Archive for the ‘GPO’ Tag

Je tato tiskárna důvěryhodná (aktualizováno)

Od systému Windows 2000 je implementována funkce “Ukázat a tisknout” (Point and Print). Tato funkce slouží k automatickému nainstalování ovladačů a konfigurace pro sdílené tiskárny. Jak to funguje? Uživatel si vybere (ukáže) jednoduchým způsobem tiskárnu, následně je mu ze vzdáleného serveru nahrán ovladač a je provedena jeho konfigurace. Od této chvíle daný uživatel může tisknout.

Funkce Ukázat a tisknout se často používá ve velkých sítích, kdy např. uživatelé cestují s notebooky a potřebují mít k dispozici různé tiskárny. Další její využití je v logon skriptech, kdy uživateli dle umístění nainstalujeme všechny potřebné tiskárny.

Ve Windows Vista a 7 však můžeme narazit na nutnost potvrzení důvěryhodnosti tiskárny. To je v kombinaci s UAC “smrtící” pro pracovníky s uživatelskými právy. Taktéž nám v tomto případě neprojde přiřazení tiskárny přes logon skript, nebo skupinovou politiku. Co s tím? Microsoft nám to tentokrát lehce zkomplikoval.

Řešením je úprava skupinové politiky “Omezení funkce Ukázat a tisknout”. Bohužel pro různé operační systémy jí musíme konfigurovat na různých místech.

Windows Vista

V GPO: Konfigurace uživatele – Šablony pro správu – Ovládací panely – Tiskárny – Omezení funkce Ukázat a tisknout

Windows 7

V GPO: Konfigurace počítače – Šablony pro správu – Tiskárny – Omezení funkce Ukázat a tisknout.

Pokud nechcete dělat příliš velké restrikce, použijte nastavení:

Uživatelé mohou odkazovat a tisknout pouze na těchto serverech: Zakázáno

Uživatele mohou odkazovat a tisknout pouze v počítačích ve vlastní doménové struktuře: Povoleno

Při instalaci ovladačů pro nové připojení: Nezobrazovat upozornění ani dotaz na zvýšení úrovně

Při aktualizaci ovladačů pro existující připojení: Nezobrazovat upozornění ani dotaz na zvýšení úrovně

PaP

Aktualizace 27.7.2016

Po aktualizacích KB3170455 (Windows 7) a KB3163912 (Windows 10) přestal Microsoft podporovat nastavení “Omezení funkce Ukázat a tisknout” pro starý typ ovladačů typu "non-packaged".

V tuto chvíli nevím, zda se jedná o trvalé nastavení, nebo jen dočasnou reakci na objevenou zranitelnost.

Pokud vám tedy nastavení funguje, zkontrolujte, zda je ovladač zabalen. To lze udělat přes MMC konzoli – Správa Tisku – Ovladače.

V případě, že je ovladač označen jako Nepravda, požádejte výrobce zařízení o nový ovladač.

Advertisements

Přidání webové stránky do zabezpečené zóny

Pokud potřebujete změnit zabezpečení pro konkrétní webovou stránku je nejvhodnější ji přidat do správné zóny ve webovém prohlížeči. Pokud stránce důvěřujeme, umístíme jí do Trusted sites (Důvěryhodné servery), pokud je web na naší vnitřní síti použijeme zónu Intranet. Ta nám například umožní pohodlný single-sign.

Úprava zóny je velice jednoduchá. Najdeme ji v Internet Exploreru v nabídce NástrojeMožnosti Internetu a následně na kartě Zabezpečení.

Pokud tuto úpravu potřebujeme nastavit pro velké množství počítačů je vhodné použít skupinové politiky.

Pro tento případ editujte politiku pro nastavení počítače

Computer ConfigurationPoliciesAdmimistrative TemplateWindows ComponentsInternet ExplorerInternet Control PanelSecurity Page

Zde editujte zásadu Site To Zone Assignment List Properties.

Zásada se edituje zadáním adresy zónového souboru a zadáním hodnoty zóny.

1 – Místní intranet
2 – Důvěryhodné servery
3 – Internet
4 – Servery s omezeným přístupem

IE-zone-GPO

Pozor: Úpravou této politiky uživatelé přijdou o možnost zóny editovat ručně. Před její úpravou se ujistěte, že např. ekonomické oddělení nepoužívá toto k přístupům do banky.

WMI chyba 0x800706ba

S touto chybou jsem se setkal při instalaci aplikace AuditPro. Konkrétní znění bylo “Chyba při instalaci klienta pomocí WMI – 0x800706ba RPC server is unavailable”.

Problém je v tom, že od Windows XP SP2 Windows Firewall může blokovat určitý systémový provoz nezbytný k běhu některých aplikací.

WMI (Windows Management Instrumentation) je základní technologie pro správu systému Windows. WMI můžete použít ke správě lokálních i vzdálených počítačů. Služba podporuje využívání skriptovacích jazyků, jako je VBScript, nebo PowerShell.

Jak tedy službu odblokovat? Spustíme si příkazový řádek s právy správce a použijeme následující příkaz. V případě, že se zdroj nachází na stejné síti, je možno povolit provoz jen na této sítí níže uvedeným příkazem.

netsh firewall set service remoteadmin enable
netsh firewall set service remoteadmin enable subnet

V případě Windows 7 můžete použít novější verzi příkladu

netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

Nastavení přes GPO

Nejjednodušší způsob, jak provoz povolit pro celou síť je aktualizace skupinových politik. V cestě

Computer Configuration/Administrative Templates/Network/ Network Connections/Windows Firewall/Domain Profile

nastavíme pravidlo Windows Firewall: Allow remote administration exception na enabled a vyčkáme aktualizací cílových stanic.

Jak na hromadné úpravy v systémových službách (services)

V určitých případech se nám může stát, že na velkém množství počítačů potřebujeme udělat úpravu v systémových službách. Opět si ukážeme, že běhat kolem stanic není nejsnadnější řešení.

Služba Windows je v operačním systému Microsoft Windows speciální program, který je spuštěn dlouhodobě a není v přímém kontaktu s uživatelem (na rozdíl od běžných aplikací). Služba Windows se spouští při startu operačního systému, případně automaticky v případě potřeby nebo ručním zásahem uživatele. Koncept služeb Windows je obdobou unixového démona.

Jak hromadně upravit službu

serivcesPokud potřebujeme základní úpravy služby (zastavení, spuštění, zakázání service) a zároveň máme k dispozici doménu na Windows 2008, nebo novějším a klientské stanice s Windows 7, Vista, případně XP s rozšířením Group Policy Preference Client Side Extensions můžeme použít tzv. GPO Prefences.

V Group Policy Management editoru přejdeme do Computer Configuration\Preferences\Control Panel Settings a zda do položky “Services”. Zde již velice snadno přidáme nový záznam pro úpravu služby.

Jak upravit službu bez GPO Preferences

V případě, že používám starší verzi domény, nebo nechci uvedený způsob použít je možnost udělat změnu zásahem do registru.

Windows services se v registrech nacházejí v následující cestě:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Nyní pod položkou s názvem služby nalezneme několik klíčů. Nás bude zajímat klíč “Start”. Jeho hodnota určuje, jakým způsobem se služba bude spouštět.

  1. Služba se spouští při inicializaci jádra systému (např. ovladače)
  2. Služba se spouští automaticky bez ohledu na druh služby
  3. Služba se spouští ručně
  4. Služba je zakázána

Jak službu úplně odstranit

Pokud službu potřebujeme úplně smazat, použijeme klasický příkazový řádek (ve Win Vista/7 s právy správce) se syntaxí

sc delete ServiceName, tj. například sc delete “FortiClient SSL VPN”