Správa skriptů a nastavení pomocí Editoru místních zásad skupiny (gpedit.msc)

By /

Editor místních zásad skupiny (Local Group Policy Editor) je klíčovým nástrojem pro správu nastavení a automatizaci úloh v operačních systémech Windows. Tento nástroj, dostupný v edicích Pro, Enterprise a Education, umožňuje administrátorům i pokročilým uživatelům detailně konfigurovat chování systému a aplikací.

Základní principy Editoru místních zásad skupiny

Editor místních zásad skupiny je MMC (Microsoft Management Console) snap-in, který poskytuje grafické rozhraní pro správu Zásad skupiny. Zásady se dělí na dvě hlavní kategorie:

  • Konfigurace počítače (Computer Configuration): Tato nastavení se aplikují na celý počítač bez ohledu na to, který uživatel je přihlášen.
  • Konfigurace uživatele (User Configuration): Tato nastavení se aplikují na jednotlivé uživatele.

Rozhraní Editoru místních zásad skupiny

Šablony pro správu a jejich využití

Šablony pro správu (Administrative Templates) umožňují ovládat prostředí operačního systému pomocí přednastavených parametrů. Tyto šablony, reprezentované soubory ADM, ADMX a ADML, primárně slouží ke změnám v registrech. Novější formát ADMX, založený na XML, umožňuje snadnou úpravu stávajících nebo tvorbu nových šablon pomocí textového editoru.

Pro správu nastavení aplikací Microsoft Office, včetně Outlooku, je nutné stáhnout a nainstalovat odpovídající šablony. Tyto šablony lze zkopírovat do centrálního úložiště v doméně (\\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions) nebo lokálně (c:\Windows\PolicyDefinitions).

Struktura složky PolicyDefinitions pro ADMX šablony

Group Policy Preferences (GPP)

Group Policy Preferences (GPP) představují technologii zakoupenou společností Microsoft, která rozšiřuje možnosti Zásad skupiny. GPP jsou dostupné od Windows Server 2008, Windows XP SP3 a Windows Vista SP1. Na starších operačních systémech je možné tato nastavení aplikovat pomocí Group Policy Preference Client Side Extensions (CSE).

Rozdílný způsob aplikace je klíčovou vlastností GPP. Zatímco standardní zásady jsou vynuceny a nelze je na stanici změnit, preference mohou být uživateli upravitelné. Po uplynutí intervalu obnovení zásad (defaultně 90 minut) se však preference automaticky přenastaví, nebo je možné zvolit možnost "Apply once and do not reapply" (Použít jednou a znovu nepřevzorkovat).

Další pokročilou funkcí je "Item-level targeting", která umožňuje detailně definovat, na které počítače nebo uživatele se má daná GPP uplatnit. Podmínky mohou zahrnovat MAC adresu, LDAP dotaz, WMI, volné místo na disku a další.

Na rozdíl od standardních zásad, kde se nastavení odstraní, pokud počítač/uživatel přestane spadat do rozsahu aplikace, GPP ve výchozím nastavení ponechávají hodnoty nastavené. Toto chování lze změnit zaškrtnutím volby "Remove this item when it is no longer applied" (Odstranit tuto položku, když již není aplikována).

Využití skriptů v Zásadách skupiny

Jedním z nejdůležitějších využití Zásad skupiny je spouštění skriptů při specifických událostech, jako je přihlášení/odhlášení uživatele nebo spuštění/vypnutí systému. Skripty mohou být napsány v různých nástrojích, od jednoduchých textových souborů po pokročilé PowerShell skripty.

Typy skriptů v Zásadách skupiny:

  • Přihlašovací/Odhlášovací skripty (Logon/Logoff scripts): Tyto skripty se spouštějí při přihlášení nebo odhlášení uživatele. Jsou aplikovány na uživatelské účty.
  • Spouštěcí/Vypínací skripty (Startup/Shutdown scripts): Tyto skripty se spouštějí při spuštění nebo vypnutí počítače. Jsou aplikovány na účty počítačů.

Nastavení spouštěcích skriptů v Editoru místních zásad skupiny

Konfigurace skriptů pomocí GPO

Konfigurace skriptů pomocí Zásad skupiny zahrnuje několik kroků:

  1. Výběr nástroje pro skriptování: Pro jednoduché skripty lze použít Poznámkový blok, pro pokročilejší automatizaci je vhodný PowerShell.
  2. Uložení skriptu: Skript uložte do složky na serveru Windows, která je přístupná systému nebo uživatelům.
  3. Úprava GPO: V Editoru místních zásad skupiny klikněte pravým tlačítkem na nově vytvořenou GPO a vyberte "Edit".
  4. Přiřazení skriptu: V sekci "Computer Configuration" nebo "User Configuration" najděte odpovídající kategorii skriptů (Startup/Shutdown nebo Logon/Logoff) a přiřaďte svůj skript.

Pro starší systémy, které nepodporují záložku "PowerShell Scripts", je možné vytvořit soubor .cmd, který bude volat PowerShell skript.

Je důležité zabránit zbytečnému opakovanému spouštění skriptu. Toho lze dosáhnout zápisem hodnoty (např. datum) do registrů na začátku skriptu a porovnáním s aktuálním stavem. Pokud nedošlo ke změně souboru, provedení skriptu se ukončí.

Pokročilé nastavení PowerShellu pomocí Zásad skupiny

Nástroje Zásad skupiny umožňují detailně konfigurovat prostředí PowerShellu.

  • Použít nastavení zásad prostředí Windows PowerShell: Tato nastavení definují koncový bod konfigurace, ve kterém běží PowerShell.
  • Zapnout protokolování modulů: Umožňuje protokolování pro vybrané moduly PowerShellu.
  • Zapnout protokolování bloků skriptů PowerShellu: Protokoluje veškerý vstup skriptů PowerShellu do protokolu událostí Microsoft-Windows-PowerShell/Operational.
  • Zapnout spouštění skriptů: Nastavuje zásady spouštění pro počítače a uživatele (např. povolení pouze podepsaných skriptů, povolení místních skriptů a vzdáleně podepsaných skriptů, nebo povolení spouštění všech skriptů).
  • Zapnout přepis PowerShellu: Umožňuje zachytit vstup a výstup příkazů PowerShellu do textových přepisů.

Nastavení zásad spouštění skriptů PowerShellu

Příklady využití GPP

Group Policy Preferences nabízejí řešení pro běžné administrační úlohy:

Mapování síťových disků

Dříve se pro mapování síťových disků používaly přihlašovací skripty. S GPP lze tuto úlohu řešit efektivněji. Hesla jsou v GPP šifrována pomocí 256bitové AES enkrypce, což zajišťuje vyšší bezpečnost.

Konfigurace Outlooku

Pomocí Zásad skupiny lze řídit řadu vlastností aplikace Outlook, například nastavení formátu zpráv na HTML. Pokud nelze nastavení provést pomocí šablon, lze jej provést přímým zápisem do registrů pomocí GPP. Pro složitější konfigurace, jako je nastavení sdílení kalendáře nebo firemních podpisů, je často nutné použít PowerShell skripty spouštěné pod uživatelem.

Nastavení formátu zpráv v Outlooku pomocí GPO

Pro automatizaci nastavení podpisu v Outlooku na základě informací z Active Directory lze využít PowerShell skripty. Tyto skripty lze spouštět jako přihlašovací skripty pomocí GPO. Pro zajištění, aby se skript nespouštěl zbytečně, je vhodné na začátku skriptu kontrolovat datum poslední změny.

Jak vytvořit a propojit objekt skupinových zásad ve službě Active Directory

Editor místních zásad skupiny je mocný nástroj pro správu a konfiguraci nastavení Windows. Jeho znalost a správné využití může významně zefektivnit správu systému a zvýšit bezpečnost.

tags: #gpedit #skripty #prihlaseni #format

Oblíbené příspěvky:

  • Informace o ISIC FFU kartách
  • Kariéra na VŠR
  • Průvodce FSV UK Jinonice
  • Filip Tvrdý a jeho práce
  • Erbenův sběr pohádek