Редактор групповых политик windows 2008 r2

Данное руководство представляет собой пошаговую инструкцию по созданию и настройке локальной групповой политики, а также групповых политик на уровне доменов и подразделений в Windows Server 2008 R2. Г

Данное руководство представляет собой пошаговую инструкцию по созданию и настройке локальной групповой политики, а также групповых политик на уровне доменов и подразделений в Windows Server 2008 R2.

Групповые политики – это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object).

I. Область действия групповых политик

Все групповые политики имеют свою область действия (scope), которая определяет границы влияния политики. Области действия групповых политик условно можно разделить на четыре типа:

Локальные групповые политики

Групповые политики, применяемые к локальному компьютеру, или локальные групповые политики. Эти политики настраиваются в оснастке «Редактор локальных групповых политик» и применяются только к тому компьютеру, на котором они были настроены. Они не имеют механизма централизованного развертывания и управления и, по сути, не являются групповыми политиками.

Групповые политики доменов

Объекты групповых политик, применяемые к домену Active Directory (AD) и оказывающие влияние на все объекты, имеющие отношение к данному домену. Поскольку в рамках домена работает механизм наследования, то все политики, назначенные на домен, последовательно применяются и ко всем нижестоящим контейнерам.

Групповые политики подразделения

Политики, применяемые к подразделению (Organizational Unit policy, сокр. OU) и оказывающие влияние на все содержимое данного OU и дочерних OU (при их наличии).

Групповые политики сайтов

Сайты в AD используются для представления  физической структуры организации. Границы сайта определяются одной или несколькими IP-подсетями, которые объединены высокоскоростными каналами связи. В один сайт может входить несколько доменов и наоборот, один домен может содержать несколько сайтов. Объекты групповой политики, примененные к сайту AD, оказывают влияние на все содержимое этого сайта. Следовательно, групповая политика, связанная с сайтом, применяется ко всем пользователям и компьютерам сайта независимо от того, к какому домену они принадлежат.

II. Порядок применения и приоритет групповых политик

Порядок применения групповых политик напрямую зависит от их области действия. Первыми применяются Локальные политики, затем Групповые политики сайтов, затем отрабатывают Доменные политики и затем OU политики. Если на одну OU назначено несколько GPO, то они обрабатываются в том порядке, в котором были назначены (Link Order).

Приоритет GPO напрямую зависит от порядка их применения — чем позднее применяется политика, тем выше ее приоритет. При этом нижестоящие политики могут переопределять вышестоящие — например Локальная политика будет переопределена Доменной политикой сайта, Доменная политикаполитикой OU, а политика вышестоящего OU — нижестоящими политиками OU.

III. Создание локальной групповой политики

1. Для создания локальной групповой политики зайдите на рабочую станцию, нажмите Пуск, в поле поиска введите Выполнить, затем, в поисковой выдаче, выберите Выполнить (Рис.1).

Рис.1

.

2. В открывшемся окне введите в поле gpedit.msc, затем нажмите OK (Рис.2).

Рис.2

.

3. В открывшемся окне Вы увидите две основные категории параметров групповой политики — параметры конфигурации компьютера и параметры конфигурации пользователяПараметры конфигурации компьютера применяются к компьютеру в целом, то есть действуют в отношении всех пользователей, входящих в систему на данном компьютере, без различия, гости они, пользователи или администраторы. Параметры конфигурации пользователя действуют только в отношении конкретно заданных пользователей (Рис.3).

Рис.3

.

4. Выберите: Конфигурация пользователя > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.4).

Рис.4

.

5. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:Green_Local.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер (Рис.5).

Рис.5

.

6. После перезагрузки компьютера Вы увидите, что политика отработала и фон рабочего изменился (Рис.6).

Рис.6

.

IV. Создание и настройка групповой политики на уровне домена

1. Для создания групповой политики на уровне домена зайдите на сервер, выберите Пуск > Администрирование > Управление групповой политикой (Рис.7).

Рис.7

.

2. Выберите домен (прим. в данном руководстве это example.local), через правую кнопку мыши вызовите меню, в котором выберите Создать объект групповой политики в этом домене и связать его… (Рис.8).

Рис.8

.

3. В появившемся окне выберите, в соответствующем поле, имя новой групповой политики (прим. в данном руководстве это GPO-1), затем нажмите ОК (Рис.9).

Рис.9

.

4. Выберите созданную групповую политику (прим. GPO-1), через правую кнопку мыши вызовите меню, в котором выберите Изменить (Рис.10).

Рис.10

.

5. Выберите: Конфигурация пользователя > Политики > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.11).

Рис.11

.

6. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:Yellow_Domain_GPO-1.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (Рис.12).

Рис.12

.

7. После перезагрузки компьютера Вы увидите, что групповая политика домена отработала и фон рабочего стола на компьютере изменился (прим. на компьютере доменные политики успешно применились и переопределили настройки, задаваемые локальными политиками. Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым) (Рис.13).

Рис.13

.

V. Создание и настройка групповой политики на уровне подразделения

1. Для создания групповой политики на уровне подразделения (Organizational Unit policy, сокр. OU) зайдите на сервер, выберите Пуск > Администрирование > Управление групповой политикой (Рис.14).

Рис.14

.

2. Выберите домен (прим. в данном руководстве это example.local), через правую кнопку мыши вызовите меню, в котором выберите Создать подразделение (Рис.15).

Рис.15

.

3. В появившемся окне выберите, в соответствующем поле, имя нового подразделения (прим. в данном руководстве это OU-1), затем нажмите ОК (Рис.16).

Рис.16

.

4. Выберите созданное подразделение (прим. OU-1), через правую кнопку мыши вызовите меню, в котором выберите Создать объект групповой политики в этом домене и связать его… (Рис.17).

Рис.17

.

5. В появившемся окне выберите, в соответствующем поле, имя новой групповой политики (прим. в данном руководстве это GPO-2), затем нажмите ОК (Рис.18).

Рис.18

.

6. Выберите созданную групповую политику (прим. GPO-2), через правую кнопку мыши вызовите меню, в котором выберите Изменить (Рис.19).

Рис.19

.

7. Выберите: Конфигурация пользователя > Политики > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.20).

Рис.20

.

8. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это Red_OU_OU-1_GPO-2.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (прим. на этом же компьютере она была переопределена доменной групповой политикой) (Рис.21).

Рис.21

.

9. После перезагрузки компьютера Вы увидите, что доменная политика (GPO-1) переопределена политикой (GPO-2), назначенной на OU. (Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым, после чего доменная политика была переопределена политикой OU и фон стал красным) (Рис.22).

Рис.22

.

VI. Наследование в групповых политиках

1. На все политики в домене распространяется наследование, т.е. политики, назначенные на родительский контейнер (домен или OU), последовательно применяются ко всем дочерним контейнерам. При необходимости это можно изменить, отключив наследование для отдельно взятого OU. Для этого необходимо перейти в управление групповой политикой (прим. Пуск > Администрирование > Управление групповой политикой), выбрать нужное OU (прим. в данном руководстве это OU-1), кликнуть на нем правой клавишей мыши и в контекстном меню отметить пункт Блокировать наследование. После этого для данного OU и его дочерних OU (при их наличии) отменяется воздействие всех вышестоящих политик (Рис.23).


Примечание! Политика Default Domain Policy содержит настройки, определяющие политику паролей и учетных записей в домене. Эти настройки не могут быть заблокированы.

Рис.23

.

VII. Форсирование применения групповых политик

1. Форсирование применения групповых политик применяется тогда, когда данная политика должна отработать независимо от остальных политик. Если политика форсирована, то, вне зависимости от своей области действия она получает наивысший приоритет. Это значит, что ее настройки не могут быть переопределены нижестоящими политиками, а также на нее не действует отмена наследования. Чтобы форсировать политику, необходимо перейти в управление групповой политикой (прим. Пуск > Администрирование > Управление групповой политикой), выбрать нужную политику (прим. в данном руководстве это GPO-1), кликнуть на ней правой клавишей мыши и в контекстном меню отметить пункт Принудительный (Рис.24).

Рис.24

.

 Надеемся, что данное руководство помогло Вам! 

.

Введение

В любой организации системные администраторы обязаны обеспечить для пользователей и компьютеров своего предприятия безопасные настройки, которыми можно централизовано управлять и развертывать. Обычно в организациях вся конфигурация определяется, обновляется и распространяется непосредственно при помощи объектов групповой политики. Именно объекты групповой политики позволяют вам рационально управлять всей инфраструктурой вашего предприятия, начиная от незначительных подразделений и групп и заканчивая сайтами и доменами.

Групповые политики – это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object). Групповые политики являются компонентом операционной системы Windows и основываются на тысячах отдельных параметров политик, иначе говоря, политик, определяющих определённую конфигурацию для своего применения.

В домене Active Directory все объекты групповой политики создаются и управляются при помощи административной оснастки консоли управления Microsoft – «Управление групповой политикой». Именно об использовании данной оснастки пойдет речь в текущей статье.

Групповая политика в Windows Server 2008 R2 предусматривает много возможностей, позволяющих снизить стоимость управления компьютерными системами. Параметры политик пользователей и компьютеров объединяются в группы, которые используются на различных уровнях в иерархии Active Directory. С помощью групповой политики параметры конфигурации можно применять к некоторым или ко всем компьютерам и пользователям в организации. Об управлении установкой программного обеспечения, перенаправлении папок, настройке параметров безопасности, последовательности применения параметров и о многом другом вы узнаете из следующих статей.

Оснастка «Управление групповой политикой» представляет собой оснастку консоли управления Microsoft с поддержкой сценариев, предоставляющую административное средство управления групповой политикой в рамках предприятия. Оснастка «Управление групповой политикой» считается стандартным средством управления групповой политикой.

Сама инфраструктура групповой политики основана на архитектуре «клиент – сервер» с компонентами клиента и сервера и включает в себя модуль групповой политики, представляющий собой основу для обработки общих функциональных параметров административных шаблонов, а также определенных компонентов, называемых расширениями клиентской стороны (Client-side extension, CSE). Расширения клиентской стороны интерпретируют параметры в объекты групповой политики и вносят соответствующие изменения в конфигурацию компьютера или пользователя. Такие расширения относятся ко всем основным категориям параметров политики. Другими словами, одно расширение клиентской стороны предназначено для установки программного обеспечения, другое применяет изменения безопасности, третье – обеспечивает автоматическую настройку компьютеров, подключенных к проводной сети и так далее. Как, возможно, вы догадались, в разных версиях операционной системы присутствуют конкретные расширения клиентской стороны, причем, с каждой последующей версией Windows функционал групповой политики пополнялся новыми расширениями CSE. Например, с появлением операционной системы Windows Server 2008, функционал групповой политики пополнился более 20 расширениями клиентской стороны, при помощи которых возможно осуществление управления дополнительными параметрами, например, сопоставление дисков или изменение секций в свойствах *.ini-файлов, называемых предпочтениями групповой политики, которые в отличие от параметров групповой политики, предпочтения групповой политики не так строго привязываются к настройкам определенных компонентов системы. С появлением операционных систем Windows 7 и Windows Server 2008 R2 появилось расширение CSE AppLocker, при помощи которого можно указать, какие пользователи и группы в организации могут запускать определенные приложения в зависимости от уникальных идентификаторов файлов. Таких примеров можно привести много. Но необходимо помнить, что клиент групповой политики всегда извлекает объекты групповой политики из домена, включая настроенные вами расширения клиентской стороны для локального применения параметров. Параметры групповой политики определяют конкретную конфигурацию для применения. Некоторые параметры политики влияют только на пользователя независимо от того, с какого компьютера был выполнен вход в систему, а другие параметры влияют на компьютер, независимо от того, какой пользователь вошел в систему на этом компьютере. Такие параметры называются параметрами конфигурации пользователей и параметрами конфигурации компьютеров.

Открытие оснастки и изменение пользовательского интерфейса

Оснастка «Управление групповой политикой» устанавливается на сервер вместе с ролью «Доменные службы Active Directory» (AD DS), но если у вас по какой-то причине не удается ее найти, то всегда данную оснастку можно заново установить. Для того чтобы повторно установить текущую оснастку, в «Диспетчере сервера», в узле «Сводка компонентов» перейдите по ссылке «Добавить компонент». Выберите компонент «Управление групповой политикой» в диалоговом окне «Мастер добавления компонентов» и следуйте инструкциям мастера. По завершению установки закройте мастер установки.

Также есть альтернативный способ установки данного компонента – использование командной строки и утилиты управления конфигурацией сервера. В командной строке, запущенной с правами администратора введите ServerManagerCmd -install gpmc. При желании вы можете вывести результат установки в xml файл, используя параметр –resultPath.

Для того чтобы открыть оснастку «Управление групповой политикой», выполните любое из следующих действий:

  • Нажмите на кнопку «Пуск», выберите меню «Администрирование», а затем откройте «Управление групповой политикой»;
  • Воспользуйтесь комбинацией клавиш Win+R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите gpmc.msc и нажмите на кнопку «ОК»;
  • Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Управление групповой политикой и откройте приложение в найденных результатах;
  • Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Управление групповой политикой» и нажмите на кнопку «Добавить», а затем нажмите на кнопку «ОК».

На следующей иллюстрации изображена оснастка «Управление групповой политикой»:

Рис. 1. Оснастка «Управление групповой политикой»

Содержимое оснастки «Управление групповой политикой» предоставляет множество средств, предназначенных для обеспечения централизованного управления инфраструктурой организации. Но если вас не устраивает интерфейс данной оснастки, вы можете его изменить, используя функционал редактирования параметров пользовательского интерфейса. Для того чтобы изменить отображение некоторых элементов оснастки, откройте меню «Вид» и выберите команду «Параметры». В диалоговом окне «Параметры» вы можете настроить элементы, параметры которых располагаются в следующих вкладках:

  • Вкладка «Столбцы». На этой вкладке вы можете изменить отображение и порядок столбцов для основных таблиц текущей оснастки, а именно: «Наследование групповой политики», «Начальные объекты групповой политики», «Объекты групповой политики», «Связанные объекты групповой политики» и «Фильтры WMI». Вам достаточно просто выбрать из раскрывающегося списка редактируемую таблицу, в поле «Столбцы отображаются в следующем порядке» снять флажки с наименований лишних столбцов и установить их порядок, используя кнопки «Вверх» или «Вниз». Также вы можете изменять порядок столбцов непосредственно из таблицы, меняя их местами так, как вам удобно. Для того чтобы ваши изменения были сохранены при повторном открытии оснастки, в окне параметров установите флажок «Сохранять порядок и размеры изменяемых столбцов», как показано на следующей иллюстрации:
  • Вкладка «Отчет». Используя эту вкладку, вы можете изменить папку, которая используется по умолчанию для расположения ADM-файлов. Следует помнить, что изменения, которые проводятся на данной вкладке, будут распространяться только на устаревшие ADM-файлы, а расположение файлов ADMX, которые используются в операционных системах Windows Vista и Windows 7 останется без изменений. Если переключатель будет установлен на параметре «По умолчанию», то поиск файлов ADM изначально будет проводиться в папке Windows и в том случае, если файл не будет найден, консоль GPMC будет просматривать папку объектов групповой политики (GPO), находящуюся в папке Sysvol. Если установить переключатель на параметр «настраиваемое», то консоль GPMC изначально будет искать файлы adm в той папке, которая будет указана вами, а затем в расположениях по умолчанию. Настройки данной вкладки изображены ниже:
  • Вкладка «Общие». На вкладке «Общие» настраиваются параметры, которые распространяются на отображение лесов и доменов только с двухсторонними отношениями доверия, отображения имени контроллеров домена, а также для отображения диалогового окна подтверждения для различия между объектами групповой политики и связи этих объектов. Эта вкладка отображена на следующей иллюстрации:

Создание и редактирование объектов групповой политики

Используя оснастку «Управление групповой политикой» вы можете создавать и редактировать объекты групповой политики, а также комментарии к ним для упрощения их мониторинга, удалять объекты групповых политик и проводить поиск среди существующих объектов. Рассмотрим подробно каждое из вышеперечисленных действий:

Создание объекта групповой политики с комментарием

Один или несколько параметров групповой политики, который применяется к одному или нескольким пользователям или компьютерам, обеспечивая конкретную конфигурацию, называется объектом групповой политики. Для того чтобы создать новый объект групповой политики, выполните следующие действия:

  1. В оснастке «Управление групповой политикой» разверните узел лес, домен, название вашего домена и выберите контейнер «Объекты групповой политики». Именно в этом контейнере будут храниться все объекты групповой политики, которые вы будете создавать;
  2. Щелкните правой кнопкой мыши на данном контейнере и из контекстного меню выберите команду «Создать», как изображено ниже:
  3. В диалоговом окне «Новый объект групповой политики» введите название объекта в поле «Имя», например, «Корпоративные требования» и нажмите на кнопку «ОК».

Редактирование объекта групповой политики

После того как объект групповой политики будет создан, для того чтобы настроить определенную конфигурацию данного объекта, вам нужно указать параметры групповой политики при помощи оснастки «Редактор управления групповыми политиками». Допустим, нужно отключить Windows Media Center, средство звукозаписи, а также ссылку «Игры» в меню «Пуск». Для этого выполните следующие действия:

  1. Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
  2. Разверните узел Конфигурация пользователя/Политики/Административные шаблоны/Компоненты Windows/Windows Media Center;
  3. Откройте свойства параметра политики «Не запускать Windows Media Center» и установите переключатель на опцию «Включить». В поле комментарий введите свой комментарий, например, «В связи с корпоративными требованиями не разрешается данным пользователям использовать текущее приложение» и нажмите на кнопку «ОК».
  4. Повторите аналогичные действия для параметров политик «Запретить выполнение программы «Звукозапись»» и «Удалить ссылку «Игры» из меню «Пуск»» из узла Конфигурация пользователя/Политики/Административные шаблоны/Меню «Пуск» и панель задач.
  5. Закройте редактор управления групповыми политиками.

Также, если вы создаете много объектов групповых политик, для вас окажется удобной возможность добавления комментариев к самим объектам групповых политик. Для добавления комментария к GPO, выполните следующие действия:

  1. Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
  2. В дереве консоли оснастки «Редактор управления групповыми политиками» нажмите правой кнопкой мыши на корневом узле и из контекстного меню выберите команду «Свойства»;
  3. В диалоговом окне «Свойства: имя объекта групповой политики» перейдите на вкладку «Комментарий» и введите примечание для вашего GPO, например, «Этот объект групповой политики запрещает указанным пользователям использовать мультимедийные приложения, а также игры в организации»;

Рис. 8. Добавление комментария для объекта групповой политики

  1. Нажмите на кнопку «ОК», а затем закройте оснастку «Редактор управления групповыми политиками».

Поиск объектов групповой политики

При развертывании групповых политик в организации у вас могут быть созданы десятки (а то и сотни) объектов групповых политик. Если в вашей организации есть только один домен, то обнаружить необходимый объект групповых политик много времени у вас не займет. Но как быть, если в лесу вашей организации развернуто несколько доменов? Для этого вам поможет функционал поиска объектов групповых политик. Для того чтобы найти существующий объект групповой политики, выполните следующие действия:

  1. В дереве консоли оснастки «Управление групповой политикой» щелкните правой кнопкой мыши на вашем лесу (или если вы знаете, в каком домене нужно провести поиск объекта, то можете вызвать контекстное меню для конкретного домена) и из контекстного меню выберите команду «Найти»;

Рис. 9. Поиск объекта групповой политики

  1. В диалоговом окне «Поиск объектов групповой политики» в раскрывающемся списке «Искать объекты групповой политики в домене:» можете выбрать домен, для которого будет производиться поиск или оставить значение, используемое по умолчанию;

Рис. 10. Выбор домена для поиска GPO

  1. В раскрывающемся списке «Элемент поиска», выберите тип объекта, для которого будет выполняться поиск. В этом случае нужно выбрать элемент «Имя объекта групповой политики»;
  2. Раскрывающийся список «Условие» позволяет выбрать условие для поиска. Доступные варианты «Содержит», «Не содержит» и «совпадает». При выборе условия «совпадает» вам нужно ввести точное название политики. В противном случае поиск закончится ошибкой;
  3. В поле «Значение» введите значение, которое будет использовано для фильтрации поиска. Если результаты предыдущего поиска были сохранены, то значение можно будет выбрать из раскрывающегося списка;
  4. Нажмите на кнопку «Добавить» для выбора условия поиска;
  5. По нажатию на кнопку «Найти» будут выведены все результаты, согласно условиям поиска. Результат изображен на следующей иллюстрации:

Рис. 11. Результаты поиска

  1. Для того чтобы сразу перейти к оснастке «Редактор управления групповыми политиками» нажмите на кнопку «Изменить», для сохранения текущих результатов поиска нажмите на кнопку «Сохранить результаты» (результаты будут сохранены в указанной вами папке с расширением *.csv). По нажатию на кнопку «Очистить» результаты поиска будут очищены без сохранения, а для закрытия данного диалога нажмите на кнопку «Закрыть» или на клавишу Esc.

Удаление объекта групповой политики

При работе с объектами групповых политик вам когда-то понадобится удалить существующий объект GPO. Для этого выберите объект групповой политики и выполните одно из следующих действий:

  • Нажмите на клавишу Delete и в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да»;
  • Нажмите на кнопку «Удалить» (в виде красного креста) на панели инструментов, а затем в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да»;
  • Нажмите правой кнопкой мыши на объекте групповой политики и из контекстного меню выберите команду «Удалить». Затем в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да».

Заключение

В этой статье рассмотрены базовые принципы работы с оснасткой «Управление групповой политикой», предназначенной для создания и управления объектов групповых политик в домене Active Directory. Вы узнали о способах открытия данной оснастки и настройки пользовательского интерфейса, а также о том, как можно создавать и редактировать новые объекты групповых политик и их комментарии, выполнять поиск существующих объектов, а также о способах их удаления. В следующей статье я продолжу описание управления инфраструктурными единицами организации, используя оснастку «Управление групповой политикой».

Windows Vista Enterprise 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business Windows Vista Business 64-bit Edition Windows Vista Enterprise Windows Vista Ultimate Microsoft Windows XP Professional Microsoft Windows XP Professional x64 Edition Еще…Меньше

Поддержка Windows Vista без установленных пакетов обновления завершилась 13 апреля 2010 года. Чтобы продолжить получать обновления для системы безопасности для Windows, убедитесь в том, что вы используете Windows Vista с пакетом обновления 2 (SP2). Дополнительные сведения можно найти на веб-странице Майкрософт: служба поддержки заканчивается для некоторых версий Windows

ВВЕДЕНИЕ

В этой статье описаны настройки групповой политики в Windows Server 2008 и показано, как включить на компьютерах с более ранних уровней обработку этих новых элементов. Настройки групповой политики состоят из более чем 20 новых клиентских расширений групповой политики (CSEs), которые расширяют диапазон настраиваемых параметров в объекте групповой политики (GPO). Эти новые расширения предпочтений будут включены в окно редактора управления групповыми политиками консоли управления групповыми политиками (GPMC). Типы элементов предпочтений, которые можно создавать с использованием каждого из расширений, перечислены при выборе команды создать для расширения. Ниже приведены примеры новых расширений предпочтений групповой политики.

  • Параметры папки

  • Карты дисков

  • Принтер

  • Запланированные задачи

  • Services

  • Меню «Пуск»

Дополнительные сведения о новых возможностях групповой политики в Windows Server 2008 R2 можно найти на веб-сайте Microsoft TechNet по следующему адресу:

http://technet.microsoft.com/en-us/library/dd367853(WS.10).aspx Пакеты, указанные в разделе «Дополнительные сведения», включают в себя CSEs для новых функций настройки групповой политики. Эти CSEs необходимы в Windows XP с пакетом обновления 2 (SP2), Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Vista для обработки новых элементов настройки. Примечание. Этот установщик не предоставляет пользовательский интерфейс для настройки параметров групповой политики. Новые функциональные возможности можно настроить только в папке новая настройка в разделе Конфигурация пользователя или компьютера в окне редактора управления групповыми политиками консоли GPMC на следующих компьютерах:

  • Компьютеры под управлением Windows Server 2008

  • Компьютеры под управлением Windows Vista с пакетом обновления 1 (SP1) с установленными средствами удаленного администрирования сервера (RSAT)

Важно! Для существующих пользователей PolicyMaker этот установщик удалит установленную копию CSEs PolicyMaker. Не устанавливайте этот параметр на компьютерах, которые в настоящее время обрабатывают параметры PolicyMaker, пока вы не перейдете параметры PolicyMaker из объектов GPO в параметры настройки групповой политики. Средство для автоматизации миграции из параметров PolicyMaker в параметры настройки групповой политики будет доступно в ближайшее время.

Дополнительная информация

Дополнительные сведения о параметрах групповой политики можно найти на веб-сайте корпорации Майкрософт по следующему адресу:

http://www.microsoft.com/download/details.aspx?FamilyID=42e30e3f-6f01-4610-9d6e-f6e0fb7a0790&DisplayLang=enОбновленные версии новых настроек групповой политики Windows Server 2008, клиентские расширения для Windows Server 2003 и Windows XP можно загрузить с помощью центра обновления Windows. Эти обновленные версии устраняют указанные ниже проблемы.

  • CSEs удаляются при установке пакета обновления.

  • Параметр «Удалить» недоступен в окне «Установка и удаление программ» при удалении и повторной установке пакета.

  • Недопустимый URL-адрес службы поддержки в окне «Установка и удаление программ».

  • В окне установленных обновлений отображается неправильный заголовок.

  • Пакеты Vista устанавливаются на пакет обновления 2 (SP2) и более поздние версии.

Кроме того, чтобы загрузить исходные клиентские расширения предпочтений групповой политики для вашей операционной системы, посетите один из указанных ниже веб-сайтов Microsoft.

  • Windows Vista, 64-разрядная версия

    http://www.microsoft.com/download/details.aspx?FamilyId=B10A7AF4-8BEE-4ADC-8BBE-9949DF77A3CF

  • Windows Vista, 32-разрядная версия

    http://www.microsoft.com/download/details.aspx?FamilyId=AB60DC87-884C-46D5-82CD-F3C299DAC7CC

  • Windows Server 2003, 64-bit Edition

    http://www.microsoft.com/download/details.aspx?FamilyId=29E83503-7686-49F3-B42D-8E5ED23D5D79

  • Windows Server 2003, 32-bit Edition

    http://www.microsoft.com/download/details.aspx?FamilyId=BFE775F9-5C34-44D0-8A94-44E47DB35ADD

  • Windows XP, 64-разрядная версия

    http://www.microsoft.com/download/details.aspx?FamilyId=249C1AED-C1F1-4A0B-872E-EF0A32170625

  • Windows XP, 32-разрядная версия

    http://www.microsoft.com/download/details.aspx?FamilyId=E60B5C8F-D7DC-4B27-A261-247CE3F6C4F8

Примечание. При попытке установить первоначальный выпуск этих обновлений установка завершится сбоем, и появится следующее сообщение об ошибке. Текст в строке заголовка ошибки:

Автономный установщик центра обновления Windows

Текст сообщения об ошибке:

Обновление не распространяется на вашу систему

Если вы столкнулись с этой проблемой, установите эти повторно выпущенные версии обновлений.

Предварительные условия

XmlLite требуется для успешной установки новых клиентских расширений параметров групповой политики Windows Server 2008 в Windows Server 2003 и Windows XP. Дополнительные сведения о XmlLite. Посетите веб-сайт Майкрософт по следующему адресу:

http://msdn2.microsoft.com/en-us/library/ms752838.aspx Чтобы скачать пакет XmlLite, посетите один из указанных ниже веб-сайтов Майкрософт:Windows Server 2003, 64-bit Edition

http://www.microsoft.com/download/details.aspx?FamilyId=406777E6-79DA-4414-A329-22A435A95D9DWindows Server 2003, 32-bit Edition

http://www.microsoft.com/download/details.aspx?FamilyId=611D1FDE-C8D0-4D80-96DA-B5B20F7BA159Windows XP, 64-разрядная версия

http://www.microsoft.com/download/details.aspx?FamilyId=C7CB26E9-68F1-4F80-B231-79D044431E8EWindows XP, 32-разрядная версия

http://www.microsoft.com/download/details.aspx?FamilyId=D7B5DC81-AD14-4DE2-8AD5-8C4A9AAB5992

Нужна дополнительная помощь?

Введение

Редактор локальной групповой политики является оснасткой консоли управления Microsoft (MMC) и используется для редактирования объектов локальной групповой политики (GPO). В Windows Server 2008 R2 и версиях Windows 7 Профессиональная, Максимальная и Корпоративная доступны редактор локальной групповой политики и оснастка «Результирующая политика».

Открытие редактора

Чтобы открыть редактор локальной групповой политики, нажмите кнопку Пуск, выберите Выполнить или нажмите клавиши Win+R, затем введите gpedit.msc

Откроется окно Редактор локальной групповой политики, состоящее из двух частей:

Редактор локальной групповой политики

  1. Левая панель — содержит древовидную иерархическую структуру категорий политик. Политики состоят из двух категорий: Конфигурация компьютера и Конфигурация пользователя. Политики конфигурации компьютера применяются ко всем пользователям и выполняются перед входом в систему. Политики конфигурации пользователя применяются только к текущему пользователю и не применяются до тех пор, пока пользователь не войдет в систему.
  2. Правая панель — содержит политики той категории, которая выбрана в левой панели. Описание параметров и настройки.
  • Windows 7 Home Basic
  • Windows 7 Home Premium

Настройка Меню «Пуск» и Панель задач

В окне редактора локальной групповой политики в разделе Конфигурация пользователя находим Административные шаблоны — Меню Пуск и Панель задач

Настройка Меню

Административные шаблоны — это параметры политики на основе данных реестра, которые появляются в редакторе локальной групповой политики в узле «Административные шаблоны» как в узле конфигурации пользователя, так и в узле конфигурации компьютера. Иерархия создается, когда редактор локальной групповой политики считывает XML-файлы административных шаблонов (ADMX).

Редактирование параметров

Для редактирования параметров политики необходимо:

  1. Для просмотра описания параметра политики щелкните его имя в столбце Параметр

    Редактор локальной групповой политики

  2. Чтобы изменить текущее состояние параметра, дважды щелкните его имя.
  3. Выберите один из следующих параметров в диалоговом окне параметров политики
    • Не задано: реестр не изменяется
    • Включено: в реестре отражается включение параметра политики.
    • Отключено: в реестре отражается отключение параметра политики

    Очистка списка недавно используемых программ для новых пользователей

  4. Жмем Применить и ОК

Для завершения данной процедуры необходимо иметь право «Редактирование параметров» для редактирования объекта групповой политики. По умолчанию члены группы безопасности «Администраторы домена«, «Администраторы предприятия» или «Создатели-владельцы групповой политики» имеют право «Редактирование параметров» для редактирования объекта групповой политики.

Рекомендации

Рекомендуется использовать Редактор локальной групповой политики для внесения изменений в реестр Windows, так как он предоставляет более простой и понятный интерфейс, что позволит избежать ошибок, которые могут привести компьютер в неработоспособное состояние.

Корпорация Майкрософт настоятельно рекомендует создать резервную копию системного реестра перед внесением в него какие-либо изменений, а также изменять только те параметры, назначение которых вам известно, или на которые вам указали

gpedit-00 Эта статья является базисом и введением в изучение групповых политик операционных систем Windows, от знания которой зависит работа со всем последующим материалом. Как уже говорилось в предыдущей статье по основам групповых политик: «Введение в изучение групповых политик», групповая политика – это компонент серверных и клиентских операционных систем Windows, начиная с Windows 2000, позволяющий централизовано управлять конфигурацией пользователей и компьютеров. Групповые политики основываются на многих параметров политик, которые в свою очередь указывают на применение определенной настройки для выбранного компьютера или пользователя. В операционных системах Windows Server 2008 R2 и Windows 7 насчитывается более 3200 политик, при помощи которых можно оградить локальных пользователей и пользователей, расположенных в вашем домене или лесу от действий, которые они не должны выполнять. Методы создания собственных политик будут рассказаны в одной из последующих статей. Все параметры политик располагаются в объекте групповых политик GPO (Group Policy Object).

Объекты групповых политик делятся на две категории:

  • Доменные объекты групповых политик, которые используются для централизованного управления конфигурацией компьютеров и пользователей, входящих в состав домена Active Directory. Эти объекты хранятся только на контроллере домена;
  • Локальные объекты групповых политик, которые позволяют настраивать конфигурацию локального компьютера, а также всех пользователей, созданных на этом компьютере. Эти объекты хранятся только в локальной системе. Локальные объекты групповых политик могут применяться, даже если компьютер входит в состав домена.

В этой статье речь пойдет об управлении локальными объектами групповых политик.

Управление локальными объектами групповых политик

Для управления локальными объектами групповых политик в операционных системах Windows используется оснастка консоли управления «Редактор локальной групповой политики». При помощи данной оснастки вы можете настраивать большинство системных компонентов и приложений. Рассмотрим подробно методы управления компьютером и пользователями при помощи данной оснастки:

Открытие оснастки «Редактор локальных групповых политик»

Вы можете открыть данную оснастку несколькими способами:

  1. Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Редактор локальной групповой политики и откройте приложение в найденных результатах;
  2. Воспользуйтесь комбинацией клавиш winkey+R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите gpedit.msc и нажмите на кнопку «ОК»;
  3. Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Редактор объектов групповой политики» и нажмите на кнопку «Добавить». В появившемся диалоге «Выбор объекта групповой политики» нажмите на кнопку «Обзор» для выбора компьютера или нажмите на кнопку «Готово» (по умолчанию установлен объект «Локальный компьютер»). В диалоге «Добавление или удаление оснасток» нажмите на кнопку «ОК»;

На следующем скриншоте отображена оснастка «Редактор объектов групповой политики»:

gpedit-01

Узлы оснастки

В оснастке редактора локальных объектов групповой политики присутствуют два основных узла:

  • Конфигурация компьютера, который предназначен для настройки параметров компьютера. В этом узле расположены параметры, которые применяются к компьютеру, невзирая на то, под какой учетной записью пользователь вошел в систему. Эти параметры применяются при запуске операционной системы и обновляются в фоновом режиме каждые 90-120 минут.
  • Конфигурация пользователя, который предназначен для настроек параметров пользователей. Параметры, которые находятся в этом узле, применяются при входе конкретного пользователя в систему. Так же, как и параметры, расположенные в узле конфигурации компьютера, параметры, расположенные в узле конфигурации пользователя обновляются в фоновом режиме каждые 90-120 минут.

В этих основных узлах вы можете найти по три дочерних узла, при помощи которых настраиваются все параметры локальных объектов групповых политик.

Конфигурация программ

В узле конфигурации программ расположено только одно расширение клиентской стороны «Установка программ», благодаря которому, вы можете указать определенную процедуру установки программного обеспечения. Расширения клиентской стороны (Client-Side-Extension CSE) преобразовывает указанные параметры в объект групповой политики и вносит изменения в конфигурацию пользователя или компьютера. Создавать объекты GPO для развертывания программного обеспечения можно только в операционной системе Windows Server 2008/2008R2. Процесс создания GPO для установки программ будет подробно рассмотрен в одной из последующих статей.

gpedit-02

Конфигурация Windows

Узел «Конфигурация Windows» в основном предназначен для обеспечения безопасности компьютера и учетной записи, для которой применяются данные политики. В конфигурации Windows вы можете найти несколько узлов:

Политика разрешения имен

Этот узел предоставляет возможность управлением расширением таблицы политик разрешения имен (NRTP), которая хранит параметры конфигурации для безопасности DNS (DNSSEC). Политика разрешения имен – это объект групповой политики, в котором указаны сведения о политике, которые отображаются в NRTP. Это расширение стоит настраивать только в том случае, если ваш компьютер входит в состав домена Active Directory. Эта политика расположена только в узле «Конфигурация компьютера».

gpedit-03

При создании правила вам следует обратить внимание на следующие моменты:

Правила можно создавать для следующих частей пространства DNS:

  • Суффикс – это зона пространства имен DNS, к которой применяется данное правило. Суффикс является частью полного доменного имени;
  • Префикс – это первая часть полного доменного имени, к которому применяется правило;
  • Полное доменное имя – состоит из узла и имени домена, включая домен верхнего уровня;
  • Подсеть (IPv4) – это адрес подсети в формате IPv4 для зоны, к которой в случае обратного просмотра будет применено правило;
  • Подсеть (IPv6) – это адрес подсети в формате IPv6 для зоны, к которой в случае обратного просмотра будет применено правило;
  • Любой – применяется для всех найденных пространств имен DNS.

В поле «Центр сертификации» вы можете указать ЦС, который используется для создания цифровых подписей. Можно вводить ЦС вручную или выбрать нужный, воспользовавшись кнопкой «Обзор».

На вкладке «DNSSEC» вы можете включить DNSSEC для создаваемого правила и указать принудительную проверку конфигурации для безопасности DNS, а также выбрать тип шифрования, который будет использоваться для данного правила. Доступные значения: «Без шифрования (только целостность)», «Тройной DES (3DES)», «Advanced Encryption Standard (AES)» с длиной ключа 128, 192 или 256 бит, или AES с длиной ключа 192 и 256 бит.

На вкладке «Параметры DNS для прямого доступа» вы можете указать серверы, которые клиент DNS будет использовать при соответствии указанного имени; прокси-сервер, который будет использоваться для подключения к Интернету; и можете указать тип шифрования для использования IPSec при взаимодействии между клиентом и сервером DNS.

Если вы нажмете на кнопку «Дополнительные параметры глобальной политики», то сможете настроить параметры роуминга, параметры ошибки запроса и разрешения запроса.

После того как все параметры будут указаны, нажмите на кнопку «Создать». После чего созданное правило отобразится в таблице политик разрешения имен. Изменения политики не будут сохранены, пока вы не нажмете на кнопку «Применить».

Сценарии

При помощи этого CSE-расширения вы можете указывать по два типа сценариев автозапуска или завершения работы для узлов конфигурации компьютера и пользователя соответственно. В том случае, если вы укажете более одного сценария, то они будут выполняться согласно перечню в списке. Время ожидания обработки сценариев – 10 минут. В операционных системах, предшествующих Windows Server 2008 R2 и Windows 7, можно было использовать только языки сценариев ActiveX (Microsoft Visual Basic, Jscript, VBScript, Perl) и пакетные файлы (*.bat, *.cmd). Теперь появилась возможность использовать сценарии PowerShell:

gpedit-04

Для того чтобы назначить сценарий для автозагрузки или завершения работы, выполните следующие действия:

  1. Откройте редактор локальной групповой политики;
  2. Выберите «Сценарий запуск/завершение» из конфигурации Windows узла «Конфигурация компьютера» или «Конфигурация пользователя»;
  3. Дважды щелкните левой кнопкой мыши на политике «Автозагрузка» или «Завершение работы»;
  4. В диалоговом окне свойств политики нажмите на кнопку «Добавить»;
  5. В диалоговом окне «Добавление сценария», в поле «Имя сценария» введите путь к сценарию или нажмите на кнопку «Обзор» для поиска файла, а в поле «Параметры сценария» введите необходимые параметры аналогично вводу этих параметров в командной строке;

gpedit-05

При назначении нескольких сценариев они будут применяться в заданном порядке. Чтобы переместить сценарий в списке вверх, выберите его и нажмите на кнопку «Вверх». Для того чтобы переместить сценарий в списке вниз, выберите его и нажмите на кнопку «Вниз». Для того чтобы изменить сценарий, нажмите на кнопку «Изменить». Кнопка «Удалить» предназначена для удаления сценария из списка.

На вкладке «Сценарий PowerShell» вы можете добавить сценарии с расширением *.ps1. Также, вы можете выбрать порядок выполнения обычных сценариев и сценариев PowerShell из раскрывающегося списка.

Политика безопасности

Этот узел позволяет настраивать безопасность средствами GPO. В этом узле для конфигурации компьютера доступны следующие настройки:

gpedit-06

Политики учетных записей, которые позволяют устанавливать политику паролей и блокировки учетных записей. Этот функционал будет рассматриваться в одной из следующих статей.

Локальные политики, отвечающие за политику аудита, параметры безопасности и назначения прав пользователя. Этот функционал будет рассматриваться в одной из следующих статей.

Брандмауэр Windows в режиме повышенной безопасности, при помощи которых вы можете создавать правила входящих и исходящих подключений, а также правила безопасности подключений так же, как и в одноименной оснастке. Разница лишь в том, что после создания правила, его настройки нельзя будет изменить, а также в оснастке «Брандмауэр Windows в режиме повышенной безопасности» у вас не будет прав для удаления текущего правила. На следующем скриншоте вы увидите правило безопасности подключения туннельного режима, созданного средствами групповых политик и открытого в оснастке «Брандмауэр Windows в режиме повышенной безопасности»:

gpedit-07

Политики диспетчера списка сетей, позволяющие управлять всеми вашими сетевыми профилями.

Политики открытого ключа, которые позволяют:

  • настраивать компьютеры на автоматическую отправку запросов в центр сертификации предприятия и установку выдаваемых сертификатов;
  • создавать и распространять список доверия сертификатов (CTL);
  • добавлять агенты восстановления шифрованных данных и изменение параметров политики восстановления шифрованных данных;
  • добавлять агенты восстановления данных шифрования диска BitLocker.

О политиках открытого ключа будет подробно рассказано в статье о локальных политиках безопасности.

Политики ограниченного использования программ, позволяющие осуществлять идентификацию программ и управлять возможностью их выполнения на локальном компьютере, в подразделении, домене и узле.

Политики управления приложениями, отвечающие за создание и управления правилами и свойствами функционала AppLocker, который позволяет управлять установкой приложений и сценариев.

gpedit-08

Политики IP-безопасности на «Локальный компьютер», которые позволяют создавать политику IP-безопасности локального компьютера и управлять списками IP-фильтров. Более подробно будет рассказано в статье о локальных политиках безопасности.

Конфигурация расширенного аудита, который предоставляет дополняющие локальные политики, отвечающие за аудит. Об этих параметрах речь пойдет в статье, связанной с политиками аудита.

В дополнение ко всем этим параметрам безопасности Windows 7, в операционной системе Windows Server 2008 R2 доступны еще следующие параметры:

Журнал событий, который позволяет настраивать параметры журналов событий приложений, системных событий и событий безопасности.

Группы с ограниченным доступом, которые позволяют включать пользователей в отдельные группы. Об этих параметрах будет подробно рассказываться в статье о делегировании прав групповых политик.

Системные службы, определяющие типы запуска и разрешения доступа для системных служб.

Реестр, который задает разрешения контроля доступа к отдельным разделам системного реестра.

Файловая система, определяющие разрешения контроля доступа для файлов и папок NTFS.

Политики проводной сети (IEEE 802.3), которые управляют настройками проводных сетей.

Политики беспроводной сети (IEEE 802.11), которые управляют настройками беспроводных сетей.

Network Access Protection, которые позволяют создавать политики защиты сетевого доступа.

QoS на основе политики

Этот узел определяет политики, управляющих сетевым трафиком, которые позволяют настраивать проводные сети. Параметры QoS на основе политик позволяют настраивать приоритеты и управлять скоростью передачи для исходящего трафика на основе следующих факторов:

  • Отправляющее приложение;
  • URL-адрес;
  • Исходные или конечные адреса или префиксы адресов IPv4 и IPv6;
  • Исходные или конечные порты или диапазоны портов протоколов TCP и UDP;
  • Протоколы TCP или UDP.

Создание политик QoS будет подробно рассмотрено в одной из следующих статей.

Развернутые принтеры

Эта функция полезна, когда принтер используется совместно в закрытой среде, такой как школа, где все компьютеры в аудитории или офисе должны иметь доступ к одному принтеру или когда пользователю при перемещении в другое местоположение необходимо автоматическое подключение принтера.

gpedit-09

Настройки Internet Explorer

Чаще всего эти параметры используются для настройки внешнего вида браузера и его функций для применения стандартов организации, связанных с Интернетом, а также, чтобы предоставить пользователям общий интерфейс браузера. При помощи этого функционала вы можете настраивать заголовки браузера, панели инструментов, строки User-Agent, зон безопасности, оценки содержимого и многое другое. Подробно эти параметры будут рассматриваться в одной из последующих статей.

gpedit-10

В узле «Конфигурация Windows» операционной системы Windows Server 2008R2 вы также можете найти узел «Перенаправленные папки», которые позволяют менять местоположение специальных папок внутри профиля пользователя на новое, например, на место в общем сетевом ресурсе.

Заключение

На этом заканчивается первая часть статьи, посвященной оснастке «Редактор локальной групповой политики». При помощи текущей оснастки вы можете проводить разнообразные действия для настройки компьютера и повышения его безопасности. В этой статье был проведен краткий обзор функционала узлов «Конфигурация программ» и «Конфигурация Windows», используя которые вы можете управлять установкой программ, аудитом пользователей, изменять запуска служб, сценарии автозапуска и завершения, правил брандмауэра Windows в режиме повышенной безопасности и многое другое. В следующей части статьи я расскажу о принципах работы с узлом «Административные шаблоны», а также о фильтрации параметров политик данной оснастки.

Обзор групповой политики

Групповая политика представляет собой самый простой способ настройки компьютера и параметров пользователей в сетях на основе доменных служб Active Directory. Если ваша компания не использует групповую политику, вы упускаете отличную возможность для снижения расходов, управления конфигурациями, поддержания производительности и удобства для пользователей, а также повышения уровня безопасности. Групповая политика дает возможность настроить многочисленные параметры одновременно.

В данном техническом документе приведены простые и понятные требования и инструкции по использованию групповой политики.

  • Сеть должна работать на основе доменных служб Active Directory (то есть хотя бы на одном сервере должна быть установлена роль доменных служб Active Directory). Чтобы узнать больше о доменных службах Active Directory, см. Обзор доменных служб Active Directory на веб-сайте TechNet.
  • Компьютеры, которыми требуется управлять, должны быть присоединены к домену, а пользователи, которыми нужно управлять, должны использовать на своих компьютерах для входа в систему учетные данные домена.
  • Необходимо разрешение для изменения групповой политики в домене.

Хотя в центре внимания этого технического документа находится использование групповой политики в доменных службах Active Directory, параметры групповой политики можно также настроить локально на каждом компьютере. Эта возможность хорошо подходит для однократных сценариев или компьютеров рабочей группы, но локальную групповую политику не рекомендуется использовать в коммерческих сетях на основе доменных служб Active Directory. Причина проста. Групповая политика на основе домена централизует управление, что позволяет работать с множеством компьютеров из одного места. Локальная групповая политика требует работы с каждым компьютером по отдельности, что не является идеальным сценарием для больших сред. Чтобы получить дополнительные сведения о настройке локальной групповой политики, см. Редактор локальной групповой политики на веб-сайте TechNet.

Windows 7 применяет параметры политики, определенные с помощью групповой политики. В большинстве случаев для применения таких параметров отключается пользовательский интерфейс. Кроме того, поскольку Windows 7 сохраняет параметры групповой политики в безопасных расположениях реестра, стандартные учетные записи пользователей не позволяют изменить такие параметры. Таким образом, за один раз параметр можно настроить и применить на множестве компьютеров. Если параметр больше не применяется к компьютеру или пользователю, групповая политика удаляет этот параметр политики, восстанавливает исходный параметр и включает соответствующий пользовательский интерфейс. Эта функциональность является одновременно удивительной и чрезвычайно мощной.

noteПримечание
Стандартными учетными записями пользователей являются учетные записи пользователей, входящих в группу локальных пользователей, но не входящих в группу локальных администраторов. Их возможность настраивать параметры системы ограничена. Windows 7 поддерживает стандартные учетные записи пользователей лучше, чем предыдущие версии Windows, что позволяет таким учетным записям изменять часовой пояс, устанавливать принтеры, устранять проблемы с сетевыми подключениями и т. д. Развертывание стандартных учетных записей пользователей является лучшей методикой, и для этого всего лишь не нужно добавлять учетные записи пользователей в группу локальных администраторов. При присоединении компьютера к домену Windows 7 автоматически добавляет группу пользователей домена в группу локальных пользователей.

Основные концепции групповой политики

Всеми аспектами групповой политики можно управлять с помощью консоли управления групповыми политиками. На рисунке 1 показана консоль управления групповыми политиками, и в данном техническом документе по мере изучения важных концепций групповой политики будет встречаться множество ссылок на этот рисунок.

Снимок экранаРис. 1. Консоль управления групповыми политиками

Консоль управления групповыми политиками запускается из меню «Пуск». Щелкните ПускВсе программыАдминистрированиеУправление групповыми политиками. Можно также щелкнуть Пуск, ввести Управление групповыми политиками и выбрать Управление групповыми политиками в разделе Программы меню «Пуск». Windows Server 2008 и Windows Server 2008 R2 включают консоль управления групповыми политиками при выполнении роли доменных служб Active Directory. В противном случае консоль управления групповыми политиками можно установить на Windows Server 2008, Windows Server 2008 R2 или Windows 7, как описано далее в разделе «Установка консоли управления групповыми политиками в Windows 7» данного технического документа.

Объекты групповой политики

Объекты групповой политики содержат параметры политики. Объекты групповой политики можно рассматривать как документы политики, применяющие параметры к находящимся под их контролем компьютерам и пользователям. Если объекты групповой политики подобны документам политики, то консоль управления групповыми политиками подобна проводнику. Консоль управления групповыми политиками используется для создания, перемещения и удаления объектов групповой политики точно так же, как проводник используется для создания, перемещения и удаления файлов.

В консоли управления групповыми политиками можно увидеть все объекты групповой политики домена в папке объектов групповой политики. На рисунке 1 выноской 1 отмечены три объекта групповой политики для домена corp.contoso.com. Это следующие объекты групповой политики.

  • Accounting Security. Этот пользовательский объект групповой политики создан специально для компании Contoso, Ltd.
  • Default Domain Controller Policy. Эта политика создается по умолчанию при установке роли сервера доменных служб Active Directory. Она содержит параметры политики, которые применяются именно к контроллерам домена.
  • Default Domain Policy. Эта политика создается по умолчанию при установке роли сервера доменных служб Active Directory. Она содержит параметры политики, которые применяются ко всем компьютерам и пользователям в домене.

Связи групповой политики

На верхнем уровне доменных служб Active Directory находятся сайты и домены. В простых случаях имеется один сайт и один домен. В домене можно создать подразделения. Подразделения похожи на папки в проводнике. Однако вместо файлов и подпапок они могут содержать компьютеры, пользователей и другие объекты.

Например, на рисунке 1 можно увидеть подразделение под названием Departments. Ниже подразделения Departments находятся четыре подпапки: Accounting, Engineering, Management и Marketing. Это дочерние подразделения. На рисунке 1 нет подразделений, кроме подразделений контроллеров домена.

Для чего нужны связи групповой политики? Объекты групповой политики, находящиеся в папке объектов групповой политики, не оказывают никакого влияния, если они не связаны с сайтом, доменом или подразделением. Если объект групповой политики связан с контейнером, групповая политика применяет параметры этого объекта групповой политики к компьютерам и пользователям в этом контейнере. На рисунке 1 выноской 1 отмечены два объекта групповой политики, связанные с подразделениями.

  • Первый объект групповой политики называется Default Domain Policy, и он связан с доменом corp.contoso.com. Этот объект групповой политики применяется к каждому компьютеру и пользователю в домене.
  • Второй объект групповой политики называется Accounting Security, и он связан с подразделением Accounting. Этот объект групповой политики применяется к каждому компьютеру и пользователю подразделения Accounting.

В консоли управления групповыми политиками можно создавать объекты групповой политики в папке объектов групповой политики, а затем связывать их — за два шага. Объект групповой политики можно также создать и связать за один шаг. В большинстве случаев объекты групповой политики создаются и связываются за один шаг, как описано далее в разделе «Создание объекта групповой политики» этого технического документа.

Наследование групповой политики

Как было отмечено в предыдущем разделе, при связывании объекта групповой политики с доменом этот объект групповой политики применяется ко всем компьютерам и пользователям всех подразделений и дочерних подразделений домена. Подобным же образом при связывании объекта групповой политики с подразделением этот объект групповой политики применяется ко всем компьютерам и пользователям всех дочерних подразделений. Эта концепция называется наследованием.

Например, если создать объект групповой политики под названием Windows Firewall Settings и связать его с доменом corp.contoso.com на рисунке 1, параметры этого объекта групповой политики будут применены ко всем подразделениям на рисунке: Departments, Accounting, Engineering, Management, Marketing и Domain Controllers. Если вместо этого связать объект групповой политики с подразделением Departments, то параметры этого объекта групповой политики будут применены только к подразделениям Departments, Accounting, Engineering, Management и Marketing. Они не будут применены ко всему домену или подразделению Domain Controllers. Если переместиться ниже на один уровень и связать тот же объект групповой политики с подразделением Accounting на рисунке 1, параметры объекта групповой политики будут применены только к подразделению Accounting, так как у него нет дочерних подразделений. В консоли управления групповыми политиками можно увидеть, что контейнер объекта групповой политики наследуется, если щелкнуть вкладку Group Policy Inheritance (выноска 1 на рисунке 2).

Снимок экранаРис. 2. Наследование и приоритет групповых политик

Что произойдет, если один параметр будет содержаться в нескольких объектах групповой политики? В этом случае используется порядок приоритета. Вообще говоря, приоритет определяется порядком, в котором групповая политика применяет объекты групповой политики. Порядок следующий: сайт, домен, подразделение и дочерние подразделения. В результате объекты групповой политики в дочерних подразделениях имеют более высокий приоритет, чем объекты групповой политики, связанные с родительскими подразделениями. Последние имеют более высокий приоритет по сравнению с объектами групповой политики, связанными с доменом, приоритет которых, в свою очередь, выше, чем у объектов групповой политики, связанных с сайтом. Проще говоря, групповая политика применяет объекты групповой политики сверху вниз, постоянно перезаписывая параметры. Однако в более сложных сценариях порядок приоритета можно переопределить.

В пределах одного подразделения могут быть также несколько объектов групповой политики, содержащих один и тот же параметр. Как и в предыдущем случае, порядок приоритета определяется порядком, в котором групповая политика применяет объекты групповой политики. На рисунке 2 можно видеть два объекта групповой политики, связанных с доменом corp.contoso.com: Windows Firewall Settings и Default Domain Policy. Групповая политика применяет объекты групповой политики с более низким порядком связи после применения объектов групповой политики с более высоким порядком связи. В данном случае объект Windows Firewall Settings будет применен после объекта Default Domain Policy. Просто помните, что порядок связи 1 имеет первый приоритет, а порядок связи 2 имеет второй приоритет. Порядок связи для контейнера можно изменять, щелкая стрелку вверх и стрелку вниз, как показано выноской 2 на рисунке 2.

noteПримечание
Вероятно, уже стало ясно, что групповая политика представляет собой удивительно разносторонний инструмент. Однако групповая политика дает возможность сделать все слишком запутанным. В простых средах, таких как лаборатории и небольшие компании, нет ничего плохого в том, чтобы связать все объекты групповой политики с доменом. Не надо усложнять. Сложность должна быть оправданной. На рисунке 1, если нужно создать объект групповой политики и связать его только с подразделениями Engineering и Marketing, оправданием может служить то, что этот объект групповой политики содержит параметры, которые применяются только к этим двум отделам и не должны применяться к другим отделам. Если такого оправдания не существует, следует связать объект групповой политики с доменом, чтобы не создавать сложностей.

Параметры групповой политики

Мы уже познакомились с объектами групповой политики. Изучили, что консоль управления групповыми политиками для объектов групповой политики и подразделений значит то же самое, что проводник для файлов и папок. Объекты групповой политики представляют собой документы политики. В какой-то момент потребуется изменить один из таких документов, и в этом случае в качестве редактора следует использовать редактор «Управление групповыми политиками», показанный на рисунке 3. Чтобы открыть объект групповой политики в редакторе «Управление групповыми политиками», следует щелкнуть его правой кнопкой мыши в консоли управления групповыми политиками и выбрать команду Править. По окончании правки нужно просто закрыть окно. Редактор «Управление групповыми политиками» автоматически сохраняет изменения, поэтому нет необходимости выполнять сохранение.

Снимок экранаРис. 3. Редактор «Управление групповыми политиками»

Выноски 1 и 2 на рисунке 3 указывают соответственно на папки Computer Configuration и User Configuration. Папка Computer Configuration содержит параметры, которые применяются к компьютерам независимо от того, какие пользователи входят в систему. Это главным образом параметры системы и безопасности, настраивающие и контролирующие компьютер. Папка User Configuration содержит параметры, которые применяются к пользователям независимо от того, какой компьютер они используют. Эти параметры главным образом влияют на работу пользователей.

В папках Computer Configuration и User Configuration можно увидеть две подпапки (выноски 3 и 4 на рисунке 3).

  • Policies. Папка Policies содержит параметры политики, применяемые групповой политикой.
  • Preferences. Папка Preferences содержит параметры предпочтений, которые можно использовать для изменения почти любого параметра реестра, файла, папки или другого элемента. С помощью параметров предпочтений можно настроить приложения и функции Windows, не зависящие от групповой политики. Например, можно создать параметр предпочтений, который настраивает значение реестра для стороннего приложения, удаляет папку «Образцы изображений» из профиля пользователя или конфигурирует INI-файл. Можно также выбрать, будет ли групповая политика применять каждый из параметров предпочтений. Однако стандартные учетные записи пользователей позволяют изменять большинство параметров предпочтений, определяемых в папке User Configuration между обновлениями групповой политики. Дополнительную информацию о параметрах предпочтений см. в документе Обзор предпочтений групповой политики.

При первом знакомстве с групповой политикой большая часть настраиваемых параметров будет находиться в папках «Административные шаблоны». Это параметры политики на основе реестра, применяемые групповой политикой. Они отличаются от других параметров политики по двум причинам. Во-первых, групповая политика сохраняет эти параметры в особых расположениях реестра под названием ветви политик, которые нельзя изменить с помощью стандартных учетных записей пользователей. Зависящие от групповой политики функции и приложения Windows ищут эти параметры в реестре. Если они их находят, то используют эти параметры политики вместо обычных параметров. В соответствии с этими параметрами они также часто отключают пользовательский интерфейс.

Во-вторых, шаблоны для этих параметров определяются файлами административных шаблонов, имеющими расширение .admx. Эти шаблоны не только определяют место параметров политики в реестре, но также описывают, как их вызывать в редакторе «Управление групповыми политиками». Например, в параметре групповой политики, показанном на рисунке 4, файл административного шаблона определяет текст справки, доступные параметры, поддерживаемые операционные системы и т. д.

Снимок экранаРис. 4. Параметр групповой политики

В процессе правки параметра политики можно столкнуться с вариантами, указанными выносками 1–3 на рисунке 4. Выбор этих вариантов приводит к следующим результатам.

  • Enabled: запись параметра политики в реестр со значением, включающим его.
  • Disabled: запись параметра политики в реестр со значением, выключающим его.
  • Not Configured: параметр политики остается неопределенным. Групповая политика не записывает этот параметр политики в реестр, поэтому он не оказывает влияния на компьютеры или пользователей.

Невозможно обобщить, что означает включение и выключение для каждого параметра политики. Для точного определения значения этих вариантов можно прочитать текст справки, указанный выноской 5. Необходимо также внимательно читать имя параметра политики. Например, один параметр политики может указывать «Включить функцию X», а другой — «Выключить функцию Y». В каждом случае включение и выключение имеет разные значения. Пока не освоитесь, читайте текст справки для настраиваемых параметров политики.

Некоторые параметры политики имеют дополнительные настраиваемые параметры. Выноска 4 на рисунке 4 показывает параметры, доступные для параметра политики интервала обновления групповой политики. В большинстве случаев значения по умолчанию совпадают со значениями по умолчанию для Windows. В тексте справки обычно также содержатся подробные сведения о настраиваемых параметрах.

Обновление групповой политики

Как было сказано в предыдущем разделе, объекты групповой политики содержат параметры компьютеров и пользователей. Групповая политика применяет их следующим образом.

  • Параметры компьютера при запуске Windows.
  • Параметры пользователя после входа пользователя в систему.

Групповая политика также регулярно обновляет объекты групповой политики, чтобы обеспечить применение новых и измененных объектов групповой политики, не ожидая перезагрузки компьютера или выхода пользователя из системы. Промежуток времени между такими обновлениями называется интервалом обновления групповой политики. По умолчанию используется значение 90 минут с небольшим фактором случайности, позволяющим предотвратить одновременное обновление всех компьютеров. Если изменить объект групповой политики в середине рабочего дня, групповая политика применит эти изменения в течение примерно 90 минут. Не надо будет ждать конца рабочего дня, когда пользователи выйдут из системы или перезапустят компьютеры. В более сложных сценариях интервал обновления по умолчанию можно изменить.

noteПримечание
В любой момент можно обновить групповую политику вручную с помощью команды Gpupdate.exe. Например, после обновления объекта групповой политики может потребоваться обновить групповую политику на компьютере, чтобы тестировать изменения, не дожидаясь интервала обновления групповой политики. Пошаговые инструкции приведены далее в этом техническом документе в разделе «Обновление клиентов».

Основные задачи групповой политики

Мы познакомились с основными концепциями групповой политики. Мы знаем, что объект групповой политики подобен документу, содержащему параметры политики. Объектами групповой политики можно управлять с помощью консоли управления групповыми политиками, и их можно править с помощью редактора «Управление групповыми политиками».

Известно также, что объекты групповой политики связываются с сайтами, доменами и подразделениями доменных служб Active Directory для применения параметров объектов групповой политики к этим контейнерам. Домены, подразделения и дочерние подразделения наследуют параметры родителей. Однако дублирующиеся параметры в объектах групповой политики, связанных с дочерними подразделениями, обладают приоритетом по сравнению с теми же параметрами в объектах групповой политики, связанных с родительскими подразделениями; последние обладают приоритетом по сравнению с объектами групповой политики, связанными с доменом, и т. д.

Нам также известно, что в пределах сайта, домена или подразделения порядок связи определяет порядок приоритета (чем меньше номер, тем выше приоритет). Наконец, мы получили базовые знания по методам правки объектов групповой политики и типам содержащихся в них параметров.

Теперь, после изучения основных концепций, мы готовы ознакомиться с основными задачами. В данном разделе описываются создание, правка и удаление объектов групповой политики. В нем также описывается множество других задач. Для каждой задачи приводятся объяснение цели и пошаговые инструкции со снимками экрана для каждого шага.

noteПримечание
Функция пакета Microsoft Desktop Optimization Pack, которая называется расширенным управлением групповыми политиками, дополняет групповую политику новыми возможностями, такими как автономная правка, управление версиями и ролевое делегирование. Любая организация может использовать для управления групповыми политиками преимущества расширенного управления групповыми политиками. Дополнительные сведения о расширенном управлении групповыми политиками см. в документе Расширение групповой политики с помощью управления изменениями.

Создание объекта групповой политики

Объект групповой политики создается с помощью консоли управления групповыми политиками. Объект групповой политики можно создать двумя способами.

  • Создать и связать объект групповой политики за один шаг.
  • Создать объект групповой политики в папке объектов групповой политики, а затем связать его с доменом или подразделением.

Инструкции в данном разделе описывают создание и связывание объекта групповой политики за один шаг.

Можно начать с пустого объекта групповой политики, который описывается инструкциями, или использовать начальный объект групповой политики. Начальные объекты групповой политики являются дополнительной темой, с которой можно ознакомиться с помощью статьи Работа с начальными объектами групповой политики.

Создание и связывание объекта групповой политики в домене или подразделении

Правка объекта групповой политики

В консоли управления групповыми политиками можно открывать объекты групповой политики из любого контейнера в редакторе «Управление групповыми политиками» и править. Чтобы увидеть все объекты групповой политики, независимо от места их связи, для правки следует использовать папку объектов групповой политики.

Выполнение правки объекта групповой политики в домене, подразделении или папке объектов групповой политики

Связывание объекта групповой политики

Если объекты групповой политики создаются и связываются за один шаг, не требуется вручную связывать объекты групповой политики с доменом или подразделениями. Однако если объект групповой политики создается в папке объектов групповой политики или его связь была разорвана и ее требуется восстановить, такой объект групповой политики нужно будет связать вручную. Простой способ связать объект групповой политики состоит в его перетаскивании из папки объектов групповой политики на домен или подразделение, с которым его нужно связать.

Связывание объекта групповой политики с доменом или подразделением

Удаление связи объекта групповой политики

Связь объекта групповой политики удаляется, если больше не требуется применять его к домену или подразделению (или к соответствующим дочерним подразделениям). Позднее связь можно восстановить, как описано в разделе «Связывание объекта групповой политики».

При удалении связи объекта групповой политики из домена или подразделения сам объект групповой политики не удаляется. Удаляется только связь. После удаления связи объект групповой политики остается в папке объектов групповой политики консоли управления групповыми политиками.

Удаление связи объекта групповой политики из домена или подразделения

Удаление объекта групповой политики

Обновление клиентов

При тестировании, правке или устранении неполадок объектов групповой политики нет необходимости ждать интервала обновления групповой политики (по умолчанию 90 минут). Групповую политику на любом клиентском компьютере можно обновить вручную, выполнив команду Gpupdate.exe. Команда Gpupdate.exe поддерживает множество параметров командной строки, о которых можно узнать, введя gpupdate.exe /? в окне командной строки. Однако в большинстве случаев для обновления групповой политики достаточно следовать инструкциям, приведенным в данном разделе.

Обновление групповой политики вручную с помощью команды Gpupdate.exe

Резервное копирование объектов групповой политики

Резервное копирование важных файлов является полезным делом, и объекты групповой политики не составляют исключения. В случае ошибочного изменения или случайного удаления объект групповой политики можно быстро восстановить из резервной копии. С помощью консоли управления групповыми политиками можно создавать резервные копии объектов групповой политики в любом местоположении.

Выполнение резервного копирования объекта групповой политики в папку

1 В консоли управления групповыми политиками щелкните папку Объекты групповой политики. Снимок экрана
2 Щелкните правой кнопкой мыши объект групповой политики, для которого нужно создать резервную копию, и выберите команду Резервное копирование. Снимок экрана
3 В поле Расположение диалогового окна Резервное копирование объекта групповой политики введите путь к папке, в которой нужно создать резервную копию объекта групповой политики. Можно также нажать кнопку Обзор и выбрать папку. Затем введите краткое описание объекта групповой политики в поле Описание и щелкните Резервное копирование. Снимок экрана
4 Проверьте результаты в диалоговом окне Резервное копирование и нажмите кнопку ОК. Снимок экрана

Восстановление объектов групповой политики

Установка консоли управления групповыми политиками в Windows 7

Windows Server 2008 и Windows Server 2008 R2 включают консоль управления групповыми политиками при выполнении роли доменных служб Active Directory. В противном случае можно установить консоль управления групповыми политиками на Windows Server 2008, Windows Server 2008 R2 или Windows 7. Чтобы установить консоль управления групповыми политиками, нужно загрузить Средства удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) и установить на компьютере один из следующих файлов:

  1. Windows6.1-KB958830-x64-RefreshPkg.msu. Этот пакет устанавливается на компьютерах с архитектурой x64, включая работающие под управлением Windows Server 2008 R2.
  2. Windows6.1-KB958830-x86-RefreshPkg.msu. Этот пакет устанавливается на компьютерах с архитектурой x86.

Установка обновления просто добавляет эту функцию в Windows. Кроме того, средства управления групповыми политиками необходимо включить с помощью раздела «Программы и компоненты» панели управления. В инструкциях, приведенных в данном разделе, описывается установка обновления, а также включение средств управления групповыми политиками.

Установка средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1)

1 Выполните один из следующих файлов, загруженных ранее:

  1. Windows6.1-KB958830-x64-RefreshPkg.msu
  2. Windows6.1-KB958830-x86-RefreshPkg.msu

Затем нажмите кнопку Да, чтобы установить обновление.

Снимок экрана
2 На странице Прочтите условия лицензионного соглашения (1 из 1) изучите условия и, если согласны, щелкните Принимаю. Снимок экрана
3 На странице Установка завершена нажмите кнопку Закрыть. Снимок экрана

Включение средств управления групповыми политиками

Заключение

Мы прошли долгий путь. Изучили важные концепции групповой политики, такие как объекты групповой политики, связи, наследование и т. д. Мы также изучили использование консоли управления групповыми политиками и редактора «Управление групповыми политиками» для выполнения основных задач, например создания, правки и удаления объектов групповой политики.

Чтобы узнать больше о групповой политике и развить навыки, можно использовать множество доступных ресурсов Майкрософт. Прежде всего страницу ресурсов групповой политики технического центра Windows Server, где можно найти любое необходимое техническое содержимое, связанное с групповой политикой. На этой странице представлено множество руководств по началу работы, а также видеозаписи. Чтобы получить рекомендации по групповой политике, относящиеся к Windows 7, посетите Зону обеспечения безопасности и управления клиентами Windows.

http://technet.microsoft.com/ru-ru/library/hh147307(v=ws.10).aspx


Like this post? Please share to your friends:
  • Редактор реестра windows 10 в безопасном режиме
  • Редактирование панели быстрого доступа windows 10
  • Редактор групповых политик windows 10 как зайти
  • Редактор реестра windows 10 автозапуск программ
  • Редактирование меню создать в windows 10