Změny v group policy ve windows Vista

Dobrý den,
předně bych se rád omluvil za dvojité vystavení tohoto blogu, šotek zapracoval a včera se vystavila nedokončená verze :) tady je tedy již finální. 

Dnes bych rád shrnul změny které nastaly v Group policy a také vylepšení toho co tu již bylo.

Group policy client
Služba systému, která se stará o aplikaci Group Policy. Aplikace tedy byla vyjmuta z winlogon procesu, což umožňuje aplikaci computer policy bez restartu počítače. Výhodou tady je, že se Group Policy neaplikuje jen při startu systému, či přihlášení uživatele, ale v pravidelných intervalech dochází k aplikaci jak uživatelské, tak i PC politiky. Navíc se služba nedá zastavit, běží v kontextu svchost.
Dojde například i k automatické aplikaci Group Policy při detekci změny síťového připojení. Bohatší je i logování do event vieweru, nově do system logu, zdroj Microsoft-Windows-GroupPolicy.

ADMX formát šablon a centrální úložiště pro šablony
Pro politiky od Visty dále, tím pádem i pro Longhorn server, jsou šablony ve formátu ADMX (XML formát). Vista, akceptuje nastavení v GPO pomocí adm i admx šablon, starší systémy si však budou i nadále všímat jen nastavení provedené šablonami ve formátu adm (Windows 2000, Windows XP, Windows Server 2003). Nicméně všechny nastavení, které doteď znáte jsou dostupné i GP editoru (gpmc) ve Vistě.
ADMX šablony se ukládají do centrálního úožiště pod share SYSVOL, nejsou již součástí vytvořené GPO a zanořené v souborové stuktuře, což umožňuje lepší přehled a automatické načtení šablon do Group Policy editoru (načítají se lokální a centrálně uložené šablony). Smysl centrálního úložiště je ulevit adresáři SYSVOL a šablony ukládat lokálně v jednom adresáři, doteď jsou totiž adm šablony kopírovány do každé politiky, což je v praxi = počet politik x 4MB.
Centrální úložiště ale není vytvořeno automaticky, respektive bude s Longhorn AD, a je nutné ho tedy vytvořit ručně. Což znamená vytvoření adresářové struktury \domain\policies\PolicyDefinitions v share SYSVOL a nakopírování admx šablon (celkem 130) z Vista workstation do tohoto adresáře.Celý proces je popsán v této sekci na TECHNETu věnující se ADMX šablonám: https://technet2.microsoft.com/WindowsVista/en/library/02633470-396c-4e34-971a-0c5b090dc4fd1033.mspx?mfr=true . Počítá se i s oddělením jazykově nezávislých nastavení od těch co jsou vázana na specifické jazykové prostředí klientského PC. V ADMX šabloně pak je odkaz na adresář kde je uložen jazykově specifický obsah politiky, soubor ADML. je možné editovat jen z windows Vista či serveru Longhorn pro které jsou určeny.
Výhody jsou tedy zřejmé, ušetření místa na SYSVOL, centrální uložení šablon pro použití v politikách, podpora různých jazykových verzí OS bez nutnosti vytvářet jednotlivé politiky.
Je třeba ale upozornit, že pro editaci GPO a využití těchto vylepšení je nutné použít GPMC z windows Vista či serveru Longhorn. Editace s použitím starší verze GPMC, či Group Policy editoru nakopíruje do adresáře politiky opět adm soubory. Je také třeba říci, že i při použití těchto vylepšení jsou starší OS podporovány, není třeba vytvářet dvoje politiky.

ADMX migrator
To už tu jednou bylo, jen připomínám že pro migraci vašich vlastně vytvořených adm souborů do admx verze můžete použít nástroj ADMX migrator https://www.microsoft.com/downloads/details.aspx?FamilyId=0F1EEC3D-10C4-4B5F-9625-97C2F731090C&displaylang=en , který je ještě ke všemu zdarma.

Delegace instalace ovladačů tiskáren uživatelům a automatická instalace tiskáren
Administátor má možnost specifikovat ovladače tiskáren které uživatel může instalovat i bez vyšších oprávnění, tedy v kontextu služby group policy. Také je možné, uživateli přiřadit a nainstalovat tiskárnu na základě příslušenství lokální stanice v AD site.

Několik lokálních GPO
Pokud administrujete protředí s dosti striktními politikami, zakazujícími uživateli prakticky cokoli a sami jste coby administrátor potřebovali na takovéto stanici něco změnit, měli jste doteď problém. Platí například pro různé kioskové počítače, počítače v knihovnách, na veřejných místech apod. Lokální group policy jaksi nerozlišovala zda-li jste administrátor či uživatel s omezenými možnostmi. Windows Vista standardně podporuje několik lokálních politik a rozlišuje administrátory, všechny ostatní (non-administrators) a případné explicitně specifikované uživatele. Lokální politiky jsou aplikovány v tomto pořadí: lokální Group Policy, Administrators či Non-Administrators Local Group Policy objekty, a nakonec politiky na specifikovaného uživatele (volitelné).Nastavení se týká jen user settings.

takto upravíte tyto politiky:
spuštění mmc konzole a přidání snap-in Group Policy

..a následně kliknout na tlačítko browse

takto to vypadá po přidáni lokálních objektů

Povolení či zakázání instalace zařízení
Lze také spravovat instalace USB zařízení a zamezit tak instalaci různých zařízení a snížit tak riziko bezpečnostních hrozeb, či neoprávněných změn konfigurace uživatelem.
jak na to je popsáno v tomto článku: https://www.microsoft.com/technet/windowsvista/library/9fe5bf05-a4a9-44e2-a0c3-b4b4eaaa37f3.mspx

Nastavení napájení
Podle studie jedné renomované společnosti rostou náklady na napájení IT techniky takovým tempem, že v roce 2010 se prakticky vyrovnají nákladům na pořízení techniky. Ať tak či tak, windows Vista je ke spotřebě energie šetrnější a standardně aplikuje šablonu Balanced (nevím český ekvivalent). Což má za následek, že Vista kontroluje výkon PC a dá vám to co právě potřebujete. Aplikace nastavení napájení je nyní poměrně podrobné.

Závěr 
Počet nových nastavení v Group Policy se počítá na stovky. A věřím, že srdce mnohého administrátora potěší nové možnosti nastavení. Celkový přehled nastavení je v tomto xls sešitu :Group Policy reference spreadsheet: https://www.microsoft.com/downloads/details.aspx?FamilyID=41dc179b-3328-4350-ade1-c0d9289f09ef&DisplayLang=en 

- Roman Černovský