Akademia Windows 7 – Część 2: Group Policy
Autor: Łukasz Foks
Opublikowano: 17 marca 2009
Zawartość strony
Rys historyczny | |
Duże zmiany już od Windows Vista | |
Co nowego w Windows 7 i Windows Server 2008 R2? | |
Podsumowanie | |
Zasoby dodatkowe |
Group Policy (Zasady grupy) już od kilku lat obecne w systemach Microsoft Windows ułatwiają administratorom centralne zarządzanie konfiguracją komputerów i ustawień użytkownika w środowisku usługi katalogowej Active Directory.
W drugiej części cyklu „Akademia Windows 7” przedstawione zostaną zmiany i udoskonalenia w zakresie Zasad grupy w systemach Windows 7 i Windows Server 2008 R2.
Rys historyczny
Możliwości Zasad grupy ewoluowały z każdym kolejnym wydaniem systemu Windows. Pierwsza „odsłona” technologii pojawiła się w Windows NT jako System Policies, w zasadniczym stopniu opierały się na szablonach ADM, które używane były do modyfikacji ustawień rejestru. System Policies zawierały jednak poważne – zwłaszcza patrząc z perspektywy dzisiejszych możliwości - wady jak tzw. problem tatuowania (trwałego zapisania ustawień w rejestrze, nawet po edycji takiej zasady) czy brak łatwego tworzenia własnych, niestandardowych szablonów ADM.
Te i dodatkowe wady spowodowały, że firma Microsoft musiała przystąpić do przebudowania zasad działania System Polices, co faktycznie spowodowało, że w Windows 2000 wprowadzono „rewolucję” w zakresie – jak już oficjalnie nazwano – Zasad grupy.
To właśnie Windows 2000 jest „podstawą” potężnych możliwości Group Policy, każdy z nowych systemów Windows, zawierał nowe i udoskonalone polityki w stosunku do Windows 2000, i jak nietrudno się domyślić – liczba ustawień rosła z systemu na system.
W Windows 2000 liczba ta wynosiła około 900, w Windows XP już około 1400, Service Pack 2 dla tego systemu przyniósł kolejne 200 ustawień. Windows Vista i Windows Server to już prawie 2500 dostępnych ustawień. Dodatkowo, na rynku oferowane były rozwiązania firm trzecich „rozszerzające” podstawowe możliwości Group Policy.
W systemie Windows Server 2008 firma Microsoft dodała Group Policy Preferences, które dodały tysiące nowych ustawień (obejmujących 20 rozszerzeń klienta). Podstawą Group Policy Preferences było rozwiązanie PolicyMaker firmy DesktopStandard, która w 2006 roku została przejęta przez Microsoft.
Do początku strony |
Duże zmiany już od Windows Vista
Zasady grupy umożliwiają zarządzanie konfiguracją lokalnego komputera i jego użytkowników poprzez lokalne obiekty zasad grupy.
Do czasu wydania Windows Vista, każdy system Windows posiadał jeden lokalny obiekt zasad, który mógł być edytowany w celu dostosowania ustawień na jednym, pojedynczym komputerze. Generowało to pewien problem – konfiguracja komputera obejmowała wszystkich użytkowników.
Dlatego w Windows Vista pojawiły się trzy odrębne lokalne zasady grupy, które zostały nazwane obiektami Multiple Local Group Policy (MLGPO). MLGPO umożliwiły administratorom „hierarchiczne” zastosowanie zasad grupy – na poziomie komputera i na poziomie użytkownika, oczywiście w kontekście komputera lokalnego.
Pierwszy obiekt Group Policy ( Local Computer Policy ), stanowi najniższy poziom w tej hierarchii, pozwala definiować ustawienia całego komputera lokalnego, co odpowiada możliwościom wcześniejszych wersji Windows.
Drugi obiekt, Administrators/Non-Administrators Local Group Policy , pozwala definiować ustawienia zasad, które zostaną przypisane użytkownikowi na podstawie wyniku weryfikacji, czy konto użytkownika należy bądź nie do lokalnych administratorów. Dzięki temu obiektowi zasad grupy możemy przydzielić osobne polityki dla lokalnych administratorów (jeżeli użytkownik przynależy do lokalnej grupy Administratorzy, dotyczy go obiekt zasad grupy dla grupy Administratorzy), i dla użytkowników spoza grupy Administratorzy (wszyscy użytkownicy spoza grupy Administratorzy).
Ostatnia z warstw MLGPO, User-specific Local Group Policy , umożliwia najbardziej precyzyjną kontrolę konfiguracji na poziomie konkretnego użytkownika – stosowana najczęściej w przypadkach, gdy użytkownik wymaga konfiguracji „wyjątkowej”, np. na komputerach publicznych, gdzie konto jest współdzielone pomiędzy wieloma użytkownikami, i ze względów bezpieczeństwa wymagana jest bardzo restrykcyjna konfiguracja.
Warto również wyróżnić dwie zmiany, które zostały wprowadzone w architekturze Group Policy w Windows Vista i Windows Server 2008 – nowy format zapisu szablonów administracyjnych –ADMX oraz Central Store , czyli centralna lokalizacja, w której składowane są szablony administracyjne.
Nowe szablony administracyjne bazują na języku XML, co daje pewną elastyczność, plik ADM był przechowywany w ramach szablonu GPT, będącego częścią GPO, co powodowało zbędne zużywanie miejsca na kontrolerze domeny. Dzięki wprowadzeniu nowego formatu, już nic nie musimy przechowywać w obiekcie zasad grupy.
Kolejną nowością jest Central Store , centralne miejsce, w którym przechowywane są pliki ADMX, niwelując konieczność kopiowania tych plików w każdym z GPO. Central Store umożliwił administratorom stworzenie jednego punktu, w którym przechowywane będą wszystkie pliki szablonów administracyjnych, umożliwiając centralne zarządzanie tymi zasobami, nie obciążając pojemności dyskowej i obniżając znacznie ruch sieciowy „poświęcony” na replikację pomiędzy kontrolerami.
Nim przejdziemy do nowości w Windows 7 i Windows Server 2008 R2, powróćmy do Group Policy Preferences. Preferencje zasad grupy oferują 20 rozszerzeń klienta (CSE), które umożliwiają administratorom, nie tylko w sposób łatwy i intuicyjny konfigurować nowe ustawienia (mapowanie dysków i drukarek, modyfikacje rejestru, zarządzanie zmiennymi środowiskowym i wiele innych), ale dodają możliwości konfiguracji tych aspektów systemu, które były niedostępne za pomocą polityk zasad grupy.
Co ważne, preferencje nie narzucają ustawień, użytkownik może je zmieniać, w przeciwieństwie do polityk zasad grupy, które „wymuszają” zdefiniowane ustawienia na klientach. Dodatkowo, definiowanie preferencji jest bardzo łatwe, interfejs graficzny jest przejrzysty, najczęściej oparty o czytelny formularz czy kreator. Dodatkową zaletą preferencji zasad grupy jest obsługa aplikacji, które domyślnie nie wspierają polityk zasad grupy. Co istotne, Group Policy Preferences nie znajdziemy w ustawieniach lokalnych zasad grupy.
Słowem podsumowania, preferencje zasad grupy są uzupełnieniem dla polityk zasad grupy, i oczywiście mogą być stosowane równolegle.
Do początku strony |
Co nowego w Windows 7 i Windows Server 2008 R2?
Systemy Windows 7 i Windows Server 2008 R2 przynoszą kilka nowości w zakresie Zasad grupy. Nim rozpoczniemy przygodę z Group Policy w tych rozwiązaniach, warto ze stron Centrum Pobierania Microsoft pobrać Remote Server Administration Tools (RSAT) , który jest zestawem narzędzi niezbędnych przy zdalnym zarządzaniu Windows Server 2008 R2 (i wcześniejszych, włącznie z Windows Server 2003).
Po instalacji RSAT, użytkownik uzyska dostęp do Group Policy Management Console (GPMC), która pozwala na zarządzanie zasadami grupy na poziomie domeny. Jeżeli nie zainstalujemy RSAT w Windows 7, będziemy mogli korzystać tylko z Local Group Policy Editor, umożliwiający zarządzanie Group Policy na poziomie lokalnym. Jeżeli użytkownik korzysta z Windows Server 2008 R2, nie zachodzi konieczność pobierania RSAT, należy zainstalować funkcję Group Policy Management poprzez konsolę Server Manager.
Pierwszą, i najbardziej kluczową zmianą jest wsparcie dla PowerShell w kontekście zarządzania zasadami grupy – administratorzy mogą automatyzować zadania związane z zasadami grupy np. tworzyć, usuwać, importować obiekty zasady grupy, czy przypisywać konkretne zasady do kontenerów usługi katalogowej Active Directory, wykorzystując cmdlety, spośród 25 udostępnionych w Windows Server 2008 R2. Administratorom umożliwiono również stosowanie skryptów PowerShell przy uruchamianiu/zamykaniu bądź logowaniu/wylogowaniu do/z systemu. Aby wykorzystać potęgę PowerShell, należy zainstalować pakiet RSAT, który zawiera konsolę Group Policy Management Console (GPMC), wraz z cmdletami.
W Tabeli 1 zaprezentowano wszystkie 25 cmdletów dla Group Policy wraz z krótkim opisem.
Nazwa | Opis |
---|---|
Backup-GPO | Wykonuje kopię zapasową jednego GPO bądź wszystkich GPO w domenie. |
Block-GPInheritance | Blokuje dziedziczenie dla wskazanej domeny bądź jednostki organizacyjnej. |
Copy-GPO | Kopiuje GPO. |
Get-GPInheritance | Pobiera status własności blokowania dziedziczenia dla wskazanej domeny bądź jednostki organizacyjnej. |
Get-GPO | Pobiera informacje o GPO. |
Get-GPOReport | Generuje raport GPO w formacie HTML lub XML we wskazanej lokalizacji. |
Get-GPPermissions | Pobiera poziom uprawnień dla wskazanego GPO. |
Get-GPPrefRegistryValue | Pobiera wartość rejestru, która została ustawiona poprzez jedną lub więcej preferencji. |
Get-GPResgistryValue | Pobiera wartość rejestru, która została ustawiona poprzez politykę. |
Get-GPResultantSetofPolicy | Przekazuje informacje Wynikowego zestawu zasad (RSoP) dla użytkownika bądź komputera do pliku. |
Get-GPStarterGPO | Pobiera informacje o Starter GPO. |
Import-GPO | Importuje ustawienia Zasad grupy z kopii zapasowej GPO do wskazanego GPO. |
New-GPLink | Przypisuje istniejące GPO do miejsca, domeny bądź jednostki organizacyjnej. |
New-GPO | Tworzy nowe GPO. |
New-GPStarterGPO | Tworzy nowe Starter GPO. |
Remove-GPLink | Usuwa przypisanie GPO do miejsca, domeny bądź jednostki organizacyjnej. |
Remove-GPO | Usuwa GPO. |
Remove-GPPrefRegistryValue | Usuwa wartość rejestru, która została ustawiona poprzez jedną lub więcej preferencji. |
Remove-GPRegistryValue | Usuwa wartość rejestru, która została ustawiona poprzez politykę. |
Rename-GPO | Przypisuje nową nazwę wyświetlaną do GPO. |
Restore-GPO | Przywraca GPO korzystając z pliku kopii zapasowej GPO. |
Set-GPLink | Definiuje właściwości dla danego przypisania GPO. |
Set-GPPermissions | Przydziela poziom uprawnień dla grupy zabezpieczeń bądź użytkownika do GPO. |
Set-GPPrefRegistryValue | Konfiguruje wartość rejestru dla preferencji rejestru. |
Set-GPRegistryValue | Konfiguruje wartość rejestru dla polityki. |
Tabela 1. Cmdlety dla Group Policy.
Korzystanie z cmdletów PowerShell znacznie skraca czas wykonywania zadań związanych z Group Policy, np. tworząc nowe GPO, jak w kilku krokach pokazano poniżej.
1. | Aby utworzyć nowe GPO należy uruchomić PowerShell, np. w menu Start wpisując PowerShell. |
2. | Po uruchomieniu okna PowerShell za znakiem zachęty, należy wprowadzić komendę import-module grouppolicy. |
3. | Następnie wprowadzić polecenie new-gpo „nazwa nowego GPO”, opcjonalnie dodając dodatkowe parametry, jak –StarterGPOName, -Comment, -Domain, -Server, -Name. |
We wstępie omówiliśmy Group Policy Preferences wprowadzone w Windows Server 2008. W Windows 7 i Windows Server 2008 R2 wprowadzono nowe elementy preferencji: Power Plan, Schedulded Task, Immediate Task oraz preferencje dla Internet Explorer 8.
W Windows Server 2008 wprowadzono tzw. Starter GPO, czyli szablony, czy też wzorce dla tworzonych obiektów zasad grupy. Tworząc nowe GPO, administrator może wskazać „polityki bazowe” jako wzorzec, co powoduje, że tworzenie GPO jest po prostu łatwiejsze. Starter GPO mogą być eksportowane, co ważne są niezwiązane z konkretnym lasem czy domeną, i później wdrażane w innych środowiskach. Wraz z Windows 7 i Windows Server 2008 R2 nie zachodzi potrzeba pobierania Starter GPO ze stron Centrum Pobierania firmy Microsoft, gdyż są już zintegrowane z systemem.
W obu systemach domyślnie znajdziemy systemowe Starter GPO dla scenariuszy: Windows Vista Enterprise Client (EC), Windows Vista Specialized Security Limited Functionality (SSLF) Client, Windows XP Service Pack 2 (SP2) EC oraz Windows XP SP2 SSLF Client.
Rysunek 1: Starter GPO dostępne w systemie Windows Server 2008 R2.
W Windows 7 i Windows Server 2008 R2 dodano również ponad 300 szablonów administracyjnych. Dodatkowo, zmieniono sposób prezentacji wyświetlania właściwości danego szablonu administracyjnego – zamiast trzech oddzielnych zakładek, obecnie pozostała tylko jedna, tak jak zaprezentowano na poniższym zrzucie ekranu. Dzięki takiemu rozwiązaniu, administrator ma podgląd wszystkich właściwości i informacji o danym szablonie administracyjnym w ramach pojedynczego okna, co faktycznie pozwala zredukować czas, jaki należy poświęcić na konfigurację.
Rysunek 2: Właściwości przykładowego szablonu administracyjnego.
Dodatkowo, szablony administracyjne zapewniają wsparcie dla dodatkowych typów wartości rejestru – QWORD oraz REG_MULTI_SZ. Korzyścią płynącą z dodatkowego wsparcia jest możliwość używania ustawień szablonów administracyjnych dla aplikacji, które korzystają z wcześniej wymienionych typów wartości.
Nie sposób nie wspomnieć o AppLocker, czy „ewolucji” Software Restriction Policies, będących sposobem na kontrolę nad aplikacjami na stacjach klienckich poprzez ustawienia Zasad grupy. SRP pojawiły się w Windows XP i Windows Server 2003, i niestety nie były wykorzystywane powszechnie w środowiskach IT, zważywszy na pewne poważne wady.
W Windows 7 i Windows Server 2008 R2 wprowadzono AppLocker, funkcjonalność, która celem działania jest bardzo zbliżona do SRP, aczkolwiek od strony użytkowej została bardzo usprawniona.
AppLocker znajduje się w edycjach Enterprise oraz Ultimate systemu Windows 7 oraz we wszystkich edycjach Windows Server 2008 R2, co ważne – tylko Windows 7 i Server 2008 R2 wspierają AppLocker. Na obu systemach wciąż istnieją Software Restriction Policies, które można wykorzystywać. AppLocker, mimo, że jest konfigurowany poprzez konsolę Group Policy Management, jest łatwy w obsłudze, dzięki zastosowaniu kreatorów.
Nowością „funkcjonalną” jest nowy rodzaj definiowania zasad – tzw. Publisher Rule, który pozwala definiować restrykcje na wybranym poziomie informacji (nazwy, wersji czy wydawcy oprogramowania), które pobierane są z podpisu cyfrowego danej aplikacji. AppLocker będzie głównym tematem kolejnego artykułu z cyklu Akademia Windows 7.
Rysunek 3: AppLocker.
Do początku strony |
Podsumowanie
W Windows 7 i Windows Server 2008 R2 kontynuowano ideę rozwijania Zasad grupy. Główną nowością jest możliwość zarządzania Group Policy z poziomu powłoki skryptowej PowerShell, której wersja druga jest dostępna już po instalacji w Windows 7 i Windows Server 2008 R2.
W nowych systemach rozszerzono możliwości Zasad grupy dodając nowe polityki, wprowadzając Starter GPO (bez konieczności pobierania), czy dodając nowe szablony administracyjne.
W niniejszej części wspomniano również o AppLocker, który będzie głównym tematem trzeciej części z cyklu „Akademia Windows 7”.
Do początku strony |
Zasoby dodatkowe
Łukasz Foks (MCTS, MCITP) Pasjonat technologii Microsoft. W swoim portfolio posiada kilkadziesiąt artykułów i porad technicznych związanych z systemami Microsoft Windows. Zastępca redaktora naczelnego największego portalu technicznego o serwerowych rozwiązaniach Microsoft - http://wss.pl, z którym związany jest już od kilku lat. Aktywnie udziela się również prowadząc liczne prezentacje oraz wspierając Warszawską Grupę Użytkowników i Specjalistów Windows od początku jej istnienia, będąc współtwórcą tej grupy. Szczególnie preferowanymi obszarami tematycznymi są Windows Desktop Experience oraz Windows Deployment. |
Do początku strony |