Групповая
политика – инфраструктура в рамках
службы каталогов Active
Directory,
обеспечивающая изменение и настройку
параметров пользователей и компьютеров,
включая безопасность и данные пользователя,
на основе каталогов.
Групповая
политика используется для определения
конфигураций для групп пользователей
и компьютеров. С помощью групповой
политики можно задавать параметры
политик на основе реестра, безопасности,
установки программного обеспечения,
сценариев, перенаправления папки, служб
удаленного доступа и Internet
Explorer.
Параметры созданной пользователем
групповой политики содержатся в объекте
групповой политики (GPO).
Связав GPO
с выбранными контейнерами Active
Directory
(сайтами, доменами и подразделениями),
можно применить параметры политики
этого GPO
к пользователям и компьютерам в
соответствующих контейнерах Active
Directory.
Для создания GPO
используется редактор объектов групповой
политики. Для управления объектами
групповой политики на предприятии можно
использовать консоль управления
политикой (GPMC).
15. Порядок применения групповых политик
Групповая
политика на базе Active
Directory
может быть применена путем связывания
объектов групповой политики с объектами
Active
Directory
(сайтами, доменами или подразделениями).
Параметры групповой политики, расположенные
в папке «Конфигурация пользователя»,
применяются к пользователям, а параметры
в папке «Конфигурация компьютера» — к
компьютерам. Расположение учетных
записей пользователя и компьютера в
Active
Directory
определяет применяемые объекты групповой
политики. Следует отметить, что, хотя
некоторые параметры настройки относятся
к пользовательскому интерфейсу, например
фоновый рисунок или возможность
использовать команду Выполнить в меню
Пуск, они применяются и к компьютерам.
Групповая
политика действует совокупно. Дочерние
контейнеры службы каталогов наследуют
политику от родительских, и обработка
групповой политики выполняется в
следующем порядке: локальная, политика
сайта, домена, а затем последовательно
политики подразделений, от наивысшего
подразделения (наиболее удаленного от
учетной записи пользователя или
компьютера) к низшему подразделению
(непосредственно содержащему учетную
запись пользователя или компьютера).
Это означает, что, если объект групповой
политики связан с родительским контейнером
верхнего уровня, то этот объект применяется
для всех контейнеров ниже родительского,
включая пользователей и компьютеры в
каждом контейнере. Однако, если в явном
виде включить или отключить некоторые
параметры групповой политики в другом
объекте, связанном с дочерним контейнером,
параметры объекта дочернего контейнера
переопределят параметры объекта
родительского контейнера.
Имеется
возможность принудительно задать
групповую политику для дочерних
контейнеров, установив флажок Не
перекрывать для объекта групповой
политики. Кроме того, можно запретить
наследование групповой политики от
родительских контейнеров путем включения
параметра Блокировать наследование
политики в домене или подразделении.
16. Роли сервера ms Windows 2003
Операционные
системы семейства Windows Server
2003 предоставляют несколько ролей
серверов. Настраивать роли сервера
можно, установив роль сервера при помощи
мастера настройки сервера и управляя
ролями сервера при помощи программы
«Управление данным сервером». По
окончании установки роли сервера
программа «Управление данным сервером»
запускается автоматически.
-
Файловый
сервер -
Сервер
печати -
Сервер
приложений -
Почтовый
сервер -
Сервер
терминалов -
Сервер
приложений -
Сервер
удаленного доступа и VPN-сервер -
Контроллер
домена -
DNS-сервер
-
DHCP-сервер
-
Сервер
потоков мультимедиа -
WINS-сервер
Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
- #
- #
- #
- #
- #
- #
- #
- #
- #
- #
- #
From Wikipedia, the free encyclopedia
Parts of this article (those related to Windows 10 issues) need to be updated. Please help update this article to reflect recent events or newly available information. (September 2018) |
Group Policy is a feature of the Microsoft Windows NT family of operating systems (including Windows 7, Windows 8.1, Windows 10, Windows 11, and Windows Server 2003+) that controls the working environment of user accounts and computer accounts. Group Policy provides centralized management and configuration of operating systems, applications, and users’ settings in an Active Directory environment. A set of Group Policy configurations is called a Group Policy Object (GPO). A version of Group Policy called Local Group Policy (LGPO or LocalGPO) allows Group Policy Object management without Active Directory on standalone computers.[1][2]
Active Directory servers disseminate group policies by listing them in their LDAP directory under objects of class groupPolicyContainer
. These refer to fileserver paths (attribute gPCFileSysPath
) that store the actual group policy objects, typically in an SMB share \domain.comSYSVOL shared by the Active Directory server. If a group policy has registry settings, the associated file share will have a file registry.pol
with the registry settings that the client needs to apply.[3]
The Policy Editor (gpedit.msc) is not provided on Home versions of Windows XP/Vista/7/8/8.1/10/11.
Operation[edit]
Group Policies, in part, control what users can and cannot do on a computer system. For example, a Group Policy can be used to enforce a password complexity policy that prevents users from choosing an overly simple password. Other examples include: allowing or preventing unidentified users from remote computers to connect to a network share, or to block/restrict access to certain folders. A set of such configurations is called a Group Policy Object (GPO).
As part of Microsoft’s IntelliMirror technologies, Group Policy aims to reduce the cost of supporting users. IntelliMirror technologies relate to the management of disconnected machines or roaming users and include roaming user profiles, folder redirection, and offline files.
Enforcement[edit]
To accomplish the goal of central management of a group of computers, machines should receive and enforce GPOs. A GPO that resides on a single machine only applies to that computer. To apply a GPO to a group of computers, Group Policy relies on Active Directory (or on third-party products like ZENworks Desktop Management) for distribution. Active Directory can distribute GPOs to computers which belong to a Windows domain.
By default, Microsoft Windows refreshes its policy settings every 90 minutes with a random 30 minutes offset. On domain controllers, Microsoft Windows does so every five minutes. During the refresh, it discovers, fetches and applies all GPOs that apply to the machine and to logged-on users. Some settings — such as those for automated software installation, drive mappings, startup scripts or logon scripts — only apply during startup or user logon. Since Windows XP, users can manually initiate a refresh of the group policy by using the gpupdate
command from a command prompt.[4]
Group Policy Objects are processed in the following order (from top to bottom):[5]
- Local — Any settings in the computer’s local policy. Prior to Windows Vista, there was only one local group policy stored per computer. Windows Vista and later Windows versions allow individual group policies per user accounts.[6]
- Site — Any Group Policies associated with the Active Directory site in which the computer resides. (An Active Directory site is a logical grouping of computers, intended to facilitate management of those computers based on their physical proximity.) If multiple policies are linked to a site, they are processed in the order set by the administrator.
- Domain — Any Group Policies associated with the Windows domain in which the computer resides. If multiple policies are linked to a domain, they are processed in the order set by the administrator.
- Organizational Unit — Group policies assigned to the Active Directory organizational unit (OU) in which the computer or user are placed. (OUs are logical units that help organizing and managing a group of users, computers or other Active Directory objects.) If multiple policies are linked to an OU, they are processed in the order set by the administrator.
The resulting Group Policy settings applied to a given computer or user are known as the Resultant Set of Policy (RSoP). RSoP information may be displayed for both computers and users using the gpresult
command.[7]
Inheritance[edit]
A policy setting inside a hierarchical structure is ordinarily passed from parent to children, and from children to grandchildren, and so forth. This is termed inheritance. It can be blocked or enforced to control what policies are applied at each level. If a higher level administrator (enterprise administrator) creates a policy that has inheritance blocked by a lower level administrator (domain administrator), this policy will still be processed.
Where a Group Policy Preference Settings is configured and there is also an equivalent Group Policy Setting configured, then the value of the Group Policy Setting will take precedence.
Filtering[edit]
WMI filtering is the process of customizing the scope of the GPO by choosing a (WMI) filter to apply. These filters allow administrators to apply the GPO only to, for example, computers of specific models, RAM, installed software, or anything available via WMI queries.
Local Group Policy[edit]
Local Group Policy (LGP, or LocalGPO) is a more basic version of Group Policy for standalone and non-domain computers, that has existed at least since Windows XP,[when?] and can be applied to domain computers.[citation needed] Prior to Windows Vista, LGP could enforce a Group Policy Object for a single local computer, but could not make policies for individual users or groups. From Windows Vista onward, LGP allow Local Group Policy management for individual users and groups as well,[1] and also allows backup, importing and exporting of policies between standalone machines via «GPO Packs» – group policy containers which include the files needed to import the policy to the destination machine.[2]
Group Policy preferences[edit]
Group Policy Preferences are a way for the administrator to set policies that are not mandatory, but optional for the user or computer.
There is a set of group policy setting extensions that were previously known as PolicyMaker. Microsoft bought PolicyMaker and then integrated them with Windows Server 2008. Microsoft has since released a migration tool that allows users to migrate PolicyMaker items to Group Policy Preferences.[8]
Group Policy Preferences adds a number of new configuration items. These items also have a number of additional targeting options that can be used to granularly control the application of these setting items.
Group Policy Preferences are compatible with x86 and x64 versions of Windows XP, Windows Server 2003, and Windows Vista with the addition of the Client Side Extensions (also known as CSE).[9][10][11][12][13][14]
Client Side Extensions are now included in Windows Server 2008, Windows 7, and Windows Server 2008 R2.
Group Policy Management Console[edit]
Originally, Group Policies were modified using the Group Policy Edit tool that was integrated with Active Directory Users and Computers Microsoft Management Console (MMC) snap-in, but it was later split into a separate MMC snap-in called the Group Policy Management Console (GPMC). The GPMC is now a user component in Windows Server 2008 and Windows Server 2008 R2 and is provided as a download as part of the Remote Server Administration Tools for Windows Vista and Windows 7.[15][16][17][18]
Advanced Group Policy Management[edit]
Microsoft has also released a tool to make changes to Group Policy called Advanced Group Policy Management[19] (a.k.a. AGPM). This tool is available for any organization that has licensed the Microsoft Desktop Optimization Pack (a.k.a. MDOP). This advanced tool allows administrators to have a check in/out process for modification Group Policy Objects, track changes to Group Policy Objects, and implement approval workflows for changes to Group Policy Objects.
AGPM consists of two parts — server and client.
The server is a Windows Service that stores its Group Policy Objects in an archive located on the same computer or a network share.
The client is a snap-in to the Group Policy Management Console, and connects to the AGPM server. Configuration of the client is performed via Group Policy.
Security[edit]
Group Policy settings are enforced voluntarily by the targeted applications. In many cases, this merely consists of disabling the user interface for a particular function.[20]
"Circumventing Group Policy as a Limited User</ref>
Windows 8 enhancements[edit]
Windows 8 has introduced a new feature called Group Policy Update. This feature allows an administrator to force a group policy update on all computers with accounts in a particular Organizational Unit. This creates a scheduled task on the computer which runs the gpupdate
command within 10 minutes, adjusted by a random offset to avoid overloading the domain controller.
Group Policy Infrastructure Status was introduced, which can report when any Group Policy Objects are not replicated correctly amongst domain controllers.[21]
Group Policy Results Report also has a new feature that times the execution of individual components when doing a Group Policy Update.[22]
See also[edit]
- Administrative Templates
- Group Policy improvements in Windows Vista
- Workgroup Manager
References[edit]
- ^ a b LLC), Tara Meyer (Aquent. «Step-by-Step Guide to Managing Multiple Local Group Policy Objects». go.microsoft.com.
- ^ a b Sigman, Jeff. «SCM v2 Beta: LocalGPO Rocks!». Microsoft. Retrieved 2018-11-24.
- ^ «[MS-GPOD]: Group Policy Protocols Overview». Microsoft. Section 1.1.5 Group Policy Data Storage. Retrieved 2020-02-22.
- ^
Gpupdate - ^ «Group Policy processing and precedence». Microsoft Corporation. 22 April 2012.
- ^ «Group Policy — Apply to a Specific User or Group — Windows 7 Help Forums». www.sevenforums.com.
- ^ Archiveddocs. «Gpresult». technet.microsoft.com.
- ^ «Group Policy Preference Migration Tool (GPPMIG)». Microsoft.
- ^ «Group Policy Preference Client Side Extensions for Windows XP (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Vista (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Vista x64 Edition (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Server 2003 (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729)». Microsoft Download Center.
- ^
«How to Install GPMC on Server 2008, 2008 R2, and Windows 7 (via RSAT)». 2009-12-23. - ^
Microsoft Remote Server Administration Tools for Windows Vista - ^
Microsoft Remote Server Administration Tools for Windows Vista for x64-based Systems - ^
Remote Server Administration Tools for Windows 7 - ^ «Windows — Official Site for Microsoft Windows 10 Home & Pro OS, laptops, PCs, tablets & more». www.microsoft.com.
- ^ Raymond Chen, «Shell policy is not the same as security»
- ^ «Updated: What’s new with Group Policy in Windows 8». 17 October 2011.
- ^ «Windows 8 Group Policy Performance Troubleshooting Feature». 23 January 2012.
Further reading[edit]
- «Group Policy for Beginners». Windows 7 Technical Library. Microsoft. 27 April 2011. Retrieved 22 April 2012.
- «Group Policy Management Console». Dev Center — Desktop. Microsoft. 3 February 2012. Retrieved 22 April 2012.
- «Step-by-Step Guide to Managing Multiple Local Group Policy Objects». Windows Vista Technical Library. Microsoft. Retrieved 22 April 2012.
- «Group Policy processing and precedence». Windows Server 2003 Product Help. Microsoft. 21 January 2005. Retrieved 22 April 2012.
External links[edit]
- Official website
- Group Policy Team Blog
- Group Policy Settings Reference for Windows and Windows Server
- Force Gpupdate
From Wikipedia, the free encyclopedia
Parts of this article (those related to Windows 10 issues) need to be updated. Please help update this article to reflect recent events or newly available information. (September 2018) |
Group Policy is a feature of the Microsoft Windows NT family of operating systems (including Windows 7, Windows 8.1, Windows 10, Windows 11, and Windows Server 2003+) that controls the working environment of user accounts and computer accounts. Group Policy provides centralized management and configuration of operating systems, applications, and users’ settings in an Active Directory environment. A set of Group Policy configurations is called a Group Policy Object (GPO). A version of Group Policy called Local Group Policy (LGPO or LocalGPO) allows Group Policy Object management without Active Directory on standalone computers.[1][2]
Active Directory servers disseminate group policies by listing them in their LDAP directory under objects of class groupPolicyContainer
. These refer to fileserver paths (attribute gPCFileSysPath
) that store the actual group policy objects, typically in an SMB share \domain.comSYSVOL shared by the Active Directory server. If a group policy has registry settings, the associated file share will have a file registry.pol
with the registry settings that the client needs to apply.[3]
The Policy Editor (gpedit.msc) is not provided on Home versions of Windows XP/Vista/7/8/8.1/10/11.
Operation[edit]
Group Policies, in part, control what users can and cannot do on a computer system. For example, a Group Policy can be used to enforce a password complexity policy that prevents users from choosing an overly simple password. Other examples include: allowing or preventing unidentified users from remote computers to connect to a network share, or to block/restrict access to certain folders. A set of such configurations is called a Group Policy Object (GPO).
As part of Microsoft’s IntelliMirror technologies, Group Policy aims to reduce the cost of supporting users. IntelliMirror technologies relate to the management of disconnected machines or roaming users and include roaming user profiles, folder redirection, and offline files.
Enforcement[edit]
To accomplish the goal of central management of a group of computers, machines should receive and enforce GPOs. A GPO that resides on a single machine only applies to that computer. To apply a GPO to a group of computers, Group Policy relies on Active Directory (or on third-party products like ZENworks Desktop Management) for distribution. Active Directory can distribute GPOs to computers which belong to a Windows domain.
By default, Microsoft Windows refreshes its policy settings every 90 minutes with a random 30 minutes offset. On domain controllers, Microsoft Windows does so every five minutes. During the refresh, it discovers, fetches and applies all GPOs that apply to the machine and to logged-on users. Some settings — such as those for automated software installation, drive mappings, startup scripts or logon scripts — only apply during startup or user logon. Since Windows XP, users can manually initiate a refresh of the group policy by using the gpupdate
command from a command prompt.[4]
Group Policy Objects are processed in the following order (from top to bottom):[5]
- Local — Any settings in the computer’s local policy. Prior to Windows Vista, there was only one local group policy stored per computer. Windows Vista and later Windows versions allow individual group policies per user accounts.[6]
- Site — Any Group Policies associated with the Active Directory site in which the computer resides. (An Active Directory site is a logical grouping of computers, intended to facilitate management of those computers based on their physical proximity.) If multiple policies are linked to a site, they are processed in the order set by the administrator.
- Domain — Any Group Policies associated with the Windows domain in which the computer resides. If multiple policies are linked to a domain, they are processed in the order set by the administrator.
- Organizational Unit — Group policies assigned to the Active Directory organizational unit (OU) in which the computer or user are placed. (OUs are logical units that help organizing and managing a group of users, computers or other Active Directory objects.) If multiple policies are linked to an OU, they are processed in the order set by the administrator.
The resulting Group Policy settings applied to a given computer or user are known as the Resultant Set of Policy (RSoP). RSoP information may be displayed for both computers and users using the gpresult
command.[7]
Inheritance[edit]
A policy setting inside a hierarchical structure is ordinarily passed from parent to children, and from children to grandchildren, and so forth. This is termed inheritance. It can be blocked or enforced to control what policies are applied at each level. If a higher level administrator (enterprise administrator) creates a policy that has inheritance blocked by a lower level administrator (domain administrator), this policy will still be processed.
Where a Group Policy Preference Settings is configured and there is also an equivalent Group Policy Setting configured, then the value of the Group Policy Setting will take precedence.
Filtering[edit]
WMI filtering is the process of customizing the scope of the GPO by choosing a (WMI) filter to apply. These filters allow administrators to apply the GPO only to, for example, computers of specific models, RAM, installed software, or anything available via WMI queries.
Local Group Policy[edit]
Local Group Policy (LGP, or LocalGPO) is a more basic version of Group Policy for standalone and non-domain computers, that has existed at least since Windows XP,[when?] and can be applied to domain computers.[citation needed] Prior to Windows Vista, LGP could enforce a Group Policy Object for a single local computer, but could not make policies for individual users or groups. From Windows Vista onward, LGP allow Local Group Policy management for individual users and groups as well,[1] and also allows backup, importing and exporting of policies between standalone machines via «GPO Packs» – group policy containers which include the files needed to import the policy to the destination machine.[2]
Group Policy preferences[edit]
Group Policy Preferences are a way for the administrator to set policies that are not mandatory, but optional for the user or computer.
There is a set of group policy setting extensions that were previously known as PolicyMaker. Microsoft bought PolicyMaker and then integrated them with Windows Server 2008. Microsoft has since released a migration tool that allows users to migrate PolicyMaker items to Group Policy Preferences.[8]
Group Policy Preferences adds a number of new configuration items. These items also have a number of additional targeting options that can be used to granularly control the application of these setting items.
Group Policy Preferences are compatible with x86 and x64 versions of Windows XP, Windows Server 2003, and Windows Vista with the addition of the Client Side Extensions (also known as CSE).[9][10][11][12][13][14]
Client Side Extensions are now included in Windows Server 2008, Windows 7, and Windows Server 2008 R2.
Group Policy Management Console[edit]
Originally, Group Policies were modified using the Group Policy Edit tool that was integrated with Active Directory Users and Computers Microsoft Management Console (MMC) snap-in, but it was later split into a separate MMC snap-in called the Group Policy Management Console (GPMC). The GPMC is now a user component in Windows Server 2008 and Windows Server 2008 R2 and is provided as a download as part of the Remote Server Administration Tools for Windows Vista and Windows 7.[15][16][17][18]
Advanced Group Policy Management[edit]
Microsoft has also released a tool to make changes to Group Policy called Advanced Group Policy Management[19] (a.k.a. AGPM). This tool is available for any organization that has licensed the Microsoft Desktop Optimization Pack (a.k.a. MDOP). This advanced tool allows administrators to have a check in/out process for modification Group Policy Objects, track changes to Group Policy Objects, and implement approval workflows for changes to Group Policy Objects.
AGPM consists of two parts — server and client.
The server is a Windows Service that stores its Group Policy Objects in an archive located on the same computer or a network share.
The client is a snap-in to the Group Policy Management Console, and connects to the AGPM server. Configuration of the client is performed via Group Policy.
Security[edit]
Group Policy settings are enforced voluntarily by the targeted applications. In many cases, this merely consists of disabling the user interface for a particular function.[20]
"Circumventing Group Policy as a Limited User</ref>
Windows 8 enhancements[edit]
Windows 8 has introduced a new feature called Group Policy Update. This feature allows an administrator to force a group policy update on all computers with accounts in a particular Organizational Unit. This creates a scheduled task on the computer which runs the gpupdate
command within 10 minutes, adjusted by a random offset to avoid overloading the domain controller.
Group Policy Infrastructure Status was introduced, which can report when any Group Policy Objects are not replicated correctly amongst domain controllers.[21]
Group Policy Results Report also has a new feature that times the execution of individual components when doing a Group Policy Update.[22]
See also[edit]
- Administrative Templates
- Group Policy improvements in Windows Vista
- Workgroup Manager
References[edit]
- ^ a b LLC), Tara Meyer (Aquent. «Step-by-Step Guide to Managing Multiple Local Group Policy Objects». go.microsoft.com.
- ^ a b Sigman, Jeff. «SCM v2 Beta: LocalGPO Rocks!». Microsoft. Retrieved 2018-11-24.
- ^ «[MS-GPOD]: Group Policy Protocols Overview». Microsoft. Section 1.1.5 Group Policy Data Storage. Retrieved 2020-02-22.
- ^
Gpupdate - ^ «Group Policy processing and precedence». Microsoft Corporation. 22 April 2012.
- ^ «Group Policy — Apply to a Specific User or Group — Windows 7 Help Forums». www.sevenforums.com.
- ^ Archiveddocs. «Gpresult». technet.microsoft.com.
- ^ «Group Policy Preference Migration Tool (GPPMIG)». Microsoft.
- ^ «Group Policy Preference Client Side Extensions for Windows XP (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Vista (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Vista x64 Edition (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Server 2003 (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729)». Microsoft Download Center.
- ^
«How to Install GPMC on Server 2008, 2008 R2, and Windows 7 (via RSAT)». 2009-12-23. - ^
Microsoft Remote Server Administration Tools for Windows Vista - ^
Microsoft Remote Server Administration Tools for Windows Vista for x64-based Systems - ^
Remote Server Administration Tools for Windows 7 - ^ «Windows — Official Site for Microsoft Windows 10 Home & Pro OS, laptops, PCs, tablets & more». www.microsoft.com.
- ^ Raymond Chen, «Shell policy is not the same as security»
- ^ «Updated: What’s new with Group Policy in Windows 8». 17 October 2011.
- ^ «Windows 8 Group Policy Performance Troubleshooting Feature». 23 January 2012.
Further reading[edit]
- «Group Policy for Beginners». Windows 7 Technical Library. Microsoft. 27 April 2011. Retrieved 22 April 2012.
- «Group Policy Management Console». Dev Center — Desktop. Microsoft. 3 February 2012. Retrieved 22 April 2012.
- «Step-by-Step Guide to Managing Multiple Local Group Policy Objects». Windows Vista Technical Library. Microsoft. Retrieved 22 April 2012.
- «Group Policy processing and precedence». Windows Server 2003 Product Help. Microsoft. 21 January 2005. Retrieved 22 April 2012.
External links[edit]
- Official website
- Group Policy Team Blog
- Group Policy Settings Reference for Windows and Windows Server
- Force Gpupdate
Написал admin. Опубликовано в рубрике Локальные сети
Групповая политика – это мощнейший инструмент администрирования Windows-компьютеров. С помощью этого инструмента системные администраторы с компьютеров на базе серверных редакций Windows могут централизовано управлять параметрами клиентских Windows-устройств сети. Локальная же групповая политика позволяет контролировать параметры, соответственно, текущих устройств – определять поведение операционной системы для всех пользователей и вносить отдельные настройки для каждой из учётных записей. В этой статье рассмотрим основы локальной групповой политики – что это за инструмент, в каких случаях может быть полезен, и как им пользоваться.
1. О локальной групповой политике
С помощью настроек локальной групповой политики можно расширить предустановленные возможности Windows, отключить ненужные или проблемные функции, а также ограничить других пользователей компьютера в определённых действиях. Что касается ограничивающего аспекта, безусловно, такой инструмент больше подходит для корпоративной среды. С его помощью сотрудников организаций можно ограничить во многом – от банального запрета изменения корпоративных обоев рабочего стола до блокировки подключаемых устройств и запускаемых программ.
На домашних компьютерах столь широкого размаха контроля, как правило, не требуется. Для защиты личного виртуального пространства каждого из членов семьи обычно хватает запароленной учётной записи, а контролировать детей вполне себе можно с помощью ПО типа родительского контроля. Но сколь бы ни было продвинуто такого рода ПО, у локальной групповой политики всё равно будут преимущества:
• Бесплатное использование, если мы сравниваем не со штатным функционалом родительского контроля Windows и бесплатными сторонними продуктами, а с платными мощными решениями;
• Огромное множество настраиваемых параметров.
2. Редактор gpedit.msc
Управление локальной групповой политикой осуществляется посредством штатного редактора gpedit.msc. Он может быть запущен только в учётной записи администратора. И только в редакциях Windows, начиная с Pro. Потенциально его можно запустить и в редакции Windows Home, но для этого в систему потребуется внедрить специальный патч от сторонних разработчиков. Запустить редактор можно, введя его название gpedit.msc в поле поиска по системе или в окно команды «Выполнить». Хейтеры ввода данных на латинице могут ввести в поисковик запрос «групповой».
В левой части окна редактора в древовидной структуре отображаются два равнозначных родительских каталога:
• «Конфигурация компьютера» — каталог, который содержит параметры, определяющие работу компьютера вне зависимости от того, кто из пользователей на нём работает;
• «Конфигурация пользователя» – каталог, предусматривающий параметры, которые могут быть применены как для всех, так и для отдельных учётных записей компьютера.
Оба родительских каталога предусматривают одинаковые подкаталоги:
• «Конфигурация программ» — ветка настройки параметров сторонних программ;
• «Конфигурация Windows» — ветка настройки сценариев, параметров безопасности и прочих моментов;
• «Административные шаблоны» — ветка настройки параметров штатного функционала системы. Именно здесь содержится большая часть возможностей по тонкой настройке Windows.
У родительских каталогов есть отличные параметры, но большая часть из них идентичны. Для конфликтующих настроек идентичных параметров высший приоритет будет иметь «Конфигурация компьютера».
3. Параметры
Параметры групповой политики каталогизированы по папкам компонентов системы, к которым они относятся, и отображаются в правой части окна редактора. Их представление можно отсортировать по двум критериям – комментарию, если он задан, и состоянию активности. Последний удобен при активной работе с групповой политикой: таким образом можно быстро выявить внесённые ранее изменения в случае необходимости отменить их.
Параметры запускаются двойным кликом. Непосредственно в окошке каждого из них можем почитать справку, детально разъясняющую специфику их применения, и с помощью опций «Включено» или «Отключено» (в зависимости от настраиваемой функции) активировать. А затем — настроить, если выбранный параметр предусматривает варианты выбора или какие-то дополнительные опции.
Вот перечень лишь части возможностей локальной групповой политики — самых востребованных параметров, к задействованию которых прибегают пользователи Windows:
• Отключение системных обновлений;
• Отключение Защитника Windows;
• Отключение проверки подписи драйверов;
• Запрет автоматической установки драйверов;
• Блокировка доступа к съёмным носителям;
• Блокировка доступа к магазину Windows Store;
• Блокировка запуска десктопного ПО и процессов его установки;
• Блокировка доступа к панели управления, приложению «Параметры», прочим системным службам и компонентам;
• Блокировка сетевых подключений;
• Отключение принтеров;
• Ограничения профилей пользователей;
• И т.п.
Не все изменения, внесённые в редактор, вступают в силу немедленно, для некоторых нужен перезаход в систему или перезагрузка компьютера.
4. Настройка параметров для отдельных учётных записей
Параметры, настройка которых произведена непосредственно в окне редактора gpedit.msc, будут применены для всех пользователей компьютера – и для администраторов, и для стандартных учётных записей. Если нужно настроить поведение Windows только для отдельных пользователей, редактор нужно добавить в консоль mmc.exe, а в качестве объекта группой политики указать учётные записи этих самых отдельных людей. Как это сделать?
Запускаем с помощью команды «Выполнить» или системного поисковика консоль mmc.exe. В её окне жмём Ctrl+M. Добавляем оснастку редактора.
В окне выбора объектов кликаем кнопку обзора.
Переключаемся на вкладку «Пользователи» и указываем те учётные записи, для которых будет настраивается групповая политика. Можно указать как конкретных пользователей, так и выбрать категорию «Не администраторы». В последнем случае параметры будут применяться для всех стандартных учётных записей, которые имеются на компьютере.
Жмём «Готово».
Затем – «Ок».
Сохраняем файл консоли в удобном месте и с удобным названием.
Каждый раз запуская этот файл консоли, будем иметь доступ к редактору gpedit.msc, ограниченному в части предоставления возможности настройки параметров для выбранных пользователей.
При этом поведение Windows внутри учётной записи администратора не изменится.
5. Бэкап
Обычно перед различными экспериментами с настройками Windows рекомендуется обеспечивать возможность отката операционной системы. Это, конечно, никогда не будет лишним, но в плане сохранения настроек групповой политики можно обойтись обычным копированием папки в системном каталоге. Жмём Win+R и вводим:
C:WindowsSystem32
В «System32» ищем папку «GroupPolicy» и копируем её куда-нибудь на несистемный раздел. А если создавалась консоль с оснасткой редактора для отдельных пользователей, то также копируем папку «GroupPolicyUsers». Копии этих папок и будут бэкапом.
При необходимости возврата в исходное состояние настроек групповой политики просто заменяем ранее скопированными папками их более поздние редакции по указанному выше пути. Если нужно вернуть исходные настройки для всего компьютера, заменяем бэкапом папку «GroupPolicy». А если необходимо откатить только настройки отдельных пользователей, подменяем папку «GroupPolicyUsers».
Кстати, по этому же принципу можем сохранять текущие настройки групповой политики перед переустановкой Windows. И путём замены папок внедрять сохранённые настройки в новую систему.
Подписывайся на канал MyFirstComp на YouTube!
Загрузка…
Теги: windows, группа администраторов, групповая политика
Групповая политика — это функция Windows, которая содержит множество дополнительных настроек, особенно для сетевых администраторов. Однако локальную групповую политику также можно использовать для настройки параметров на одном компьютере.
Групповая политика не предназначена для домашних пользователей, поэтому она доступна только в версиях Windows Professional, Ultimate и Enterprise.
Централизованная групповая политика
Если вы используете компьютер с Windows в среде Active Directory, параметры групповой политики можно определить на контроллере домена. У сетевых администраторов есть одно место, где они могут настраивать различные параметры Windows для каждого компьютера в сети. Эти настройки также можно применить принудительно, чтобы пользователи не могли их изменить. Например, с помощью групповой политики сетевой администратор может заблокировать доступ к определенным разделам панели управления Windows или установить определённый веб-сайт в качестве домашней страницы для каждого компьютера в сети.
Это может быть полезно для блокировки компьютеров, ограничения доступа к определенным папкам, апплетам панели управления и приложениям. Это также можно использовать для изменения различных настроек Windows, в том числе тех, которые нельзя изменить с панели управления или которые требуют изменения реестра.
Многие параметры групповой политики фактически изменяют значения реестра в фоновом режиме — фактически, вы можете видеть, какое значение реестра изменяет параметр групповой политики. Однако групповая политика обеспечивает более удобный интерфейс и возможность принудительного применения этих параметров.
Локальная групповая политика
Однако групповая политика полезна не только для компьютерных сетей на предприятиях или в школах. Если вы используете профессиональную версию Windows, вы можете использовать локальный редактор групповой политики, чтобы изменить настройки групповой политики на вашем компьютере.
Используя групповую политику, вы можете настроить некоторые параметры Windows, которые обычно недоступны в графическом интерфейсе. Например, если вы хотите настроить собственный экран входа в систему в Windows 10, вы можете использовать редактор реестра или редактор групповой политики — проще изменить этот параметр в редакторе групповой политики. Вы также можете настроить другие области Windows 10 с помощью редактора групповой политики — например, вы можете полностью скрыть область уведомлений (также известную как панель задач).
Локальный редактор групповой политики также можно использовать для блокировки компьютера, как если бы вы заблокировали компьютер в корпоративной сети. Это может быть полезно, если у вас есть дети, использующие ваш компьютер. Например, вы можете разрешить пользователям запускать только определённые программы, ограничить доступ к определенным дискам или установить требования к паролю учётной записи пользователя, включая установку минимальной длины паролей на компьютере.
Как пользоваться локальной групповой политики
Чтобы получить доступ к локальному редактору групповой политики на вашем компьютере с Windows (при условии, что вы используете профессиональную версию Windows или более функциональную, но не домашнюю версию), откройте меню «Пуск», введите
gpedit.msc
и нажмите Enter.
Если вы не видите приложение gpedit.msc, вы используете домашнюю версию Windows.
Вероятно, вам не стоит просто так копаться в редакторе групповой политики и искать параметры, которые нужно изменить, но если вы видите статью в Интернете, в которой рекомендуется изменить настройку Групповой политики для достижения определённой цели, то это именно то место, где вы можете это сделать.
Параметры групповой политики разделены на два раздела: раздел «Конфигурация компьютера» управляет настройками компьютера, а раздел «Конфигурация пользователя» – настройками пользователя.
Например, настройки Microsoft Edge находятся в папке «Административные шаблоныКомпоненты WindowsMicrosoft Edge».
Вы можете изменить параметр, дважды щёлкнув его, выбрав новый параметр и нажав кнопку ОК.
Это лишь малая часть того, что вы можете делать с групповой политикой.
Теперь вы должны лучше понимать групповую политику, то, что вы можете с ней делать, и чем она отличается от редактора реестра, который не предназначен для простого редактирования настроек вручную.
Связанные статьи:
- Как включить административные общие ресурсы в ОС Windows 10, 8 или 7 (C$, D$, $admin и другие) (83.4%)
- Как проверить, запущен ли скрипт PowerShell от имени администратора? (83.4%)
- Как открыть командную строку от имени администратора в Windows 8 или 10 (83.4%)
- Как запустить команду от имени администратора из окна «Выполнить» в Windows 7, 8 или 10 (83.4%)
- Как включить удалённый рабочий стол RDP в Windows Server 2019 (66.7%)
- Лучшие бесплатные редакторы видео под Windows (RANDOM — 50%)
Групповые политики являются одним из наиболее мощных инструментов управления пользователями и компьютерами в домене Active Directory. Однако, как и любой сложный инструмент, они требуют четкого понимания принципов своей работы и тщательного планирования. Без этого применение групповых политик может выдать не совсем тот результат, который требуется.
Вот собственно о них, основных принципах, и пойдет речь в этой статье. И начнем мы с самого основного — области действия.
Область действия групповых политик
Все групповые политики имеют свою область действия (scope), которая определяет границы влияния политики. Области действия групповых политик условно можно разделить на четыре типа.
Локальные групповые политики
Групповые политики, применяемые к локальному компьютеру, или локальные групповые политики. Эти политики настраиваются в оснастке «Редактор локальных групповых политик» и применяются только к тому компьютеру, на котором они были настроены. Они не имеют механизма централизованного развертывания и управления и, по сути, не являются групповыми политиками.
Групповые политики доменов
Объекты групповых политик, применяемые к домену Active Directory (AD) и оказывающие влияние на все объекты, имеющие отношение к данному домену. Поскольку в рамках домена работает механизм наследования, то все политики, назначенные на домен, последовательно применяются и ко всем нижестоящим контейнерам.
Групповые политики подразделения
Политики, применяемые к подразделению (OU) и оказывающие влияние на все содержимое данного OU и дочерних OU (при их наличии).
Групповые политики сайтов
Напомню, что в отличие от доменов, которые представляют из себя логическую структуру организации, сайты в AD используются для представления ее физической структуры. Границы сайта определяются одной или несколькими IP-подсетями, которые объединены высокоскоростными каналами связи. В один сайт может входить несколько доменов и наоборот, один домен может содержать несколько сайтов.
Объекты групповой политики, примененные к сайту AD, оказывают влияние на все содержимое этого сайта. Следовательно, групповая политика, связанная с сайтом, применяется ко всем пользователям и компьютерам сайта независимо от того, к какому домену они принадлежат.
Порядок применения групповых политик
Порядок применения групповых политик напрямую зависит от их области действия. Первыми применяются локальные политики, затем политики, назначенные на сайт, затем отрабатывают доменные политики и затем политики, назначенные на OU.
Так в нашем примере (на рисунке ниже) сначала отработает локальная политика (условно назовем ее GPO0), затем политика сайта GPO1, затем политика домена GPO2, ну а затем применятся политики, назначенные на OU. При этом политики применяются в соответствии с иерархией — сначала политика GPO3, назначенная на вышестоящее OU, затем нижестоящие политики GPO4 и GPO5.
Если на одну OU назначено несколько GPO, то они обрабатываются в том порядке, в котором были назначены. Например, к подразделению TechSupport относятся GPO4 и GPO5, которые обрабатываются согласно порядку назначения (Link Order).
Политики обрабатываются в обратном порядке (снизу вверх), т.е. политика с номером 1 отработает последней. При необходимости этот порядок можно изменить, выделив политику и передвинув ее вверх или вниз с помощью соответствующих стрелок.
Приоритет групповых политик
Приоритет GPO напрямую зависит от порядка их применения — чем позднее применяется политика, тем выше ее приоритет. При этом нижестоящие политики могут переопределять вышестоящие — например локальная политика GPO0 будет переопределена доменной политикой сайта GPO1, доменая политика GPO2 — политикой GPO3, а политика вышестоящего GPO3 — нижестоящими политиками GPO4 и GPO5.
Для большей наглядности проведем эксперимент. Для проверки действия политик будем заходить на рабочую станцию WKS1 под учетной записью пользователя Kirill, находящегося в OU TechSupport.
На рабочей станции WKS1 открываем редактор локальных групповых политик (gpedit.msc) и переходим в раздел Конфигурация пользователяАдминистративные шаблоныРабочий столРабочий стол (User ConfigurationAdministrative TemplateDesktopDesktop).
Откроем политику Фоновые рисунки рабочего стола (Desktop Wallpaper) и укажем использовать в качестве обоев изображение local.png.
Затем перелогиниваемся и проверяем, что политика отработала и обои изменены.
Следующим шагом будет настройка доменной политики. Для этого в оснастке «Group Policy Management» выбираем политику GPO2 и открываем ее для редактирования.
Находим политику, отвечающую за смену обоев и устанавливаем в качестве рисунка рабочего стола изображение domain.png.
Дополнительно переходим в раздел выше и включаем политику «Remove Recycle Bin icon from desktop», удаляющую корзину с рабочего стола.
Еще раз заходим на WKS1 и удостоверяемся в том, что обои рабочего стола изменены и корзины не видно. Это значит, что доменные политики успешно применились и переопределили настройки, задаваемые локальными политиками.
Ну и в качестве завершаюшего шага открываем на редактирование политику GPO4 и устанавливаем политику «Remove Recycle Bin icon from desktop» в положение Disabled.
А также меняем рисунок рабочего стола на изображение с именем ou.png.
Теперь, зайдя на WKS1 мы видим, что обои опять изменены и на рабочий стол вернулась корзина. Из этого следует, что доменная политика GPO2 переопределена политикой GPO4, назначенной на OU.
Отключение наследования
Как я уже говорил, на все политики в домене распространяется наследование, т.е. политики, назначенные на родительский контейнер (домен или OU), последовательно применяются ко всем дочерним контейнерам. Это поведение по умолчанию, но при необходимости его можно изменить, отключив наследование для отдельно взятого OU.
Отключение наследования производится достаточно просто, надо только в оснастке «Group Policy Management» выбрать нужное OU, кликнуть на нем правой клавишей мыши и в контекстном меню отметить пункт «Block Inheritance». После этого для данного OU и его дочерних OU (при их наличии) отменяется воздействие всех вышестоящих политик.
Примечание. Политика Default Domain Policy содержит настройки, определяющие политику паролей и учетных записей в домене. Эти настройки не могут быть заблокированы.
В нашем примере отменим наследование для OU TechSupport, чтобы на него воздействовали только те политики, которые назначены непосредственно на данное OU.
Форсирование применения групповых политик
Форсирование применения групповых политик применяется тогда, когда данная политика должна отработать независимо от остальных политик. Если политика форсирована, то, вне зависимости от своей области действия она получает наивысший приоритет. Это значит, что ее настройки не могут быть переопределены нижестоящими политиками, а также на нее не действует отмена наследования.
Чтобы форсировать политику, надо выбрать ее в оснастке управления групповыми политиками, кликнуть на ней правой клавишей мыши и в контекстном меню отметить пункт «Enforced». Для примера форсируем политику GPO2, назначенную на домен.
Затем зайдем на WKS1 еще раз и увидим знакомую картину. Как видите, политика GPO2 отработала не смотря на блокировку наследования и перебила настройки нижестоящей политики GPO4.
Для одной статьи информации, я думаю, достаточно. А в следующей части разговор пойдет об особенностях применения групповых политик к пользователям и компьютерам.