Group Policy Administrative Templates ve Windows Server

Počítám, že Group Policy (skupinové politiky či zásady skupin) zná každý správce stanic na platformě Microsoft, a více či méně je i používá.

Autor: Petr Bouška

V tomto článku se nebudeme věnovat popisu Group Policy, či vyzdvihování výhod jejich použití. Ale podívám se podrobněji na jejich velkou část, což jsou Administrative Templates (administrativní šablony). V této oblasti došlo k docela výrazné změně s příchodem Windows Server 2008. To už je docela dlouhá doba, takže velké množství firem má Windows Server 2008 nasazený a může tudíž těžit z výhod. Článek vychází z praktických zkušeností a odkazuje na anglické prostředí, což doufám uživatelům českých verzí nebude vadit.

Na Windows Server 2008 máme Group Policy a Group Policy Preferences (další užitečná novinka), ty se skládají ze dvou hlavních částí, konfigurace počítače (Computer Configuration) a konfigurace uživatele (User Configuration). Obě části mají rozdílné jednotlivé položky (možnosti nastavení), ale mají společné kategorie. To je pro Group Policy Software Settings, Windows Settings a Administrative Templates. První dvě jsou pevně dány, kdežto Administrative Templates se načítají z konfiguračních souborů a můžeme je i sami rozšiřovat. Všechna nastavení, která Administrative Templates nabízí, se realizují změnou registrů. Většinou se jedná o speciální cestu v registrech, pro kterou je nativní podpora v klientských i serverových OS.

Soubory Administrative Templates

Administrative Templates soubory (máme ADM a ADMX svázané s ADML, když budu mluvit obecně, budu říkat ADM/ADMX soubory), obsahují šablony, které dovolí konfigurovat nějakou vlastnost pomocí změn v registrech. Když vytvářím Group Policy Object (GPO, jednoduše politiku) pomocí Group Policy Object Editor (GPOE) či Group Policy Management Console, tedy Group Policy Management Editor (GPME), tak se ADM/ADMX soubory načtou a v editoru se zobrazí určité položky. Když nějakou položku změním, tak se uvnitř politiky uloží do souboru registry.pol. Ten se pak aplikuje na počítače/uživatele. Šablony jsou potřeba pouze pro vytváření politiky, ale ne již pro vlastní aplikaci na klientovi.

Základní ADM/ADMX soubory se distribuují spolu s operačním systémem. ADM/ADMX soubory v sobě obsahují nejen nastavení pro aktuální OS, ale pro všechny platformy podporované v dané době (to znamená, že na Windows XP máme i informace k serverovým nebo starším OS). Také nové defaultní ADMX soubory obsahují vše, co bylo ve standardních ADM souborech.

Na webu Microsoft můžeme stáhnout různé rozšiřující ADM/ADMX soubory, například pro MS Office. Případně i ty ADM/ADMX soubory, které jsou součástí různých verzí Windows. Není ani problém si vytvořit vlastní ADM/ADMX soubor s nějakým nastavením.

 gp1.gif

Soubor ADM

Původní formát souborů pro šablony od Windows 2000 po 2003/XP. Jedná se o textový soubor, který je jazykově závislý (pro každý jazyk máme nový soubor stejného názvu, takže konfigurace politiky se může provádět pouze v jednom jazyce). ADM soubory můžeme použít i v novějších verzích OS (Windows 7), ale standardní soubory, distribuované s OS, jsou již pouze ADMX a tyto soubory mají přednost před ADM.

Pokud používáme ADM soubory při vytváření politiky, tak se tyto soubory ukládají do vytvořené politiky (do Sysvol adresáře v doméně). Takže politika má velikost několik MB místo pár kB.

Soubor ADMX

Jedná se o náhradu ADM souborů, která přišla s Windows Vista a Windows Server 2008. ADMX je soubor v XML formátu, který je jazykově neutrální. K určitému ADMX souboru potřebujeme odpovídající ADML soubor. Tím je podporována multijazyčnost (více správců může editovat jednu politiku, každý v jiném jazyce). ADMX/ADML soubory se navíc neukládají do vlastní politiky, takže ta je výrazně menší. Volitelně můžeme použít Central Store (více dále).

Soubor ADML

Doplněk ADMX souboru, který obsahuje jazykové informace (texty pro politiku v určitém jazyce). Ve složce s ADMX soubory se vytváří podadresáře pro určité jazyky (jako en-US, cs-CZ či de-DE) a do nich se ukládají ADML soubory se stejným názvem jako ADMX.

Načítání ADM/ADMX souborů

ADMX soubory

V administračních nástrojích (GPOE, GPME) se ADMX soubory automaticky hledají ve dvou cestách. V Central Store, tedy síťovém úložišti v doméně, jehož adresa je \\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions (FQND - Fully Qualified Domain Name). Pokud se zde nenalezne, tak se hledá v lokálním úložišti v c:\Windows\PolicyDefinitions. Pokud Central Store existuje a je dostupný, tak se lokální soubory nepoužijí.

Vytvoření Central Store

Pokud chceme vytvořit Central Store, tak stačí založit daný adresář na jednom doménovém řadiči (provede se replikace na ostatní) a zkopírovat do něj ADMX a ADML soubory například z Windows Server 2008 R2. Vždy je potřeba udržovat nejnovější verzi těchto souborů, aby obsahoval všechna nastavení (například po instalaci Service Pack). V současnosti nejnovější verze je pro Windows Server 2008 R2/Windows 7.

ADM soubory

Naproti tomu ADM soubory jsou standardně (pokud je máme v systému) uloženy v c:\Windows\inf. Při vytváření politiky (ve Windows, kde ještě nejsou ADMX) se načítají některé defaultní a můžeme je ručně přidávat nebo ubírat. Klikneme pravým tlačítkem na Administrative Templates v editoru a zvolíme Add/Remove Templates. Defaultní ADM soubory jsou conf.adm, inetres.adm, system.adm, wmplayer.adm, wuau.adm. Těchto 5 souborů má dohromady skoro 4 MB a vkládají se do každé vytvořené politiky.

Pozn.: Pokud používáme systém s ADMX soubory, tak můžeme stále přidat ADM soubory, ty se zobrazí pod skupinou Classic Administrative Templates (ADM).

gp2.gif

Uložení GPO

Politiky (GPO) se v doméně ukládají (na doménové řadiče) do cesty \\FQDN\SYSVOL\FQDN\policies. Zde je adresář pro každou politiku, který má název {GPO GUID} (ID politiky v závorkách). Pokud je to politika vytvořená pomocí ADM souboru, tak se zde nachází podadresář Adm, který obsahuje všechny ADM soubory, které byly při vytváření přidány. Takže je odsud můžeme i zkopírovat, pokud je potřebujeme. Ale určitě je efektivnější používat nové ADMX soubory uložené v Central Store (jednotlivé politiky jsou pak mnohem menší), to znamená vytvářet a spravovat politiky v nových verzích Windows.

Převod politiky s ADM soubory na novou

Jak jsme řekli, je lepší vytvářet nové politiky v novějších verzích OS (třeba Windows 7) a v nich provádět i jejich správu (nové položky bychom ve starších OS neviděli a rovnou by se do GPO přidali ADM soubory). Staré politiky můžeme editovat v nových OS, ale tím se ADM soubory neodstraní (i když pokud nejsou speciální, tak je ani při editaci nevyužijeme – pokud existuje odpovídající ADMX, tak se použije ten).

Čistým řešením, jak se zbavit ADM souborů, je vytvořit GPO znovu. Lákala by možnost importovat nastavení ze staré politiky do nové, bohužel při importu se vloží i ADM soubory. Přesto se někdy možnost importu může hodit, ta zkopíruje nastavení (a pouze to, ne práva, delegaci apod.) ze zazálohované politiky. Zálohu můžeme provést jako jeden krok průvodce. Import provedeme pomocí Group Policy Management Console, proklikáme se na Group Policy Objects a klikneme pravým tlačítkem na politiku, do které chceme importovat nastavení. Z menu zvolíme Import Settings a projdeme průvodce.

Pozn.: Zálohu všech politik můžeme provést tak, že klikneme pravým tlačítkem na Group Policy Objects v Group Policy Management Console a zvolíme Back Up All.

Možností, jak odstranit ADM soubory z GPO, je otevřít politiku v novém OS. Následně kliknout pravým tlačítkem na Administrative Templates a zvolit Add/Remove Templates a odstranit všechny připojené soubory. Když se pak podíváme do adresáře politiky, tak je adresář Adm prázdný. A když se podíváme na politiku, třeba v Group Policy Management Console, vidíme, že nastavení zůstalo.

Konverze ADM souboru do ADMX

Pro převod starých ADM šablon na nové ADMX můžeme použít nástroj ADMX Migrator . Ten můžeme využít i k editaci ADMX souboru nebo k vytvoření nového.

Vyhledávání v Administrative Templates

V minulosti byl vždy velký problém cokoliv v nastavení politik nalézt. Položek je zde několik tisíc a chyběla základní možnost vyhledávání. Dnes máme naštěstí k dispozici dvě pomocné operace, zobrazení všech položek na jednom místě a filtrování.

gp3.gif

Všechna nastavení

Nově je v administračních nástrojích pro editaci GPO (GPOE, GPME), pod položkou Administrative Templates, k dispozici složka All Settings, která obsahuje všechna nastavení ze všech načtených ADMX souborů. Takže můžeme vyhledávat položky podle jména.

Filtrování Administrative Templates

Druhou novinkou editovacích nástrojů, je možnost filtrování nastavení z ADMX souborů. Když klikneme pravým tlačítkem na Administrative Templates nebo nějakou podsložku, tak máme v kontextovém menu k dispozici položky Filter On a Filter Options.

Když zvolíme Filter Options, tak se zobrazí dialog, kde můžeme zadat parametry filtrování. Můžeme si vypsat položky, které jsou nastavené (Configured), u kterých je komentář (Commented), které jsou určeny pro určitou platformu (Requirements Filters). A asi hlavní je filtrování podle klíčových slov (Keyword Filters), kde zadáme jedno nebo více slov a určíme jeho výskyt v názvu politiky, popisu či komentáři. Po kliknutí na OK se rovnou filtrování zapne (Filter On).

Pozn.: POZOR. Pokud zadáte klíčové slovo a nedostanete žádný výsledek, tak to může být způsobeno bugem v MS nástrojích. Je potřeba přepnout klávesnici na anglickou a znovu zadat parametry filtrování (Filter Options). 

gp1.gif


Sledujte Živě na Facebooku

celkem 2

Poslední názory Názory

Mám 2003 servery a spíše bych potřeboval migrátor... zagorj 15.  5.  2012 8:34
jo, tak tomuhle rikam clanek hodny Zive. Good job. Zdeněk Malčánek 16.  2.  2011 19:03
Můj názor Zobrazit vše


Další podobné články

Microsoft chce pohánět města budoucnosti, včetně Prahy

Microsoft chce pohánět města budoucnosti, včetně Prahy

Microsoft před rokem spustil program CityNext. Na základě shromažďování a analyzování velkých dat tak chce modernizovat světové metropole. Program se dostane i do jeho inovačních center.

Před 6 hodinami  |  Sedlák Jan  |  7

Jak chránit děti před temnou stránkou internetu

Jak chránit děti před temnou stránkou internetu

Internet je plný zajímavých informací a zábavy, má ale i své stinné stránky. Poradíme vám, jak ochránit svoje děti před nebezpečím internetového světa.

Před 17 hodinami  |  Reichman Martin  |  10

Nejlepší služby pro záznam a analýzu sportovních výkonů

Nejlepší služby pro záznam a analýzu sportovních výkonů

Když je čas vyrazit za sportem, správný ajťák využije některé ze služeb pro záznam sportovních výkonu, ať má potřebný elektronický výstup ze svého běhání. Zde najdete ty nejvyužívanější.

20.  7.  2014  |  Kupka Lukáš  |  10

Onedrive už nabízí 15 GB prostoru v cloudu zdarma

Onedrive už nabízí 15 GB prostoru v cloudu zdarma

18.  7.  2014  |  Polesný David  |  12
Do nitra zákeřného spamu: co skrývá exekuční příkaz?

Do nitra zákeřného spamu: co skrývá exekuční příkaz?

Nebezpečný spam míří na klienty čtyř českých bank. Jak přesně funguje, jak modifikuje stránky banky a jak obejde SMS autorizaci plateb? Podívejte se na rozbor od odborníků.

18.  7.  2014  |  Polesný David  |  13

Microsoft propustí 18 000 zaměstnanců, většinou z Nokie

Microsoft propustí 18 000 zaměstnanců, většinou z Nokie

17.  7.  2014  |  Holčík Tomáš  |  8
Dělat cloudový byznys s Microsoftem začíná být nutnost

Dělat cloudový byznys s Microsoftem začíná být nutnost

Microsoft, stejně jakom mnohé další firmy, vidí svojí budoucnost v cloudu. I ten v drtivé většině prodává skrze své partnery. Pro ně se cloud stává nutností pro další fungování.

17.  7.  2014  |  Sedlák Jan  |  18


DEJTE NÁM TIP NA ČLÁNEK



Aktuální číslo časopisu Computer
  • Testy nejnovějších produktů na českém trhu.
  • Informace ze světa internetu i bezpečnosti.
  • Plné verze programů zdarma pro všechny čtenáře.

Partnerská sekce pro IT profesionály
Microsoft TechNet/MSDN