Exportovat (0) Tisk
Rozbalit vše
Expand Minimize

Výsledná sada zásad (RSoP)

K čemu slouží modul Výsledná sada zásad?

Výsledná sada zásad (RSoP) modulu Zásady skupiny podává zprávy o nastavení zásad skupiny použitých pro uživatele nebo počítač. Výsledky zásad skupiny v Konzole pro správu zásad skupiny (GPMC) vyžadují data modulu RSoP z cílového počítače a zobrazují je ve zprávě ve formátu HTML. Modelování zásad skupiny vyžaduje stejný typ informací, ale reportovaná data pocházejí ze služby simulující modul RSoP pro kombinaci počítače a uživatele. Tato simulace se provádí v řadiči domény se systémem Windows Server 2003 a poté se vrací pro prezentaci do počítače se spuštěnou konzolou GPMC. Modul RSoP v konzole MMC (Microsoft Management Console) nakonec poskytuje alternativní způsob zobrazení těchto informací, upřednostňovanou metodou však jsou výsledky zásad skupiny.

Koho se tato funkce týká?

Správců zásad skupiny v prostředí domény služby Active Directory. Také odborník v oblasti IT, který potřebuje naplánovat nebo ověřit aplikaci zásad skupiny, může mít zájem o modul RSoP.

Jaké stávající funkce se změnily v aktualizaci Service Pack 1 systému Windows Server 2003?

Použití modulu RSoP s povolenou Bránou firewall systému Windows

Podrobný popis

V systému Windows XP Service Pack 2 (SP2) je ve výchozím nastavení Brána firewall systému Windows povolena. Příchozí požadavky směřující na neotevřené porty – na rozdíl od odpovědí na požadavky pocházející z počítače – jsou Bránou firewall systému Windows blokovány. V systému Windows Server 2003 s aktualizací Service Pack 1 (SP1) není ve výchozím nastavení Brána firewall systému Windows povolena.

Jestliže se rozhodnete používat Bránu firewall systému Windows, měli byste zvážit vliv jejího použití na modul RSoP v síti.

Další informace o Bráně firewall systému Windows naleznete v části Brána firewall systému Windows v tomto dokumentu.

Proč je tato změna důležitá?

Povolení brány firewall, například Brány firewall systému Windows, poskytuje větší ochranu před mnohými útoky ze sítě. Pokud by Brána firewall systému Windows byla bývala povolena, byl by dopad nedávného útoku viru MSBlaster značně redukován, bez ohledu na to, zda by uživatelé používali aktuální opravy.

Co funguje jinak?

V systému Windows Server 2003 SP1 existují dvě důležité změny modulu RSoP.

  • Po instalaci Brány firewall systému Windows do počítače již nebude fungovat vzdálený přístup k datům RSoP z tohoto cílového počítače.
  • Jestliže je Brána firewall systému Windows povolena, po spuštění konzoly GPMC za účelem získání dat RSoP pomocí výsledků zásad skupiny nebo modelování zásad skupiny nebude možné tato data získat.

Jak tyto problémy vyřešit?

V následující tabulce jsou shrnuty změny nezbytné pro plnou podporu vzdálených úloh RSoP v systémech Windows XP s aktualizací SP2 a Windows Server 2003 s aktualizací SP1 s povolenou Bránou firewall systému Windows. Další informace naleznete v následujících částech.

 

Úkol Cílový počítač Počítač pro správu

Generování výsledků zásad skupiny

Povolte nastavení zásad skupiny Brána firewall systému Windows: Povolit výjimky pro vzdálenou správu.

Toto nastavení zásad skupiny je umístěno ve složce Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows\Profil domény | Standardní profil\.

Konzola GPMC s aktualizací SP1

Není nutné provádět žádnou akci.

Modul snap-in RSoP

Povolte nastavení Brána firewall systému Windows: Nastavit výjimky programů. Nastavte seznam výjimek programů s úplnou cestou k souboru Unsecapp.exe tak, aby bylo možné přenášet zprávy služby WMI. Ve výchozí instalaci je soubor Unsecapp.exe umístěn ve složce C:\Windows\System32\Wbem.

Povolte nastavení Brána firewall systému Windows: Nastavit výjimky portů, čímž otevřete port 135.

Delegování přístupu k výsledkům zásad skupiny

Povolte nastavení zásad skupiny Brána firewall systému Windows: Povolit výjimky pro vzdálenou správu.

Nakonfigurujte následující nastavení zabezpečení modelu DCOM:

DCOM: Omezení přístupu pro počítač...

DCOM: Omezení spouštění pro počítač...

Toto nastavení zásady je umístěno ve složce Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení.

Žádné změny nejsou nutné.

Vzdálená úprava místního objektu zásad skupiny

Povolte nastavení zásad skupiny Brána firewall systému Windows: Povolit výjimku pro sdílení souborů a tiskáren.

Nastavení zásady je umístěno ve složce Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows\Profil domény | Standardní profil\.

Žádné změny nejsou nutné.

Správa vzdáleného modulu RSoP pomocí konzoly GPMC s aktualizací SP1

Původní verze konzoly GPMC používala při čekání na výsledky požadavků výsledků zásad skupiny a modelování zásad skupiny mechanismus zpětného volání. Počítač pro správu musí naslouchat těmto odpovědím. Jestliže je Brána firewall systému Windows povolena, systém Windows tyto odpovědi zablokuje. Pomocí aktualizované konzoly GPMC (Group Policy Management Console) s aktualizací Service Pack 1 je možné používání mechanismu zpětného volání úplně odebrat, přestože tento problém lze vyřešit otevřením příslušných portů. Doporučujeme nainstalovat konzolu GPMC s aktualizací Windows Server 2003 Service Pack 1, protože umožňuje funkcím Výsledky zásad skupiny a Modelování zásad skupiny pokračovat v práci bez nutnosti otevření portů v počítači pro správu. Chcete-li konzolu GPMC nainstalovat s aktualizací Windows Server 2003 Service Pack 1, vyhledejte téma Group Policy Management Console with Service Pack 1 (Konzola pro správu zásad skupiny s aktualizací Service Pack 1) ve službě Stažení softwaru na adrese http://go.microsoft.com/fwlink/?LinkId=23529.

Pro vzdálenou správu modulu RSoP musíte v cílových počítačích povolit nastavení zásad skupiny Brána firewall systému Windows: Povolit výjimky pro vzdálenou správu.

Správa vzdáleného modulu RSoP pomocí modulu snap-in RSoP konzoly MMC

Jestliže chcete vzdáleně spravovat modul RSoP pomocí modulu snap-in Výsledná sada zásad konzoly MMC, cílový počítač musí naslouchat na příslušných síťových portech, aby zajistil obsluhu příchozích požadavků modulu RSoP. To lze provést prostřednictvím následujícího nastavení zásad v zásadách skupiny:

  • Povolte nastavení zásad skupiny Brána firewall systému Windows: Nastavit výjimky programů, aby byl povolen soubor Unsecapp.exe. Je nutné zadat úplnou cestu k souboru Unsecapp.exe.
  • Povolte nastavení zásad skupiny Brána firewall systému Windows: Nastavit výjimky portů a otevřete port 135. Klepněte na tlačítko Zobrazit a zadejte text 135:TCP:*:Enabled:135.
CautionUpozornění
Povolení nastavení zásad skupiny Brána firewall systému Windows: Nastavit výjimky portů může také povolit přijímání nechtěných dat na tomto portu. Nezapomeňte důkladně zkontrolovat toto nastavení zásad skupiny předtím, než ho povolíte v daném prostředí. Povolení tohoto nastavení zásad není nutné v případě, že nastavení zásad skupiny Brána firewall systému Windows: Povolit výjimku pro vzdálenou správu je povoleno v počítači pro správu.

Delegování přístupu k výsledkům zásad skupiny

Ve výchozím nastavením mohou být výsledky zásad skupiny a modul snap-in RSoP použity vzdáleně pouze v případě, že osoba, která požadavek odeslala, je místním správcem v cílovém počítači. V systému Windows Server 2003 je k dispozici model delegování, který umožňuje, aby toto oprávnění bylo přiděleno uživatelům, kteří nejsou členy skupiny Administrators v cílovém počítači. Toto je obvyklý scénář pro pracovníky oddělení odborné pomoci, kteří požadují přístup do počítačů, aniž by v těchto počítačích byli členy skupiny Administrators.

Model zabezpečení ověřování modelu DCOM (který modul RSoP využívá) byl v aktualizacích Windows XP Service Pack 2 a Windows Server 2003 Service Pack 1 posílen. Toto posílení zabraňuje načítání informací modulu RSoP v cílovém počítači uživateli, kteří nejsou správci, i když bylo delegování modulu RSoP nastaveno správně. Tato chyba neovlivní modelování zásad skupiny, protože požadavek na simulovaná data modulu RSoP je vytvořen vůči řadiči domény se systémem Windows Server 2003, který z definice nepoužívá systém Windows XP.

Pomocí zásad skupiny můžete spravovat seznam uživatelů a skupin spojených s ověřováním modelu DCOM. Jestliže chcete povolit další používání delegovaného modulu RSoP, uživatelé, kterým chcete toto oprávnění udělit, musí mít přístup také prostřednictvím modelu ověřování DCOM. Další informace o změnách zabezpečení modelu DCOM v aktualizaci Windows Server 2003 Service Pack 1 naleznete v tématu Rozšíření zabezpečení modelu DCOM výše v tomto dokumentu.

Jestliže chcete delegovat přistup k výsledkům zásad skupiny, použijte následující postup:

Delegování přístupu k výsledkům zásad skupiny
  1. Povolte nastavení zásad skupiny Brána firewall systému Windows: Povolit výjimky pro vzdálenou správu v cílových počítačích.

  2. V cílových počítačích nastavte následující nastavení zásady zabezpečení modelu DCOM. (Nastavení zásady zabezpečení je umístěno ve složce Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení.)

    DCOM: Omezení přístupu pro počítač v syntaxi jazyka SDDL (Security Descriptor Definition Language)

    DCOM: Omezení spouštění pro počítač v syntaxi jazyka SDDL (Security Descriptor Definition Language)

  3. Pravým tlačítkem klepněte na objekt zásad skupiny a poté klepněte na příkaz Vlastnosti.

  4. Klepněte na tlačítko Upravit zabezpečení. Otevře se okno Oprávnění k přístupu.

  5. Klepnutím na tlačítko Přidat otevřete dialogové okno Vyberte uživatele, počítače nebo skupiny.

  6. Zadejte požadované cíle delegování.

Vzdálená úprava místního objektu zásad skupiny

Jestliže chcete vzdáleně upravit místní objekt zásad skupiny v cílovém počítači, ve kterém je Brána firewall systému Windows povolena, musíte povolit následující nastavení zásad: Brána firewall systému Windows: Povolit výjimku pro sdílení souborů a tiskáren.

Nastavení zásady je umístěno ve složce Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows\Profil domény | Standardní profil\.

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Přidat
Zobrazit:
© 2014 Microsoft