:::: MENU ::::

Konfigurace uživatelského prostředí pomocí skupin zásad (GPO)

23.9.2009    |    komentáře   komentářů: 0

Pomocí skupin zásad (Group Policy) je možné hromadně konfigurovat velké množství parametrů uživatelského prostředí jako přesměrování uživatelských složek, spouštění scriptů, hromadné nasazování firemních softwarů a další.

Možné volby nastavení každé položky v GPO

alt

Konfigurace jednotlivých položek v GPO se provádí pomocí voleb:

  • Enabled – zapíná konkrétní nastavení
  • Disabled – vypíná konrétní nastavení
  • Not Configuret – výchozí hodnota, která určuje, že konkrétní nastavení není použito
  • Multi-valued – některé z nastavení např. PROXY mají specifické možnosti

Jakmile je jednou konkrétní nastavení ve stavu Enabled, není možné jej pro vypnutí vrátit na Not Configured, ale je nutné ho změnit na Disabled.

Použivání scriptů (Group Policy Scripts)

alt

Jedna z možností skupin zásad je hromadné spouštění scriptů, které můžeme dělit na:

  • scripty přihlašovací a odhlašovací (Logon/off scripts) – konfigurujete v části uživatele
  • scripty spouštěcí a vypínací (Startup/down scripts) – konfigurujete v části počítače

Samotné scripty po uložení GPO naleznete ve složce SYSVOL na DC v adresáři konkrétní GPO

Přesměrování adresářů (Folder Redirection)

alt

Pomocí GPO je možné hromadně měnit přesměrování některých adresářů, což lze využít například pokud je firmou nařízeno, že dokumenty uživatelů nesmí být uloženy lokálně, ale na síťovém úložišti, které je pravidelně zálohováno.

Seznam složek, které je možno přesměrovat pomocí GPO:

Windows XP

  • My Documents, (called Documents in Windows Vista,) including My Pictures
  • Application Data, (called AppData in Windows Vista)
  • Desktop
  • Start Menu

Windows Vista a Windows 7

  • Contacts
  • Downloads
  • Favorites
  • Searches
  • Links
  • Music
  • Video
  • Saved Games
  • Pictures

Možné volby nastavení přesměrování složek

altExistují tři možnosti nastavení přesměrování složek a to žádné(none), základní(basic), pokročilé(advanced)

Základní přesměrování složek (Basic folder redirection)

Druh

Popis
Přesměrování složky do následujícího umístění
Přesměrování složek uživatele do určeného umístění. Použijte tuto možnost pro všechny přesměrované složky, které obsahují data, která nejsou soukromá.
Vytvořit novou složku pro každého uživatele v kořenové cestě Standardně se používá po přesměrování složek dokumentů uživatele na sdílené úložiště firmy. Pro každého uživatele vytvoří vlastní adresář (docílíte použitím proměnné %username%).
Přesměrování na lokální userprofile umístění Toto nastavení přesměruje složku zpět do výchozího umístění.
Přesměrovat do domovského adresáře uživatele Toto nastavení je k dispozici pouze pro složky Dokumenty. Lze použít, pokud je nastaven domovský adresář.

Pokročilé přesměrování složek (Advanced folder redirection)

Pokud zvolíte tuto možnost, jsou složky přesměrovány na základě členství ve skupinách a zabezpečení uživatelů. Po zadání skupiny, jejíž složky chcete přesměrovat, uvidíte stejné možnosti, které jsou stanoveny pro základní přesměrování.

Zabezpečení složek pro přesměrování

altPokud ručně vytváříte sdílené složky, musíte znát správná oprávnění. V této tabulce naleznete doporučené nastavení zabezpečení.

Co jsou šablony pro správu (Administrative Templates)

altŠablony pro správu (Administrative Templates) vám umožňují ovládat prostředí operačního systému dle předem přednastavených parametrů. Šablony pro správu jsou primárně určeny pro změny chování operačního systému pomocí změn v registrech a reprezentují je soubory ADM ADMX. Existují dvě sady Šablon: jedna pro uživatele a jedna pro počítače.

Změny v šablonách pro správu

Díky novému formátu ADMX, který je založen na XML, je možné použít jakýkoliv textový editor a vlastnoručně si upravit již stávající ADMX šablonu nebo vytvořit novou. Takto vytvořenou šablonu pak stačí uložit do centrálního úložiště (Central Store) a je ihned k použití.

Skupiny zásad a Preference (Group Policy Preferences)

alt altPreference je společností Microsoft koupená technologie, kterou začlenila do skupin zásad a která celkově rozšiřuje její možnosti. Též zcela nově nahrazuje WMI filtry,  nově tedy máte možnost zcela komfortně definovat podmínky bez jakýchkoliv znalostí.

Možné volby nastavení každé položky v GPO Preferencí

altu GPO preferencí máme tyto možnosti:

  • Create – vytvoření nové položky
  • Delete – vymazání položky
  • Replace – vymaže a nově vytvoří položku
  • Update – upraví položku
dále můžete:
  • Apply once and do not reapply – použije pouze jednou a dále již nastavení nenutí
  • Item-level targeting – nahrazení WMI filtrů

Možnost používání GPO Preferenci

alt

Preference jsou od Windows server 2008, XP SP3 a Vista SP1 automaticky obsaženy. Pokud chcete aplikovat nastavení preferencí na nižším operačním systému. je zapotřebí nejprve doinstalovat client-side extension (CSE).

Distribuce softwaru pomocí skupin zásad (Deploying Software by Group Policy)

alt

 

Pomocí GPO lze hromadně instalovat software, můžete tak např. nainstalovat Office na všechny počítače najednou. Samotná distribuce se pak dělí na čtyři fáze:

  1. Preparation (Připravení instalačního balíčku)
  2. Deployment (Instalování balíčku)
  3. Maintenance (Aktualizace a úpravy)
  4. Removal (Odinstalování)

Jak distribuce instalačních balíčků funguje?

alt

  • pro vytvoření lze použít pouze MSI balíčky
  • založeno na službě Windows Instaler

Metody distribuce

altJsou dvě metody distribuce:

  • Assigning – Software není instalován, pouze se u uživatele vytvoří ikona, která umožní po spuštění software automaticky nainstalovat.
  • Publishing – Software je automaticky nainstalován. Po dokončení se zobrazí v Ovladacích Panelech – Přidat odebrat programy

Volba Publishing je dostupná jen v sekci Uživatelé

Volby modifikace před distribucí

altPřed samotnou distribucí je možné instalační balíček modifikovat:

  • Kategorizace (Categories) – lze definovat kategorie, aby bylo možné balíčky třídit
  • Asociace přípon (Associating file extensions) – lze předem definovat jaké přípony soubory budou automaticky spuštěny nově nainstalovaným SW
  • Modifikace samotné aplikace (Modifying applications) – pomocí *.mst (customizace) a *.msp (modifikace) lze předem instalační balíčky upravit

Úpravy instalačních balíčku

alt

Pokud potřebujete upravit instalační balíček (aktualizace, atd.), máme tyto možnosti:

  • Mandatory upgrades – tyto aktualizace automaticky odeberou předchozí verzi a nahradí verzí novou. Samotná instalace tedy může vyžadovat až dvoje přihlášení
  • Optional upgrades – tyto aktualizace umožní uživateli se rozhodnout, zda chce přejít na novou verzi, nebo nadále pracovat s původní verzí
  • Redeployment – znovunainstalování

Při odebírání balíčků jsou pak tyto možnosti:

  • Forced removal – odebere SW při dalším přihlášení
  • Optional removal – neodebere SW při dalším přihlášení a umožní tak uživateli se rozhodnout, zda sw dále používat, či ho odebrat

Komentáře