Přejít na obsah
Group Policy Objects (GPO)

Group Policy Objects (GPO)

Group Policy Objects (GPO)

Úvod do Group Policy Objects (GPO)

Group Policy Objects (GPO) jsou klíčovým nástrojem v prostředí Active Directory (AD) pro správu konfigurací a zabezpečení v doménových sítích. Pomocí GPO lze centralizovaně řídit nastavení uživatelů i počítačů, což zajišťuje jednotnou konfiguraci a vyšší bezpečnost IT prostředí.

Vytváření Group Policy Objects

GPO lze vytvářet a spravovat pomocí Group Policy Management Console (GPMC), která je součástí Windows Serveru.

Postup vytvoření GPO:

  1. Otevřete Group Policy Management (GPMC).
  2. Rozbalte doménu a klikněte pravým tlačítkem na Group Policy Objects.
  3. Vyberte New a zadejte název GPO.
  4. Klikněte pravým tlačítkem na vytvořené GPO a zvolte Edit.
  5. Konfigurujte potřebná nastavení v sekcích:
    • Computer Configuration (Nastavení aplikovaná na počítače)
    • User Configuration (Nastavení aplikovaná na uživatele)
  6. Po konfiguraci zavřete editor a propojte GPO s příslušnou organizační jednotkou (OU).

Nejčastěji používané GPO

a) Zabezpečení hesel

  • Cesta: Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy
  • Příklad: Nastavení minimální délky hesla, expirace a složitosti hesla.

b) Automatická instalace aktualizací

  • Cesta: Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update
  • Příklad: Povolení automatických aktualizací pro zajištění bezpečnosti.

c) Přesměrování složek

  • Cesta: User Configuration > Policies > Windows Settings > Folder Redirection
  • Příklad: Přesměrování složky Dokumenty na síťový disk.

d) Zakázání USB portů

  • Cesta: Computer Configuration > Policies > Administrative Templates > System > Removable Storage Access
  • Příklad: Blokování přístupu k USB úložištím.

e) Nastavení tapety pro všechny uživatele

  • Cesta: User Configuration > Policies > Administrative Templates > Desktop > Desktop Wallpaper
  • Příklad: Nastavení jednotného firemního pozadí na ploše uživatelů.

f) Mapování síťových složek

  • Cesta: User Configuration > Preferences > Windows Settings > Drive Maps
  • Příklad: Automatické mapování sdílené složky jako síťový disk.
  1. Otevřete GPMC a upravte požadované GPO.
  2. Přidejte novou položku v Drive Maps.
  3. Vyplňte cestu ke sdílené složce, nastavte jednotku (např. Z:).
  4. Zvolte Replace, aby se aktualizovalo při změnách.
  5. Aplikujte na požadovanou skupinu uživatelů.

g) Nastavení lokálních administrátorů (1 uživatel na specifickém PC)

  • Cesta: Computer Configuration > Preferences > Control Panel Settings > Local Users and Groups
  • Příklad: Přidání konkrétního uživatele jako lokálního administrátora na specifickém počítači.
  1. Otevřete GPMC a vytvořte nové GPO.
  2. Přejděte do Local Users and Groups.
  3. Vytvořte novou položku New > Local Group.
  4. Vyberte Administrators (Built-in).
  5. Přidejte konkrétního uživatele do skupiny.
  6. Použijte Item-level targeting, aby se pravidlo aplikovalo pouze na vybrané počítače.

Limitování aplikace GPO na skupiny, počítače a uživatele

GPO lze aplikovat na vybrané objekty pomocí Security Filtering a WMI Filtering.

a) Použití Security Filtering

  1. Otevřete GPMC a vyberte požadované GPO.
  2. V sekci Scope pod Security Filtering klikněte na Remove Authenticated Users.
  3. Klikněte na Add a přidejte požadovanou skupinu uživatelů nebo počítačů.

b) Použití WMI Filtrů

WMI filtry umožňují aplikaci GPO na základě specifických podmínek (např. verze OS, typ zařízení).

  1. V GPMC rozbalte WMI Filters a vytvořte nový filtr.
  2. Definujte WMI dotaz, např.:
    SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE "%Windows 10%"
  3. Připojte filtr k požadovanému GPO.

Ověření a testování GPO

Po vytvoření GPO je nutné ověřit jeho správné nasazení:

  • Použití příkazu gpupdate /force pro okamžité použití politiky.
  • Ověření pomocí gpresult /h C:\gpo_report.html.
  • Kontrola v Event Viewer > Group Policy Operational Logs.