Často se mluví o velkém pomocníkovi administrátorů prostředí Windows – Group Policy (zásady skupin). Na toto téma existuje řada výtečných knížek i zdrojů na Internetu. I analytici, kteří využívají hodnotící metodiku podle Gartnera, považují míru využití Group Policy (GP) za jeden z důležitých ukazatelů optimalizace infrastruktury IT. Přesto se často setkáváme s tím, že je brána tak trochu na hůl. Administrátoři GP znají, nicméně používají často jen nepatrnou část z potenciálu, který nabízí. Pokud jste doposud odolávali, třeba vás přesvědčí informace o Group Policy Preferences (GPP), což je další významné rozšíření možností GP. Pojďme se podívat, oč jde!
Group Policy Preferences (dále jen GPP) není vlastně vůbec novinka, původem se jedná o produkt PolicyMaker získaný akvizicí firmy DesktopStandard Corporation v říjnu 2006. Tato firma správně odhalila ohromný potenciál v architektuře adresářových služeb a klientech spravovaných prostřednictvím snadno uchopitelné technologie, jež je nad adresářovými službami vytvořena. Microsoft tak získal produkt, který významně posouvá schopnosti GP. Uvedl ho primárně pro Windows Server 2008 a Windows Vista, nicméně spravovat jím můžete i starší operační systémy. Než si povíme, co všechno GPP umí, vysvětleme si, jak se liší od GP a co je potřeba, aby to celé naplno fungovalo.
Začneme od Group Policy. Jedná se o nastavení operačního systému nebo aplikací, která jsou bez ohledu na práva uživatele nekompromisně vynucena a uživatel je nemá možnost změnit. Takto ošetřené aplikace nebo součásti operačního systému musí o tom, že jsou spravovány prostřednictvím GP, „vědět“. A teprve tehdy je možné na ně politiky aplikovat. Vzhledem k tomu, že u zrodu GP stál Microsoft, našlo se uplatnění zpočátku jen při nastavení a správě některých částí operačního systému. Aplikace třetích stran tak nebylo možné spravovat vůbec a celá řada nastavení i v samotném systému byla s GP odkázána na komplikované a špatně spravovatelné login scripty, či distribuce souborů .reg obsahujících požadované změny v registrech. Nebo se také nedala provádět vůbec.
Group Policy Preferences rozšiřuje tvrdé „managed settings“ o centralizovaně spravovaný systém pro distribuci nastavení – těch měkkých, která se zapisují do běžné části registru (uživatele nebo počítače) a uživatel má možnost taková nastavení dočasně nebo úplně změnit. GPP vyžadují na rozdíl od GP na straně spravovaného stroje speciálního klienta (Group Policy Preferences Client-side Extension,CSE), kterého je nutné do starších operačních systémů doinstalovat. Podporovány jsou Windows XP SP2, Windows Server 2003 SP1 a Windows Vista SP1; Windows Server 2008 a Windows 7 již CSE obsahují, pro Windows Vista ho přináší SP2. Všechny novější desktopové OS ho budou obsahovat stejně jako vlastní podporu GP. Klient je dostupný nejen na stránkách Microsoft download, ale také jako volitelná aktualizace služby Windows Update, nebo prostřednictvím WSUS. Podporována je jak 32bitová, tak i 64bitová platforma.
Jak pracuje GPP?
Na rozdíl od vynucených politik, které jsou v registrech zapisovány do speciální větve, se GPP zapisují do běžných a přístupných částí registrů. A z toho pramení i většina rozdílů. Aplikace nebo součást operačního systému, kterou můžeme označit jako „Group Policy-aware“, se nejprve podívá právě do větve registru pro politiky a pokud tam konkrétní nastavení existuje, uplatní se hodnota načtená z tohoto místa bez ohledu na to, co se nalézá v běžné části pro uživatele nebo počítač (HKCU/HKLM). Se změnou nastavení je i patřičná část uživatelského rozhraní „zamčena“ (disabled), takže uživatel nemá šanci nastavení změnit. Politiky jsou navíc cyklicky obnovovány (ve výchozím stavu po 90 minutách), čímž je zajištěno jejich permanentní aktuální nastavení.
Group Policy Preferences však používají tu část registrů, kam si aplikace a OS přímo ukládají svá nastavení. Podporují tak jakoukoliv aplikaci, aniž by byla „Group Policy-aware“. Nijak neovlivňují uživatelské rozhraní – z pohledu, že by jeho části byly pro uživatele zablokovány – uživatel tak má většinou možnost nastavení změnit. GPP sice podléhají stejnému režimu obměny jako GP, nicméně je zde další zásadní rozdíl v tom, že si u každé položky pravidelnou obnovu mohu zapnout nebo vypnout. Najdete zde ještě několik drobných odlišností, ale ty ponechám již k samostatnému studiu (určitě nevynechte možnost filtrování pomocí WMI).
Pro správce je funkcionalita plně integrována do novější verze Group Policy Management Console (GPMC), která je poprvé dostupná ve Windows 2008 Serveru. Pokud potřebujete spravovat GP i GPP z klientského počítače, je třeba nainstalovat Remote Server Administration Tools (RSAT, pouze pro Windows Vista SP1 a novější). Podporovány jsou obě platformy (32 i 64 bitů) a v případě Windows Vista se jedná o poměrně malinký balíček (18 MB), zatímco pro Windows 7 se připravte na pořádný balík (215 MB!).
Co všechno lze pomocí GPP nastavovat?
Obecně, pokud je to v registry nebo nějakém .ini souboru, tak v podstatě cokoliv. Když se podíváte na obrázek ukazující větev pro User Preferences, bude vám celkem jasno. U každé položky (Drive Maps, Files, Folders…) můžete vytvořit libovolné množství atributů podle svých potřeb.
Pro představu se třeba podívejme, co je možné vytvořit u položky Networking. Máte zde dvě volby: dial-up připojení a VPN (nevěřím, že by se vám nelíbilo pomocí politik konfigurovat uživatelům VPN připojení). Najdete zde tytéž volby jako při konfiguraci VPN přímo na počítači. Podrobněji se zastavím jen u první a poslední záložky. První záložka VPN Connection obsahuje hned zkraje informaci významně související s GPP – položka Action. Může nabývat hodnot: Create, Replace, Update či Delete a určuje tak akci, která se má s danou položkou odehrát. Asi zdaleka nejzajímavější je závěrečná záložka Common, se kterou se u nastavování GPP setkáte vždy. Volíte zde některé prvky chování, jako třeba jestli se nastavení provede pouze jednou. Najdete tu také volbu Item-level targeting. Po stisku tlačítka Targeting… se vám zobrazí vskutku vychytané dialogové okno Targeting Editoru (alespoň nějakou představu si uděláte z obrázku níže). Zde pak s neobyčejnou přesností, neobyčejně snadno a přehledně vytvoříte pravidla určující, na které počítače se daná „preference“ bude aplikovat. Když si prohlédnete, jaké všechny možnosti jsou přednastavené, jen si postesknete, proč tu něco takového nebylo už dávno ;-)
Pokud by vám to bylo málo, můžete pokládat libovolné dotazy do Active Directory prostřednictvím LDAP Query a nebo využít WMI Query, jehož možnosti jsou téměř nekonečné...
Z dalších mnoha funkcí, co ještě GPP nabízí a jsou z mého pohledu neobyčejně užitečné, zmíním jen globální změnu vlastností lokálních účtů (Local Users and Groups) včetně nastavení hesel, vytváření datových zdrojů (Data Sources) nebo vytváření plánovaných úloh (Scheduled Tasks).
Group Policy Preferences je báječný doplněk, který významně zredukuje vaše logon scripty. Zefektivní a zpřehlední správu prostředí Windows. Spravovat je musíte sice z nejnovějších serverových či desktopových(!) OS (Windows Server 2008/Windows Vista a dál), nicméně aplikovat je můžete na téměř každé IT prostředí v našich končinách. Rozhodně tedy na ta prostředí, která jsou ještě z pohledu společnosti Microsoft podporována. Pokud se vám stále někde toulají Windows 2000 (nebo nedej bože něco staršího), jsou Group Policy Preferences jedním z dalších (a snad konečně rozhodujících) důvodů pro rychlou výměnu veteránů za platformu, kterou můžete opravdu efektivně a spolehlivě spravovat.
Užitečné odkazy
Group Policy Team Blog
Server Group Policy