Obsah - Albatros Media
Transkript
Obsah - Albatros Media
K1136.qxd 16.11.2005 15:01 StrÆnka 5 Stručný Obsah Ka p i t o l a 1 Základy Zásad skupiny 17 Ka p i t o l a 2 Správa Zásad skupiny pomocí GPMC 65 Ka p i t o l a 3 Způsob zpracování zásad skupiny 111 Ka p i t o l a 4 Řešení problémů se Zásadami skupiny 157 Ka p i t o l a 5 Šablony ADM ve Windows 207 Ka p i t o l a 6 Implementace zabezpečení pomocí Zásad skupiny 231 Ka p i t o l a 7 Skriptování GPMC 279 Ka p i t o l a 8 Místní, cestovní a povinné profily 315 Ka p i t o l a 9 IntelliMirror, 1. část: Přesměrování složek, Soubory offline, Správce synchronizace a Diskové kvóty 349 IntelliMirror, 2. část: Rozmístění softwaru pomocí Zásad skupiny 411 Doplňky pro službu IntelliMirror: Stínové kopie a Služba vzdálené instalace 471 Nástroje Zásad skupiny 499 Ka p i t o l a 10 Ka p i t o l a 11 Příloha K1136.qxd 16.11.2005 6 15:01 StrÆnka 6 Obsah Obsah Úvod 14 Definice Zásad skupiny 14 Zásady skupiny versus Objekty zásad skupiny 15 Kde použít Zásady skupiny 15 Závěrem 16 Ka p i t o l a 1 Základy Zásad skupiny Začínáme se Zásadami skupiny Pochopení místních zásad skupiny Entity Zásad skupiny a nastavení zásad Zásady skupiny v prostředí Active Directory 17 17 18 20 21 Příklad aplikace Zásad skupiny 23 Pořadí zpracování zásad skupiny 25 Na úrovni sídel Na úrovni domén Na úrovni organizačních jednotek Shrnutí Zásady skupiny, Active Directory a GPMC Jak na to postaru Přehled vlastností GPMC Instalace GPMC Použití GPMC v Active Directory Uživatelé a počítače Active Directory versus GPMC Přizpůsobení zobrazení v GPMC Celkový pohled na GPMC Příklady použití Zásad skupiny Více o propojovaní a složce Group Policy Objects Použití Objektů zásad skupiny na úrovni sídla Použití Objektů zásad skupiny na úrovni domény Použití Objektů zásad skupiny na úrovni OU Vyzkoušejte si, jak vypadá delegovaná správa Zásad skupiny Smysl delegování práv k propojování Objektů zásad skupiny Jak poskytnout správcům OU právo k vytváření vlastních GPO Vytvoření a propojení Objektu zásad skupiny na úrovni OU Vytvoření nového Objektu zásad skupiny na úrovni OU Přesunutí počítačů do OU Human Resources – uživatelé Kontrola kumulativních nastavení Ne vše, co vypadá jako Zásady skupiny, zásadami skupiny opravdu je Terminálové služby Směrování a vzdálený přístup Závěrem 25 26 26 26 27 27 30 30 35 35 36 37 39 40 43 45 47 51 53 54 55 57 59 60 62 62 62 63 K1136.qxd 16.11.2005 15:01 StrÆnka 7 Obsah 7 Ka p i t o l a 2 Správa Zásad skupiny pomocí GPMC Běžné postupy s GPMC K čemu je dobré filtrování Nastavení priorit mezi Objekty zásad skupiny Význam výstrahy o propojení v GPMC Jak zabránit použití Objektů zásad skupiny Zákaz dědičnosti 65 65 67 69 70 71 76 Funkce Enforced 77 Rozšířené zabezpečení a delegování v GPMC 80 Filtrování Objektů zásad skupiny Jak udělit uživateli práva nad vytvořeným Objektem zásad skupiny Předávání práv pro vytváření Objektů zásad skupiny v doméně Předání oprávnění ke speciálním operacím se Zásadami skupiny Kdo může vytvářet a používat filtry WMI? Provádění výpočtu RSoP pomocí GPMC Určení výsledku nastavených Zásad skupiny Modelování možných chování Zásad skupiny Zálohování a obnovení Objektů zásad skupiny Zálohování Objektů zásad skupiny Obnovení Objektů zásad skupiny Zálohování a obnovení filtrů WMI 80 88 89 90 92 93 94 97 100 101 102 104 Vyhledávání Objektů zásad skupiny pomocí GPMC 105 Přehled ikon používaných v GPMC 106 Přehled požadavků funkcí dostupných z GPMC 106 Závěrem 108 Ka p i t o l a 3 Způsob zpracování zásad skupiny 111 Principy zpracování zásad skupiny 112 Počáteční zpracování zásad Zpracování zásad skupiny na pozadí Zpracování zásad zabezpečení na pozadí Speciální případ: Přesunutí objektu uživatele nebo počítače 113 114 121 126 Aplikace zásad při vzdáleném přístupu nebo na pomalých linkách 127 Použití nastavení zásad skupiny k ovlivnění zásad skupiny 129 Nastavení uživatele v zásadách skupiny Nastavení počítače v zásadách skupiny Zpracování zásad skupiny ve zpětné smyčce Zopakování běžného zpracování zásad skupiny Zpětná smyčka zásad skupiny – režim Sloučit Zpětná smyčka zásad skupiny – režim Nahradit Zásady skupiny se vztahy důvěryhodnosti mezi doménovými strukturami Co se stane při přihlášení na jiné stanici s využitím vztahů důvěryhodnosti mezi doménovými strukturami? Zákaz zpracování zpětné smyčky při použití vztahů důvěryhodnosti mezi doménovými strukturami 129 131 138 138 139 140 145 146 148 K1136.qxd 8 16.11.2005 15:01 StrÆnka 8 Obsah Matice vztahů důvěryhodnosti mezi doménovými strukturami pro různé stanice Oprávnění při vztazích důvěryhodnosti mezi doménovými strukturami 149 150 Souběžné použití Zásad skupiny a systémových zásad NT4 152 Závěrem 154 Ka p i t o l a 4 Řešení problémů se Zásadami skupiny Pod povrchem zásad skupiny Místní zásady skupiny Objekty zásad skupiny v Active Directory Vznik, život a zánik objektů zásad skupiny Vznik objektů zásad skupiny Život objektů zásad skupiny Jak klient získá objekty zásad skupiny Rozšíření na straně klienta Místo uložení šablon pro správu v registrech Proč se zásady skupiny neaplikovaly? Kontrola základů Hloubková kontrola Odstraňování problémů na straně klienta RSoP ve Windows 2000 RSoP ve Windows 2003 a Windows XP GPResult ve Windows 2003 a Windows XP Vzdálené spuštění GPResult a vyhodnocení RSoP pro klienta s Windows XP a Windows 2003 Zásady skupin Windows XP a Centrum pro nápovědu a odbornou pomoc Snap-in modul RSoP v MMC Pokročilé odstraňování problémů se zásadami skupiny pomocí protokolování Prohlížeč událostí Zapnutí rozšířeného protokolování v registrech Detailní protokolování Závěrem 157 158 158 159 162 162 164 179 179 182 183 184 185 192 193 194 194 198 199 200 201 202 202 203 205 Ka p i t o l a 5 Šablony ADM ve Windows 207 Zásady a Preference 208 Typické šablony ADM 209 Standardní šablony ADM Šablony ADM výrobce softwaru 210 211 Vytváření vlastních šablon ADM 219 Vytváření vlastních šablon ADM Prohlížení starších preferencí 219 220 Spravování šablon ADM ve Windows 222 Jak nyní spravujete vaše Objekty zásad skupiny? Principy chování šablon ADM Nejlepší postupy při správě šablon ADM Vytvoření řídící stanice s Windows XP 223 224 226 226 K1136.qxd 16.11.2005 15:01 StrÆnka 9 Obsah Zákaz automatické aktualizace šablon ADM 9 227 Obsah souborů šablon ADM 229 Závěrem 230 Ka p i t o l a 6 Implementace zabezpečení pomocí Zásad skupiny Dva standardní objekty zásad skupiny GPO propojené na úrovni domény GPO propojené na úrovni OU Domain Controllers Návrat k výchozímu nastavení pro GPO Default Domain Policy a Default Domain Controllers Policy Místní a faktické zabezpečení Podivný život Zásad hesla Audit a zásady skupiny Auditování změn Objektů zásad skupiny Auditování přístupu k souborům Skripty Přihlášení, Odhlášení, Po spuštění, Ukončení Skripty Po spuštění a Ukončení Skripty Přihlášení a Odhlášení 231 232 232 235 237 238 239 241 243 246 247 248 249 Zásady údržby aplikace Internet Explorer 249 Wireless Network (802.11) Policies 250 Skupiny s omezeným členstvím 250 Zesílené řízení skupin Active Directory Zesílené řízení lokálních skupin Zesílené řízení vnořováním skupin Omezení při vnořování skupin Zásady omezení softwaru Přístup k zásadám omezení softwaru Pravidla zásad omezení softwaru Odstraňování problémů se zásadami omezení softwaru Odstranění nevhodně nastavených zásad omezení softwaru Zabezpečení stanic pomocí šablon Šablony zabezpečení Vaše vlastní šablony zabezpečení Konfigurace a analýza zabezpečení Aplikace šablon zabezpečení pomocí zásad skupiny Závěrem O čem jsme nemluvili Další zdroje informací Návrh versus implementace 251 252 253 254 254 255 256 261 262 263 264 267 270 276 277 277 278 278 Ka p i t o l a 7 Skriptování GPMC Začínáme používat skripty GPMC Upozornění GPMC při používání skriptů Užitečná literatura Nástroje pro vytváření skriptů 279 280 280 280 281 K1136.qxd 10 16.11.2005 15:01 StrÆnka 10 Obsah Základní pojmy skriptů pro GPMC Inicializace požadavků pro skripty GPMC Automatické získání názvu DNS domény Získání základních informací o sídle a doméně 281 283 285 285 Vytváření jednoduchých skriptů GPMC 287 Automatizace rutinní práce se Zásadami skupiny 290 Dokumentace propojení GPO a Filtrů WMI Dokumentace nastavení GPO Vytváření a propojení nových GPO Zálohování GPO Obnovení GPO Importování GPO Změna oprávnění k GPO Nucená aktualizace Objektů zásad skupiny Povolení vzdáleného použití skriptů Skript pro vynucení aktualizace GPO na pozadí 290 294 296 298 299 303 305 310 310 311 Používání skriptů, které jsou součástí GPMC 312 Závěrem 313 Ka p i t o l a 8 Místní, cestovní a povinné profily Co je uživatelský profil? Soubor NTUSER.DAT Složka profilu Výchozí místní profil Výchozí doménový profil Cestovní profily Nastavení cestovních profilů Testování cestovních profilů Migrace místního profilu na cestovní profil Cestovní a necestovní složky Změny profilu ve Windows XP a Windows 2003 Vliv nastavení zásad skupiny v konfiguraci počítače na cestovní profily Vliv nastavení zásad skupiny v konfiguraci uživatele na cestovní profily Povinné profily Změna místních profilů na povinné Změna cestovních profilů na povinné Vynucený povinný profil Závěrem 315 315 316 316 318 321 323 323 326 328 329 330 333 339 342 342 344 345 346 Ka p i t o l a 9 IntelliMirror, 1. část: Přesměrování složek, Soubory offline, Správce synchronizace a Diskové kvóty 349 Rozdíly mezi službami Správa změn a konfigurace a IntelliMirror 350 Přesměrování složek 351 Přesměrování adresáře Dokumenty Přesměrování složek Nabídka Start a Plocha 352 364 K1136.qxd 16.11.2005 15:01 StrÆnka 11 Obsah 11 Přesměrování složky Data aplikací Řešení problémů s přesměrováním složek 365 365 Soubory offline a Správce synchronizace 368 Základy souborů offline Základy Správce synchronizace Zpřístupnění souborů offline Konfigurace souborů offline Přístup nedělej nic Obíhání všech počítačů kvůli nastavení Souborů offline a Správce synchronizace 368 368 369 373 374 378 Spolupráce služeb Soubory offline a Správce synchronizace 383 Použití služeb Přesměrování složek a Soubory offline pomalými linkami 385 Synchronizace přesměrované složky Dokumenty přes pomalou linku Synchronizace veřejných sdílených složek přes pomalou linku Nastavení Souborů offline pomocí Zásad skupiny (část uživatele a počítače) Zakázat uživatelskou konfiguraci souborů offline Při přihlášení synchronizovat všechny soubory offline Provést synchronizaci všech souborů offline před odhlášením Před přechodem do režimu spánku synchronizovat soubory offline Akce při odpojení serveru Jiné než výchozí akce při odpojení serveru Odebrat možnost Zpřístupnit offline Zabránit použití složky soubory offline Administrativně přiřazené soubory offline Vypnout připomínání Frekvence připomínání Doba trvání úvodního upozornění Doba trvání upozornění Úroveň protokolování událostí Zakázat zpřístupnění těchto souborů a složek offline Nepovolit automaticky zpřístupnění přesměrovaných složek offline Nastavení souborů offline pomocí zásad skupiny (pouze v části počítače) Povolit nebo zakázat použití funkce Soubory offline Výchozí velikost mezipaměti Soubory neukládané do mezipaměti Při odhlášení odstranit místní kopie souborů offline uživatele Podsložky vždy přístupné offline Šifrovat mezipaměť souborů offline Konfigurovat rychlost pomalého připojení Diskové kvóty Kvóty a skupiny Návrh a implementace strategie diskových kvót Importování a exportování nastavených kvót Nastavení kvót pomocí Zásad skupiny Závěrem 385 386 389 390 390 391 391 391 391 392 392 393 394 394 395 395 395 396 396 397 397 397 398 398 399 399 400 400 403 403 406 407 409 Ka p i t o l a 10 IntelliMirror, 2. část: Rozmístění softwaru pomocí Zásad skupiny Přehled GPSI Instalační služba systému Windows Význam balíčků .msi Použití balíčků .msi 411 411 412 413 414 K1136.qxd 12 16.11.2005 15:01 StrÆnka 12 Obsah Přiřazené a publikované aplikace Přiřazené aplikace Publikované aplikace Pravidla rozmístění Strategie zaměřená na balíčky Význam souborů typu .zap Izolace programů Přiřazené a publikované programy – Upřesnit Karta Obecné Karta Zavedení Tlačítko Upřesnit Karta Inovace Karta Kategorie Karta Změny Karta Zabezpečení Výchozí vlastnosti Instalace softwaru Karta Obecné Karta Upřesnit Karta Přípony souborů Karta Kategorie Odebrání aplikací Uživatelé mohou ručně měnit nebo odebírat aplikace Automatické odebrání přiřazených nebo publikovaných aplikací typu .msi Vynucené odebrání přiřazených nebo publikovaných aplikací typu .msi Odebrání aplikací typu .zap Odstraňování problémů s odebíráním aplikací Použití Instalace softwaru přes pomalé linky 418 418 419 419 420 425 428 430 430 431 433 435 436 437 440 441 441 442 442 443 444 444 444 445 446 447 448 Přiřazení aplikací uživatelům systému Windows 2000 přes pomalou linku 449 Přiřazení aplikací uživatelům systémů Windows 2003 a Windows XP přes pomalou linku 451 Správa balíčků .msi a Instalační služby systému Windows Nástroj MSIEXEC Nastavení Instalační služby systému Windows pomocí Zásad skupiny Směrování GPO pomocí filtrů WMI Nástroje (a reference) pro práci s WMI Syntaxe filtrů WMI Vytvoření a použití filtrů WMI Závěrem k filtrům WMI Začlenění programu SMS do vaší sítě SMS a Instalace software Zásad skupiny (GPSI) Soužití GPSI a SMS Závěrem 451 451 453 460 461 462 463 464 465 466 468 468 Ka p i t o l a 11 Doplňky pro službu IntelliMirror: Stínové kopie a Služba vzdálené instalace 471 Stínové kopie Nastavení Stínových kopií na serveru Doručení Stínových kopií klientovi Obnovení souborů pomocí Shadow Copies Client 472 472 474 475 K1136.qxd 16.11.2005 15:01 StrÆnka 13 Obsah Jádro Služby vzdálené instalace 13 477 Součásti serveru Součásti klienta 477 478 Nastavení serveru RIS 479 Instalace služby RIS Instalace základní bitové kopie Autorizace vašeho serveru RIS Správa serveru RIS Instalace prvního klienta Vytvoření diskety pro vzdálené spuštění Instalace vašeho prvního klienta Nástroje pro přípravu vzdálené instalace (RIPrep) Jak vytvoříte svůj vlastní automatický soubor odpovědí služby RIS Vytvoření vzorového plně automatického souboru odpovědí Spojení odpovědního souboru s bitovou kopií Upravení Služby vzdálené instalace pomocí Zásad skupiny Část Automatická instalace Část Vlastní instalace Část Spustit instalaci znovu Část Nástroje Závěrem 480 481 482 483 484 485 485 488 490 491 492 493 494 495 495 496 496 Příloha Nástroje Zásad skupiny Přesun objektů zásad skupiny mezi doménami Jednoduché kopírování a importování v rámci domény Kopírování a importování migration tables (migračních tabulek) Přehled nástrojů od společnosti Microsoft Nástroje k zásadám skupiny od společnosti Microsoft Nástroje pro správu profilů od společnosti Microsoft Nástroje od jiných výrobců Rejstřík 499 499 499 504 506 506 509 510 515