Obsah - Albatros Media

K1136.qxd
16.11.2005
15:01
StrÆnka 5
Stručný Obsah
Ka p i t o l a 1
Základy Zásad skupiny
17
Ka p i t o l a 2
Správa Zásad skupiny pomocí GPMC
65
Ka p i t o l a 3
Způsob zpracování zásad skupiny
111
Ka p i t o l a 4
Řešení problémů se Zásadami skupiny
157
Ka p i t o l a 5
Šablony ADM ve Windows
207
Ka p i t o l a 6
Implementace zabezpečení pomocí Zásad skupiny
231
Ka p i t o l a 7
Skriptování GPMC
279
Ka p i t o l a 8
Místní, cestovní a povinné profily
315
Ka p i t o l a 9
IntelliMirror, 1. část: Přesměrování složek, Soubory
offline, Správce synchronizace a Diskové kvóty
349
IntelliMirror, 2. část: Rozmístění softwaru
pomocí Zásad skupiny
411
Doplňky pro službu IntelliMirror:
Stínové kopie a Služba vzdálené instalace
471
Nástroje Zásad skupiny
499
Ka p i t o l a 10
Ka p i t o l a 11
Příloha
K1136.qxd
16.11.2005
6
15:01
StrÆnka 6
Obsah
Obsah
Úvod
14
Definice Zásad skupiny
14
Zásady skupiny versus Objekty zásad skupiny
15
Kde použít Zásady skupiny
15
Závěrem
16
Ka p i t o l a 1
Základy Zásad skupiny
Začínáme se Zásadami skupiny
Pochopení místních zásad skupiny
Entity Zásad skupiny a nastavení zásad
Zásady skupiny v prostředí Active Directory
17
17
18
20
21
Příklad aplikace Zásad skupiny
23
Pořadí zpracování zásad skupiny
25
Na úrovni sídel
Na úrovni domén
Na úrovni organizačních jednotek
Shrnutí
Zásady skupiny, Active Directory a GPMC
Jak na to postaru
Přehled vlastností GPMC
Instalace GPMC
Použití GPMC v Active Directory
Uživatelé a počítače Active Directory versus GPMC
Přizpůsobení zobrazení v GPMC
Celkový pohled na GPMC
Příklady použití Zásad skupiny
Více o propojovaní a složce Group Policy Objects
Použití Objektů zásad skupiny na úrovni sídla
Použití Objektů zásad skupiny na úrovni domény
Použití Objektů zásad skupiny na úrovni OU
Vyzkoušejte si, jak vypadá delegovaná správa Zásad skupiny
Smysl delegování práv k propojování Objektů zásad skupiny
Jak poskytnout správcům OU právo k vytváření vlastních GPO
Vytvoření a propojení Objektu zásad skupiny na úrovni OU
Vytvoření nového Objektu zásad skupiny na úrovni OU
Přesunutí počítačů do OU Human Resources – uživatelé
Kontrola kumulativních nastavení
Ne vše, co vypadá jako Zásady skupiny, zásadami skupiny opravdu je
Terminálové služby
Směrování a vzdálený přístup
Závěrem
25
26
26
26
27
27
30
30
35
35
36
37
39
40
43
45
47
51
53
54
55
57
59
60
62
62
62
63
K1136.qxd
16.11.2005
15:01
StrÆnka 7
Obsah
7
Ka p i t o l a 2
Správa Zásad skupiny pomocí GPMC
Běžné postupy s GPMC
K čemu je dobré filtrování
Nastavení priorit mezi Objekty zásad skupiny
Význam výstrahy o propojení v GPMC
Jak zabránit použití Objektů zásad skupiny
Zákaz dědičnosti
65
65
67
69
70
71
76
Funkce Enforced
77
Rozšířené zabezpečení a delegování v GPMC
80
Filtrování Objektů zásad skupiny
Jak udělit uživateli práva nad vytvořeným Objektem zásad skupiny
Předávání práv pro vytváření Objektů zásad skupiny v doméně
Předání oprávnění ke speciálním operacím se Zásadami skupiny
Kdo může vytvářet a používat filtry WMI?
Provádění výpočtu RSoP pomocí GPMC
Určení výsledku nastavených Zásad skupiny
Modelování možných chování Zásad skupiny
Zálohování a obnovení Objektů zásad skupiny
Zálohování Objektů zásad skupiny
Obnovení Objektů zásad skupiny
Zálohování a obnovení filtrů WMI
80
88
89
90
92
93
94
97
100
101
102
104
Vyhledávání Objektů zásad skupiny pomocí GPMC
105
Přehled ikon používaných v GPMC
106
Přehled požadavků funkcí dostupných z GPMC
106
Závěrem
108
Ka p i t o l a 3
Způsob zpracování zásad skupiny
111
Principy zpracování zásad skupiny
112
Počáteční zpracování zásad
Zpracování zásad skupiny na pozadí
Zpracování zásad zabezpečení na pozadí
Speciální případ: Přesunutí objektu uživatele nebo počítače
113
114
121
126
Aplikace zásad při vzdáleném přístupu nebo na pomalých linkách
127
Použití nastavení zásad skupiny k ovlivnění zásad skupiny
129
Nastavení uživatele v zásadách skupiny
Nastavení počítače v zásadách skupiny
Zpracování zásad skupiny ve zpětné smyčce
Zopakování běžného zpracování zásad skupiny
Zpětná smyčka zásad skupiny – režim Sloučit
Zpětná smyčka zásad skupiny – režim Nahradit
Zásady skupiny se vztahy důvěryhodnosti mezi doménovými strukturami
Co se stane při přihlášení na jiné stanici s využitím
vztahů důvěryhodnosti mezi doménovými strukturami?
Zákaz zpracování zpětné smyčky při použití vztahů
důvěryhodnosti mezi doménovými strukturami
129
131
138
138
139
140
145
146
148
K1136.qxd
8
16.11.2005
15:01
StrÆnka 8
Obsah
Matice vztahů důvěryhodnosti mezi doménovými strukturami pro různé stanice
Oprávnění při vztazích důvěryhodnosti mezi doménovými strukturami
149
150
Souběžné použití Zásad skupiny a systémových zásad NT4
152
Závěrem
154
Ka p i t o l a 4
Řešení problémů se Zásadami skupiny
Pod povrchem zásad skupiny
Místní zásady skupiny
Objekty zásad skupiny v Active Directory
Vznik, život a zánik objektů zásad skupiny
Vznik objektů zásad skupiny
Život objektů zásad skupiny
Jak klient získá objekty zásad skupiny
Rozšíření na straně klienta
Místo uložení šablon pro správu v registrech
Proč se zásady skupiny neaplikovaly?
Kontrola základů
Hloubková kontrola
Odstraňování problémů na straně klienta
RSoP ve Windows 2000
RSoP ve Windows 2003 a Windows XP
GPResult ve Windows 2003 a Windows XP
Vzdálené spuštění GPResult a vyhodnocení RSoP pro klienta s Windows XP a Windows 2003
Zásady skupin Windows XP a Centrum pro nápovědu a odbornou pomoc
Snap-in modul RSoP v MMC
Pokročilé odstraňování problémů se zásadami skupiny pomocí protokolování
Prohlížeč událostí
Zapnutí rozšířeného protokolování v registrech
Detailní protokolování
Závěrem
157
158
158
159
162
162
164
179
179
182
183
184
185
192
193
194
194
198
199
200
201
202
202
203
205
Ka p i t o l a 5
Šablony ADM ve Windows
207
Zásady a Preference
208
Typické šablony ADM
209
Standardní šablony ADM
Šablony ADM výrobce softwaru
210
211
Vytváření vlastních šablon ADM
219
Vytváření vlastních šablon ADM
Prohlížení starších preferencí
219
220
Spravování šablon ADM ve Windows
222
Jak nyní spravujete vaše Objekty zásad skupiny?
Principy chování šablon ADM
Nejlepší postupy při správě šablon ADM
Vytvoření řídící stanice s Windows XP
223
224
226
226
K1136.qxd
16.11.2005
15:01
StrÆnka 9
Obsah
Zákaz automatické aktualizace šablon ADM
9
227
Obsah souborů šablon ADM
229
Závěrem
230
Ka p i t o l a 6
Implementace zabezpečení pomocí Zásad skupiny
Dva standardní objekty zásad skupiny
GPO propojené na úrovni domény
GPO propojené na úrovni OU Domain Controllers
Návrat k výchozímu nastavení pro GPO Default Domain Policy
a Default Domain Controllers Policy
Místní a faktické zabezpečení
Podivný život Zásad hesla
Audit a zásady skupiny
Auditování změn Objektů zásad skupiny
Auditování přístupu k souborům
Skripty Přihlášení, Odhlášení, Po spuštění, Ukončení
Skripty Po spuštění a Ukončení
Skripty Přihlášení a Odhlášení
231
232
232
235
237
238
239
241
243
246
247
248
249
Zásady údržby aplikace Internet Explorer
249
Wireless Network (802.11) Policies
250
Skupiny s omezeným členstvím
250
Zesílené řízení skupin Active Directory
Zesílené řízení lokálních skupin
Zesílené řízení vnořováním skupin
Omezení při vnořování skupin
Zásady omezení softwaru
Přístup k zásadám omezení softwaru
Pravidla zásad omezení softwaru
Odstraňování problémů se zásadami omezení softwaru
Odstranění nevhodně nastavených zásad omezení softwaru
Zabezpečení stanic pomocí šablon
Šablony zabezpečení
Vaše vlastní šablony zabezpečení
Konfigurace a analýza zabezpečení
Aplikace šablon zabezpečení pomocí zásad skupiny
Závěrem
O čem jsme nemluvili
Další zdroje informací
Návrh versus implementace
251
252
253
254
254
255
256
261
262
263
264
267
270
276
277
277
278
278
Ka p i t o l a 7
Skriptování GPMC
Začínáme používat skripty GPMC
Upozornění GPMC při používání skriptů
Užitečná literatura
Nástroje pro vytváření skriptů
279
280
280
280
281
K1136.qxd
10
16.11.2005
15:01
StrÆnka 10
Obsah
Základní pojmy skriptů pro GPMC
Inicializace požadavků pro skripty GPMC
Automatické získání názvu DNS domény
Získání základních informací o sídle a doméně
281
283
285
285
Vytváření jednoduchých skriptů GPMC
287
Automatizace rutinní práce se Zásadami skupiny
290
Dokumentace propojení GPO a Filtrů WMI
Dokumentace nastavení GPO
Vytváření a propojení nových GPO
Zálohování GPO
Obnovení GPO
Importování GPO
Změna oprávnění k GPO
Nucená aktualizace Objektů zásad skupiny
Povolení vzdáleného použití skriptů
Skript pro vynucení aktualizace GPO na pozadí
290
294
296
298
299
303
305
310
310
311
Používání skriptů, které jsou součástí GPMC
312
Závěrem
313
Ka p i t o l a 8
Místní, cestovní a povinné profily
Co je uživatelský profil?
Soubor NTUSER.DAT
Složka profilu
Výchozí místní profil
Výchozí doménový profil
Cestovní profily
Nastavení cestovních profilů
Testování cestovních profilů
Migrace místního profilu na cestovní profil
Cestovní a necestovní složky
Změny profilu ve Windows XP a Windows 2003
Vliv nastavení zásad skupiny v konfiguraci počítače na cestovní profily
Vliv nastavení zásad skupiny v konfiguraci uživatele na cestovní profily
Povinné profily
Změna místních profilů na povinné
Změna cestovních profilů na povinné
Vynucený povinný profil
Závěrem
315
315
316
316
318
321
323
323
326
328
329
330
333
339
342
342
344
345
346
Ka p i t o l a 9
IntelliMirror, 1. část: Přesměrování složek,
Soubory offline, Správce synchronizace a Diskové kvóty
349
Rozdíly mezi službami Správa změn a konfigurace a IntelliMirror
350
Přesměrování složek
351
Přesměrování adresáře Dokumenty
Přesměrování složek Nabídka Start a Plocha
352
364
K1136.qxd
16.11.2005
15:01
StrÆnka 11
Obsah
11
Přesměrování složky Data aplikací
Řešení problémů s přesměrováním složek
365
365
Soubory offline a Správce synchronizace
368
Základy souborů offline
Základy Správce synchronizace
Zpřístupnění souborů offline
Konfigurace souborů offline
Přístup nedělej nic
Obíhání všech počítačů kvůli nastavení Souborů offline a Správce synchronizace
368
368
369
373
374
378
Spolupráce služeb Soubory offline a Správce synchronizace
383
Použití služeb Přesměrování složek a Soubory offline pomalými linkami
385
Synchronizace přesměrované složky Dokumenty přes pomalou linku
Synchronizace veřejných sdílených složek přes pomalou linku
Nastavení Souborů offline pomocí Zásad skupiny (část uživatele a počítače)
Zakázat uživatelskou konfiguraci souborů offline
Při přihlášení synchronizovat všechny soubory offline
Provést synchronizaci všech souborů offline před odhlášením
Před přechodem do režimu spánku synchronizovat soubory offline
Akce při odpojení serveru
Jiné než výchozí akce při odpojení serveru
Odebrat možnost Zpřístupnit offline
Zabránit použití složky soubory offline
Administrativně přiřazené soubory offline
Vypnout připomínání
Frekvence připomínání
Doba trvání úvodního upozornění
Doba trvání upozornění
Úroveň protokolování událostí
Zakázat zpřístupnění těchto souborů a složek offline
Nepovolit automaticky zpřístupnění přesměrovaných složek offline
Nastavení souborů offline pomocí zásad skupiny (pouze v části počítače)
Povolit nebo zakázat použití funkce Soubory offline
Výchozí velikost mezipaměti
Soubory neukládané do mezipaměti
Při odhlášení odstranit místní kopie souborů offline uživatele
Podsložky vždy přístupné offline
Šifrovat mezipaměť souborů offline
Konfigurovat rychlost pomalého připojení
Diskové kvóty
Kvóty a skupiny
Návrh a implementace strategie diskových kvót
Importování a exportování nastavených kvót
Nastavení kvót pomocí Zásad skupiny
Závěrem
385
386
389
390
390
391
391
391
391
392
392
393
394
394
395
395
395
396
396
397
397
397
398
398
399
399
400
400
403
403
406
407
409
Ka p i t o l a 10
IntelliMirror, 2. část: Rozmístění softwaru pomocí Zásad skupiny
Přehled GPSI
Instalační služba systému Windows
Význam balíčků .msi
Použití balíčků .msi
411
411
412
413
414
K1136.qxd
12
16.11.2005
15:01
StrÆnka 12
Obsah
Přiřazené a publikované aplikace
Přiřazené aplikace
Publikované aplikace
Pravidla rozmístění
Strategie zaměřená na balíčky
Význam souborů typu .zap
Izolace programů
Přiřazené a publikované programy – Upřesnit
Karta Obecné
Karta Zavedení
Tlačítko Upřesnit
Karta Inovace
Karta Kategorie
Karta Změny
Karta Zabezpečení
Výchozí vlastnosti Instalace softwaru
Karta Obecné
Karta Upřesnit
Karta Přípony souborů
Karta Kategorie
Odebrání aplikací
Uživatelé mohou ručně měnit nebo odebírat aplikace
Automatické odebrání přiřazených nebo publikovaných aplikací typu .msi
Vynucené odebrání přiřazených nebo publikovaných aplikací typu .msi
Odebrání aplikací typu .zap
Odstraňování problémů s odebíráním aplikací
Použití Instalace softwaru přes pomalé linky
418
418
419
419
420
425
428
430
430
431
433
435
436
437
440
441
441
442
442
443
444
444
444
445
446
447
448
Přiřazení aplikací uživatelům systému Windows 2000 přes pomalou linku
449
Přiřazení aplikací uživatelům systémů Windows 2003 a Windows XP přes pomalou linku 451
Správa balíčků .msi a Instalační služby systému Windows
Nástroj MSIEXEC
Nastavení Instalační služby systému Windows pomocí Zásad skupiny
Směrování GPO pomocí filtrů WMI
Nástroje (a reference) pro práci s WMI
Syntaxe filtrů WMI
Vytvoření a použití filtrů WMI
Závěrem k filtrům WMI
Začlenění programu SMS do vaší sítě
SMS a Instalace software Zásad skupiny (GPSI)
Soužití GPSI a SMS
Závěrem
451
451
453
460
461
462
463
464
465
466
468
468
Ka p i t o l a 11
Doplňky pro službu IntelliMirror: Stínové kopie a Služba vzdálené instalace 471
Stínové kopie
Nastavení Stínových kopií na serveru
Doručení Stínových kopií klientovi
Obnovení souborů pomocí Shadow Copies Client
472
472
474
475
K1136.qxd
16.11.2005
15:01
StrÆnka 13
Obsah
Jádro Služby vzdálené instalace
13
477
Součásti serveru
Součásti klienta
477
478
Nastavení serveru RIS
479
Instalace služby RIS
Instalace základní bitové kopie
Autorizace vašeho serveru RIS
Správa serveru RIS
Instalace prvního klienta
Vytvoření diskety pro vzdálené spuštění
Instalace vašeho prvního klienta
Nástroje pro přípravu vzdálené instalace (RIPrep)
Jak vytvoříte svůj vlastní automatický soubor odpovědí služby RIS
Vytvoření vzorového plně automatického souboru odpovědí
Spojení odpovědního souboru s bitovou kopií
Upravení Služby vzdálené instalace pomocí Zásad skupiny
Část Automatická instalace
Část Vlastní instalace
Část Spustit instalaci znovu
Část Nástroje
Závěrem
480
481
482
483
484
485
485
488
490
491
492
493
494
495
495
496
496
Příloha
Nástroje Zásad skupiny
Přesun objektů zásad skupiny mezi doménami
Jednoduché kopírování a importování v rámci domény
Kopírování a importování migration tables (migračních tabulek)
Přehled nástrojů od
společnosti Microsoft
Nástroje k zásadám skupiny od společnosti Microsoft
Nástroje pro správu profilů od společnosti Microsoft
Nástroje od jiných výrobců
Rejstřík
499
499
499
504
506
506
509
510
515