Group Policy Objects (GPO)
Group Policy Objects (GPO)
Úvod do Group Policy Objects (GPO)
Group Policy Objects (GPO) jsou klíčovým nástrojem v prostředí Active Directory (AD) pro správu konfigurací a zabezpečení v doménových sítích. Pomocí GPO lze centralizovaně řídit nastavení uživatelů i počítačů, což zajišťuje jednotnou konfiguraci a vyšší bezpečnost IT prostředí.
Vytváření Group Policy Objects
GPO lze vytvářet a spravovat pomocí Group Policy Management Console (GPMC), která je součástí Windows Serveru.
Postup vytvoření GPO:
- Otevřete Group Policy Management (GPMC).
- Rozbalte doménu a klikněte pravým tlačítkem na Group Policy Objects.
- Vyberte New a zadejte název GPO.
- Klikněte pravým tlačítkem na vytvořené GPO a zvolte Edit.
- Konfigurujte potřebná nastavení v sekcích:
- Computer Configuration (Nastavení aplikovaná na počítače)
- User Configuration (Nastavení aplikovaná na uživatele)
- Po konfiguraci zavřete editor a propojte GPO s příslušnou organizační jednotkou (OU).
Nejčastěji používané GPO
a) Zabezpečení hesel
- Cesta: Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy
- Příklad: Nastavení minimální délky hesla, expirace a složitosti hesla.
b) Automatická instalace aktualizací
- Cesta: Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update
- Příklad: Povolení automatických aktualizací pro zajištění bezpečnosti.
c) Přesměrování složek
- Cesta: User Configuration > Policies > Windows Settings > Folder Redirection
- Příklad: Přesměrování složky Dokumenty na síťový disk.
d) Zakázání USB portů
- Cesta: Computer Configuration > Policies > Administrative Templates > System > Removable Storage Access
- Příklad: Blokování přístupu k USB úložištím.
e) Nastavení tapety pro všechny uživatele
- Cesta: User Configuration > Policies > Administrative Templates > Desktop > Desktop Wallpaper
- Příklad: Nastavení jednotného firemního pozadí na ploše uživatelů.
f) Mapování síťových složek
- Cesta: User Configuration > Preferences > Windows Settings > Drive Maps
- Příklad: Automatické mapování sdílené složky jako síťový disk.
- Otevřete GPMC a upravte požadované GPO.
- Přidejte novou položku v Drive Maps.
- Vyplňte cestu ke sdílené složce, nastavte jednotku (např. Z:).
- Zvolte Replace, aby se aktualizovalo při změnách.
- Aplikujte na požadovanou skupinu uživatelů.
g) Nastavení lokálních administrátorů (1 uživatel na specifickém PC)
- Cesta: Computer Configuration > Preferences > Control Panel Settings > Local Users and Groups
- Příklad: Přidání konkrétního uživatele jako lokálního administrátora na specifickém počítači.
- Otevřete GPMC a vytvořte nové GPO.
- Přejděte do Local Users and Groups.
- Vytvořte novou položku New > Local Group.
- Vyberte Administrators (Built-in).
- Přidejte konkrétního uživatele do skupiny.
- Použijte Item-level targeting, aby se pravidlo aplikovalo pouze na vybrané počítače.
Limitování aplikace GPO na skupiny, počítače a uživatele
GPO lze aplikovat na vybrané objekty pomocí Security Filtering a WMI Filtering.
a) Použití Security Filtering
- Otevřete GPMC a vyberte požadované GPO.
- V sekci Scope pod Security Filtering klikněte na Remove Authenticated Users.
- Klikněte na Add a přidejte požadovanou skupinu uživatelů nebo počítačů.
b) Použití WMI Filtrů
WMI filtry umožňují aplikaci GPO na základě specifických podmínek (např. verze OS, typ zařízení).
- V GPMC rozbalte WMI Filters a vytvořte nový filtr.
- Definujte WMI dotaz, např.:
SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE "%Windows 10%" - Připojte filtr k požadovanému GPO.
Ověření a testování GPO
Po vytvoření GPO je nutné ověřit jeho správné nasazení:
- Použití příkazu gpupdate /force pro okamžité použití politiky.
- Ověření pomocí gpresult /h C:\gpo_report.html.
- Kontrola v Event Viewer > Group Policy Operational Logs.