Doménové politiky

V originálním znění Group Policy je nástroj umožňující provádět nastavení vašeho počítače. Prostřednictvím tohoto nástroje řešíme různé případy jako je například nastavení vzhledu přihlašovací obrazovky, povolení klávesových zkratek, časované zamykání obrazovky a další. Politiky dokáží v počítači změnit libovolné nastavení, ať už se jedná o kosmetickou záležitost jako je zapnutý CapsLock při startu PC nebo vypnutý zvuk po přihlášení na učebně, až po úpravu oprávnění uživatelů provádět na PC určité akce. Při používání tohoto nástroje vycházíme ze zkušeností a aplikujeme takzvané best practices dle dekora, jak by se uživatel měl chovat v IT prostředí (viz série školení na spam, phishing, sociální inženýrství a další hrozby, které na nás číhají).

Politiky týkající se bezpečnosti jsou výhradně prohibiční, tedy spíše věci zakazují. Základní instalace Windows, která není upravena vhodnými politikami z domény má povoleno poměrně dost potenciálně zneužitelných funkcí, které může neopatrný uživatel neúmyslně otevřít a doslova tak pozvat nechtěného hosta do svého počítače. Politiky mohou také obsahovat informace, které uživatel potřebuje, nastavuje se jimi například aktivace produktů Microsoft pomocí univerzitního KMS serveru.

DNS

Toto je obecná a velmi dobře známá služba překladu doménového jména na IP adresu. Doménové řadiče mají každý svou repliku záznamů DNS. Tato služba umožňuje přeložit doménový název počítače na směrovatelnou adresu IP protokolu. Doménové jméno stroje se vždy skládá z jeho názvu a apendixu ve formě kompletního názvu domény. Při zařazení stroje do domény předají adresářové služby Active Directory informaci DNS službě o nalezení nového stroje s konkrétním názvem a IP adresou. Přestože by v síti mohla už jiná DNS služba být aktivní, tak je i přesto přítomnost DNS služby na doménových řadičích nezbytná. DNS totiž neudržuje pouze A záznamy pro překlad doménového jména na IPv4 adresu, ale udržují se zde také SRV záznamy tedy záznamy služeb a na jakých strojích se nacházejí. SRV záznam poskytuje klientům informaci o tom, kde se nachází služba, kterou potřebuje například klient MECM nebo operační systém pro ověření certifikátu.

WSUS

Jak jistě víte, tak Microsoft pravidelně vydává velké množství různých aktualizací. Ne všechny jsou však nezbytné a některé mohou způsobit i problémy v systému. Proto je tu nástroj WSUS, který slouží administrátorům jako prostředek k filtraci a selektivní aplikaci jednotlivých aktualizací. Tento nástroj umožňuje například pozdržet problémové aktualizace a vyzkoušet je před nasazením nebo vybrat nejčerstvější bezpečnostní záplaty a okamžitě je aplikovat po jejich vydání Microsoftem. Je to jakýsi prostředník mezi servery aktualizační služby Microsoft a vaším počítačem. Jednotlivé počítače pak mají nastavena pravidla pro aplikaci schválených a vyžadovaných aktualizací a uživatel může s těmito volbami do určité míry interagovat a upravovat je.

Microsoft Endpoint Configuration Manager (MECM)

Jedná se o programové vybavení na bázi server-klient, které poskytuje správcům domény nástroje pro hromadnou a kontrolovanou distribuci aplikací na pracovní stanice. Díky tomu můžeme váš nový počítač připravit ihned po vybalení z krabice, přeinstalovat OS na více než 200 stanicích během několika málo hodin a doručit aplikaci a její aktualizace na dosah jediného kliknutí od uživatele. Aplikace je potřeba do tohoto systému nejdříve připravit. Jejich distribuce pak už probíhá automaticky na základě pravidel vytvořených administrátory. Aplikace lze na danou skupinu nasadit jako volitelné nebo povinné. K dispozici je také mnoho možností filtrace z hlediska vhodnosti a aplikovatelnosti software na konkrétní stroj, například dostatek místa na disku nebo typ síťové karty.

Administrátoři jsou díky tomuto SW schopni pružně reagovat na požadavky a upozornění, které přichází na univerzitu prostřednictvím informačních kanálů například z OIT, NUKIB, abuse@mendelu.cz, CESNET, nařízení rektora a dalších.