablony pro správu\Síť\
Síťová připojení\Brána
firewall systému Win-
dows)
Příloha B - Nové funkce v systému Windows Server 2003 Service Pack 1
699
Nastavení Umístění
Původní výchozí Výchozí hodnota Možné hodnoty
hodnota
Allow ICMP
exceptions
(Povolit výjim-
ky protokolu
ICMP)
(objekt zásad skupiny) Neexistovala
Computer Conf^gurati-
on\Administrative
Templa-
tes\Network\Network
ConnectionsWVindows
Firewall
(Konfigurace počítače\
Šablony pro správu\Síť\
Síťová připojení\Brána
firewall systému Win-
dows)
Nezkonfigurováno
Echo Request:
On, Off
(Požadavky na
odezvu:
Zapnuto, Vypnuto)
Source Quench:
On, Off
(Zpomalení dat
zdroje:
Zapnuto, Vypnuto)
Redirect: On, Off
(Přesměrování:
Zapnuto, Vypnuto)
Destination Unre-
achable: On, Off
(Nedosažitelný
odchozí cíl: Za-
pnuto, Vypnuto)
Router Request:
On, Off
(Dotazy na smě-
rovaní: Zapnuto,
Vypnuto)
Time Exceeded:
On, Off
(Vypršení časové-
ho limitu: Zapnu-
to, Vypnuto)
Parameter Problém:
On, Off
(Problém parame-
tru: Zapnuto, Vy-
pnuto)
Mask Request:
On, Off
(Dotazy na
masku: Zapnuto,
Vypnuto)
Tirnestamp
Request:
On, Off
(Časová razítka
požadavků: Za-
pnuto, Vypnuto)
)0
Přílohy
Nastavení	Umístění	Původní výchozí Výchozí hodnota hodnota	Možné hodnoty
Allow filé and	(objekt zásad skupiny) Neexistovala Nezkonfigurováno	Enabled
printer sharing	Computer Configurati-	(Povoleno)
exception	on\Administrative	Disabled
(Povolit výjim- ku pro sdíleni souborů a tis- káren)	Templa- tes\Network\Network ConnectionsWVindows Firewall (Konfigurace podtače\ Šablony pro správu\Sít\ Síťová připojení\Brána firewall systému Win- dows)	(Zakázáno)
Allow remote	(objekt zásad skupiny) Neexistovala Nezkonfigurováno	Enabled
desktop	Computer Configurati-	(Povoleno)
exception	onVAdmmistrative	Disabled
(Povolit výjim- ku pro vzdále- nou pracovní plochu)	Templa- tes\Network\Network ConnectionsWVindows Firewall (Konfigurace počítače\ Šablony pro správu\Síť\ Síťová připojení\Brána firewall systému Win- dows)	(Zakázáno)
Allow UPnP	(objekt zásad skupiny) Neexistovala Nezkonfigurováno	Enaoled
framework	Computer Configurati-	(Povoleno)
exception	on\Administrative	Disabled
(Povolit výjim- ku pro archi- tekturu UPnP)	Templa- tes\Network\Network ConnectionsWVindows Firewall (Konfigurace počítače\ Šablony pro správu\Síť\ Síťová připojení\Brána firewall systému Win- dows)	(Zakázáno)
Příloha B - Nové funkce v systému Windows Server 2003 Service Pack 1
701
Nastavení	Umístění	Původní výchozí Výchozí hodnota hodnota		Možné hodnoty
Prohibit notifications (Zakázat upo- zorňování)	(objekt zásad skupiny) Neexistovala Computer Configurati- on\Administrative Templa- tes\Network\Network ConnectionsWVindows Firewall	Nezkonfigurováno	Enabied (Povoleno) Disabled (Zakázáno)
	(Konfigurace počítače\ Šablony pro správu\Síť\ S lová připojení\Brána firewall systému Win- dows)		
Allow logging (Povolit proto- kolování)	(objekt zásad skupiny) Neexistovala Computer Configurati- on\Admimstrative Templa- tes\Network\Network ConnectionsWVindows Firewall	Nezkonfigurováno	Enabied (Povoleno) Disabled (Zakázáno)
	(Konfigurace počítače\ Šablony pro správu\Siť\ Síťová připojení\B;ána firewall systému Win- dows)		
Prohibit uni-
cast response
to multicast or
broadcast
requests
(Zakázat od-
povědi jedno-
směrového
vysílání na po-
žadavky ví-
cesměrového
a všesměrové-
ho vysílání)
(objekt zásad skupiny) Neexistovala Nezkonfigurováno Enabied
Computer Configurati-	(Povoleno)
onXAdmimstrative	Disabled
Templa-	(Zakázáno)
tes\Network\Network
ConnectionsWVindows
Firewall
(Konígurace počítače\
Šablony pro správu\Siť\
Síťová připojemABrána
firewall systému Win-
dows)
Práce se skripty
v Group Policy
Management
Console
Obsah přílohy:
Rozhraní konzoly Group Policy Management Console pro práci se skripty.704
Využití standardních skriptů konzoly Group Policy Management Console..712

Přílohy
Konzola Group Policy Management Console - GPMC - je vynikajícím nástrojem pro
správu zasad skupin v prostředí služby Active Directory. Kromě jiného obsahuje
i sadu rozhraní pro práci se skripty, které umožňuji automatizaci mnoha úkonu
souvisejících se správou skupin. Lze dokonce říci, že většinu úkonu, které můžete
provést v Group Policy Management Console, je možné automatizovat v některém
z rozhraní pro skriptování. Součástí instalace konzoly Group Policy Management
Console - GPMC je i více než 30 standardních skriptů, které můžete okamžitě vyj
žít ke správě zásad skupin. V tomto dodatku vám ukážeme, jak můžete tyto stan-
dardní skripty využít při tvorbě vlastních skriptů sloužících k automatizaci správ)7
zásad skupin. Seznámíme vás také se standardními skripty, které jsou součástí insta-
lace konzoly Group Policy Management Console, a ukážeme vám, jak se tyto skrip-
ty používají při provádění běžných úkonů správy zásad skupin.
Rozhraní konzoly Group Policy Management
Console pro práci se skripty
Při instalaci konzoly Group Policy Management Console - GPMC - je na počítači se
systémem Microsoft Windows XP či Windows Server 2003 v instalační složce (kte-
rou obvykle je složka ^Program Fi 1 es%\gpmc) vytvořena řada podsložek. Jedna
z těchto podsložek se nazývá Scripts a jsou do ní uloženy standardní skripty využí-
vající rozhraní konzoly Group Policy Management Console - GPMC - pro práci se
skripty. Dále v této složce najdete i soubor nápovědy (Gpmc.chm), popisující - kro-
mě jiného - všechna rozhraní pro skriptování a příslušné metody.
Objektový model skriptování konzoly
Group Policy Management Console
Součásti objektového modelu skriptování konzoly Group Policy Management Con-
sole - GPMC - je sada rozhraní sloužících pro provádění širokého spektra úkolů:
počínaje například vytvářením a zálohováním objektů zásad skupin až po genero-
vání reportů výsledných sad zásad a úpravy oprávnění k objektům zasad. Platí
však, že rozhraní pro skiiptování, která jsou součástí konzoly Group Policy Ma-
nagement Console, neumožňují í ipravy nastavení zásad obsažených v objektech zá-
sad. To znamená, že pomoci těchto rozhraní můžete pracovat pouze s celými
objekty zasad. Na obrázku C.l vidíte schéma objektového modelu konzoly Group
Policy Management Console.
Znázorněný model je implementován knihovnou Gpmgmt.dl 1. Z obrázku C.l je zřej-
mé, že kořenem objektového modelu konzoly Group Policy Management Console
GPMC je objekt nazvaný GPM, který je výchozím bodem pro všechny skripty, které
mají pracovat s konzolou Group Policy Management Console. Lze dokonce líci, že
vše, co vytvoříte v některém rozhraní pro skriptování. bude začínat vytvořením instan-
ce objektu GPM, za nímž bude následovat pi ipojení k doméně služby Active Directory7
a teprve poté přijdou na řadu jednotlivé operace s objekty zásad skupin.
Příloha C - Práce se skripty v Group Policy Management Console
Vytvoření počátečního objektu GPM
Mnohé metody rozhraní IGPMDomain vytvářejí po svém zavolání instance dalších
rozhraní podporujících ty operace, které chcete v infrastruktuře Zásad skupin pro-
vádět. Pokud bychom měli napsat skript pro modul Windows Scripting Host (dále
)6
Přílohy
jen WSH) v jazyce VBScript, pak by počáteční inicializace objektu GPM vypadala
tak. jak vidné ve výpise C.l:
VÝPIS C.1: Vytvoření počátečního objektu GPM
Set GPM = CreateObjectí"GPMgmt.GPM")
Tento příkaz vytvoří novou instanci rozhraní IGPM, obsahujícího sadu metod umož-
ňujících přístup k dalším rozhraním, která jsou potřebná pro správu objektů zásad
skupin. Dalším krokem, který budete ve většině svých skriptu pro správu objektů
zásad skupin potřebovat, bude připojení k doméně služby Active Directory - teprve
poté budete moci začít pracovat s objekty v ní definovanými. To ovšem znamená,
že musíte vytvořit instanci rozhraní IGPMDomain.
Vytvoření reference na spravovanou doménu
Metoda GetDomain rozhraní IGPM vrací právě takovou instanci. Jakmile vytvoříte instan-
ci rozhraní IGPM (což jsme si právě ukázali), můžete zavolat metodu GetDomai n, pomo-
cí níž vytvoříte referend na rozhraní IGPMDoma i n. Ukázku kódu vidíte ve výpise C.2.
VÝPIS C.2: Vytvoření instance rozhraní IGPMDomain
Set GPMDomain = GPM.GetDomain(Nazev_domeny, GPM_IISE_PDC)
Nazev_domeny je parametr sloužící k zadám nazvu té domény služby Active Directory,
ke které se chcete připojit. Konstantou GPM_USE_PDC pak jednoduše řekneme, že se
chceme připojit rovnou k emulátoru primárního řadiče domény, nikoliv k libovolné-
mu řadiči. Druhou možností je zadat název DNS řadiče, ke kteremu se chcete pi ipojit,
jako řetězec - v takovém případě ale nezapomeňte, že název musí být uzavřen uvo-
zovkami. Ve většině případů však uvedený kód vyhovuje veškerým potřebám.
Poznámka Chcete-li přímo zadat název domény, pak jej také musíte uzavřít ao uvozovek.
Ukázku příslušné syntaxe vidíte ve výpise C.3.
Vytvoření a propojování objektů zásad skupin
Jakmile mate vytvořenou instanci rozhraní IGPMDomain, můžete volat několik metod,
umožňujících připojení ke konkrétnímu objektu zásad skupiny, vytvoření nového ob-
jektu zásad, vyhledaní daného objektu zásad či jeho obnovu ze zálohy. Například
kdybyste chtěli vytvořil nový objekt zásad skupiny s názvem Desktop Configuration
Policy, pak byste v jazyce VBScript museli napsat kód medem ve výpise C.3:
VÝPIS C.3: Vytvoření nového objektu zásad skupiny nazvaného Desktop
Configuration Policy
Set GPM = CreateObjectf"GPMgmt.GPM")
Set GPMDomain = GPM.GetDomain("cpandl.com", GPM_USE_PDC)
Set GPMGPO = GPMDomain.CreateGPOí)
GPMGPO.DispiayName « "Desktop Configuration Policy"
V prvních dvou řádcích je - nám již známým způsobem - vytvořena nová instance
rozhraní IGPM, která je posléze využita k zav olání metody Get Doma i n, sloužící k připo-
jení k doméně služby Active Directory (donu na je nazvaná cpandl.com). Ve třetím
Příloha C - Práce se skripty v Group Policy Management Console
707
řádku je spuštěna metoda CreateGPO, vytvářející instanci rozhraní I GPMGPO, obsahující
referenci na nově vytvořený objekt zasad skupiny. Nově vytvořenému objektu zásad
je přiřazen obecný název New Group Policy Object, který je ve čtvrtém řádku kódu
nastavením hodnoty vlastnosti DisplayName změněn na název požadovaný.
Po svém vytvoření není objekt zásad přiřazen žádnému objektu kontejneru služby
Active Directory. Chcete-li přiřadit objekt zásad nějakému objektu kontejneru, musíte
nejprve určit obor správy (Scope of Management - SOM). K tomuto účelu můžete vy-
užít metodu GetSOM objektu GPMDomai n, vytvořeného dříve. Tato metoda vrací referen-
ci na rozhraní IGPMSOM, jehož součástí je metoda CreateGPOLink, umožňující vlastní
propojení objektu zásad se zadaným oborem správy. Například po krátké úpravě
předcházejícího skriptu můžeme vytvořit objekt zásad skupiny Desktop Configuration
Policy a propojit jej s organizační jednotkou Marketing, která je součástí domény
cpandl .com služby Active Directory. Ukázku výsledného skriptu vidíte ve výpise C.4.
VÝPIS G4: Vytvoření nového objektu zásad skupiny a jeho propojení
s kontejnerem služby Active Directory
Set GPM = CreateObjectí"GPMgmt.GPM")
Set GPMDomain = GPM.GetDomain("cpandl.com", "", GPM_USE_PDC)
Set GPMGPO = GPMDomain.CreateGPOO
GPMGPO.DispiayName = "Desktop Configuration Policy"
Set GPMSOM = GPMDomain.GetSOM("OU=marketing,DC=cpandl,dc=com")
Set GPMLink = GPMSOM.CreateGPOLink(-1,GPMGPO)
Výpis C.4 se od výpisu C.3 liší pouze dvěma řádky, přidanými na jeho konec. Na
předposledním řádku skriptu je zavoláním metody GetSOM objektu GPMDomain vytvo-
řena nová instance rozhraní IGPMSOM. Jak vidíte, při volání této metody byl použit
parametr obsahující rozlišující název toho objektu kontejneru, se kterým chcete vy-
tvořený objekt zásad propojit. Zadaný název může určovat síť, doménu či organi-
zační jednotku. V této souvislosti je nutné připomenout, že objekty sítí jsou uloženy
v názvovém kontextu konfigurace, a nikoliv domény. Proto by v případě objektu
sítě musela bvt cesta k objektu definována následujícím či podobným způsobem
(kde NewYork je název sítě):
CN=NewYork,CN=Sites,CN=Configuration,DC=cpandl ,DC=com
V posledním řádku výpisu C.4 je metodou CreateGPOLink objektu GPMSOM vytvořeno I
propojení objektu zásad skupiny se zadaným oborem správy. Přitom první parame-
tr určuje pořadí, v němž se vytvářené propojeni má objevit. Jak již víte, ke každému
objektu kontejneru může byt přirazeno několik objektů zásad. Přitom pořadí,
v němž jsou jednotlivé objekty zásad s objektem kontejneru propojeny, ovlivňuje
pořadí zpracování, a má tedy značný vliv i na výsledné zásady platné pro počítače
či uživatele vložené do daného kontejneru služby Active Directory. Předaním pa-
rametru -1 metodě CreateGPOLink zajistíte, že daný objekt zasad bude s objektem
kontejneru propojen jako poslední Pokud chcete zajistit propojení objektu zásad
v určitém pořadí, pak namísto -1 musíte zadat požadované poradí. Přitom platí, že
číslování pořadí začíná 1. Pokud při volání metody CreateGPOLi nk zadáte číslo, kte-
ré je větší než celkový počet propojeni objektů zásad k danému objektu kontejne-
ru, systém zobrazí chybové hlášení. Diuhyin parametrem metody CreateGPOLink je
reference na objekt zásad skupiny vytvořeny v předcházejících krocích skriptu.
708
Přílohy
Zrušení propojení mezi objektem zásad skupiny a objektem kontejneru služby Acti-
ve Directory je poněkud složitější a vyžaduje využiti řady různých rozhraní. Velmi
stručně řečeno, především musíte načíst všechna propojení k danému kontejneru
(oboru správy), pote podle GUID objektu zásad skupiny vyhledat to propojení, kte-
ré chcete zrušit, a nakonec jej můžete zrušit jednou z metod rozhraní IGPMGPOLink.
Ve výpise C.5 vidíte kód skriptu, jímž bychom dokázali zrušit propojení mezi objek-
tem zásad Desktop Configuration Policy a organizační jednotkou Marketing, které
jsme vy tvořili kódem ve výpise C.4.
VÝPIS C.5: Zrušení propojení mezi objektem zásad skupiny a organizační
jednotkou
Set GPM = CreateObjectC"GPMgmt.GPM”)
Set GPMDomain - GPM.GetDomain("cpandl.com", GPM_USE_PDC)
Set GPMSOM = GPMDomain.GetSOM("OU=marketing,DC=cpandl,dc-com")
Set GPMLinkCol1= GPMSOM.GetGPOLinks
For Each GPLink in GPMLinkCol1
If GPLink.GPOID="{5281266F-081E-4433-9218-22AEF9F313B01” Then
GPLink.Delete
End If
Next
Podíváte li se na kód ve výpise C.5 pozorněji, pak zjistíte, že první dva řádky jsou
v podstatě převzaty z kódu ve výpise C.4. Ve třetím řádku je vytvářena nová instan-
ce rozhraní IGPMSOM obsahující odkaz na organizační jednotku Marketing, u níž
chceme vymazat propojení. Ve čtvrtém řádku je volána metoda GetGPOLinks objek-
tu GPMSOM, umožňující načtení kolekce propojeni na organizační jednotku Marke-
ting. A protože s objektem kontejneru (jako napr. s organizační jednotkou) muže
být propojeno více objektů zasad, kolekce vrací všechna propojení jako pole prv-
ků, kterým lze procházet. Jak vidíte, to je přesně to, co čin.me v řádku 5: cyklem
For Each.. .Next jazyka VBScript procházíme celou kolekci. Přitom aktuální propo-
jení je uloženo do proměnné nazvané GPLink. V řádku 6 pak pomocí výrazu
If... rhen hledáme to propojení objektu zásad skupiny, které chceme zrušit. Přitom
testujeme vlastnost GPOID každého propojen .
Vlastnost GPOID vrací GUID daného objektu zásad skupiny. GITO objektu zásad lze
poměrně snadno a rychle vyhledat pomocí nástroje Gpotool, který je součástí sady
Windows Server 2003 Resource Kit. Pro zobrazení GUID daného objektu zásad po-
užijte následující syntaxi nástroje Gpotool:
gpotool /gpo:"Nazev_GPO" /domain:Nazev_domeny | find "Policy {"
kde Nazev.GPO je název objektu zásad, se kterým chcete pracovat, a Nazev_domeny je
název té domény, v níž je daný objekt zasad uložen. Pomocí roury je příkaz Gpotool
propojen s příkazem find, který ve výsledcích vyhledá řádek začínající řetězcem
"Policy {". Na obrazovce je pak zobrazen pouze tento jediný řádek,
Ukažme si použiti nástroje Gpotool na příkladu. Řekněme, že chcete vyhledat GUID
objektu zásad Default Domain Policy v doméně cpandl .com. Požadovaný údai byste
si mohli zobrazit pomocí následující syntaxe příkazu Gpotool:
gpotool /gpo:"Default Domain Policy" /domain:cpandl.com | find "Policy {"
Příloha C - Práce se skripty v Group Policy Management Console
Jak vidíte níže, zobrazený výsledek obsahuje GUID objektu zásad Default Domain
Policy v následující podobě:
Policy {31B2F340-016D-11D2-945F-00C04FB984F91
GUID objektu zásad skupiny je však možné zjistit i v Group Policy Management
Console. V levé části konzoly vyberte požadovaný objekt zásad a poté v pravé části
přejděte na kartu Details (Podrobnosti). Jak vidíte na obrázku C.2, v poli Unique ID
(Jedinečné ID) pak najdete GUID vybraného objektu zásad skupiny.
OBRÁZEK C.2: Zobrazení GUID objektu zásad skupiny v konzole GPMC
Po vyhledání požadovaného propojení objektu zásad pomocí jeho GUID je v řádku'
metodou Delete propojení z oboru správy vymazáno. Je nutné zdůraznit, že samotný
objekt zasad skupiny vymazán nem - smazáno je pouze jeho propojení na daný
obor správy. Kromě vytváření a mazaní propojení můžete pomocí skriptu spravovat
i jejich vlastnosti. Vybrané propojení můžete například povolit či zakázat anebo jej
nastavit jako vynucené. Například po male úpravě skriptu, kterým jsme ve výpise
C.5 vymazali propojení daného objektu zásad na organizační jednotku Marketing,
můžeme u vybraného propojení nastavit hodnotu vlastnosti Enforced na True (tj.
propojení bude vynucené). Ukázku takto upraveného kódu vidíte ve výpise C.6.
VÝPIS C.6: Nastavení vlastnosti Enforced vybraného propojení
Set GPM = CreateObjectí"GPMgmt.GPM")	1
Set GPMDomain = GPM.GetDomain("cpandl.com", GPM_USE_PDC)	]
Set GPMSOM = GPMDomain.GetSOMÍ"OU=marketing,DC=cpandi,dc=com")	j
Set GPMLinkCol1= GPMSOM.GetGPOLinks
For each GPLink in GPMLinkColl
If GPLink.GP0ID="{5281266F-081E-4433-9218-22AEF9F313B0}" Then
GPLi nk.Enforced=True
End If
Next
O
Přílohy
Kód ve výpise C.6 se od kódu ve výpise C.5 lisí pouze řádkem 7: v něm je namísto
výmazu vlastnosti Enforced daného propojeni přiřazena hodnota True.
Automatizace spr ivy zabezpečení
objektů zásad skupin
V předcházejících kapitolách teto knihy jsme si řekli, že ke správě zabezpečení ob-
jektu zásad skupin se využívá konzola Group Policy Management Console, v níž
můžete určit, které počítače a kteří uživatelé smí zpracovávat určitý objeki zásad
(tomuto procesu se říká j dtrování zabezpečení) či které skupiny uživatelů smí daný
objekt zásad změnit (tomuto procesu se říká delegování). Jak si ukážeme níže,
i správu zabezpečení lze automatizoval pomocí rozhraní pro skriptování
Ke standardním skriptum konzoly Group Policy Management Console GPMC patři
i dva skripty pro nastaveni oprávněni k určitému objektu zásad skupiny: SetGPOPer-
missions.wsf a SetGPOPermissionsBySOM.wsf. Součástí systému vsak nejsou žádné
Standa rek a skripty pro vypiš oprávnění k určitému objektu zásad, nicméně takový
skript si poměrně snadno můžeme vytvořit sami, a to pomocí rozhraní pro skriptování.
Ve výpise C.7 vidíte kod skriptu, umožňujícího výpis všech oprávnění k objektu zásad
skupiny Desktop Configuration Policy.
VÝPIS C.7: Výpis oprávnění k objektu zásad skupiny
Set GPM = CreateObjectC"GPMgmt.GPM")
Set GPMDomain = GPM.GetDomainCcpandl.com", "", GPM_USE_PDC)
Set GPMGPO = GPMDomain.GetGPO("{5281266F-081E-4433-9218-22AEF9F313B0}")
Set Constants = GPM.GetConstants
Set GPMSecurity = GPMGPO.GetSecuritylnfo
Wscript.Echo "Permissions on GPO: "+GPMGPO.DÍspiayName+VbCRLF
For Each GPMPermission in GPMSecurity
If GPMPermission.Denied then
AllowDeny = "Děny"
Else
AI 1owDeny = "AI 1ow"
End If
If GPMPermission.Inherited then
Inherit = "Inherited"
El se
Inherit = "Not Inherited"
End If
Select Čase GPMPermission.Permission
Čase Constants.permGPOApply
Perm="Read and Apply Group Policy"
Čase Constants.permGPOEdit
Perm="Edit Group Policy"
Čase Constants.permGPOEditSecurityAndDelete
Perm="Edit Group Policy, Modify Security and Delete Group Policy"
Čase Constants.permGPORead
Perm="Read Group Policy"
End Select
Příloha C - Práce se skripty v Group Policy Management Console
Set GPMTrustee = GPMPermission.Trustee
Trustee = GPMTrustee.TrusteeDomain+"\"+GPMTrustee.TrusteeName
Wscript.Echo AIlowDeny+", "+Inherit+", "+Trustee+": "+Perm
Next
Uvedený kod se vám muže zdát dlouhý, avšak větší část kódu pouze nastavuje vý-
stup jednotlivých oprávnění. Podívejme se nyní na tento kód podrobněji. První dva
řádky by vám měly být známé. Ve třetím řádku je pomocí GUID vytvořena referen-
ce na objekt zasad Deskop Configuration Policy. (Kdybyste chtěli vytvořit skript
vhodný pro univerzalru práci s objekty zásad, pak byste GUID mohli skriptu předá-
vat ve formě parametru.) Řádek 4 je zcela nový. Jak vidíte, v tomto řádku je volána
metoda GetConstants objektu GPM. Tato metoda vrací referenci na rozhraní
IGPMConstants, obsahující sadu vlastností využívaných pro správu mnoha různých
aspektu objektů zásad z rozhraní pro skriptování konzoly Group Policy Manage-
ment Console.
V radku 5 je pak volána metoda GetSecuri tyInfo objektu GPMGPO. Tato metoda vrací
oprávněník objektu zásad skupiny ve fonně reference na rozhraní IGPMSecuritylnfo
jehož součásti jsou metody, kterými můžete zobrazit každé oprávnění k objektu zásad.
V řádku 6 pak příkazem Wscript.Echo jazyka VBScript vytváříme lila vičku výstupu
do níž vkládáme název objektu zásad, a nikoliv jeho GUID. Přitom pro načteni názvu
jsme využili vlastnost Di spi ayName objektu GPMGPO.
Po vytvoření hlavičky spouštíme cyklus For ... Each, v němž načítáme výčet všech
oprávnění k objektu zásad. V prvním řádku tohoto cyklu je načítána hodnota vlastnos-
ti Denied objektu GPMPermission a je prováděn test, zda je tato hodnota rovna True.
Oprávnění k objektu zásad může nabýt hodnot Allow (povoleno) či Děny (odepřeno).
Je-li hodnota vlastnosti Denied rovna True, pak do proměnné AI 1 owDěny vkládáme ře-
tězec "Děny"; v opačném případě do ní vkládáme řetězec "AI 1 ow".
V dalším příkazu načítáme vlastnost Inheri ted objektu GPMPermi ssi on, abychom urči-
li, zda je dané oprávněni zděděné či nikoliv. Lze říci, že ve většině případů by normál-
ní oprávnění k objektiim zasad neměla byt zděděna, nicméně námi načtené informace
bychom mohli v yužít při hledání případných nekonzistencí v oprávněních k danému
objektu zásad. Po vložení informací o případném zdědění do proměnné Inheri t je
spuštěn piíkaz Select Čase, procházející vlastnost Permission objektu GPMPermi ssi on
a porovnávající ji s jednotlivými konstantami odpovídajícími různým oprávněním (na-
příklad permGPOApply či permGPOEdí t). Je-li nalezena shoda mezi vlastností Permission
a příslušnou vlastností Constants, je význam dané konstanty vyjádřen poněkud po-
pisnějším způsobem. Výsledek je zapsan do proměnné Perm a použit ve výstupu.
Dalším příkazem, kterým je Set GPMTrustee = GPMPermission.Trustee, jsou načteny
informace o oprav něném uživateli daného oprávněni. Přitom oprávněným uživatelem
se zde míní uživatel, skupina počítačů či jiný zaregistrovaný objekt zabezpečení, kte-
rému je dané oprávnění přiřazeno. To ie samozřejmě velmi důležitá informace, kterou
by náš skript měl zobrazovat. Proměnna GPMTrustee, vracená uvedeným příkazem, je
ve skutečnosti odkazem na rozhraní IGPMl rustee obsahující metody umožňující na-
čteni informací o oprav nených uživatelích z vlastnosti Trustee objektu GPMPermi ssi on.
V dalším řádku pak vytváříme proměnnou 1 rustee a vkládáme do ní naformátovaný
řetězec obsahující informace o doméně a nazvu oprávněného uživatele. Uvedené in-
formace je možné získat načtením vlastnosti TrusteeDoma i n a TrusteeName objektu
2	Přílohy
GPMTrustee. Vlastnost TrusteeDomain obsahuje název domény ve formátu NetBIOS.
Proto v našem příkazu vkládáme do proměnné Trustee řetězec vzniklý spojením
názvu domény a nazvu uživatele, přičemž oba názvy jsou odděleny zpětným lomít-
kem. Ve výstupu pak bude opravní ný uživatel zobrazen obvyklým způsobem, tj.
doména \ skupina.
V předposledním řádku skriptu je pomocí příkazu Wscript.Echo vypsáno každé
oprávnění na obrazovku. Jak vidíte, při výpisu oprávnění jsou využity proměnné,
ktere jsme definovali v cyklu For ... Each. Příkazem Next je zajištěno načtení dalšího
oprávnění a následné opakování celého procesu. Popsaný skript byste měli spouš-
tět v prostředí procesoru skriptů Cscript.exe, využívajícího příkazový řádek:
v takovém případě bude totiž každé načtené oprávnění zobrazeno na samostatném
řádku. Kdybyste použili procesor Wscript.exe, každé oprávnění by bylo zobrazeno
ve formě rozbalovacího dialogu, což pravděpodobně není příliš užitečná forma w
stupu. Způsob zobrazení načtených oprávnění k danému objektu zásad po spuštění
skriptu pomocí procesoru Cscript.exe vidíte na obrázku C.3.
OBRÁZEK c.3: Zobrazení oprávnění k danému objektu zásad pomocí skriptu
Využití standardních skriptů
Group Policy Management Console
Součástí konzoly Group Policy Management Console GPMC je několik standardních
skriptu využívajících rozhraní pro skriptování, o n chž jsme právě hovořili,
k automatizaci běžných úkonů souvisejících se správou zásad skupiny. V případě
standardní instalace konzoly Group Policy Management Console GPMC jsou tyto
skripty uloženy ve složce ^Program Fi 1 es%\gpmc\serí pts. Většina skriptu je ulože-
na v souborech typu .wsf. Formát souboru skriptu systému Windows (Windows
Script Filé - wsf) je vlastně skriptovacím prostředím, využívajícím XML a umož-
ňujícím kombinaci kódu v jazycích JScnpt a VBScript v jediném souboru .wsf.
Kromě toho je možné v jediném souboru vytvořit několik úloh, což znamená, že
při spouštění souboru .wsf můžete určit, která z úloh ma být spuštěna. Protože tyto
skripty vycházejí z XML, jedna se o normální textové souboiy, které si můžete pro-
hlížet v Poznámkovém bloku. I přesto vam však doporučujeme, abyste pro úpravy
skriptu či jejich prohlíženi používali raději nějaký editor skriptů.
Příloha C - Práce se ski- <pty v Group Policy Management Console
V následující sekci vás seznámíme s těmi úkony, které můžete provádět pomocí
standardních skriptu konzoly Group Policy Management Console. Současně vam
ukážeme, jak se jednotlivé skripty využívají Přitom platí, že většina skriptu zobra-
zuje svůj výstup v příkazovém řádku, a proto je pro jejich spouštění optimální pro-
cesor Cscript.exe, určený pro práci se skripty z příkazového řádku.
Poznámka Ačkoliv standardní skripty mohou ve většině prostředí fungovat, firma Microsoft
rozhodně nezaručuje, že budou funkční ve všech případech. Může se tedy stát, že zjistíte, že
ve skutečně rozsáhlých prostředích nejsou tyto skripty použitelné.
Vytváření objektů zásad skupin
Skript CreateGPO.wsf umožňuje vytvoření jednoho objektu zásad. Po svém vytvoření
nebude tento objekt propojen s žádným objektem kontejneru služby Active Directory.
Skript se používá následujícím způsobem:
CreateGPO.wsf Nazev_GP0 [/Doma in:va1ue]
Namísto parametru Nazev_GP0 zapište název objektu zásad skupiny, který chcete vy-
tvořit. Parametr Doma i n je volitelný a umožňu je vytvoření objektu zásad v jiné doméně
než v té, ve ktere je konzola GPMC instalována. Níže následuje ukázka použití tohoto
skriptu pro vytvoření objektu zásad Desktop Configuration Policy:
Cscript CreateGPO.wsf "Desktop Conf'guration Policy"
Výmaz objektů zásad skupin
Skript DeleteGPO.wsf slouží k výmazu určitého objektu zásad skupin. Volitelně je
možné zachovat všechna propojení vymazávaného objektu ke kontejnerům služby
Active Directory. Syntaxe skriptu je uvedena níže:
DeleteGPO.wsf Nazev_GP0 [/KeepLinks] [/Domain:value]
Jak vidíte, při spouštění tohoto skriptu musíte zadat jeden pov innv parametr, kterým je
název toho objektu zásad skupiny, který ma být vymazán. Použijete-li současně i pa-
rametr KeepLi nks, budou všechna propojení zadaného objektu zasad k objektům kon-
tejnerů zachována i po vymažu samotného objektu zasad. Tuto možnost zřejmě
využijete především v případě, kdv budete chtít obnovit objekt zásad skupiny' ze zálo-
hy. Pokud při výmazu ponecháte propojeni, pak neztratíte reference na ty obory
správ, se kterými je objekt zásad propojen. Dalším možnvm parametrem je název do-
mény, ve které má být výmaz proveden. Příklad využit1 skriptu vidíte níže:
Cscript DeleteGPO.wsf "Desktop Configuration Policy" /KeepLinks
Vyhledám zakázaných objektů zásad skupin
Pomocí skriptu Fi ndDi sabl edGPOs. wsf můžete v doméně vyhledat všechny objekty
zásad, které jsou zakázány. Syntaxe je vcelku jednoduchá:
FindDisabledGPOs.wsf [/Domain:value]
Spustili.>-li skript bez volitelného parametru Domain, do něhož lze vložit název do-
mény, budou vyhledány všechny zakázané skripty v té doméně, ve které je konzola
Group Policy Management Console GPMC instalovaná. Skript zobrazí jak skripty,
14
Přílohy
které byly zcela zakázány, tak i skripty, u nichž byla zakazána jen část týkající se
počítačů anebo část tykající se uživatelů.
Vyhledání objektů zásad skupin
podle skupiny zabezpečení
Skript FindGPOsBySecurityGroup.wsf umožňuje vyhledaní všech těch objektů zásad
skupin, k nimž má zadaná skupina uživatelů delegována určitá oprávnění. Základní
syntaxe použití skriptu je uvedena níže:
FindGPOsBySecurityGroup.wsf Nazev.skupiny /Permission:value [/Effective]
[/None] [/Domain:value]
Například kdybyste chtěli najit všechny objekty zásad, které může upravovat skupina
GPO Admins, pak byste museli spustit popisovaný skript následujícím způsobem:
Cscript FindGPOsBySecurityGroup.wsf “GPO Admins” /Permission:Edit
Pokud byste použili parametr Effecti ve, pak by skript vyhledával i efektivní opráv-
nění pro zadanou skupinu. Například kdyby samotná skupina GPO Admins neměla
oprávnění k úpravám určitého objektu, ale získala by je pouze v důsledku svého člen-
ství v jiné skupině, pak pomocí parametru Effecti ve můžete takové oprávnění vyhle-
dat A použijete-li parametr None, bude skript vyhledávat ty objekty zasad, ke kterým
skupina GPO Admins nemá oprávnění k úpravám.
Vyhledání objektů zásad skupin
bez aktivních propojení
Pomocí skriptu FindllnlinkedGPOs.wsf si můžete zobrazit seznam všech objektu zá-
sad skupin v doméně, které nejsou propojeny s žádným oborem správy. Skript se
používá takto:
FindUnlinkedGPOs.wsf [/Domain:value]
Skript vrací seznam všech objektů zásad skupin v zadané doméně, které nejsou
propojeny s žádným kontejnerem služby Active Directory.
Nastavení oprávnění
pro vytváření objektů zásad skupin
Skriptem SetGPOCreati onPermi ssi on.wsf můžete skupinám p idávat (anebo jim na-
opak odebírat) oprávnění k vytváření objektů zásad v doméně. Syntaxe skriptu ná-
sleduje níže:
SetGPOCreationPermissions.wsf Skupina [/Remove] [/Domain:value]
Například kdybyste chtěli skupině GPO Admins přidělit oprávnění ke tvorbě objek-
tů zásad, museli byste skript spustit tímto způsobem:
Cscript SetGPOCreationPermissions.wsf "GPO Admins"
Naopak kdybyste téže skupině chtěli toto oprávnění odebrat, pak k uvedenému
příkazu přidejte pouze parametr Remove:
Cscript SetGPOCreationPermissions.wsf "GPO Admins" /Remove
Příloha C - Práce se skripty v Group Policy Management Console
Nastavení dalších oprávnění
k objektům zásad skupin
Oprávnění k objektům zásad skupin můžete nastavovat či měnit pomocí skriptu
SetGPOPermissions.wsf. Přitom tímto způsobem lze upravovat jak filtrování zabez-
pečení (tj. seznam počítačů a uživatelů, kteří mohou daný objekt zásad zpracová-
vat), tak i delegováni (tj. seznam uživatelů, kteří mohou daný objekt zásad číst,
měnil či mazat). Skript se používá tímto způsobem:
SetGPOPermissions.wsf Nazev.GPO Nazev_skupiny /Permission:value /Replace
[/Domain:value]
Například kdybyste chtěli skupině GPO Admins zvýšit oprávnění k objektu zásad
Desktop Configuration Policy z Edit na FullEdit, pak byste museli popisovaný
skript spustit takto:
Cscript SetGPOPermissions.wsf "Desktop Configuration Policy" "GPO Admins"
/Permissi on:Ful1 Edit /Replace
Zálohování všech objektů zásad skupin
Pomocí skriptu BackupAllGPOs.wsf můžete zazálohovat všechny objekty zásad sku-
pin v doméně do zadaného umístění - obvykle jím je nějaká složka v souborovém
systému. Jak vidíte níže, skript pracuje se třemi vstupními parametry, z nichž jeden
je povinný a dva jsou volitelné:
BackupAllGPOs.wsf Umisteni_zaloh [/Comment:value] [/Domain:value]
Parametr Umi steni_zal oh určuje složku, do které chcete uložit zazálohovaná data.
Platí, že můžete zadat jak lokální, tak i nějakou vzdálenou složku. Volitelný para-
metr Comment umožňuje zadání poznámky, která je uložena spolu s daty. Pokud
pak v Group Policy Management Console GPMC zvolíte možnost Manage Backups,
uvidíte přehled za zálohovaných dat spolu s poznámkou, kterou jste k nim připojili.
Ukázku příslušného rozhraní vidíte na obrázku C.4.
Z obrázku je zřejmé, že pokud při spouštěni skriptu zadáte parametr Comment, bude
každému za zálohovanému objektu zásad přiřazena stejná poznámka. Dalším volitel-
ným parametrem je Doma i n, umožňující zadání názvu domény ve formátu DNS. Tento
parametr využijete především tehdy, budete-li chtít zazálohovat data v jiné doméně
než v té, ve které je spuštěna konzola Group Policy Management Console. Ukázka
použití popisovaného skriptu následuje níže:
Cscript BackupAllGPOs.wsf c:\gpobackups /comment:"Backup of all GPOs"
/doma i n:cpand1.com
Zálohovém jednotlivých objektů zásad skupin
Skript BackupGPO.wsf je určen k zálohováni jednoho zadaného objektu zásad sku-
pin. Tento skript se používá podobně jako skript předcházející; jediným rozdílem je
to, že musíte zadat název toho objektu zásad, který chcete zazálohovat:
BackupGPO.wsf Nazev.GPO Umisteni_zalohy [/Comment:value] [/Domain:value]
Přílohy
OBRÁZEK C.4: Prohlížení objektů zásad skupin zazálohovaných pomocí skriptu
BackupAIIGPOs.wsf
V případě tohoto skriptu platí, že při jeho spouštění můžete zadat buď název objek-
tu zásad, anebo jeho GUID. V obou případech bude vyhledán správný objekt, který
bude posléze zazálohován. Ukázku použití vidíte mze:
Cscript BackupGPO.wsf "Desktop Configuration Policy" c:\gpobackups
/comment: "Backup of desktop lockdown before the change" /domain:
cpandl.com
Kopírování objektů zásad skupin
Pomocí skriptu CopyGPO.wsf můžete vybraný objekt zásad zkopírovat do jiného,
nového objektu zásad. Platí, že do nového objektu zásad jsou zkopírována všechna
nastavení původního objektu. Konzola Group Policy Management Console GPMC
podporuje jak kopírování v rámci jedné domény, tak i kopírování mezi různými
doménami zařazenými do jedne doménové struktury. Není však možné kopírovat
objekty zásad mezi doménami zařazenými do různých doménových struktur. Syn-
taxe skriptu je:
CopyGPO.wsf Zdrojovy_objekt Ci1ovy_objekt [/SourceDomain:value]
[ZTargetDomain:value] [/SourceDC:value] [/TargetDC:value]
[/MigrationTable:value] [/CopyACL]
Jak vicbte, povinnými parametry jsou pouze Zdrojovy_objekt a C i 1 ovy_objekt -
všechny zbývající jsou volitelné. Je však nutné si uvědomit, že nezadáte-li žádny
z volitelných parametrů, bude zdrojový objekt zásad zkopírován do cílového objek-
tu zasad v téže doméně a všechna nastavení budou ponechána. Pro práci s tímto
skriptem si za pamatujte následující:
	Parametry SourceDomain a TargetDomain umožňují kopírování objektů zásad
mezi doménami. Oba parametry by měly být zadány ve formě názvů DNS (na-
příklad cpandl.com). Pomoci parametru SourceDC a TargetDC pak můžete určit
konkrétní řadiče domén, mezi nimiž mají byt data zkopírována. Tuto možnost
Příloha C - Práce se skripty v Group Policy Management Console
byste použili pi édevším při kopírovaní mezi doménami, ale ve většině případů
její použití není nutné - jedinou výjimkou je případ, kdy chcete zajistit zkopíro-
vaní objektu zásad z určitého řadiče v jedné doméně na jiný konkrétní řadič
v druhé doméně.
	Parametrem Mi grati onTabl e můžete zadat migrační tabulku konzoly Group Po-
licy Management Console. Tato tabulka se při kopírováni či importu používá
pro převod zaregistrovaných objektu zabezpečení a odkazu na cesty vložených
v objektu zásad skupiny. Chcete-li tento parametr použít, pak musíte zadat ces-
tu, ve které je skutečná migrační tabulka uložena.
	Pomocí parametru CopyACL můžete říci, že cílový objekt zásad skupiny má mít
stejný seznam řízení přístupu, jako má zdrojový objekt zásad. Pokud tedy použi-
jete tento parametr při kopírování objektu zásad mezi doménami, pak seznam
řízení přístupu z domény A bude přesně přenesen do domény B. Jestliže tento
parametr nepoužijete, pak cílový objekt zásad skupiny zdědí výchozí oprávnění
používaná pri vytváření nových objektu zásad. Parametr CopyACL využijete pře-
devším tehdy, budete-b kopírovat objekt zasad, u něhož budete mít nastavené
velmi specifické filtrování zabezpečení či delegovaní, a tato nastavení budete
chtít zachovat i u cílového objektu zásad.
Příklad použití tohoto skriptu následuje níže:
Cscript CopyGPO.wsf "Desktop Configuration Policy" "Desktop Configuration
Policy" /sourcedomain:cpandl.com /targetdomain:east.cpandl.com
/MigrationTable:c:\migrationtables\ east.migtable ZcopyACL
Importování objektů zásad skupin
Skript ImportGPO.wsf umožňuje naimportování za zálohovaného objektu zásad sku-
piny do zadaného cílového objektu zásad. Syntaxe použití skriptu následuje:
ImportGPO.wsf Umísteni_zalohy ID_zálohy [Ci1 ovy_objekt]
[/MigrationTable:v a 1ue] [/CreateIfNeeded] [/Domain:value]
Parametr Umi steni_zal ohy určuje složku, v níž jsou uložene zazalohované objekty
zásad skupin. ID_zal ohy pak je název či GUID toho objektu zásad, který chcete
naimportovat. Parametrem Ci 1 ovy_objekt lze zadat název cílového objektu zásad,
do něhož chcete naimportovat nastavení ze zazálohovaného objektu. Volitelný pa-
rametr MigrationTable slouží k zadaní cesty k migrační tabulce, která ma být
v průběhu importu použita. Pomocí parametru CreatelfNeeded můžete skriptu říci,
že pokud skript nenalezne cílový objekt zásad daný parametrem Ci 1 ovy_objekt,
pak má vytvořit nový objekt. Posledním volitelným parametrem je Domain, jímž mů-
žete určit název cílové domény, do níž má být import proveden (je-li cílová domé-
na odlišná od zdrojové). Příklad použití skriptu vidíte níže:
Cscript ImportGPO.wsf c:\gpoback "Desktop Configuration Policy" "New
Lockdown Policy" /MigrationTable: c:\migtables\lockdown.migtable
Generování reportů výsledných sad zásad
Skript GetReportsForGPO.wsf je určen k vytváření reportu XML a HTML pro zadar ,
objekt zasad skupiny a jejich následné uložení do zadaného umístění, bkript se po-
užívá tímto způsobem:
Přílohy
GetReportsForGPO.wsf Nazev.GPO Umisteni_reportu [/Domain:value]
Parametr Nazev_GP0 slouží k zadání nazvu toho objektu zásad skupiny, pro nějž
chcete vygeneroval report. Název složky, do níž chcete výsledný report uložit, se
určuje parametrem Umi steni_reportu. Je nutné zdůraznit, že skript vygeneruje verzi
reportu XML i HTML a že název vytvořených reportu bude shodný s názvem zada-
ného objektu zásad (např. tedy Desktop Configuration Policy.HTML).
Zrcadlení produktivního prostředí
Skripty CreateXMLFromEnvironment.wsf a CreateEnvi ronmentFromXML.wsf umožňují
vytvoření testovacího prostředí, které je přesnou kopií produktivního prostředí. Skřip:
CreateXMLFromEnvi ronment.wsf slouží k vytvoření kopie produktivního prostředí, při-
čemž vytvořená kopie obsahuje úplnou strukturu organizačních jednotek, všechny
uživatele, jejich oprávněni a objekty zásad skupin. Všechny tyto informace jsou ulože-
ny do souboru XML, Následně můžete pomocí skr ptu CreateEnvi ronmentFromXML.wsf
naimportovat všechny tyto informace do nově domény služby Active Directory. Díky
tomu bude naprostá většina nastavení obou prostředí shodná.
Syntaxe obou příkazu je ukázána níže:
CreateXMLFromEnvironment.wsf Vystupni_soubor [/Domain:value] [/DC:value]
[/TemplatePath:value] [/StartingOU:value] [/Exc1udePermissions]
[/InciudeAl1Groups] [/InciudeUsers]
CreateEnvironmentFromXML.wsf /XML:value [/Undo] [/Domain:value] [/DC:value]
[/ExcludeSettings] [/ExcludePermissions] [/CreateUsersEnabled]
[/PasswordForUsers:value] [/MigrationTable:value] [/ImportDefaultGPOs] [/Q]
Jediným povinným parametrem pro oba skripty je cesta k souboru XML. tj. v případě
skriptu CreateXMLFromEnvi ronment .wsf se jedná o cestq k výstupnímu souboru, za-
tímco v případě skriptu CreateEnvi ronmentFromXML.wsf jde o cestu ke vstupnímu
souboru. V případe skriptu CreateXMLFromEnvi ronment .wsf můžete volitelným para-
metrem Domain určit doménu, jejíž kopie má být vytvořena, parametrem DC pak řadič
domény, ze kterého mají být všechny informace načteny, a parametrem Templ atePath
cestu ke složce, do které chcete uložit zálohy objektů zásad skupin. Nechcete-li vytvá-
řet kopii celé domény, můžete pomocí parametru Start i ngOU zadat doménový název
té organizační jednotky, která má být počátečním bodem vytváiené kopie.
Použijete-li parametr Excl udePermi ssi ons, nebudou do kopie uložena oprávnění ani
k objektům zásad skupin, ani k objektům kontejnerů (oborům správy). Spustíte-li
skript s parametrem InciudeAl 1 Groups, budou do kopie uloženy všechny skupiny
nalezené bud’ v kontejneru L'sers, či přímo v kořeni domény. Kromě nich budou do
kopie přidány i veškeré další skupiny nalezené v doméně. Pokud uvedený parame-
tr nepoužijete, budou tyto skupiny vynechány. Posledním volitelným parametrem je
InciudeUsers. Pokud jej použijete, budou do kopie uloženy jak účty uživatelů, lak
i skupiny.
Mezi parametry, které můžete použít při spouštění skriptu CreateEnvi ronmentFrom-
XML.wsf, patu například parametr Undo. Ten způsobí, že Všechny objekty nalezené v
souboru XML, jsou vymazaný, a nikoliv přidány do nové domény. Pomocí parametru
Domai n a DC můžete určit jak cílovou doménu, do níž má byl import proveden, tak i řa-
Příloha C - Práce se skripty v Group Policy Management Console
719
dič dané domény, kterýma data načíst. Parametrem Excl udeSetti ngs můžete říci, že
nemají být importována nastavení zkopírovaných objektu zásad skupin. Analogický
význam má i parametr Excl udePermi ssi ons: pokud jej použijete, nebudou importová-
na oprávněni k objektům zásad skupin a oborům správy. Spustíte-li popisovaný skript
s parametrem CreateUsersEnabled, budou všechny uživatelské účty po dokončení
importu povoleny, a nikoliv zakazany (což je standardní chování).
Parametrem PasswordForUsers můžete zadat heslo, které bude platné pro všechny
nove uživatelské účty, vytvořené z kopie. Dalším parametrem je MigrationTable,
umožňující zadání cesty k migrační tabulce, která má být použita při importu všech
objektu zásad skupin do cílové domény. Parametr ImportDefaultGPOs vám dává
možnost naimportovat nastavení, která jsou součástí standardních objektu zásad
Default Domain Policy a Default Domain Controllers Policy zdrojové domény.
A nakonec díky parametru Q můžete skript spustit v režimu bez jakékoliv odezvy.
Příklad použiti obou skriptů najdete mže:
Cscri pt CreateXMLFromEnvi ronment.wsf c:\output\prodenvi roňment.xml
/Domain:cpandl.com /TemplatePath:"c:\gpoback"
/StartingOU:0U=Marketing,DC=cpand1,DC=com /InciudeUsers
Cscript CreateEnvironmentFromXML.wsf /XML: "c:\output\prodenvironment.xml"
/Domain:testcpandl.com /CreateUsersEnabled /PasswordForUsers:'^©sswOrd"
/Migrati onTable:c:\migtables\test.mi gtable
Další standardní skripty
Group Policy Management Console
Součásti konzoly GPMC je mnoho standardních skriptu. Zatím jsme si ukázali pou-
ze ty často využívané. V tabulce C.l najdete přehled zbývajících.
Poznámka V některých případech jsme název skriptu uvedený v tabulce C.1 museli rozdělit
na dva řádky. Pro rozdělení jsme použili spojovník (-), který však není součástí názvu.
TABULKA C.1: Další standardní skripty Group Policy Management Console
Skript	Účel	Příklad použití
CreateMigrationTable.wsf Slouží k automatizaci vy- Cscript
tváření migrační tabulky, CreateMi grationTable.ws*
potřebné pro kopie a im- c. \migtabl es\test.mi gtabl e
porty objektů zásad. Sou- /GPO: "Desktop Configuration
časně tento skript p0] icy"
umožňuje vytvoření někte-
rých záznamu v této tabul-
ce na základě nějakého
stávajícího objektu záloh
či jeho zálohy.
Přílohy
Skript		Účel	Příklad použití
DumpGPOInfo.wsi	f	Pomocí tohoto skriptu si můžete vypsat souhrnné informace týkající se da- ného objektu zásad. Me- zi zobrazené informace patří např. GUID, číslo ver- ze, oprávnění a datum vy- tvoření.	Cscript DumpGPOInfo.wsf "Desktop Configuration Poli cy"
DumpSOMInfo.wsl	F	Umožňuje výpis informací týkajících se daného oboru správy. Mezi zobrazené in- formace patří seznam všech objektů zásad pro- pojených s daným objek- tem správy, uživatelé mající oprávnění k vytváření nových propo- jení a uživatelé, kteří mo- hou generovat protokoly výsledných sad zásad a data plánování.	Cscript DumpSOMInfo.wsf "Marketing” (Jako parametr je možné použít jak zobrazovaný název organizační jednotky - viz tento pří- klad, tak i její název DNS.)
FindDuplicateNamed- GPOs.wsf		Vyhledá v doméně všech- ny objekty zásad mající duplicitní popisný název.	Cscri pt FindDupli cateNamedGPOs.wsf /domain:cpandl.com
FindGPOsByPolicy- Extension.wsf		Vyhledá všechny objekty zásad, jimiž byla imple- mentována určitá oblast zásad. Pomocí tohoto skriptu můžete například vyhledat všechny objekty zásad, v nichž je imple- mentována zásada Securi- ty (Zabezpečení).	Cscript FindGPOsByPolicy- Extensi on.wsf /"Folder Redirection" Zdomain:cpandl.com
Fi ndGPOsWi thNo- Securi ty F i 1teri ng.wsf		Vyhledá všechny objekty zásad, jimž není přiřazeno oprávnění Apply Group Policy (Používat zásady skupiny). Takové objekty zásad totiž nejsou použí- vány žádnými uživateli ani počítači.	Cscript FindGPOsWith- NoSecuri ty-F i 1teri ng.wsf /domain:cpandl.com
Příloha C - Práce se skripty v Group Policy Management Console
4
Skript	Účel	Příklad použití
FindOrphanedGPOsIn- SYSVOL.wsf	Vyhledá všechny objekty zásad skupin, pro které existuje šablona zásad a současně neexistuje odpo- vídající kontejner služby Active Directory.	Cscript FindOrphanedGPOsIn- SYSVOL.wsf /domain:cpandl.com
Fi ndSOMsWi th Externa1 - GPOLinks.wsf	Pomocí tohoto skriptu lze v doméně vyhledat všech- ny obory správy propojené s objekty zásad skupin umístěnými v jiných do- ménách.	Cscript FindSOMsWith- ExternalGPOLinks.wsf /domain:cpandl.com
GetReportsForAl1 - GPOs.wsf	Umožňuje vygenerování reportů XML a HTML na- stavení všech objektů zá- sad v doméně. Reporty jsou uloženy do zadané složky.	Cscript GetReportsForAl1 - GPOs.wsf c:\reports /domain:cpandl.com
GrantPermi ssi onOnAl1 - GPOs.wsf	Přidává či nahrazuje určité oprávnění u všech objektů zásad v ooméně. Napří- klad pokud byste chtěli speciální skupině GPO Admins poskytnout opráv- nění k úpravám všech ob- jektů zásad, mohli byste použít tento skript.	Cscript GrantPermissionOn- All-GPOs.wsf "GPO Admins" /Permi ssion:Edit /domain:cpandl.com
ImportAl1GPOs.wsf	Na základě objektů zásad zazálobovaných v zadané složce vytvoří v cílové do- méně nové objekty zásad. Volitelně lze zadat i mi- grační tabulku.	Cscript ImportAl1GPOs.wsf c:\gpoback /MigratiorTable: "c:\migtables\all import.migt able" /domain:coandl.com
ListAl1GPOs.wsf	Umožňuje výpis informací o všech objektech zásad v doméně. Přepínač / v umožňuje zobrazení podrobnější varianty výpisu.	Cscript ListAlIGPOs.wsf /v
Li stSOMPolicyTree.wsf	Umožňuje výpis všech oborů správy v doméně a zobrazení všech objektů zásad, které jsou s nimi propojeny.	Cscri pt ListSOMPolicyTree.wsf /domain:cpandl.com
OueryBackup-Locati on.	wsf Slouží k výpisu všech ob- jektů zásad skupin zazálo- hovaných v zadané složce.	Cscri pt OueryBackupLocati on.wsf c:\gpoback /verbose
Přílohy
Skript RestoreAl1GPOs.wsf	Účel	Příklad použití Pomoci tohoto skriptu mů- Cscript RestoreAl 1 GPOs.wsf žete obnovit všechny ob- c: \gpoback jekty zásad z jejich	/domain: cpandl .com nejnovější zálohy umtstěné v zadané složce.
RestoreGPO.wsf	Umožhujeobnovenízada- Cscript RestoreGPO.wsf neno objektu zásad do jeho c:\gpoback "Desktop původního stavu ze zálohy Configuration Policy" umístěné v dané složce. /domain: cpandl .com
SetGPOPermi ssionsBy- SOM.wsf	Umožňuje změnu oprávnění Cscript SetGPOPermissionsBy- ke všem objektům zásad SOM. wsf "Marketing" "GPO skupin propojeným se za- Admins" Permission: Ful lEdit daným oborem správy.	/Recursive Skript přidá či upraví opráv- (Zadáte-Ii parametr Recurs've, budou pl? za^an°u skupinu, změněna oprávnění ke všem objek- přičemž oprávněni nastaví	záSad skupin propojeným se na zadanou úroveň.	všemi organizačními jednotkami, které jsou členy dané organizační jednotky - v tomto případě organi- zační jednotky Marketing.)
SetSOMPermi ssi ons.wsf	Slouží k úpravě těch	Cscri pt oprávnění k oboru správy, SetSOMPermi ssions .wsf která se týkají práce	"Marketing" "GPO Admins" s objekty zásad skupin. /Permission: LinkGPOs Pomocí tohoto skriptu lze /inherit nastavit oprávnění k propojování objektů zá- sad se zadaným oborem správy, protokolování vý- sledných sad zásad či je- jich plánování.
Základní
informace
o šablonách pro
správu sady
Office 2003
Přílohy
V této příloze:
Microsoft Access 2003.......................................................724
Microsoft Excel 2003........................................................725
Microsoft FrontPage 2003....................................................727
Microsoft Clip Organizer 2003...............................................727
Microsoft InfoPath 2003.....................................................728
Microsoft Office 2003.......................................................728
Microsoft OneNote 2003......................................................733
Microsoft Outlook 2003......................................................734
Microsoft PowerPoint 2003...................................................738
Microsoft Project 2003......................................................739
Microsoft Publisher 2003....................................................740
Microsoft Visio 2003........................................................741
Microsoft Word 2003.........................................................743
Šablony pro správu sady Office 2003 obsahují více než 2500 nastavení zásad. V tomto
dodatku se zaměříme především na některá častěji používaná nastavení obsažena
v jednotlivých souborech šablon. Přitom jednotlivě možnosti budou uvedeny
s relativná cestou vztahující se k výchozímu bodu nastaveni zásad dané aplikace. Na-
příklad je-li v textu uvedeno ToolsIOptions... lView (NástrojeIMožnosti... IZob-
razení) a jedna-li se o nastavení zásad pro dccess 2003, pak plná cesta v názvovém
prostoru konzoly GPMC (Group Policy Management Console) je User Configurati-
on I Administrativě Templates I Microsoft Office Access 20031 Tools I Options... I View
(Konfigurace uživatele I Šablony pro správu I Microsoft Office Access 20031 Nástroje I
Možnosti... I Zobrazení).
Poznámka Mezi soubory, Které si spolu se šablonami pro správu sady Office 2003 stáhnete,
patří i tabulka nazvaná „Office 2003 Group Policies.xls". V ni najdete podrobný popis všech
podporovaných nastavení. Sadu Office 2003 Resource Kit najdete na adrese http:
www.microsoft.com/downloads/detai1s.a spx? Farní 1yID=4bb7cbl0 - a6e5-4334 -8925 -
3bcf 308cf baf&Di spi ay Lang=en. Dodatečné soubory týkající se sady Office 2003 SP1 jsou
zpřístupněny na adrese http://www.microsoft.com/downloads/details.aspx7Family-
ID=ba8bc720-edc2-479b-bl 15-5abb70b3f490&DÍ spi ayLang=en. Další zdroje infoímaci
a nástrojů týkající se aplikací Visio 2003 a Project 2003 lze najít na http://www.micro-
soft.com/offi ce/ork/2003/tools/BoxA19.htm
Microsoft Access 2003
 Umístění v názvovém prostoru konzoly GPMC (Group Policy Management Con-
sole): Accc?ss 11 .adm
Příloha D - Základní informace o šablonách pro správu sady Office 2003
725
	Relativní cesta: User Configuration'Administrativě TemplatesIMicrosoft Office
Access 2003 (Konfigurace uživatele I Šablony pro správu I Microsoft Office Access
2003)
	Možnosti konfigurace nastaveni nabídky Tools, Options (Nástroje, Možnosti) za-
hrnují:
	Nastavení, zda se při spuštěn aplikace Access 2003 otevře podokno úloh:
Tools I Options... I View I Show (Nástroje I Možnosti... I ZobrazeníI Ukázat)
	Obecná nastavení, jako například kolik posledních použitých souboru bude
zobrazováno a jaká je výchozí cesta k databázím (tato nastavení se ty kají na-
bídky Filé, Open / (Soubor, Otevřít) a Filé, Savé (Soubor, Uložit):
Tools I Options... I General (Nástroje I Možnosti... I Obecné)
 Možnosti konfigurace nastaveni nabídky Tools. Macro (Nástroje, Makro) zahrnují:
	Nastavení úrovně zabezpečení maker: Tools I Macro I Security... (Nástro-
je I Makro I Zabezpečení...)
	Nastavení, zda má Access 2003 důvěřovat všem nainstalovaným doplňkům
a šablonám: Tools I Macro I Security... (Nástroje I Makro I Zabezpečení...)
	Najdete zde i možnosti konfigurace týkající se vytváření vlastních propojení na
soubory v podokně spouštění (New Filé Links - Nová propojení souboru)
	Možnosti zakazat určité položky uživatelského rozhraní, mezi něž patn např.:
	Možnost zakázat některá tlačítka panelů nástrojů či položky nabídek. V aplikaci
Access 2003 je například možné zakazat určité položky v nabídkách Tools
(Nástroje) či Help (Nápověda): Disable items in user interface I Predefined
(Zakazat položky uživatelského rozhra ní I Předdefinované)
	Klávesové zkratky: Disable items in user interface I Přede! ined (Zakázat po-
ložky uživatelského rozhraní' Předdefinované)
	Vlastní tlačítka v pane let h nástrojů, vlastni položky^ v nabídkách či vlastni
klávesové zkratky. V šediny tylo položky rozhraní lze zakazat pomoci nasta-
vení šablony pro správu aplikace Access 2003: Disable items in user interfa-
ce! Custom (Zakázat položky uživatelského rozhraní! Vlastni*
	Možnosti nastavení chování systému při otevírání databází vytvořených ve star-
ších verzích aplikace Access: Miscellaneous (Různé)
Microsoft Excel 2003
	Umístění v názvovém prostoru konzoly GPMC (Group Policy Management Con-
sole): Excelll.adm
	Relativní cesta: User Configuration I Administrativě Templates I Microsoft Office
Excel 2003 (Konfigurace uživatele I Šablony pro správná I Microsoft Office Excel
2003)
	Možnosti konfigurace nastavení nabídky Tools, Options (Nástroje. Možnosti) za-
hrnují:
	Nastaveni zobrazení, jako například zda se má při spouštění otevírat podok-
no úloh, zda se v panelu úloh systému Windows má zobrazovat, více sesitu
>6
Přílohy
či zda se ma v normálním zobrazení nebo zobrazení na celou obrazovku
zobrazovat stavový řádek a řádek vzorců: ToolsIOptions... lView (Nástro-
je I Možnosti... I ZobrazenO
	Možnosti úprav (viz obrázek D-l), jako například povolení přetahování bu-
něk myší, zobrazen, upozornění před přepsáním obsahu buňky, potvrzení
aktualizace automatických propojení a povolen: funkce automatického do-
končování obsahu buněk: Tools I Options... I Edit (Nástroje I Možnost i... I
Úpravy)
OBRÁZEK D.1 : Možnosti nastavení zasad pro úpravy v šabloně pro správu
aplikace Excel2003
	Obecné možnosti, jako například výchozí umístění souborů, počet zobraze-
ných posledních použitých souborů či standardní písmo: ToolsIOptions... I
General (Nástroje iMožnosti... I Obecné)
	Možnosti převodu, jako například standardní typ souborů, který má být použit
při ukládání všech nových sešitu: ToolsIOptions... ITransition (Nástro-
je IMožnosti... I Převod)
	Možnosti ukládání souborů, jako například nterval ukládaní informací pro au-
tomatické obnovení, složku, kam budou ukládaný tyto informace, či povoleni
anebo zákaz funkce automatického obnovení: Tools IOptions... I Savé (Nástro-
je IMožnosti... I Ukládání)
	K možnostem nastavení nabídky Tools, Macro (Nástroje, Makro) paví například
nastavení úrovně zabezpečeni pro prací s makry a nastavení důvěry všem pří-
stupům k projektům jazyka Microsoft Visual Basic: Tools I Macro I Security (Ná-
stroje I Makro I Zabezpečeni)
	Najdete zde i možnosti nastaveni automatických oprav, jako například zda síťové
a internetové cesty mají byt při psaní automaticky převáděny na hypertextové od-
kazy: Tools I AutoCorrect Options (Nástroje I Možnosti automatických oprav)
Příloha D - Základní informace o šablonách pro správu sady Office 2003
	Možnosti nastavení chování systému při obnově dat, jako například nastavení,
co má systém provést s poškozenými vzorci a zda při obnově poškozeného se-
šitu mají byt zobrazeny volby pro extrakci dat: Data Recovery1 (Obnova dat)
	Možnosti nastavení zabezpečení přístupu k datum, jako například zda mají být
dotazy automaticky aktualizovaný, zda má být při přístupu ke kontingenční ta-
bulce OLAP zobrazeno upozornění či zda má být při přístupu k externím dato-
vým zdrojům zobrazena výstraha: Data Access Security (Zabezpečení přístupu
k datum)
Dále zde najdete možnosti pro vytváření vlastních odkazů na sešity zobrazované
v podokně úloh při spuštění: New Spreadsheet Links (Nové odkazy na sešity)
Možnosti konfigurace nastavení různých voleb, jako například výchozí cesty ke
galerii grafů, zobrazování roků pomocí 4 číslic či ukládání sešitů umístěných
v síti do mezipaměti lokálního počítače: Miscellaneous (Různé)
Microsoft FrontPage 2003
	Umístěn* v názvovém prostoru konzoly GPMC (Správa zásad skupiny): Fpll.adm
	Relativní cesta: User Configuration I Administrativě Templates I Microsoft Office
FrontPage 2003 (Konfigurace uživatele I Šablony pro správu I Microsoft Office
FrontPage 2003)
Možnosti konfigurace nastavení nabídky Tools, Options (Nástroje, Možnosti) za-
hrnují:
	Nastavení otevírání podokna úloh při spouštění aplikace FrontPage 2003:
Tools I Options... I General (Nástroje I Možnosti... I Obecné)
	Dále zde najdete možnosti konfigurace voleb pro vytváření vlastních odkazu na
soubory aplikace FrontPage či weby v podokně úloh při spuštění: New Page or
Web Links (Nové odkazy na stránky či web)
	Možnosti konfigurace pro volbu Optimize HTML On Publish (Optimalizovat
HTML při publikování): Miscellaneous (Různé)
Microsoft Clip Organizer 2003
	Umístění v názvovém prostoru konzoly GPMC (Group Policy Management Con-
sole): Galii.adm
	Relativní cesta: User Configuration I Administrativě Templates 1 Microsoft Office
Clip Orgamzer (Konfigurace uživatele I Šablony pro správu I Microsoft Office Clip
Organizer)
	Mezi možnosti konfigurace funkce Microsoft Office Clip Art Organizer patří:
	Možnost zakázat online přistup ke klipům nabízeným touto aplikaci
	Možnost zakázat volbu Filé. Add Clips To Organizer, From Scanner Or Ca-
mera (Soubor, Přidat klip, Ze skeneru či fotoaparátu)
	Přesměrovat adresu URL aplikace Clip Organizer na alternativní umístění
	Možnost skryt různé typy kolekcí klipu
Přílohy
	Možnost zakázat automatický import klipu či zakázat uživatelům importoval
klipy
	Možnost povolit či zakázat přehrávání náhledů zvuku či videa na terminálo-
vém serveru (tj. na serveru, na němž jsou spuštěny terminálové služby)
	Možnost vyhledávání klipu podle jazyků
Microsoft InfoPath 2003
	Umístění v názvovém prostoru konzoly GPMC (Správa zásad skupiny): Inf! 1 .adm
	Relativní cesta: User Configuration I Administrativě Templates I Microsoft Office In-
foPath 2003 (Konfigurace uživatele I Šablony pro správu I Microsoft Office InfoPath
2003)
	Možnosti konfigurace nastavení nabídky Tools, Options (Nástroje, Možnosti) za-
hrnují:
	Obecné možnosti, jako například nastaveni velikosti seznamu posledních pou-
žitých souborů: Tools I Options... I General (Nástroje Možnosti... I Obecné)
	Možnosti kontroly pravopisu a gramatiky, jako například zda má byl prová-
děna kontrola pravopisu během psaní, zda mají být pravopisné chyby skryty
ci nikoliv, zda mají být zobrazovány návrhy oprav pravopisu či zda mají být
z kontroly pravopisu vynechaná slova napsaná velkými písmeny: Tools IOp-
tions. .. I Spelling&Grammar (Nástroje I Možnosti... I Pravopis a gramatika)
	Najdete zde i možnosti nastavení zabezpečení, jako například možnost zakázat
otevírání řešení ze zóny zabezpečení Internet a zakázat plný přistup k počítači
pro načtení nainstalovaných řešení: Security (Zabezpečení)
	Možnosti nastavení různých voleb, jako například zakázat režim návrhu aplikace
InfoPath, určit cestu ke zdroji aktualizací aplikace InfoPath v případě, kdy řešeni
otevřené v e verzi I nějakého produktu není s touto verzí kompatibilní, či nasta-
vit, zda uživatelé mohou nebo nemohou vypnout tisk barev pozadí: Miscellane-
ous(Různé)
Microsoft Office 2003
	Umístění v názvovém prostoru konzoly GPMC (Správa zásad skupiny): Offi-
ce! 1.adm
	Relativní cesta: User Configuration I Administrative Templates I Microsoft Office
2003 (Konfigurace uživatele I Šablony pro sprav u I Microsoft Office 2003) a Com-
puter Configuration I Administiative Templates I Microsoft Office 2003 (Konfigu-
race počítače I Šablony pro správu I Microsoft Office 2003)
	Možnosti konfigurace obecného chování aplikace platné pro všechny aplikace
sady Office, a to jak pro uživatele, tak pro počítač. Je možné nastavit i možnosti
zabezpečení jak pro uživatele, tak i pro počítač.
	Možnosti nastav ení zabezpečení počítače umožňující zpracovaní souboru průvod-
ce Office Custom Maintenance izard (Vlastní průvodce údržbou) z kteréhokoliv
umístění, a to i uživateli, kteří nejsou administrátory. Vlastní průvodce údržbou je
Příloha D - Základní informace o šablonách pro správu sady Office 2003
72S
nástrojem sady Office Resource Kit, s jehož pomocí mohou administrátoři měnit
určité volby sady Office i po dokončení její instalace: Custom Maintenance Wi-
zard (Vlastni průvodce údržbou)
 Možnosti zabezpečení počítače (viz obrázek D-2), mezi něž patří:
	Řízení úrovně zabezpečení maker ve všech aplikacích sady Office 2003: Se-
curity Settings (Nastavení zabezpečení)
	Zákaz spouštěni kódu napsaného v jazyce Visual Basic for Applications
(VBA) ve všech aplikacích sady Office 2003: Security Settings (Nastavení za-
bezpečeno
OBRÁZEK D.2: Obecné možnosti zabezpečení, které jsou součástí šablony pro správu
0ffice11.adm
Poznámka Tyto zásady zabezpečení sady Office platné pro počítač mají vyšší prioritu než ja-
kákoliv nastavení zásad zabezpečení uživatele, která jste nadefinovali pro jednotlivé aplika-
ce sady Office.
	Najdete zde i možnosti nastavení voleb nabídky Tools, Customize, Options (Ná-
stroje, Vlastní, Možnosti) pro uživatele a pro všechny aplikace sady Office. Mezi
možnosti, které lze nastavit, patři například zobrazováni úplných nabídek, zob-
razování tipu u tlačítek panelů nástrojů či používání animací nabídek:
Tools I Customize I Options (Nástroje I Vlastní I Možnosti)
	Možnosti nastaveni nabídky Tools, AutoCorrect Options (Nástroje. Možnosti au-
tomatických oprav) aplikací Excel, PowerPoint a Access pro jednotlivé uživatele.
Mimo jiné zde můžete říci, zda se mají zobrazovat tlačítka pro možnosti automa-
tických oprav, zda mají být opravována dvě velká písmena na počátku slov ci
zda má být text nahrazován při psaní: ToolsIAutoCorrect Options... (Nástro-
je I Možnosti automatických oprav)
Přílohy
	Možnosti nastavení chování inteligentních značek pro uživatele: Tools lAutoCorrect
Options... I Smart Tags (Nástroje iMožnosti automatických oprav I Inteligentní
značky). Tyto možnosti najdete pouze v nastaveni aplikací Fxcel, PowerPoint
a Access.
	Možnosti nastavení jednotlivých voleb nabídky Tools, Options, General, Web
Options (Nástroje, Možnosti, Obecné, Webové možnosti) pro uživatele. Tylo
volby určuji způsob, jakým aplikace sady Office zobrazují a ukládají webové
stránky:
	Pokud se týká ukládání webových stránek, lze nastavit, zda všechny souvise-
jící soubory mají být uloženy do zvláštní složky: Tools I Options I Gene-
ral I Web Options... IFiles (NástrojeIMožnostiIObecnéI Webové možnosti...
I Soubory)
	Dále je možné říci, zda aplikace sady Office mají provádět kontrolu, jsou-li
nastaveny jako výchozí editor webových stránek vytvořených v jakékoliv
aplikaci sady Office: Tools I Options I General I Web Options... I Files (Nástro-
je I Možnosti I Obecné I Webové možnosti... I Soubory)
	Zda soubory sady Office publikované na webovém serveru budou
v prohlížeči Internet Fxplorer automaticky otevírány v režimu pouze pro
čtení či v režimu pro čtení i zápis: ToolsIOptionsIGeneralI Web Options... I
Files (Nástroje I Možnosti I Obecné I Webové možnosti... I Soubory)
	Možnosti konfigurace nastavení nabídky Tools, Options, General, Service Opti-
ons (Nástroje, Možnosti, Obecné, Možnosti služeb):
	Lze nastavit přístup k online obsahu publikovanému na webu sady Office,
jako například k šablonám či klipům: Tools I Options I General I Service Opti-
ons. .. I Online Content (Nástroje I Možnosti I Obecné I Možnosti služeb... I On-
line obsah)
	Dále můžete říci, jakým způsobem se má dokument podílet na sdíleném
pracovním prostoru v prostředí serveru Microsoft SharePoint Server: Tools I
OptionsIGeneralIService Options... IShared Workspace (NástrojeIMožnosti
I Obecné I Možnosti služeb... I Sdílený pracovní prostor)
	Najdete zde i možnosti pro nastavení adres URL sdíleného pracovního pro-
storu, které má uživatel používat při sdílení dokumentu na serveru Microsoft
SharePoint Server: Tools I Options I General I Service Options... I Shared Work-
space, Define Shared Workspace URLs (Nástroje I Možnosti I Obecné I Mož-
nosti služeb... ISdílený pracovní prostor, Definovat URL adresy sdíleného
pracovního prostoru)
	Pomocí zásad skupiny můžete nastavit i nastavení nabídky Help (Nápověda),
jako například:
	Adresu URL sady Office: Help (Nápověda)
	Povolit či zakazat zasílání informací v rámci programu Microsoft Customer
Experience Improvement Program: Help I Help I Customer Feedback Opti-
ons. .. (Nápověda 1 Nápověda I Možnosti odezvy zákazníka...)
	Možnosti nabídky Help, Detect & Repair (Nápověda, Rozpoznat a opravit),
jako například zda mají být při opravě obnoveni i existující zástupci či zda
Příloha D - Základní informace o šablonách pro správu sady Office 2003
mají být zahozena vlastní nastavení uživatele: Help I Help I Detect & Repair
(Nápověda I Nápověda I Rozpoznat a obnovit)
Možnosti nastavení obecných voleb zabezpečení:
	Lze povolit či zakázat používání kódu jazyka VBA v aplikacích sady Office:
Security Settings (Nastaveni zabezpečení)
	Lze nastavit úroveň zabezpečení automatizace určující kontexty, v nichž mo-
hou být spouštěny objekty technologie COM: Security Settings (Nastavení
zabezpečeno
	Dále je možné aplikacím Word a Excel zakázat načítat rozšíření spravované-
ho kódu, kterým může být například kód napsaný pro prostředí .NET: Secu-
rity Settings (Nastavení zabezpečeno
	Uživatelům je pak možné zabránit ve změně nastavení šifrovaní: Security Set-
tings (Nastavem zabezpečeno
Možnosti konfigurace nastaveni sdílených cest k dokumentům:
	Lze nastavit cesty k uživatelským šablonám, šablonám skupiny, sdíleným
tématům a uživatelským dotazům: Shared Paths (Sdílené cesty)
Možnosti konfigurace průvodce Savé My Settings Wizard (Průvodce uložením
nastavenO sady Office 2003, což je nástroj umožňující uživateli uložení všech
nastavení dané aplikace sady Office do souboru typu .ops. Pomocí této zásady
můžete nastavit výchozí cestu pro ukládání souboru .ops: Savé My Settings Wi-
zard (Průvodce uložením nastavenO
Možnosti konfigurace pomocníka sady Office, jako například:
	Můžete říci, který pomocník ma byt používán: Assistant I General (Pomoc-
ník I Obecné)
	Můžete nastavit dobu, po kterou bude zobrazena zarovka s tipem: As-
sistant I General (Pomocník I Obecné)
	Pomocníka sady Office můžete také zcela vypnout anebo naopak zapnout:
Assistant I Options Tab (Pomocník I Karta Možnosti)
	Dále můžete říci, zda má pomocník vydávat nějaké zvuky: Assistant I Options
Tab (Pomocník I Karta Možnosti)
	Je možné nastavu zobrazování tipu dne při spuštění některé aplikace sady
Office: Assistant I Options Tab (Pomocník I Karta Možnosti")
	Dále je možné nastavit i to, zda se při programování má zobrazovat nápově-
da pro aplikaci i programování: Assistant I Options Tab (Pomocník! Karta
Možnosti)
Možnosti konfigurace nastavení jazyka:
	Lze nastavit jazyk použitý pii zobrazovaní nabídek a dialogu: Language Set-
tings I User Inteface (Nastavení jazyka [Uživatelské rozhraní)
	Lze nastavit jazyk, se kterým bude pracovat nápověda sady Office: Language
Settings I User Inteface (Nastavení jazyka I Uživatelské rozhraní)
	Dále lze nastavit jazyk nainstalované verze sady Office: Language Set-
tings I Enabled Languages (Nastaveni jazyka I Povolené jazyky)
Přílohy
	Lze kontrolovat použiti pera, včetne automatického přepínám mezi perem
a nástrojem pro výběry: Tools I Options I Ha ndwriting (Nástro-
je í Možnosti I Psaní rukou)
	Lze povolit či zakázat odesílání zpráv elektronicko pošty z aphkace OneNote
(výsledkem jsou zprávy, jejichž přílohu tvoří poznámky aplikace OneNote);
dále lze určit, zda přílohou zpráv smí být i soubory se záznamem zvuku:
Tools I Options I E-mail (Nástroje I Možnosti I E-mail)
	Lze nastavit podpis, který bude používán při odesílán* zpráv z aplikace
OneNote: Tools I Options I E-mail (Nástroje I Možnosti I E-mail)
	Zda má být vybraná položka při svém přesunu současně kopírována:
Tools I Options I Notě Flags (Nástroje I Možnosti I Návěští poznámek)
	Lze ovlivnit použití funkce Linked Audio (Propojený zvuk): Tools I Options I
Linked Audio (Nástroje I Možnosti I Propojený zvuk)
	Je možné nastavit počet bitů a vzorkovací frekvenci, která bude používána
pro záznam zvuku: Tools I Options I Linked Audio (Nástroje I Možnosti I Pro-
pojený zvuk)
	Je možné nastavit složku, do které budou na přenosném počítači ukládány
soubory aplikace OneNote; spolu s ní lze nastavit i složku pro zálohy: Tools
I Options I Open And Savé (Nástroje I Možnosti I Otevřít a uložit)
	Lze nastavit umístění postranních poznámek - tj. sekci, ve které se objeví:
Tools I Options I Open And Savé (Nástroje I Možnosti I Otevřít a uložit)
	Dále lze povolit funkci optimalizace souboru aplikace OneNote při jejím
ukončen (Optirmze OneNote Files OnExit) a nastavit, jak často mají být tyto
soubory optimalizovány: Tools I Options I Open And Savé (Nástroje I Možnosti
I Otevřít a uložit)
	Je možné nastavit automatické zálohování souboru vytvořených na přenos-
ném počítači v zadaném intervalu (udává se v minutách) a současně určit
počet záložních kopií, které mají být zachovávány: Tools I Options I Backup
(Nástroje I Možnosti I Záloha)
	Lze určit výchozí délkovou jednotku, se kterou bude aplikace OneNote pra-
covat: Tools I Options I Other (Nástroje I Možnosti I Jiné)
	Lze říci, zda se ikona aplikace OneNote má objevit v oznamovací oblasti hlav-
ního panelu systému: Tools lOptions I Other (Nástroje iMožnosti IJiné)
	Dále je možné nastavit další volby, mezi něž patří například interval automa-
tického ukládání či spuštění ukázky po prvním spuštění aplikace OneNote:
Miscellaneous (Různé)
Microsoft Outlook 2003
	L místění v názvovém prostoru konzoly GPMC (Group Policy Management Con-
sole): Outlkll.adm
	Relativní cesta: User ConfigurationI Administrativě Templates I Microsoft Office
Outlook 2003 (Konfigurace uživatele I Šablony pro správu i Microsoft Office
Outlook 2003)
Příloha D - Základní informace o šablonách pro správu sady Office 2003
735
	Možnosti konfigurace nastavení nabídky Tools, Options (Nástroje, Možnosti) za-
hrnují:
	Nastaven předvoleb, mezi něž patří například způsob čtení zpráv a způsob
odpovídání na zprávy (viz obrázek D-3): ToolsiOptions... IPreferencesIE-
mail Options (Nástroje I Možnosti... I Předvolby I Možnosti el. pošty)
OBRÁZEK D.3: Zobrazení voleb pro zpracováni zpráv nabízených šablonou pro správu
aplikace Outlook2003
	Lze líci, zda elektronická pošta má byt vždy čtena jako prostý text:
1 ools I Optioi is... I Preferei ices I E-ma il Options (Nástroje I Možnosti... I Před-
volby I Možnosti el. pošty)
	Je možné cli stavit způsob upozorňování na nové zprávy - tj. zda se má nová
zpráva zobrazit na ploše: Tools I Options... I Preferences I E-mail Options I Ad-
vanced E-mail Options I Desktop Alert (Nástroje I Možnosti... I Předvol-
byl Možnosti el. pošty I Upřesnit nastavení elektronické pošty I Upozorněni na
ploše)
	Najdete zde možnosti pro nastavení sledováni zpráv, jako například nastave-
ní způsobu zpracováni požadavků na oznámení o přečteni: Tools'Op-
tions... i Preferences I E-mail OptionsITracking Options (NástrojeIMožnosti...
I Předvolby I Možnosti el pošty I Možnosti sledováni)
	Lze nastavit možnost1 kalendáře, jako například první den týdne, pracovní
týden a pracovní hodiny: ToolsIOptions... IPreferences ICalendar Options
(Nástroje I Možnosti... I Předvolby I M<)žnosti kalendáře)
	Pomocí zásad je možné říci, zda pozvaní účastníci schůzek smí navrhnout novy
čas pro konaní schůzky, kterou organizujete: ToolsIOptions... IPreferen-
ces I Calendar Options (Nástroje IMožnosti... I Předvolby I Možnosti kalendáře1
	Lze nastavit i možnosti týkající se volného a zaneprázdněného času. Napří-
klad můžete zakázat používání služby pro informace o volném času v Inter-
netu anebo můžete změnit adresu URL, na kterou jsou informace o volném
čase odesílaný: Tools I Options... I Preferences I Calendar Options I Free Busy
Přílohy
	Samozřejmě je možné nastavit i jazyk funkce Office on the Web (Sada Office
na webu): Language Settings I Other (Nastavení jazyka I Ostatní)
 Možnosti konfigurace nastavení spolupráce, mezi něž patří:
	Nastavení maximálního počtu dokumentů odeslaných k revizi pomocí pří-
slušné funkce: Collaboration Settings (Nastavení spolupráce)
	Možnost povolit či zakázat odesílání dokumentů k revizím v aphkaci Outlo-
ok 2003: Collaboration Settings (Nastavení spolupráce)
	Nastavení výchozího textu předmětu nového požadavku na revizi: Collabo-
ration Settings (Nastavení spolupráce)
	Nastavení výchozího textu nového požadavku na revizi a odpovědi na revizi:
Default Message Text For A Review Request, Default Message Text For A Reply
(Výchozí text zprávy požadavku na revizi, Výchozí text zprávy odpovědi)
 Dále zde najdete možnosti konfigurace webových archívů, mezi něž patří:
	Ukládání webových archívů do kteréhokoliv formátu pro kódováni stránek
HTML. Přitom webovým archívem se rozumí jeden soubor, v němž je uložen
veškerý obsah jednoho webu: Web Archives (Webove archívy)
	Nastavení typu kódování, které má bvt použito při vytváření webových ar-
chívů: Web Acrhives (Webové archívy)
	Volby pro povolení či naopak zakázání funkce inteligentních dokumentu
v aplikacích Word a Excel: Smart Documents (Inteligentní dokumenty)
	Možnosti konfigurace faxové služby, jako například zákaz využívání funkce
odesílání faxů přes internet či zákaz využívání osobních titulních stránek: Servi-
ces I Fax (Služby I Fax)
	Možnosti konfigurace, které určují, co vše se objeví u jména osoby v nabídce in-
teligentních značek v aplikacích sady Office:
	Zobrazení informace o stavu osoby (tj. zda je online či nikoliv), informací
o volnem či zaneprázdněném čase, zobrazení telefonního čísla atd.: Instant
Messaging Integration (Integrace rychlého zasílání zpráv)
	Nastavení způsobu, jakým je služba Active Directory využívána při vyhledáváni
informací pro jména použitá při rychlém zasílání zpráv. Lze nastavit například
to, zda vůbec jsou data ve službě Active Directory vyhledávána; pokud ano, je
možné nastavit přiřazení polí typu e-mailová adresa, kancelář či telefonní číslo
na atributy služby Active Directory: Instant Messaging Integration I Active Di-
rectory I Person Name Smart Tag Integration (Integrace rychlého zasílání
zpráv I Active Directory I Integrace inteligentní značky jméno osoby)
	Možnosti konfigurace hlášení chyb v aplikacích sady Office. Pomocí zásad je
možné říci, zda firmě Microsoft maii být odesílána nějaká chybová hlášení; po-
kud ano, pak zda i hlášení o nekritických chybách: Im proved Error Reporting
(Vylepšené hlášeni chyb)
	Možnosti konfigurace služby Information Rights Management, tj. kteří uživatelé
mohou řídit způsob využívám dokumentů sady Office:
Lze například zakázat zobrazováni uživatelského rozhraní této služby: Ma-
nage Restricted Permissions (Spravovat omezená oprávnění)
Příloha D - Základní informace o šablonách pro správu sady Office 2003
	Dále je možné nastavit, zda před použitím nějakého dokumentu sady Office
musí uživatelé požádat server této služby o oprávněni: Manage Restricted
Permissions (Spravovat omezená oprávnění)
	Najdete zde i možnost nastavení, zda uživatelé mohou využívat k řízení
oprávnění pro přístup k dokumentům sady Office skupiny: Manage Restric-
ted Permissions (Spravovat omezená oprávnění)
 Možnosti konfigurace různých dalších voleb, mezi něž patří například:
	Konfigurace volby Provide Feedback With Sound (Vyjádřit názor se zvuky)
pro všechny aplikace sady Office: Miscellaneous (Různé)
	Možnost zakázat sledování času úprav dokumentu: Miscellaneous (Různé)
	Dále lze například zakázat zobrazování tlačítek pro volby vkládání: Miscella-
neous (Různé)
	Je možné zakázat i zpracovaní všech aktualizací stažených z webu; touto
volbou se současně zakáže i volba pro kontrolu a stahování aktualizací
v nabídce: Miscellaneous (Různé)
Microsoft OneNote 2003
	Umístění v názvovém prostoru konzoly GPMC (Group Policy Management Con-
sole): Onentll.adm
	Relativní cesta: User Configuration I Administrativě Templates 1 Microsoft Office
OneNote 2003 (Konfigurace uživatele I Šablony pro správu I Microsoft Office One-
Note 2003)
	Možnosti konfigurace nastavení nabídky Tools, Options (Nástroje, Možnosti) za-
hrnují:
	Možnost nastavit, zda se v okně aplikace OneNote zobrazí i ovládací prvek
pro přecházení mezi stránkami - vlevo či vpravo: Tools I Options I Display
(Nástroje I Možnosti I Zobrazení)
	Možnost povolit či zakazat zobrazování kontejnerů poznámek:
Tools I Options I Display (Nástroje 1 Možnosti I Zobrazení)
	Je možné říci, zda všechny nové stránky mají být vytvářeny s nalinkovanými
řádky: Tools I Options I Display (Nástroje I Možnosti I Zobrazení)
	Dále lze nastavit, zda mají být trvale vymazány všechny stránky aplikace
OneNote starší než zadaný počet dní; počet dní lze také nastavit: Tools I Op-
tions I Editing (Nástroje I Možnosti I Úpravy)
	Je možné říci, zda vymazaná složka má být při ukončení aplikace vyprázd-
něna: Tools 1 Options I Fditing (Nástroje I Možnosti I Úpravy)
	Možnost nastavit automatické číslování a odrážky: Tools I Options I Editing
(Nástroje I Možnosti I Úpravy)
	Lze nastavit i to, zda v poznámkách mají být zvýrazňovany pravopisné chy-
by: Tools I Options I Spelling (Nástroje I Možnosti I Pravopis)
Přílohy
Options (Nástroje I Možnosti... I Předvolby I Možnosti	kalendáře I Možnosti
volného času)
	Lze nastavit výchozí nastavení zařazování nových kontaktů: Tools IOptions...
I Preferences I Contact Options (Nástroje I Možnosti... I Předvolby I Mí)žnosti
kontaktu)
	Najdete zde i zasady pro nastavení deníku, jako například zda určité typy
položek aplikace Outlook 2003 mají či nemař být zaznamenávány do dení-
ku: Tools I Options... I Preferences IJournal Options (Nástroje I Možnosti... I
Předvolby I Možnosti deníku)
	Lze nastavil i barvu a velikost poznámek aplikace Outlook 2003: Tools IOp-
tions. .. I Prereiences I Notes Options (Nástroje IMožnosti... I Předvolby I Mož-
nosti poznámek)
	Dále je možné nastavit možnosti nevyžádané pošty, jako například to, zda
chcete důvěřovat elektronické poště odeslané osobami, které jsou uloženy
ve složce Contacts (Kontakty), lze nastavit cesty k seznamům bezpečných
odesílatelů, bezpečných adresátů a blokovaných odesilatelů, lze nastavit tr-
valé odstraňování nevyžádané pošty a výchozí úroveň ochrany filtru pro ne-
vyžádanou poštu: Tools I Options... I Preferences IJunk E-mail (Nástroje I Mož-
nosti. .. I Předvolby I Nevyžádaná pošta)
 K možnostem konfigurace nastavení elektronickc pošty patří:
	Volby poštovních účtů, jako například okamžité odesílání pošty při spojení:
Tools I Options... I Mail Setup (Nástroje I Možnosti... I Nastaven pošty)
	Volby pro vytáčená spojení, jako například automatické zavěšování po dokon-
čení odesílání a příjmu či automatické vytáčení při odesílaní nebo přijímání na
pozadí: Tools lOpúons... I Mail Setup (Nástroje iMožnosti... I Nastavení pošty)
	Najdete zde i možnosti konfigurace formátu pošty:
	Možnost nastaveni výchozího editoru poštovních zpráv: ToolsIOptions... I
Mail Fonnat I Message Fonnat (Nástroje I Možnosti... I Formát pošty I Formát
zprávy)
	Možnost nastavení internetových formátů zprav, jako například způsobů kó-
dování zpráv odesílaných ve formátu prostého textu, fonnatu, v němž budou
příjemcům v internetu odesílány zprávy aplikace Outlook vytvořené ve formá-
tu RTF, či způsobu, jakým mají být zpracovány obrázky vložené do zpráv ve
formátu HTML (zda má být obrázek vložen do zprávy či zda má být do zprávy
vložen odkaz na obrázek): Tools IOptions... I Mail Formát I Internet Formatting
(Nástroje IMožnosti... I Formát pošty I Internetový formát)
	Možnosti podpory různých jazyků, jako například upřednostňovaný způsob
kódování všech odesílaných zpráv či použití angličtiny pro příznaky a záhla-
ví zpráv: Tools I Options... I Mail Formát I International Options (Nástro-
je I Možnosti... I Formát pošty I Mezinárodní)
	Možnosti konfigurace kontroly pravopisu ve zprávách aplikace Outlook, mezi
něž patří automatické navrhován' oprav pro nesprávně napsaná slova či ignoro-
vání původního textu při odpovědích nebo předávání dál: ToolsIOptions... I
Spelling (Nástroje I Možnosti... I Kontrola pravopisu)
Příloha D - Základní informace o šablonách pro správu sady Office 2003
73;
Pomocí zasad lze aplikaci Outlook i zabezpečit:
	Můžete povolit přistup k přílohám zpráv; dále můžete nastavit seznam povo-
lených typů souborů: Tools I Options... I Security (Nástroje I Možnosti... I Za-
bezpečení)
	Můžete zakázal volbu Remembcr Password (Zapamatovat heslo) pro interne-
tovou poštu: Tools IOptions... I Security (Nástroje Možnosti... I Zabezpečení)
	Můžete uživatelům zabránit ve změnách nastaveni zabezpečení příloh:
Tools I Options... I Security (Nástroje I Možnosti... I Zabezpečení)
	Dále můžete nastavit zabezpečení proti virům: ToolsIOptions... ISecurity
(Nástroje I Možnosti... I Zabezpečení)
	Lze nakonfigurovat i možnosti šifrování elektronické pošty, včetně vynuce-
ného šifrováni všech zpráv, minimální velikostí šifrovacího klíče či vynuce-
ného podepsam všech zpráv: Tools I Options... I Security I Cryptography
(Nástroje I Možnosti... I Zabezpečení I Šifrovaní)
	Samozřejmě můžete nastavit i volby související s automatickým stahováním ob-
lázků -můžete tak například říci, zda spolu se zprávami ve formátu HTML mají
byt stahovaný i související obrázky: Tools IOptions... ISecurityI Automatic
Picture Download Settings (Nástroje iMožnosti... I Zabezpečeni IAutomatické
načítání obrázku)
Možnosti konfigurace dalších voleb, mezi něž patří například automatické vy-
prázdnění složky s vymazanými zprávami při ukončení: ToolsIOptions... IOther
(Nástroje1 Možnosti... I Jiné)
Možnosti konfigurace chování podokna náhledu: Tools IOptions... IOther (Ná-
stroje IMožnosti... IJiné)
Možnosti konfigurace protokolování elektronické pošty, potřebného zejména při
řešení případných problémů: Tools I Options... I Other I Advanced (Nástro-
je I Možnosti... IJiné I Upřesnit nastavení)
Lze také říci, zda v čase připomenutí nějaké události má být přehráván nějaký zvuk
a zda má byt dané připomenutí i zobrazeno: ToolsIOptions... IOtherI Advan-
ced iReminder Options (NástrojeIMožnosti... IJinéIUpřesnit nastavení Možnosti
připomenutí)
Možnosti konfigurace automatického archivování a uchovávání zpráv, mezi něž
patří například interval automatického archivování, výběr položek pro archivaci
či kritéria pro uchovávání: Tools IOptions... IOtherlAutoArchive (Nástro-
je I Možnosti... I Jiné I Automaticky archivovat)
Možnosti konfigurace inteligentních značek, jako například povoleni či zákaz
jmen aplikace Instant Messenger či zobrazování informace o stavu uživatele této
aplikace v poli From (Od): ToolsIOptions... IOther IPerson Names (Nástro-
je I Možnosti... IJiné IJména osob)
Možnosti pro nastavení zabezpečení maker, mezi nc ž patří i výchozí úroveň za-
bezpečení maker v aplikaci Outlook: Tools I Macro I Security (Nástroje I Makro I
Zabezpečení)
Přílohy
	Možnost povolit zobrazovaní uživatelského rozhraní Exchange Over The Inter-
net (Exchange na internetu): Tools I E-mail Accounts I Exchange Over The Inter-
net (Nástroje I Účty elektronické pošty I Exchange na internetu)
	Možnosti konfigurace chování aplikace Outlool v pí ipadě připojeni k serveru
pomocí mezipaměti: povolení či zákaz stahování celých zpráv anebo jenom za
hlaví, zrušeni stahování pouze zalila ví v případě pomalého spojení či nastavení
časového intervalu stahování a odesílání změn: Tools I E-mail Accounts I Cached
Exchange Mode (Nástroje I Účty elektronické pošty... I Exchange v režimu mezi-
paměti)
	Možnosti konfigurace standardního způsobů ověřování na serveru Exchange:
Exchange Settings (Nastavení Exchange)
	xMožnosti konfigurace synchronizace adresní knihy pro režim offline a povolení
či zákaz vytváření souboru typu .ost: Exchange Settings (Nastavení Exchange)
	Možnosti konfigurace různých dalších nastavení: například lze uživateli zabránit
v provádění změn jeho profilu aplikace Outlook či ve vytváření nových typů
účtů elektronické pošty: Miscellaneous (Různé)
	Možnosti konfigurace standardního umístění souborů typu .pst a jejich maxi-
mální velikosti: Miscellaneous I PST Settings (Různé I Nastavení souborů PST)
Microsoft PowerPoint 2003
	Umístění v názvovém prostoru konzoly GPMC (Group Policy Management Con-
sole): Pptll.adm
	Relativní cesta: User Configuration I Administrativě Templates I Microsoft Office
PowerPoint 2003 (Konfigurace uživatele I Šablony pro správu IMicrosoft Office
PowerPoint 2003)
	Možnosti konfigurace nastavení nabídky Tools, Options (Nástroje, Možnosti) za
hrnu jí:
	Možnost zobrazování podokna úloh při spuštění či zobrazovaní stavového
řádku: Tools I Options... I View (Nástroje I Možnosti... I Zobrazení)
	Nastavení počtu souborů zobrazovaných v seznamu posledních použitých
souborů: Tools I Options... I General (Nástroje I Možnosti... I Obecné)
	Možnosti úprav (viz obrázek D-4), mezi něž patří například možnost přeta-
hování textu myší, nastavení maximálního počtu kroků zpět, nastavení ma-
ximálního počtu předloh v prezentaci či vynucení ochrany všech dokumentů
aplikace PowerPoint 2003 heslem: ToolsIOptions ...lEdii (NástrojeIMož-
nosti. .. I Úpravy)
Pnloha D - Základní informace o šablonách pro správu sady Office 2003
'Jaté
Not configired
Not corftgixed
Notcorógíred
Not onfigcred
Noc _ jrfigLred
Not corf igired
Not ní/xel
Not orógued
* Lbe mart cút and poste
V Orep-anMop text edting
> New charts také on PowwPort font
fit Maxrun mrrtier of uxJos
ÍNew anfrnatton effect*
MJbpe mastere
Password pratectKm
' _J A+w trabve Templates
User Configuobon
• Software Settings
» I Windows Settinos
_) A hn tratíve Templates
aies Dedtop Poky [corpsvrfM pand com] Poky
- Computer Corftjirabon
• _J Software Settings
 Mcrosoft Offxre InfoPath 2003
_J hfcrosoft Cffrp 2003
_j HcraMf* 0f*„ OneN te 2003
Mc- -aft Offke Outlook 2003
. I Microsoft Office PowerPort 2003
I becirtv
\ ExtendŇQ StandaroJ
OBRÁZEK D.4: Možnosti nastavení zásad pro úpravy v šabloně pro správu aplikace
PowerPoint 2005
	Možnosti nastavení tisku, jako například povolení tisku na pozadí, nastavení
rozlišení vložených objektu pro tisk dle rozlišeni tiskárny či tisk písem True-
Type ve formě grafiky: Tools I Options... I Print (Nástroje I Možnosti... I Tisk)
	Možnosti ukládání souborů, jako například povolení rychlého ukládáni, na-
stavení výchozího umístění souborů aplikace PowerPoint či nastaveni inter-
valu ukládání informací pro automatické obnovení: Tools 1 Options... ISavé
(Nástroje I Možnosti I Ukládání)
	Možnost povolit zobrazení skrytých značek: Tools I Options... I Security (Ná-
stroje I Možnosti... I Zabezpečení)
	Možnosti nastavení kontroly ptavopisu, jako například zda mají být při psaní
nabízeny opravy, zda má být kontrola pravopisu prováděná během psaní či
zda má být kontrolován styl psaní: ToolsIOptions... ISpelling And Style (Ná-
stroje I Možnosti .. 1 Pravopis a styl)
	Možnosti automatických oprav, mezi něž patří například nahrazovaní rov-
ných uvozovek oblými: Tools IAutoCorrect Options I AutoFormat As You Ty-
pe (Nástroje I Možnosti automatických oprav I Automatické úpravy formátu při
psaní)
	Dále zde najdete i možnosti konfigurace volby Tools, Macro (Nástroje, Makro)
zahrnující nastavení úrovně zabezpečení maker či nastaveni důvěry všem pří-
stupům k projektům v jazyce Visual Basic: Tools I Macro I Security... (Nástro-
je I Makro I Zabezpečení...)
Microsoft Project 2003
	Umístěni v názvovém prostoru konzoly GPMC (Správa
Proj 11 .adm
zásad skupiny):
D
Přílohy
	Relativní cesta: User Configuration I Administrativě Templates I Microsoft Office
Project 2003 (Konhgurace uživatele I Šablony pro správu I Microsoft Office Project
2003)
	Možnosti konfigurace nastavení nabídky Tools, Options (Nástroje, Možnosti) za-
hrnují:
	Možnost nastaveni standardního formátu data či standardního zobrazení pro-
jektu: Tools I Options... I View (Nástroje I Možnosti... I Zobrazení)
	Obecné možnosti, jako například zobrazovaní nápovědy při spuštění či ote-
vřeni posledního použitého projektu při otevření; dále v případě nových
projektu vynucení zobrazení výzvy na zadání informací o projektu:
Tools I Options... I General I General Options For Microsoft Office Project (Ná-
stroje IMožnosti... IObecnéIObecné volby aplikace Microsoft Office Project)
	Možnost nastaveni standardní sazby a sazby za práci přesčas: Tools IOp-
tions. .. I General I General Options For „Projectl “ (Nástroje I Možnosti... I
Obecné I Obecné volby pro „Projektl “)
	Volby úprav, k nimž patří povolení přetahování buněk či povolení i iprav přímo
v buňkách: ToolsIOptions... IEditIEdit Options For Microsoft Office Project
(NástrojeIMožnosti... IÚpravyI Volby úprav pro Microsoft Office Project)
	Nastavení zobrazení jednotek času: Tools I Options... I Edit I View Options For
Time Umts In „Project“ (Nástroje I Možnosti... I Úpravy I Možnosti zobrazení
jednotek času v „Projektl“)
	Nastavení možností kalendáře, jako na příklad pracovních dnů v měsíci,
standardního času počátku a konce pracovní doby, prvního měsíce fiskální-
ho roku, počtu pracovních hodin ve dni či počtu pracovních hodin v týdnu:
Tools I Options... 1 Calendar (Nástroje I Možnosti... I KalendáD
	Možnosti konfigurace volby Filé, Savé (Soubor, Uložit), mezi něž pati ř:
	Výchozí formát souborů nabízený aplikaci Project 2003 ve volbě Savé As
(Uložit jako): Tools I OptioftšL.. I Savé (Nástroje I Možnosti... I Ukládání)
	Výchozí umístění šablon uživatele, šablon skupiny a projektů: ToolsIOp-
tions. .. I Savé I Filé Locations (Nástroje I Možnosti... I Ukládaní I Umístění sou-
borů)
	Volby pro automatické ukládání, například interval automatického ukládaní či
zobrazování výzvy před uložením: Tools IOptions... I Savé I Auto Savé Options
(Nástroje IMožnosti... I Ukládání I Možnosti automatického ukládání)
	Možnosti konfigurace standardní úrovně zabezpečení maker: Tools IMacro I Secu-
rity (Nástroje I Možnosti I Zabezpečení)
Microsoft Publisher 2003
	L místění v názvovém prostoru konzoly GPMC (Group Policy Management Con-
sole): Publl.adm
	Relativní cesta: User Configuration IAdministrativě Templates I Microsoft Office
Publisher 2003 (Konfigurace uživatele I Šablony pro správu I Microsoft Office Pu-
blisher 2003)
Příloha D - Základní informace o Šablonách pro správu sady Office 2003
	Součástí šablony pro správu jsou možnosti konfigurace výchozího umístění ob-
rázků a publikací: Default Filé Locations (Výchozí umístění souboru)
	Možnosti konfigurace nastavení nabídky Tools, Options (Nástroje, Možnosti) za-
hrnují:
	Možnost nastaveni zobrazení podokna úlohy nové publikace při spuštění
a zobrazení čtyřúhelníka pro text v oblasti webové grafiky: ToolsIOptions...
I General (Nástroje I Možnosti... I Obecné)
	Možnosti uprav, jako například automatický výběr celého slova při výběru
textu či konfigurace použití velikostí čínských písem: ToolsIOptions... IEdit
(Nástroje I Možnosti... I Upravit)
	Možnost nastavení pomoci uživateli, jako například použiti stručného prů-
vodce publikací při vytváření nové publikace nebo zobrazování tipů: Tools I
Options... I User Assistance (Nástroje I Možnosti ... I Pomoc uživateli)
	Možnost nastavení automatického zobrazení poradce při potížích stiskem:
Tools I Options... I Print (Nástroje I Možnosti... I Tisk)
	Možnosti konfigurace volby Filé, Savé (Soubor, Uložit), mezi něž patři povoleni
ukládaní na pozadí: Tools I Options... I Savé (Nástroje I Možnosti... I Uložit)
	Možnosti konfigurace kontroly pravopisu, k nimž patří použiti uživatelského slov-
níku pro návrhy oprav chyb či označování chyb ve slovech připomínajících ad-
resy URL nebo adresy elektronické pošty: Tools I Spelling (Nástroje I Pravopis)
	Možnosti konfigurace výchozí úrovně zabezpečeni maker: Tools IMacro I Security
(Nástroje I Makro I Zabezpečení)
	Možnosti konfigurace fonnatování a zobrazování dotazu při opětovném použití
stylu: Formát (Formát)
	K dalším možnostem patří možnosti kontroly pravopisu, třeba označování opa-
kujících se slov či kontrola pravopisu během psaní: Spelkng (Pravopis)
	Konfigurace různých dalších možností, mezi něž patří povolení nahrazováni při
psaní či nastavení výchozího směru v aplikaci Publisher: Miscellaneous (Různé)
Microsoft Visio 2003
	Umístění v názvovém prostoru konzoly GPMC (Správa zásad skupiny): Vi-
sioll.adm
	Relativm cesta: Computer Configuration Administrativě Templates I Microsoft Of-
fice Visio 2003 (Konfigurace počítače I Šablony pro správu i Microsoft Office Visio
2003) a User Configuration I Administrativě Templates I Microsoft Office Visio
2003 (Konfigurace uživatele I Šablony pro správu I Microsoft Office Visio 2003)
	Možnosti konfigurace zabezpečení póčítače, mezi něž patří výchozí úroveň za-
bezpečení, možnost nastaveni důvěry přístupům k projektům v jazyce Visual
Basic či zákaz používaní jazyka V BA. Tato nastaveni přepisují případná kon-
fliktní nastavení uživatele.
	Možnosti konf igurace nastavení nabídky Tools, Optionš ( Nástroje, Možnosti * pro
uživatele zahrnují:
Přílohy
	Možnost nastavení, zda se má při spuštěni zobrazovat podokno úloh, zda
mají být používány inteligentní značky či zobrazovány tipy:
Tools I Options... I View I Show (Nástroje I Možnosti... I Zobrazení I Ukázat)
	Možnost nastavení počtu kroků zpět a velikosti seznamu posledních použi-
tých souboru: Tools I Options... I General I General Options (Nástro-
je I Možnosti... I Obecné I Obecné možnosti)
	Možnosti vykreslovaní oken, jako například automatické zvětšování schéma-
tu při použití myši Intellimouse, povolení oddělení spojek či automatické
zvětšování při úpravách textu: Tools IOptions... IGeneralIDrawing Window
Options (Nástroje I Možnosti... I Obecné I Možnosti vykreslování oken)
	Zda a v jakém intervalu mají být ukládány informace pro automatické obno-
vení a zda se při prvním uložení nového dokumentu má zobrazit výzva na
zadaní vlastností: Tools I Options... I Savé I Savé Options (Nástroje I Možnosti...
I Ukládání I Možnosti ukládání)
	Zda při ukládání a otevírám souborů maií být zobrazovány výstrahy:
Tools I Oj aions... I Savé I Warnings Options (Nástroje I Možnosti... I Ukládání I
Možnosti výstrah)
	Možnosti nastavení lokálních možnosti, jako například jazyka, který má být
použit při převádění souborů: ToolsIOptions... IRegional (NástrojeIMož-
nosti. .. I Místní)
	Možnost nastavení parametru používaných při vyhledávání tvarů: Tools I Op-
tions. .. I Shape Search (Nástroje I Možnosti... I Vyhledávání tv arů)
	Možnosti nastav ení zabezpečení, mezi něž patří povolení či zákaz používání
kódu v jazyce VBA anebo povolení událostí technologie COM: Tools IOp-
tions. .. I Security I Macro Security (Nástroje IMožnosti... I Zabezpečení I Zabez-
pečení maker)
	Další pokročilé možnosti, jako například spouštění aplikace Visio 2003 ve vý-
vojářském režimu či záznam všech akci provedených v aplikaci Visio 2003 do
deníku aplikace Outlook 2003: ToolsIOptions... IAdvancedIAdvanced Opti-
ons (Nástroje I Možnosti... I Upřesfrit I Pokročilé volby)
	Možnost konfigurace výchozích cest k šablonám, kresbám aplikace Visio, do-
kumentům otevíraným při spuštění, nápovědě a doplňkům: Tools IOptions... I
Advanced I Filé Paths (Nástroje iMožnosti... I Upřesnit I Umístění souborů)
	Možnost nastavení barvy různých pozadí, jako například pozadí šablon, kre-
seb či okna náhledu před tiskem: ToolsIOptions... I AdvancedIColor Set-
tings (Nástroje I Možnosti... I Upřesnit I Nastavení barev)
	Možnosti nastavení automatických oprav, mezi něž patří zobrazování zlomku
pomocí znaků zlomků, nahrazování rovných uvozovek oblými či nahrazo-
váni spojovníků pomlčkou: ToolsIAutoCorrect Options... lAutoFormat As
You Type (Nástroje I Možnosti automatických oprav I Automatické úpravy
fonnátu při psaní)
Možnost nastavení výchozí úrovně zabezpečení maker: ToolsIMacroISe-
curity (Nástroje I Možnosti I Zabezpečení)
Příloha D - Základní informace o šablonách pro správu sady Office 2003
74
Microsoft Word 2003
	Umístění v názvovém prostoru konzoly GPMC (Group Policy Management Con-
sole): Wordll.adm
	Relativní cesta: User Configuration IAdministrativě Templates I Microsoft Office
Word 2003 (Konfigurace uživatele I Šablony pro správu I Microsoft Office Word
2003)
	Konfigurace nastavení nabídky Tools, Options (Nástroje, Možnosti) zahrnuje:
	Možnost nastavení způsobu zobrazení dokumentů aplikace Word 2003
v panelu úloh, zobrazování podokna úloh při spuštění dokumentu, zobrazo-
vání tipů, povolení animovaného textu či vložení symbolů obrázků do do-
kumentů: Tools I Options... I View I Show (Nástroje I Možnosti... I Zobrazení I
Zobrazit)
	Možnost nastavení, zda v dokumentech mají být zobrazovány značky formáto-
vání, mezi něž patří tabulátory, mezery či volitelná děleni slov. Je možné nasta-
vit i zobrazení všech značek formátování: ToolsIOptions... I View I Formatting
Marks (Nástroje I Možnosti... I Zobrazen I Značky formátování)
	Obecné volby, jako například počet dokumentů zobrazovaných v seznamu
posledních použitých dokumentů, zobrazování navigačních kláves pro uži-
vatele aplikace WordPerfect, standardní měrné jednotky stránky či nastavení
spouštění aplikace Word 2003 v rozvržení pro čtení: ToolsI Options... IGe-
neral (Nástroje I Možnosti... I Obecné)
	Volby úprav, mezi něž patří například použití klávesy Insert pro vkládání,
možnost přechodu na hypertextový odkaz podržením klávesy Ctrl a klepnu-
tím či určení aplikace, která bude používaná pro úpravy obrázků: Tools I Op-
tions. .. I Edit (Nástroje I Možnosti... I Úprav))
	Volby tisku, jako například povoleni tisku pouze konceptu, povoleni tisku
na pozadí či povolení automatické záměny formátů A4 a Letter: Tools I Op-
tions. .. I Print I Printing Options (Nástroje I Možnosti... ITisk I Možnosti tisku)
	Volby pro ukládáni souboru, k nimž patří nastaveni výchozího formátu pro
ukládání dokumentů vytvořených v aplikaci Word 2003. povolení funkce au-
tomatického obnovení a nastavení časového intervalu, v němž budou po-
třebné informace ukládány, vytváření záložní kopie pii ukládání dokumentu
či automatické vytváření lokální kopie souboru uložených v síti nebo na
vyměnitelných médiích: Tools I Options... I Savé (Nástroje I Možnosti...!
Ukládání)
	Možnosti zabezpečení, jako například zobrazení výstrahy před tiskem, ulo-
žením či odesláním souboru obsahujícího sledované změny nebo zobrazení
všech skrytých značek: Tools I Options... I Security (Nástroje I Možnosti... I
Zabezpečeno
	Možnosti kontroly pravopisu a gramatiky, jako například povoleni automa-
tické kontroly gramatiky či gramatiky a stylu, zobrazování statistických údajů
čitelnosti, nastavení provádění kontroly pravopisu a gramatiky při psaní (i
Přílohy
zobrazování návrhů na opravy při psaní: Tools I Options... I Spelling & Grain-
mar (Nástroje I Možnosti... I Pravopis)
	Nastavení výchozího umístění dokumentů otevíraných pí i spouštění, doku-
mentu. nástrojů, klipartú a souborů pro automatické obnovení: Tools I Op-
tions. .. I Filé Locations (Nástroje I Možnosti... I Umístění souborů)
	Možnosti konfigurace funkce automatických oprav, jako například nahrazování
textu při psaní, opravy chyb způsobených nechtěným stisknutím klávesy Caps
Lock či používání velkých písmen na začátku názvů dnů: Tools I Au toCorrect... I
AutoCorrect (Nástroje IMožnosti automatických oprav I Automatické opravy).
	Možnosti konfigurace výchozí úrovně zabezpečení maker: Tools IMacro I Securi-
ty. .. (Nástroje IMakro I Zabezpečení...)
	Dále zde najdete možnosti konfigurace jazykových nastavení, mezi něž patří
i povolení automatické detekce jazyka: Tools I Language I Set Language (Nástro-
je IJazyk I Nastavit jazyk)
	Součástí šablony pro správu aplikace Word 2003 jsou i volby pro nastavení růz-
ných dalších možností, jejichž příkladem může být třeba automatický převod
písmene síťové jednotky na cestu UNC a naopak, či automatické vytvářen] do-
kumentu právního porovnání při použití funkce Tools, Compare and Merge Do-
cuments (Nástroje, Porovnat a sloučit dokumenty): Miscellaneous (Různé)
Rejstřík
A
aktualizace
automatické
blokování
přístup, 259
registru
syntaxe, 536
systému Windows
zavádění
prostřednictvím zásad, 362
zabezpečení
po instalaci, 692
aktualizační server
určení, 259
aplikace
Internet Explorer
přizpůsobení rozhraní, 300
správa konfigurací, 300
zpřísnění zabezpečení, 316
Microsoft Access 2003
umístěni databází
výchozí složka, 3C)9
Microsoft Excel 2003
□místění souboru
výchozí složka, 399
Microsoft OneNote 2003
výchozí složky, 400
Microsoft Outlook
možnosti zabezpečení
konfigurace, 400
Microsoft Publisher 2003
výchozí složky, *00
Microsoft Word 2003
výchozí složky, 400
nová verze
zavadění, 351
přiřadění do kategorie, 349
atributy
defa ultSecurityl )escn ptor
prohlížení, 487
upravováni. 188
gPLink, 496
Rejstřík
bezpečnostní nastavení
nástroje, 223
brana firewall, 694
nové zásady skupiny, 696
změny, 694
brána firewall systému Windows
Broadcast, 444
definování výjimek
pro aplikace, 438
pro porty, 441
protokolu ICMP, 441
konfigurace obcházení, 432
konfigurování požadavku na odezvu,
443
konfigurování protokolování, 443
konfigurování upozornění, 443
Multicast, 444
potlačení upozornění, 443
povolení protokolování, 443
povolení výjimek
pro platrormu UPnP, 438
pro sdílení souborů, 435
pro sdílení tiskáren, 435
pro vzdálenou plochu, 437
pro vzdálenou správu, 436
povolování
prostřednictvím zásad skupiny, 433
princip fungování, 428
správa
úvod do zásad, 428
správa výjimek?pomocí zásad skupiny,
434
správa zásad, 431
Unicast, 444
zakázání výjimek, 434
zakazování
prostřednictvím zásad skupiny, 433
zásady pro správu
použití, 429
c
centrum zabezpečení
v doménách
použití, 239
členské servery
bezpečnostní zabezpečení, 179
potřebné porty, 196
prostředí
úrovně zabezpečení, 178
D
databáze Active Directory
složky SYSVOL, 653
dědění zásad
blokovaní, 665
DHCP servery
informace o DNS serverech, 655
dialogová okna
časový limit, 274
distribuce balíčku
způsob
výběr, 358
doménové
objekty GPO
následné připojení, 62
současné připojení, 63
vytvoření, 62, 63
řadiče, 196
bezpečnostní nastavení, 197
konfigurace, 58
potřebné porty, 198
úroveň zabezpečení, 196
struktury
připojení, 56
zobrazení sítí, 57
domény
centra zabezpečení
použití, 239
domovský adresář uživatele, 465
druh zavádění
změna, 345
E
editor GPO
rozhraní, 540
editor zásady skupiny
nezobrazena všechna nastavení, 636
Rejstřík
747
filtrováni
podle bezpečnostní skupiny, 79
podle počítače, 79
podle uživatele, 79
zabezpečení, 663, 666
fungování programu
řízení, 249
funkce zabezpečení
správa nastavení, 685
implementace
řešení problémů, 656
instalace
blokování
další přenosná média, 251
diskety, 251
disky CD, 251
disky DVD, 251
co vědět před. 330
naplánované
optimalizace, 258
nastavení
zdroje, 331
omezení, 331
opravy Service Pack, 350
upozorněni, 256
upozorňováni uživatelů
optimalizace, 257
záplatování, 350
instalace serveru IIS
řízení, 234
instalace softwaru
obecné možnosti
konfigurace, 343
pokročilé možnosti
konfigurace, 343
průběh, 329
instalační
balíček
přizpůsobeni
transformační soubory, 353
možnosti
změna, 345
služba systému Windows
optimalizace konfigurace, 246
potřebný soubor
získání, 338
výhody
aktualizace, 338
automatické odstranění, 338
eskalace oprávnění, 337
inzerování, 337
transformační soubory; 337
zavádění softwaru, 339
instalační služba
konfigurace protokolováni, 251
Internet Explorer
nastaveni funkcí, 685
odkazy URL
zabezpečení, 687
sada Administration Kit, 686
kategorie aplikací
definování. 348
odstraňováni, 348
přidávání, 348
úprava, 348
klient
potřebné porty, 215
klientská rozšíření
zpracování, 497
klientské
skupiny
s omezením, 216
kompatibilita aplikací
dodatečná nastavení
konfigurace, 228
konfigurace nastavení, 226
optimalizace
prostřednictvím zásady skupiny, 227
konfigurace
počítače
nastavení, 659
upozornění
pro zablokované možnosti nabídek,
397
pro zablokované položky nabídek,
397
uživatele
nastavení, 659
zabezpečení
Active Directory, 694
analýza. 694
Rejstřík
Rejstřík
průvodce, 693
příkazový řádek, 694
úpravy, 694
vrácení změn, 694
vzdálený přístup, 694
zobrazeni pomocí XSL, 694
konzola
GPMC
instalace, 54
objektový model skriptování, 704
práce, 55
se skripty, 704
rozhraní
práce
se skripty, 704
standardn* skripty, 712, 719
Group Policy Monitor
dvě aktualizace
rozdíly, 614
prohlížení reportů, 613
výmaz souboru protokolů, 615
MMC
atorský režim
blokování, 236
konfigurace přístupu, 235
modely snap-in
povolené, 236
zakázané, 236
moduly snap-in
explicitn. oprávnění, 237
použití, 235
L
licenční server
skupina zabezpečení, 454
zákaz obnovení licence, 454
zásady skupiny
konfigurace, 453
M
Microsoft Access 2003, 724
Microsoft Clip Organizer 2003, 727
Microsoft Excel 2003, 725
Microsoft f rontPage 2003, 727
Microsoft InfoPath 2003, 728
Microsoft Office 2003, 728
Microsoft OneNote 2003, 733
Microsoft Outlook 2003, 734
Microsoft PowerPoint 2003, 738
Microsoft Project 2003, 739
Microsoft Publisher 2003, 740
Microsoft Visio 2003, 741
Microsoft Word 2003, 743
místní přihlášení, 650
místní skupina
konfigurace, 218
místní skupiny
konfigurace
počítače pracovníků odborné pomoci,
219
místní služby, 217
množina RSoP
delegování autorit, 70
představení, 48
možnosti internetu
dodatečné zásady
konfigurace, 323
možnosti zabezpečení
soubor Sceregvl.inf
struktura, 571
úpravy, 577
úpravy, 571
možnosti zavádění
obecné
informace o produktu, 344
nastavování, 344
Název, 344
prohlížení, 344
uživatelská podpora, 344
výchozí
nastavení, 355
N
naplánované úlohy
správa přístupu, 240
nástroj Group Policy Monitor
instalace
na jednotlivé počítače, 611
potřebná konfigurace
na jednotlivé počítače, 611
poprava instalace, 610
základní informace, 610
nastroj Netsh Helper
změny, 696
nástroj Resultant Set of Policy
změny, 689
Rejstřík
749
nástroje
Adrep, 683
konfigurace a analýza zabezpečeni, 172
Netstat, 176
Portqry, 176
pro správu, 683
příkazový řádek Secedit.exe, 172
nástroje zabezpečení
Gpresult, 224
množina RSoP. 224
neomezene aplikace
konfigurace, 368
nepotřebné
porty
uzavření, 174
služby
zakázání, 175
nepovolené aplikace
konfigurace, 368
nesprávné nastavení, 658
nové připojení
pouze z původního klienta, 461
objekt Default Domain Controllers Policy
práce, 41
objekt Default Domain Policy
práce, 38
objekt LGPO
aplikace, 516
řízení
přístupu, 518
správa, 517
struktura, 517
údržba, 517
vytváření, 516
objekty GPO
asynchronní zpracování. 126
konfigurace, 134
bezpečnostní filtry, 139
blokace nepoužívaných částí, 132
členství ve skupinách
filtrovaní, 134
další nastavení, 129
dvě části, 123
filtry rozhraní WMI, 140
funkční model, 128
interakce
domény, 124
organizační jednotky, 124
sítě, 124
interval aktualizace na pozadí, 133
jednotný model, 128
mazání, 71
migrace, 143
modifikace dědičnosti, 127
nasazování, 135
nastavení
pro doménu, 144
návrhy, 128
názvy, 142
odstranění spojení, 71
odstraňování spojení, 71
omezení blokování zásad, 139
omezeni' vynucování zásad, 139
oprávněni pro tvorbu, 485
organizační jednotky
připojení, 132
permanentní odstranění, 71
podle kategorií, 138
použití, 122
práce, 45
delegováni řízení, 69
procházení struktury, 516
propojené
práce, 37
propojování. 59
převodní tabulky, 143
struktura, 144
připojené k doménám, 136
připojené k organizačním jednotkám,
137
připojené k sítím, 135
připojení k nim, 45
připojování, 125
napříč doménami, 125
připojovaní domény, 122
připojování organizační jednotky, 122
připojování sítě, 122
režim nahrazení, 447
režim sloučeni, 448
rychlé přihlášení, 126
síťová topologie, 140
snížení množství, 131
správcovská oprávnění
potlačení, 141
synchronní zpracování, 126
Rejstřík
Rejstřík
šablony zabezpečení
.mport, 171
testování před nasazením, 142
úroveň připojení
volba úrovně, 135
v rámci domény
propojování, 62
vytváření, 62
v rámci sítě
propojování, 60
vytvářeni. 60
vazby, 36
výchozí zabezpečení, 486
výkonnost zpracování
řízení, 129
výkonnostní problémy
příčiny, 130
vylepšení výkonu, 131
vytvářeni, 59
určování práv, 66
zálohování, 106
zpětná smyčka
omezení, 134
řešení problémů, 449
zpracování
blokování, 91
povolování, 91
objekty groupPolicyContainer
atributy, 482
zabezpečení, 483
objekty zásad
import. 103
nastavení, 104
konfliktní nastavení, 663
kopírování, 103
nastavení, 103
nesprávná nastavení, 656
nesprávné datum, 653
nesprávný čas, 653
obnova, 108
povolené, 657
propojení, 660
organizační jednotky, 662
propojení s několika kontejnery, 660
správa, 661
replikace mezi sítěmi, 654
replikace v rámci sítě, 654
ruční modifikace, 651
služba DNS, 655
soubory ve složce SYSVOL, 651
standardní děděni
změna, 664
vynucení, 664
zakazané, 657
objekty zásad skupiny
propojování, 706
správa zabezpečení
automatizace, 710
šablony zabezpečení
překrývání, 567
vytváření, 706
oblasti zabezpečení
možné problémy, 220
oblíbené položky
import seznamů, 308
tvorba, 307
obnovení systému
návrat do předchozího stavu, 248
pro instalace softwaru, 246
řízení
bodů obnovy, 246
tvorba souboru, 248
obsah koše
maximální povolená velikost
omezení, 245
obsažené složky
omezení, 279
zmenšení množství, 280
odkazy
import seznamu, 308
tvorba, 307
URL
zabezpečení
změna nastavení, 687
Office
aktualizování, 361
blokování
možnosti nabídek
vlastní možnosti, 395
nabídky
vlastní možnosti, 395
nabídky
přednastavené možnosti, 395
přednastavené nabídky
přednastavené možnosti, 395
instalace nástrojů, 379
jazyková nastavení
řízení, 401
konfigurace
aktualizace, 383
Rejstřík
751
ochrana před uživateli, 394
průvodce Custom Installation Wizard,
382
správa více verzí, 389
tvorba objektů GPO, 388
zabránění provádění změn, 394
zavádění nové, 384
přizpůsobováni konfiguraí, 379
soubor .msi
tvorba správcovské instalace, 381
správa
aktualizace dřívějších šablon, 387
zavádění souborů šablon, 386
správa konfigurací, 378
základy, 378
správa zásad, 391
stahování nástrojů, 379
transformovaná konfigurace
zavádění, 383
zásady pro správu, 392
jednotlivé aplikace, 392
konfigurace nastavení, 393
obecná nastavení, 392
zásady šablon
řešení problémů, 401
Office 2003
šablony pro správu, 724
operační systémy
aktualizace, 530
organizační jednotky
hlediska návrhu, 177
konzole GPMC
vytváření, 64
objekt GPO
následné připojení, 64
současné připojení, 65
vytvoření, 64, 65
používané zdroje, 137
propojování objektů GPO, 63
vytváření objektů GPO, 63
plánovač úloh
správa přístupu, 240
počáteční model GPM
vytvoření, 705
počítače
klientské
nesprávná ruční konfigurace, 655
pracovníci odboré pomoci, 218
pro správce IT oddělení, 216
pro zaměstnance IT oddělení, 216
počítačové skripty
práce, 291
správa, 290
pomalá připojení
aktualizace, 96
aplikované zásady, 469
časový limit, 471
detekce, 94, 510
dodatečná nastavení detekce, 473
konfigurace detekce, 93, 96
konfigurace rychlosti, 473
konfigurace zpracování zásady, 96
nezjišťovat, 472
použití zásad, 468
rozpoznání, 470
služba RAS, 469
upozornit uživatele, 472
zásady skupiny, 468
detekce, 470
zpracování zásady, 96
použití zásad
příprava prostředí, 385
pracovníci odborné pomoci
bezpečnostní nastavení, 218
pravidla zabezpečení
Certificate Rules, 369
Hash Rules, 370
Internet Zone Rules, 371
konfigurace, 369
Path Rules, 372
problémy
řešení, 220
produktivní prostředí
zrcadlení, 718
profil uživatele
vzdálený, 275
profily
cestovní
chyba
odhlášení uživatele, 272
konfigurace, 268
místní
změna
způsobu použití, 271
nastavení cesty, 465
odstranění kopie z mezipaměti, 271
síťová sdílená složka, 268
Rejstřík
Rejstřík
uživatelské účty, 269
data
upravování
změna
aktualizace, 276
změna v přístupu, Zl~!
program NetMeeting
konfigurace
prostřednictvím zásad skupiny, 238
optimalizace zabezpečení, 238
prohlížeč událostí
konfigurace informací, 233
použití požadavků, 233
přizpůsobení podrobností, 234
protokol IPSec
akce filtrů
správa, 419
tvorba, 419
aktivace zásad, 409
další zásady
tvorba, 410
deaktivace zásad, 409
definování akcí zabezpečení, 412
definování pravidel zabezpečení, 412
princip fungování, 406
případy použití, 408
přiřazení zásad, 410
seznamy filtrů
správa, 416
tvorba, 416
sledování zásad, 422
správa zásad, 409
tvorba zásad, 410
úvod do zásad, 406
zásady
případy použití, 408
zavádění zásad, 407
protokol událostí
nastavení, 563
protokolování auditování
změny, 695
provádění aktualizací, 350
proxy server
optimalizace nastavení, 311
průvodce Custom Installation Wizard
práce, 381, 383
sada Microsoft Office
konfigurace, 382
průzkumník Windows
blokování
přístup
k jednotkám, 242
k souvisejícím náhledům, 242
odstranění karty Zabezpečení, 244
pálení disků
blokování, 243
skrývání jednotek, 241
skrývání souvisejících náhledů, 241
správa možností, 241
předvolby, 531
konfigurace, 686
přesměrování
jednotek
nepovolit, 464
portu COM
nepovolit, 463
portu LPT
nepovolit, 464
složek
funkce, 282
konfigurace, 284
konfigurace nastavení, 289
pokročilé, 284, 286
základní, 284
tiskárny klienta
nepovolit, 463
zvuku
povolit, 463
přihlášení pomocí Active Directory, 650
připojení
blokování
dědičnost, 497
spuštění programu, 457
přizpůsobení
adres URL, 305
Oblíbených, 305
oblíbených položek, 307
odkazů, 307
hledání, 305
na domovskou stránku, 305
na odbornou pomoc, 305
Odkazů, 305
panelu nástrojů, 303
textu záhlaví, 300
tlačítek, 303
přizpůsobeni
loga, 301
Rejstřík
753
R	Ř
registr CLASS, 537 hodnoty DEFAULT, 548, 551 EXPANDABLETEXT, 549 EXPLICITVALUE, 550 MAX, 551 MAXLEN, 549 MIN, 551 OEMCONVERT, 549 REQUIRED, 549, 551 SPIN, 551 SPIN 0, 551 TXTCONVERT, 551 VALUEPREFIX, 550 syntaxe ACTIONLIST, 551 ADDITIVE, 549 CATEGORY, 541 CLIENTTEXT, 545 COMBOBOX, 546 DROPDOWNLIST, 547 EDITTEXT, 548 CHECKBOX, 545 KEYNAME, 537 LISTBOX, 549 NUMERIC, 550 PART, 543 POLICY, 542 STRING, 540 TEXT, 551 VALUENAME, 538 VALUEOFF, 538 VALUEON, 538 registry, 565 relace aktivní časový limit, 460 odpojené časový limit, 460 režim klientů zpřísňování, 148, 201 serverů zpřísňování, 148, 177 zavádění výběr, 360	řadiče domény funkce emulátoru PDC, 635 nejsou přístupná, 648 řízení zavádění bezpečnostní skupiny, 353 s sada zásad výsledná, 688 Security Configuration Wizard, 163 doporučení pro práci, 169 oddíly, 164 Additional Services, 166 Administration And Other Options, 166 Client Features, 165 konfigurace služeb podle rolí, 164 nastavení registrů, 167 Unspecified Services, 167 zabezpečení sítě, 167 zásady auditování, 168 práce, 163 příkaz scwcmd použití, 172 přístup, 163 server proxy optimalizace připojení, 311 serverová rozšíření zpracování, 499 servery členské, 177 Service Pack 1 konzola GPMC, 691 nové funkce, 682 síťová komunikace bezpečná správa, 406 připojení pomalá nezjišťovat, 272 pomalé upozornění uživatele, 273 skripty nastavení optimálního časového limitu, 133
Rejstřík
754
Rejstřík
při Spuštění počítače, 292
při vypnutí počítače, 292
přihlašovací
konfigurace, 293
řízení
běhu, 296
časového limitu, 295
viditelnosti, 295
způsobu provádění, 296
skripty odhlašovací
konfigurace, 293
skupiny
omezené členství, 158
s omezeným členstvím, 563
skužba Active Directory
systém DNS, 34
složka SYSVOL
sdílení
zrušeno, 652
složky uživatele
data aplikací, 282
dokumenty, 282
nabídka start, 282
plocha, 282
soubory offline, 283
stínové kopie, 284
služba Active Directory
databáze
poškozena, 649
dědičnost, 35
delegování správy, 118
nasazení zásady skupiny, 118
návrh sítě, 119
objekty GPO, 446
organizační jednotka, 118
replikace, 117
struktura, 35
ukládání informací, 117
umístění databáze, 117
služba Windows Installer
ladící informace
povolení protokolování, 624
služby
automatické zobrazení, 578
software, 217
instalace, 138
uživatelské účty
Assign, 138
Assign Without Automatically Install,
138
publikování, 138
soubor formátu ZAP
vytváření, 341
soubor Sceregvl.inf
zobrazení vlastního záznamu, 577
Soubor Sceregvl.inf
cesta_v_registru, 572
typ_registru, 573
typy dialogů
typ 1 (číselný), 576
typ 3 (seznam), 576
typ 5 (bitová maska), 576
zobrazovany_nazev, 573
zobrazovany_typ, 573
soubor Userenv.log
práce, 621
řízeni
protokolování, 620
úroveň protokolování
konfigurace, 620
souborová paměť
použití
konfigurace, 247
souborové servery, 199
souborový systém disku
správa možností, 241
soubory .adm
#if version, 536
další výrazy, 552
doporučené postupy, 555
END PART, 535
END POLICY, 535
jazyk, 534
odstraňování, 527
operační systémy, 530
poznámky, 552
práce s nimi, 524
přidávání, 526
příklad jednoduchého, 533
řetězce
omezení délek, 555
řízení
aktualizací, 528
správa, 528
standardně instalované, 524
struktura, 534
CATEGORY, 535
CLASS MACHINE, 534
EDITTEXT, 535
END CATEGORY, 535
Rejstřík
755
KEYNAME, 535 PART, 535 POLICY, 535 VALUENAME, 535 syntaxe EXPLAIN, 553 MAXLEN, 553 REQUIRED, 553 SUPPORTED, 553 tipy pro import, 526 tipy pro práci, 529 tvorba vlastních, 532 správa dalších zařízení, 462 propojení delegování autorit, 70 přiřazených jednotek, 462 tiskáren, 462 zásad sada Microsoft Office, 391 správce příloh konfigurace nastavení, 229 práce, 229 zabezpečení důvěryhodné servery, 229 místní intranet, 229 nízké nebezpečí, 230 servery s omezeným přístupem, 229 střední nebezpečí, 229 vysoké nebezpečí, 229 správci IT oddělení bezpečnostní nastavení, 217 spravovaná doména vytvoření reference, 706 stahování automatické řízení, 256 systém DNS služba Active Directory, 34 systém souborů, 566 systémové služby, 564	šablony bezpečnostní analýza zabezpečení, 163 Compatws.inf, 149 části, 153 DC security.inf, 150 Hisecdc.inf, 151 Hisecws.inf, 152 lesaels.inf, 150 konfigurace zabezpečení, 163 místní zásady, 155 modul šablony zabezpečení, 162 nástroje přístup, 162 tvorba, 162 úpravy, 162 Notssid.inf, 152 protokoly událostí, 158 registry, 160 Rootsec.inf, 153 Securedc.inf, 150 Securews.inf, 150 Setup Security.inf, 153 systémové služby, 159 výchozí, 149 základy, 148 zavádění, 171 šablony pro správu co jsou, 522 úprava, 522 výchozí soubor .adm, 523 šablony zabezpečení, 560 INF soubory, 569 kopírování, 570 modul snap-in, 568 nastavování služeb, 578 objekty zásad skupin překrývání, 567 práce, 568 struktura, 560 tvorba nových, 570 úpravy, 569
š	úpravy služeb ruční, 580
šablona pro správu nastavení nezobrazena, 636 závislost na operačním systému, 637 šablona zabezpečení nemá vliv, 638	získání syntaxe služeb, 579 T terminálová služba, 450 jedna vzdálená relace, 466
Rejstřík
Rejstřík
konfigurace připojení, 454
omezení počtu připojení, 454
pořadí přednosti
konfigurace, 452
řízení
profilů, 465
úroveň šifrování, 455
uživatelská nastavení
konfigurace, 452
zásady skupiny
doména, 452
konkrétní počítač, 451
tiskové servery, 199
tvorba objektů GPO
sada Microsoft Office
konfigurace, 388
účty
account lockout policy, 561
audit policy, 562
kerberos policy, 562
password policy, 561
security options, 562
user rights assignment, 562
zásady, 153
ukončení relace
po vypršení limitu, 461
umístění
složek
výchozí
řízení, 398
souborů
výchozí
řízení, 398
účtů
nesprávné organizační jednotky, 662
úrovně zabezpečení
podnikový klient, 179
starší klient, 178
vysoké zabezpečení, 179
uzel
Computer Configuration
přehled informací, 671
User Configuration
přehled infonnací, 676
uživatelská
data
správa, 264
nastavení
správa, 264
oprávnění
pro instalaci
zvýšení, 249
uživatelské
instalace
řízení, 249
profily
cestovní
odstranění kopie z mezipaměti, 467
data uživatelů, 266
globální nastavení, 265
povolení pouze místních, 271, 467
přesměrování dat, 281
profilyy
přesměrování složek, 281
relace
vzdálené řízení, 458
skripty
práce, 291
správa, 290
účty
optimalizace konfigurací, 270
velikost profilu
omezení, 279
veřejné klíče
certifikáty
princip fungování, 423
správa zásad, 426
zásady pro správu
použití, 424
zavádění zásad, 422
vlastní prostředí
tvorba, 446
výchozí klientská tiskárna
nenastavovat, 464
výchozí programy
globální
konfigurace, 309
w
webové servery, 200
bezpečnostní nastavení, 200
potřebné porty, 201
Rejstřík
757
Windows Update
automatické aktualizace
konfigurace, 253
optimalizace, 253
zapnutí, 253
zabezpečení
analýza, 223
firmou Microsoft, 580
konfigurace, 223
vlastní
nezobrazena, 639
zabezpečený server, 457
zablokované
možnosti nabídek
konfigurace upozornění, 397
položky nabídek
konfigurace upozornění, 397
základní komponenty systému Windows
správa, 226
údržba, 226
zaměstnanci IT oddělení
bezpečnostní nastavení, 217
zásada skupiny
fyzický návrh, 120
implementace, 116
návrh, 116
připojení
vzdálený přístup, 121
služba Active Directory, 116
zásady, 531
Administrativě Templates
nastavení
úložiště, 502
Designated Filé Types
konfigurace, 367
prohlížení, 367
Disk Quota
nastavení
úložiště, 502
Enforcement
konfigurace, 366
filtrování, 74
konfigurace aplikací, 75
operační systém, 75
techniky, 74
Folder Redirection
nastavení
úložiště, 501
hledání
objektů, 77
techniky, 77
objektu GPO, 78
spojení, 77
techniky, 77
Internet Explorer Maintenance
nastavení
úložiště, 503
IP Security
nastavení
úložiště, 505
konfigurace, 686
místní, 562
Přesměrování složky
ladící informace
povolení protokolování, 627
QoS Packet Schedule
nastavení
úložiště, 502
Scripts
nastavení
úložiště, 502
Security
nastavení
úložiště, 503
sledování, 508
Software Installation
nastavení
úložiště, 504
obvyklé problémy, 375
Software Installation Policy
řešení problémů, 373
%temp%\msi*.log, 373
%windir%\ Debug\UserMode\ appm
gmt.log, 373
%windir%\ debug\ usermodeX useren
v.log, 373
protokol událostí aplikace, 373
Software Restriction Policies
další pravidla, 365
dúvěrohodný vydavatel, 365
konfigurace, 364
určené typy souborů, 365
úrovně zabezpečení, 365
vynucení, 365
začínáme, 365
Rejstřík
758
Rejstřík
Trust Publisher
konfigurace, 367
účtů, 560
Wireless Network
nastavení
úložiště, 501
zásady skupiny
aktualizace, 88
aplikace, 45
blokování
dědičnost, 84
co to dělá, 28
další oprávnění k objektům, 715
data členství, 516
doba poslední aktualizace, 110
duplicitní objekty
kontrola
režimu zpracování, 598
filtrování, 74
fyzická struktura, 489
generování reportů sad, 717
historická data, 513
historie, 512
implementace, 30
importování objektů, 717
instalace softwaru
základy, 328
jak to funguje, 29
karta
Nastavení
pohyb, 602
Souhrn
pohyb, 600
Události zásad
pohyb, 602
klíčové kompolnenty infrastruktury
kontrola, 592
konrtola pořadí propojení, 595
kontrola
chyb v kontejneru, 606
stavu objektů
na straně serveru, 606
synchronizace času, 590
účtu počítače, 590
vztahů důvěry, 590
kontrola objektu
na řadiči domény, 594
kopírování
objekty, 716
logické struktury
procházení, 480
manuální aktualizace, 98
místní
správa, 51
místní počítač
přístup, 51
modelování, 99
možnosti, 32
nastavení, 32, 44
Disabled (Zakázáno), 32
Enabied ( Povoleno), 32
Not Configured (Není
nakonfigurováno), 32
připojení, 311
serveru proxy, 313
nastavení oprávnění pro tvorbu objektů,
714
objekt
kontrola
oprávnění, 596
stavu propojení, 595
objekty, 44
kontrola, 608
výsledky kontroly, 608
objekty bez aktivních propojení, 714
objekty podle zabezpečení, 714
obor správy
kontrola, 593
oprávnění ke složce SYSVOL
kontrola, 608
počítačové, 29
podrobné zobrazení
pohyb, 602
pokročilá správa, 73
použití, 30
pro účty skupiny, 662
použití kontejnerů, 480
použití množiny RSoP, 45
práce, 44
s objekty, 30
se šablonami, 489
princip připojení, 497
princip zpracování, 497
prohledávání, 74
prohlížení objektů, 645
prohlížení propojení, 494
propojování objektů, 642
protokol aplikací, 616
úrovně podrobností, 616
Rejstřík
759
protokolování, 615
přetížení dědičnosti, 83
přístup k výsledkům, 691
rychlost připojení
kontrola, 598
řešení častých problémů, 634
řešení problémů, 588
se správou objektů, 634
základní nástroje, 599
základy, 588
síťové připojení a konfigurace
kontrola, 589
služba Active Directory, 53
správa
dědičnosti, 81
objektu, 50, 642
pravomoce, 65
softwaru, 328
určování práv, 67
zpracování, 88
stav objektu
kontrola, 593
stavová data, 512, 514
struktura, 34, 480
struktury propojení, 494
šablony
kontrola
chyb v kontejneru, 606
synchronizace kontejnerů, 653
šablony pro správu
hlavní panel, 34
komponenty systému Windows, 34
nabídka Start, 34
ovládací panely, 33
plocha, 33
sdílené složky, 34
síť, 33
systém, 34
tiskárny, 33
tvorba objektu, 640, 713
účely plánování, 99
účet počítače
kontrola
konfigurace, 591
účet uživatele
kontrola
konfigurace, 591
události, 617
údržba, 99
úpravy objektů, 644
úrovně nebezpečí, 230
úvod, 28
uživatelské, 29
uživatelské profily, 264
v doménách, 30
v pracovních skupinách, 30
verte objektu
kontrola, 593
vyhledání zakázaných objektů, 713
výmaz objektů, 713
vynucování dědičnosti, 85
výsledné
centrální správa protokolů, 610
výsledné sady
práce, 599
zobrazení v příkazovém řádku, 604
využití
bezdrátová síť (IEEE 802.11), 33
bezpečnost protokolu IP, 33
bezpečnost veřejného klíče, 33
instalace software, 33
místní bezpečnostní zásady, 33
obecná bezpečnost počítače, 33
počítačové skripty, 33
přesměrování složek, 33
služby vzdálené instalace, 33
softwarová omezení, 33
údržba aplikace Internet Explorer, 33
uživatelské skripty, 33
využití pří správě, 32
vzdálený počítač
přístup, 52
vztahy důvěry, 230
zabezpečení, 497
zabezpečení šablon, 493
základní konfigurace
kontrola, 589
základy verzování, 492
zálohování jednotlivých objektů, 715
zálohování všech objektů, 715
zavádění softwaru, 328, 336
zjištění nastavení, 110
změna
aktualizačního intervalu, 89
pořadí spojení, 82
priority spojení, 82
zpracování, 480
zásady zabezpečení
ladící infonnace
povolení protokolování, 629
Rejstřík
760
Rejstřík
úpravy zpracování, 512
zabudování šablon zabezpečení, 168
zavádění
aktualizací, 357
aplikací
opětovné, 364
sady Microsoft Office, 357
prostřednictvím zásad, 357
transformační soubory
použití, 359
softwaru
Instalační služba systému Windows,
337
jiné instalační balíčky, 340
konfigurace, 334
plánování, 332
pomocí souboru ZAP, 342
prostřednictvím zásady skupiny, 336
tvorba objektů GPO, 333
zavedené aplikace
odstraňování, 363
správa, 363
záznamy SRV
vymazány, 656
zóny
nastavení, 316
zabezpečení, 316
důvěryhodné servery
konfigurace, 321
import, 323
Internet
konfigurce, 319
Místní intranet
konfigurace, 320
nastavení, 323
řízení
přístupu ke konfiguraci, 317
servery s omezeným přístupem
konfigurace, 322
zavádění, 319, 323
zpracování zásad
asynchronní, 507
synchronní, 507
události, 506
změna
parametrů, 92
zpřísňování režimu
obecné techniky, 174
počítače
nástroje, 176