Данное руководство представляет собой пошаговую инструкцию по созданию и настройке локальной групповой политики, а также групповых политик на уровне доменов и подразделений в Windows Server 2008 R2.
Групповые политики – это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object).
I. Область действия групповых политик
Все групповые политики имеют свою область действия (scope), которая определяет границы влияния политики. Области действия групповых политик условно можно разделить на четыре типа:
Локальные групповые политики
Групповые политики, применяемые к локальному компьютеру, или локальные групповые политики. Эти политики настраиваются в оснастке «Редактор локальных групповых политик» и применяются только к тому компьютеру, на котором они были настроены. Они не имеют механизма централизованного развертывания и управления и, по сути, не являются групповыми политиками.
Групповые политики доменов
Объекты групповых политик, применяемые к домену Active Directory (AD) и оказывающие влияние на все объекты, имеющие отношение к данному домену. Поскольку в рамках домена работает механизм наследования, то все политики, назначенные на домен, последовательно применяются и ко всем нижестоящим контейнерам.
Групповые политики подразделения
Политики, применяемые к подразделению (Organizational Unit policy, сокр. OU) и оказывающие влияние на все содержимое данного OU и дочерних OU (при их наличии).
Групповые политики сайтов
Сайты в AD используются для представления физической структуры организации. Границы сайта определяются одной или несколькими IP-подсетями, которые объединены высокоскоростными каналами связи. В один сайт может входить несколько доменов и наоборот, один домен может содержать несколько сайтов. Объекты групповой политики, примененные к сайту AD, оказывают влияние на все содержимое этого сайта. Следовательно, групповая политика, связанная с сайтом, применяется ко всем пользователям и компьютерам сайта независимо от того, к какому домену они принадлежат.
II. Порядок применения и приоритет групповых политик
Порядок применения групповых политик напрямую зависит от их области действия. Первыми применяются Локальные политики, затем Групповые политики сайтов, затем отрабатывают Доменные политики и затем OU политики. Если на одну OU назначено несколько GPO, то они обрабатываются в том порядке, в котором были назначены (Link Order).
Приоритет GPO напрямую зависит от порядка их применения — чем позднее применяется политика, тем выше ее приоритет. При этом нижестоящие политики могут переопределять вышестоящие — например Локальная политика будет переопределена Доменной политикой сайта, Доменная политика — политикой OU, а политика вышестоящего OU — нижестоящими политиками OU.
III. Создание локальной групповой политики
1. Для создания локальной групповой политики зайдите на рабочую станцию, нажмите Пуск, в поле поиска введите Выполнить, затем, в поисковой выдаче, выберите Выполнить (Рис.1).
Рис.1
.
2. В открывшемся окне введите в поле gpedit.msc, затем нажмите OK (Рис.2).
Рис.2
.
3. В открывшемся окне Вы увидите две основные категории параметров групповой политики — параметры конфигурации компьютера и параметры конфигурации пользователя. Параметры конфигурации компьютера применяются к компьютеру в целом, то есть действуют в отношении всех пользователей, входящих в систему на данном компьютере, без различия, гости они, пользователи или администраторы. Параметры конфигурации пользователя действуют только в отношении конкретно заданных пользователей (Рис.3).
Рис.3
.
4. Выберите: Конфигурация пользователя > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.4).
Рис.4
.
5. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:Green_Local.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер (Рис.5).
Рис.5
.
6. После перезагрузки компьютера Вы увидите, что политика отработала и фон рабочего изменился (Рис.6).
Рис.6
.
IV. Создание и настройка групповой политики на уровне домена
1. Для создания групповой политики на уровне домена зайдите на сервер, выберите Пуск > Администрирование > Управление групповой политикой (Рис.7).
Рис.7
.
2. Выберите домен (прим. в данном руководстве это example.local), через правую кнопку мыши вызовите меню, в котором выберите Создать объект групповой политики в этом домене и связать его… (Рис.8).
Рис.8
.
3. В появившемся окне выберите, в соответствующем поле, имя новой групповой политики (прим. в данном руководстве это GPO-1), затем нажмите ОК (Рис.9).
Рис.9
.
4. Выберите созданную групповую политику (прим. GPO-1), через правую кнопку мыши вызовите меню, в котором выберите Изменить (Рис.10).
Рис.10
.
5. Выберите: Конфигурация пользователя > Политики > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.11).
Рис.11
.
6. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:Yellow_Domain_GPO-1.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (Рис.12).
Рис.12
.
7. После перезагрузки компьютера Вы увидите, что групповая политика домена отработала и фон рабочего стола на компьютере изменился (прим. на компьютере доменные политики успешно применились и переопределили настройки, задаваемые локальными политиками. Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым) (Рис.13).
Рис.13
.
V. Создание и настройка групповой политики на уровне подразделения
1. Для создания групповой политики на уровне подразделения (Organizational Unit policy, сокр. OU) зайдите на сервер, выберите Пуск > Администрирование > Управление групповой политикой (Рис.14).
Рис.14
.
2. Выберите домен (прим. в данном руководстве это example.local), через правую кнопку мыши вызовите меню, в котором выберите Создать подразделение (Рис.15).
Рис.15
.
3. В появившемся окне выберите, в соответствующем поле, имя нового подразделения (прим. в данном руководстве это OU-1), затем нажмите ОК (Рис.16).
Рис.16
.
4. Выберите созданное подразделение (прим. OU-1), через правую кнопку мыши вызовите меню, в котором выберите Создать объект групповой политики в этом домене и связать его… (Рис.17).
Рис.17
.
5. В появившемся окне выберите, в соответствующем поле, имя новой групповой политики (прим. в данном руководстве это GPO-2), затем нажмите ОК (Рис.18).
Рис.18
.
6. Выберите созданную групповую политику (прим. GPO-2), через правую кнопку мыши вызовите меню, в котором выберите Изменить (Рис.19).
Рис.19
.
7. Выберите: Конфигурация пользователя > Политики > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.20).
Рис.20
.
8. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это Red_OU_OU-1_GPO-2.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (прим. на этом же компьютере она была переопределена доменной групповой политикой) (Рис.21).
Рис.21
.
9. После перезагрузки компьютера Вы увидите, что доменная политика (GPO-1) переопределена политикой (GPO-2), назначенной на OU. (Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым, после чего доменная политика была переопределена политикой OU и фон стал красным) (Рис.22).
Рис.22
.
VI. Наследование в групповых политиках
1. На все политики в домене распространяется наследование, т.е. политики, назначенные на родительский контейнер (домен или OU), последовательно применяются ко всем дочерним контейнерам. При необходимости это можно изменить, отключив наследование для отдельно взятого OU. Для этого необходимо перейти в управление групповой политикой (прим. Пуск > Администрирование > Управление групповой политикой), выбрать нужное OU (прим. в данном руководстве это OU-1), кликнуть на нем правой клавишей мыши и в контекстном меню отметить пункт Блокировать наследование. После этого для данного OU и его дочерних OU (при их наличии) отменяется воздействие всех вышестоящих политик (Рис.23).
Примечание! Политика Default Domain Policy содержит настройки, определяющие политику паролей и учетных записей в домене. Эти настройки не могут быть заблокированы.
Рис.23
.
VII. Форсирование применения групповых политик
1. Форсирование применения групповых политик применяется тогда, когда данная политика должна отработать независимо от остальных политик. Если политика форсирована, то, вне зависимости от своей области действия она получает наивысший приоритет. Это значит, что ее настройки не могут быть переопределены нижестоящими политиками, а также на нее не действует отмена наследования. Чтобы форсировать политику, необходимо перейти в управление групповой политикой (прим. Пуск > Администрирование > Управление групповой политикой), выбрать нужную политику (прим. в данном руководстве это GPO-1), кликнуть на ней правой клавишей мыши и в контекстном меню отметить пункт Принудительный (Рис.24).
Рис.24
.
Надеемся, что данное руководство помогло Вам!
.
|
|
Windows Vista Enterprise 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business Windows Vista Business 64-bit Edition Windows Vista Enterprise Windows Vista Ultimate Microsoft Windows XP Professional Microsoft Windows XP Professional x64 Edition Еще…Меньше
Поддержка Windows Vista без установленных пакетов обновления завершилась 13 апреля 2010 года. Чтобы продолжить получать обновления для системы безопасности для Windows, убедитесь в том, что вы используете Windows Vista с пакетом обновления 2 (SP2). Дополнительные сведения можно найти на веб-странице Майкрософт: служба поддержки заканчивается для некоторых версий Windows
ВВЕДЕНИЕ
В этой статье описаны настройки групповой политики в Windows Server 2008 и показано, как включить на компьютерах с более ранних уровней обработку этих новых элементов. Настройки групповой политики состоят из более чем 20 новых клиентских расширений групповой политики (CSEs), которые расширяют диапазон настраиваемых параметров в объекте групповой политики (GPO). Эти новые расширения предпочтений будут включены в окно редактора управления групповыми политиками консоли управления групповыми политиками (GPMC). Типы элементов предпочтений, которые можно создавать с использованием каждого из расширений, перечислены при выборе команды создать для расширения. Ниже приведены примеры новых расширений предпочтений групповой политики.
-
Параметры папки
-
Карты дисков
-
Принтер
-
Запланированные задачи
-
Services
-
Меню «Пуск»
Дополнительные сведения о новых возможностях групповой политики в Windows Server 2008 R2 можно найти на веб-сайте Microsoft TechNet по следующему адресу:
http://technet.microsoft.com/en-us/library/dd367853(WS.10).aspx Пакеты, указанные в разделе «Дополнительные сведения», включают в себя CSEs для новых функций настройки групповой политики. Эти CSEs необходимы в Windows XP с пакетом обновления 2 (SP2), Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Vista для обработки новых элементов настройки. Примечание. Этот установщик не предоставляет пользовательский интерфейс для настройки параметров групповой политики. Новые функциональные возможности можно настроить только в папке новая настройка в разделе Конфигурация пользователя или компьютера в окне редактора управления групповыми политиками консоли GPMC на следующих компьютерах:
-
Компьютеры под управлением Windows Server 2008
-
Компьютеры под управлением Windows Vista с пакетом обновления 1 (SP1) с установленными средствами удаленного администрирования сервера (RSAT)
Важно! Для существующих пользователей PolicyMaker этот установщик удалит установленную копию CSEs PolicyMaker. Не устанавливайте этот параметр на компьютерах, которые в настоящее время обрабатывают параметры PolicyMaker, пока вы не перейдете параметры PolicyMaker из объектов GPO в параметры настройки групповой политики. Средство для автоматизации миграции из параметров PolicyMaker в параметры настройки групповой политики будет доступно в ближайшее время.
Дополнительная информация
Дополнительные сведения о параметрах групповой политики можно найти на веб-сайте корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/download/details.aspx?FamilyID=42e30e3f-6f01-4610-9d6e-f6e0fb7a0790&DisplayLang=enОбновленные версии новых настроек групповой политики Windows Server 2008, клиентские расширения для Windows Server 2003 и Windows XP можно загрузить с помощью центра обновления Windows. Эти обновленные версии устраняют указанные ниже проблемы.
-
CSEs удаляются при установке пакета обновления.
-
Параметр «Удалить» недоступен в окне «Установка и удаление программ» при удалении и повторной установке пакета.
-
Недопустимый URL-адрес службы поддержки в окне «Установка и удаление программ».
-
В окне установленных обновлений отображается неправильный заголовок.
-
Пакеты Vista устанавливаются на пакет обновления 2 (SP2) и более поздние версии.
Кроме того, чтобы загрузить исходные клиентские расширения предпочтений групповой политики для вашей операционной системы, посетите один из указанных ниже веб-сайтов Microsoft.
-
Windows Vista, 64-разрядная версия
http://www.microsoft.com/download/details.aspx?FamilyId=B10A7AF4-8BEE-4ADC-8BBE-9949DF77A3CF
-
Windows Vista, 32-разрядная версия
http://www.microsoft.com/download/details.aspx?FamilyId=AB60DC87-884C-46D5-82CD-F3C299DAC7CC
-
Windows Server 2003, 64-bit Edition
http://www.microsoft.com/download/details.aspx?FamilyId=29E83503-7686-49F3-B42D-8E5ED23D5D79
-
Windows Server 2003, 32-bit Edition
http://www.microsoft.com/download/details.aspx?FamilyId=BFE775F9-5C34-44D0-8A94-44E47DB35ADD
-
Windows XP, 64-разрядная версия
http://www.microsoft.com/download/details.aspx?FamilyId=249C1AED-C1F1-4A0B-872E-EF0A32170625
-
Windows XP, 32-разрядная версия
http://www.microsoft.com/download/details.aspx?FamilyId=E60B5C8F-D7DC-4B27-A261-247CE3F6C4F8
Примечание. При попытке установить первоначальный выпуск этих обновлений установка завершится сбоем, и появится следующее сообщение об ошибке. Текст в строке заголовка ошибки:
Автономный установщик центра обновления Windows
Текст сообщения об ошибке:
Обновление не распространяется на вашу систему
Если вы столкнулись с этой проблемой, установите эти повторно выпущенные версии обновлений.
Предварительные условия
XmlLite требуется для успешной установки новых клиентских расширений параметров групповой политики Windows Server 2008 в Windows Server 2003 и Windows XP. Дополнительные сведения о XmlLite. Посетите веб-сайт Майкрософт по следующему адресу:
http://msdn2.microsoft.com/en-us/library/ms752838.aspx Чтобы скачать пакет XmlLite, посетите один из указанных ниже веб-сайтов Майкрософт:Windows Server 2003, 64-bit Edition
http://www.microsoft.com/download/details.aspx?FamilyId=406777E6-79DA-4414-A329-22A435A95D9DWindows Server 2003, 32-bit Edition
http://www.microsoft.com/download/details.aspx?FamilyId=611D1FDE-C8D0-4D80-96DA-B5B20F7BA159Windows XP, 64-разрядная версия
http://www.microsoft.com/download/details.aspx?FamilyId=C7CB26E9-68F1-4F80-B231-79D044431E8EWindows XP, 32-разрядная версия
http://www.microsoft.com/download/details.aspx?FamilyId=D7B5DC81-AD14-4DE2-8AD5-8C4A9AAB5992
Нужна дополнительная помощь?
Групповые политики Active Drirectory
Групповые политики Windows являются неотъемлемой частью администрирования Windows-систем. Рассмотрим примеры работы с этим инструментом на VDS под управлением ОС семейства Windows Server.
Для чего необходимы групповые политики
Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.
Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.
Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.
Компоненты GPO
Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.
Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей” называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.
Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.
Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
- Централизованная настройка пакета программ Microsoft Office.
- Централизованная настройка управлением питанием компьютеров.
- Настройка веб-браузеров и принтеров.
- Установка и обновление ПО.
- Применение определенных правил в зависимости от местоположения пользователя.
- Централизованные настройки безопасности.
- Перенаправление каталогов в пределах домена.
- Настройка прав доступа к приложениям и системным программам.
Оснастка управления групповыми политиками
Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:
И нажимаем “OK”.
Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.
Открываем диспетчер серверов и выбираем установку ролей и компонентов.
На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.
Так как установка выполняется для текущего сервера — нажимаем “Далее”.
Установку серверных ролей пропускаем нажатием на кнопку “Далее”.
На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.
Завершаем установку компонентов как обычно.
Окно оснастки управления групповой политикой выглядит так:
Создание объектов групповой политики
Добавим новый объект групповой политики. В левой части, проследуем по пути: Лес → Домены → → Объекты групповой политики.
В правой части окна, кликаем правой кнопкой мыши в свободном месте. В открывшемся контекстном меню, выбираем “Создать”.
В открывшемся окне, вводим имя новой политики. Нажимаем “OK”.
Добавленный объект появится в общем списке:
Настроим созданный объект
Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контектстном меню выбираем “Изменить”.
Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом — удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.
В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.
Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.
В открывшемся окне изменим состояние на “Включено”. В поле комментария рекомендуем не игнорировать. Для завершения настройки нажимаем “OK”.
Создание объектов можно считать оконченным.
Поиск объектов
В корпоративных средах, как правило, создается большое количество объектов GPO. Хорошо было бы уметь находить нужный объект. У консоли есть данный функционал. Для этого, в левой части окна кликаем правой кнопкой мыши по лесу. В открывшемся меню выбираем “Найти…”
В открывшемся окне выбираем в каком домене выполнять поиск. Можно выполнить поиск и по всем доменам, но это может занять продолжительное время.
Попробуем найти созданный ранее объект.
В поле “Элемент поиска” из выпадающего списка выбираем “Имя объекта групповой политики”. В условии оставляем вариант “Содержит”. В “Значение“ указываем имя созданной ранее политики. Именно по этой причине следует создавать понятные имена политик. Нажимаем кнопку “Добавить”.
Критерии поиска заданы. нажимаем кнопку “Найти” и просматриваем результаты поиска.
Удаление объекта групповой политики
Если в объекте GPO пропадает необходимость, будет лучше его удалить. Кликаем по созданному объекту правой кнопкой мыши, в контекстном меню выбираем “Удалить”. Если уверены в своем решении, на вопрос подтверждения отвечаем “Да”.
Источник
Управление групповыми политиками Active Directory (AD GPO)
В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.
Виртуальный сервер на базе Windows
- Лицензия включена в стоимость
- Тестирование 3-5 дней
- Безлимитный трафик
Что такое групповые политики и зачем они нужны?
Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.
Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.
Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу. Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды. С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.
Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.
Компоненты GPO
Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.
Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики. MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее). Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.
Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.
Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
- Централизованная настройка пакета программ Microsoft Office.
- Централизованная настройка управлением питанием компьютеров.
- Настройка веб-браузеров и принтеров.
- Установка и обновление ПО.
- Применение определенных правил в зависимости от местоположения пользователя.
- Централизованные настройки безопасности.
- Перенаправление каталогов в пределах домена.
- Настройка прав доступа к приложениям и системным программам.
Оснастка Управление групповыми политиками
После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:
Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.
Оснастка выглядит следующим образом:
Создание объектов групповой политики
Для создания объекта групповой политики перейдите во вкладку Forest -> Domains -> -> Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.
В открывшемся окне в поле Name введите удобное для вас имя групповой политики.
После этого вы увидите созданный объект в списке.
Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.
В редакторе групповых политик перейдите по иерархии User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.
В открывшемся окне отметьте Enable для включения правила и при необходимости напишите комментарий. Нажмите OK для сохранения изменений.
На этом создание объекта групповой политики закончено.
Поиск объектов групповой политики
Как правило в корпоративных средах большое количество объектов GPO, чтобы было проще найти нужный, оснастка обладает встроенным поиском. Для этого выберете ваш лес и в контекстном меню кликните Search.
Открывшееся окно поиска интуитивно понятно для работы. В первую очередь выберете конкретный домен для поиска, также можно производить поиск во всех доменах сразу. Далее выберете нужный пункт поиска, задайте условие и значение. В примере ниже производился поиск объектов групповой политики, в которых встречается слово Default.
Удаление объекта групповой политики
Если экземпляр GPO больше не нужен, его можно удалить. Выберете объект для удаления и с помощью правой кнопки мыши выберете опцию Delete.
Источник
Введение
Редактор локальной групповой политики является оснасткой консоли управления Microsoft (MMC) и используется для редактирования объектов локальной групповой политики (GPO). В Windows Server 2008 R2 и версиях Windows 7 Профессиональная, Максимальная и Корпоративная доступны редактор локальной групповой политики и оснастка «Результирующая политика».
Открытие редактора
Чтобы открыть редактор локальной групповой политики, нажмите кнопку Пуск, выберите Выполнить или нажмите клавиши Win+R, затем введите gpedit.msc
Откроется окно Редактор локальной групповой политики, состоящее из двух частей:
- Левая панель — содержит древовидную иерархическую структуру категорий политик. Политики состоят из двух категорий: Конфигурация компьютера и Конфигурация пользователя. Политики конфигурации компьютера применяются ко всем пользователям и выполняются перед входом в систему. Политики конфигурации пользователя применяются только к текущему пользователю и не применяются до тех пор, пока пользователь не войдет в систему.
- Правая панель — содержит политики той категории, которая выбрана в левой панели. Описание параметров и настройки.
- Windows 7 Home Basic
- Windows 7 Home Premium
Настройка Меню «Пуск» и Панель задач
В окне редактора локальной групповой политики в разделе Конфигурация пользователя находим Административные шаблоны — Меню Пуск и Панель задач
Административные шаблоны — это параметры политики на основе данных реестра, которые появляются в редакторе локальной групповой политики в узле «Административные шаблоны» как в узле конфигурации пользователя, так и в узле конфигурации компьютера. Иерархия создается, когда редактор локальной групповой политики считывает XML-файлы административных шаблонов (ADMX).
Редактирование параметров
Для редактирования параметров политики необходимо:
- Для просмотра описания параметра политики щелкните его имя в столбце Параметр
- Чтобы изменить текущее состояние параметра, дважды щелкните его имя.
- Выберите один из следующих параметров в диалоговом окне параметров политики
- Не задано: реестр не изменяется
- Включено: в реестре отражается включение параметра политики.
- Отключено: в реестре отражается отключение параметра политики
- Жмем Применить и ОК
Для завершения данной процедуры необходимо иметь право «Редактирование параметров» для редактирования объекта групповой политики. По умолчанию члены группы безопасности «Администраторы домена«, «Администраторы предприятия» или «Создатели-владельцы групповой политики» имеют право «Редактирование параметров» для редактирования объекта групповой политики.
Рекомендации
Рекомендуется использовать Редактор локальной групповой политики для внесения изменений в реестр Windows, так как он предоставляет более простой и понятный интерфейс, что позволит избежать ошибок, которые могут привести компьютер в неработоспособное состояние.
Корпорация Майкрософт настоятельно рекомендует создать резервную копию системного реестра перед внесением в него какие-либо изменений, а также изменять только те параметры, назначение которых вам известно, или на которые вам указали
Введение
В предыдущей части статьи вы узнали о том, что такое оснастка «Редактор локальной групповой политики», категориях групповой политики, а также об узлах «Конфигурация компьютера» и «Конфигурация пользователей». Помимо этого, вы могли вкратце ознакомиться с узлами «Конфигурация программ» и «Конфигурация Windows», которые располагаются внутри обоих основных узлов. В этой части статьи вы узнаете о последнем узле оснастки «Редактор локальной групповой политики» — «Административные шаблоны». Административные шаблоны — это параметры политики на основе данных реестра, которые появляются в редакторе локальной групповой политики в узле «Административные шаблоны» как в узле конфигурации пользователя, так и в узле конфигурации компьютера. Также вы научитесь использовать фильтры представления папки административных шаблонов.
Административные шаблоны
Узел «Административные шаблоны» является крупнейшим из всех возможных расширений групповой политики и включает тысячи параметров для приложений и компонентов операционной системы Windows. Каждому параметру политики административных шаблонов соответствует определенный параметр системного реестра. Политики в узле «Административные шаблоны» конфигурации компьютера изменяют значения реестра в ключе HKEY_LOCAL_MACHINE (или просто HKLM), а политики в узле «Административные шаблоны» конфигурации пользователя – HKEY_CURRENT_USER (HKCU). В некоторых источниках административные шаблоны могут называться политиками на основе реестра. В рамках этой статьи будет рассматриваться узел «Административные шаблоны» для локального компьютера. О применении настроек административных шаблонов для нескольких компьютеров или пользователей, входящих в домен будет рассказываться в одной из последующих статей.
Для системных администраторов узел «Административные шаблоны» предоставляет возможности динамического управления операционной системой. Несмотря на то, что администратору понадобится немало времени на настройку этого узла, все изменения, примененные при помощи групповых политик, невозможно будет изменить средствами пользовательского интерфейса.
Административные шаблоны операционных систем Windows 7 и Windows Server 2008 R2 теперь поддерживают мультистроковые значения (REG_MULTI_SZ) и значения реестра QWORD, что значительно расширяет возможности групповой политики. Благодаря этим нововведениям вы можете применять административные шаблоны для управления тех приложений, которые используют в реестре значения типа REG_MULTI_SZ и QWORD. Может возникнуть следующий вопрос: «В чем же могут быть преимущества этих двух типов значений реестра по сравнению с параметрами политики административных шаблонов предшествующих операционных систем?».
При помощи типа значений реестра QWORD вы можете изменять параметра политики административных шаблонов для 64-разрядных приложений, а при помощи значений реестра REG_MULTI_SZ – вводить несколько строк текста, добавлять новые позиции строки, выбирать одну или несколько записей, а также удалять выбранные записи.
Большинство настроек политик административных шаблонов располагаются в следующих разделах системного реестра:
- HKEY_LOCAL_MACHINESOFTWAREpolicies – конфигурация компьютера;
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies – конфигурация компьютера;
- HKEY_CURRENT_USERSOFTWAREpolicies – конфигурация пользователя;
- HKEY_ CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpolicies – конфигурация пользователя.
Для того чтобы изменить параметры существующей политики административных шаблонов, выполните следующие действия:
- Откройте оснастку «Редактор локальной групповой политики»;
- В дереве консоли разверните узел «Административные шаблоны», после чего откройте узел, содержащий нужный для вас параметр политики, например: Конфигурация пользователяАдминистративные шаблоныПроводник Windows;
- Просмотрите параметры, которые расположены в этом узле. В области сведений вы можете прочитать подробную информацию об интересующем вас параметре политики. Нажмите левой кнопкой мыши на том параметре политики, конфигурацию которого вы планируете изменить, например, параметр «Максимально доступный размер корзины»;
- Откройте диалоговое окно свойств параметра политики. Открыть это окно вы можете следующими способами:
- перейдите по ссылке «Параметр политики» в области сведений;
- дважды щелкните левой кнопкой мыши на выбранном параметре;
- в области действий выберите «Дополнительные действия», а затем команду «Изменить»;
- откройте меню «Действие», а затем выберите команду «Изменить».
- В окне с названием политики (в нашем случае – «Максимально допустимый размер Корзины») вы можете выполнить следующие действия:
- Выбрать одну из опций, отвечающую за состояние параметра. При выборе опции «Не задано» значение параметра реестра не изменяется. Если будет выбран параметр «Включить», в системном реестре будет выбрано значение, включающее параметр данной политики. Значение «Отключить», в свою очередь, выполняет действие, отключающее условия, указанные в параметре политики;
- Добавить комментарий в специально отведенном для этого текстовом поле;
- При необходимости указать параметр для включенной политики. В нашем случае, в качестве параметра вам нужно указать процент объема жесткого диска, который будет использоваться (значение должно быть от 0 до 100);
- В текстовом поле «Справка» вы можете прочитать подробную информацию о данном параметре политики.
- Для того чтобы выбрать следующий или предыдущий параметр политики, нажмите на кнопку «Предыдущий параметр» или «Следующий параметр» в правой верхней части диалогового окна. После внесения изменений нажмите на кнопку «ОК».
В операционных системах Windows 7 и Windows Server 2008 R2 диалоговое окно параметров политики административных шаблонов значительно изменилось. В предыдущих операционных системах, это диалоговое окно содержало три вкладки: «Параметр», где можно было включать или отключать настройки выбранной политики; «Объяснение», вкладка, предназначенная для отображения справочной информации; «Комментарий», вкладка, позволяющая вводить дополнительную информацию о параметре политики. Теперь все эти настройки присутствуют только на одной вкладке, что избавляет вас от выполнения лишних действий.
Фильтрация узла «Административные шаблоны»
В оснастке «Редактор локальной групповой политики», начиная с операционных систем Windows Vista и Windows Server 2008, появилось еще одно важное нововведение – фильтрация параметров политики административных шаблонов. Данные фильтры позволяет вам выполнять поиск определённых параметров политики на основании:
- управляемых, настраиваемых, а также комментируемых параметров политики;
- ключевых слов заголовка параметра политики, справки или комментария;
- требовании к платформе или приложениям.
Для того чтобы создать фильтр, выполните следующие действия:
- Откройте оснастку «Редактор локальной групповой политики»;
- В дереве консоли перейдите к узлу «Административные шаблоны»;
- Выберите команду «Параметры политики» одним из следующих способов:
- Нажмите правой кнопкой мыши на узле «Административные шаблоны» и выберите команду «Параметры фильтра»;
- Откройте меню «Действие», а затем выберите команду «Параметры фильтра»;
- В области действий выберите «Дополнительные действия», а затем команду «Параметры фильтра».
Фильтрация с помощью свойств
Фильтрация с использованием свойств может быть реализована при помощи управляемых, настраиваемых параметров, а также с использованием комментариев.
Фильтрация по управляемым параметрам
Для административных шаблонов существуют два вида параметров политики: управляемые и неуправляемые. Управляемые параметры политики влияют на тип изменения конфигурации при применении параметра объектов групповой политики. Когда пользователь или компьютер больше не попадает под область действия объекта GPO, конфигурация автоматически возвращается в состояние по умолчанию. Неуправляемые параметры политики вносят постоянные изменения в реестр. Если объект групповой политики больше не применяется, изменение параметра остается в реестре. Это изменение по-другому называется татуировкой реестра. Все политики являются постоянными и не удаляются даже в том случае, если вы выберите любой из этих видов параметров политики. У этого фильтра по управляемым параметрам есть три состояния: «Любой», «Да», «Нет».
При указании значения «Любой», в редакторе локальной групповой политики будут отображаться все параметры политики административных шаблонов. При указании значения «Да», в редакторе будут отображаться только управляемые параметры политики административных шаблонов, а все неуправляемые параметры будут скрыты. При указании значения «Нет», в редакторе будут отображаться только неуправляемые параметры политики административных шаблонов, а все управляемые параметры будут скрыты.
Фильтрация по настроенным параметрам
У всех параметров политики административных шаблонов может быть только одно из трех возможных состояний: «Не задано», «Включить» и «Отключить».
- «Не задано» — это состояние, которое применяется по умолчанию для всех параметров политики. Параметры политики в состоянии «Не задано» не влияют на пользователей или компьютеры. Включение параметра политики административных шаблонов задействует параметр политики;
- «Включить» — это состояние, которое указывает на то, что действие, применяемое в данном параметре политики должно применяться к компьютеру или пользователю;
- «Отключить» — это состояние, которое указывает на то, что действие, применяемое в данном параметре политики не должно применяться к компьютеру или пользователю.
У этого фильтра есть три состояния: «Любой», «Да», «Нет».
При указании значения «Любые», в редакторе локальной групповой политики будут отображаться все параметры политики административных шаблонов. Это значение является параметром по умолчанию для данного фильтра. При указании значения «Да», в редакторе будут отображаться только настроенные параметры политики административных шаблонов, а все ненастроенные параметры будут скрыты. При указании значения «Нет», в редакторе будут отображаться только ненастроенные параметры политики административных шаблонов, а все настроенные параметры будут скрыты.
Фильтрация по комментариям
Поиск и фильтрация также может выполняться на основе комментариев политики. Как говорилось ранее, в параметры политики административных шаблонов можно добавлять комментарии (обычно они выполняются с целью документирования выполняемого действия).
У этого фильтра есть три состояния: «Любой», «Да», «Нет».
При указании значения «Любые», в редакторе локальной групповой политики будут отображаться все параметры политики административных шаблонов. Это значение является параметром по умолчанию для данного фильтра. При указании значения «Да», в редакторе будут отображаться только прокомментированные параметры политики административных шаблонов, а все параметры без комментариев будут скрыты. При указании значения «Нет», в редакторе будут отображаться только параметры политики административных шаблонов, не имеющие комментариев, а все параметры с комментариями будут скрыты.
Пример использования фильтрации при помощи свойств:
- Откройте оснастку «Редактор локальной групповой политики»;
- В дереве консоли перейдите к узлу «Административные шаблоны»;
- Перейдите к узлу «Панель управленияПерсонализация»;
- Откройте параметр «Запретить изменение фона рабочего стола», включите его и введите комментарий, например «При помощи этого параметра пользователь не сможет изменять фон рабочего стола штатными средствами» и нажмите на кнопку «ОК»;
- Перейдите к узлу «СистемаВарианты действий после нажатия CTRL+ALT+DEL». Откройте параметр «Запретить завершение сеанса». Отключите его, в комментариях введите «Включает все команды меню и кнопки, позволяющие выйти из системы» и нажмите на кнопку «ОК»;
- Перейдите к узлу «Общие папки». Откройте параметр «Разрешить публикацию общих папок». Для этого параметра только добавьте комментарий, например: «Позволяет публиковать общие папки в домене Active Directory» и нажмите на кнопку «ОК»;
- Откройте диалоговое окно «Параметры фильтра»;
- В группе «Выберите тип отображаемых параметров политики», установите для фильтрации по управляемым параметрам значение «Любой», для фильтрации по настроенным параметрам – значение «Да», а для фильтрации по комментариям – значение «Да» и нажмите на кнопку «ОК»;
Включите фильтрацию. Для этого:
- Нажмите правой кнопкой мыши на узле «Административные шаблоны» и выберите команду «Фильтр»;
- Откройте меню «Действие», а затем выберите команду «Фильтр»;
- В области действий выберите «Дополнительные действия», а затем команду «Фильтр»;
- Нажмите на кнопку «Фильтр» на панели инструментов.
После того как фильтр будет включен, в узле «Административные шаблоны» отобразятся только следующие параметры политики:
Причем в каждом из трех узлов доступны лишь те параметры политики, которые вы настраивали в предыдущих процедурах.
Использование фильтров по ключевым словам
Помимо вышеперечисленных фильтров вы можете создавать фильтр на основании ключевых слов. Ключевыми словами могут быть заголовки параметров политики административных шаблонов, текст, который отображается в справочной информации к параметру политики, а также комментарии, которые вы добавляли вручную. Для того чтобы выбрать определенное свойство, вы можете снять флажки с ненужных для вас параметров.
Также вы можете управлять отображением параметров политики при помощи одного из следующих фильтров:
- «Любой» – это фильтр, который содержит любое слово, находящееся в текстовом поле «Фильтры по словам».
- «Все» – это фильтр, который содержит все слова, находящиеся в текстовом поле «Фильтры по словам».
- «Точное» – это фильтр, который содержит точное соответствие слов, находящихся в текстовом поле «Фильтры по словам».
Пример использования фильтрации по ключевым словам:
- Откройте оснастку «Редактор локальной групповой политики»;
- В дереве консоли перейдите к узлу «Административные шаблоны»;
- Откройте диалоговое окно «Параметры фильтра»;
- Установите флажок в группе «Включить фильтры по ключевым словам»;
- В текстовом поле «Фильтры по словам» введите следующее: «Максимально, Directory, 4294967200» и выберите команду «Все» из раскрывающегося списка, расположенного справа от текстового поля;
- Снимите флажок с опции «Заголовок параметра политики» и нажмите на кнопку «ОК»;
- Примените фильтр.
Как видно на следующем скриншоте, фильтр отобразил только те параметры, в справке или комментарии которых были все ключевые слова. В этом случае, эти слова встречаются в справочной информации к параметру «Установить интервал повторного поиска контроллера домена».
Если в параметрах этого фильтра выбрать «Любое» значение, то в дереве консоли отобразится значительно больше узлов, содержащих параметры с текущими ключевыми словами:
Фильтры по требованию
В оснастке «Редактор локальной групповой политики» существует еще третий способ фильтрации параметров политики – «Фильтрация по требованию». При помощи этого способа фильтрации, вы можете отобразить параметры, соответствующие всем выбранным платформам или отобразить параметры, соответствующие любым из выбранных платформ. По требованию «Включить параметры, соответствующие любым из выбранных платформ» будут отображаться параметры политики административных шаблонов, которые соответствуют любому из элементов, выбранных в управляемом списке. Указав требование «Включить параметры, соответствующие всем выбранным платформам», фильтр отобразит только те параметры, которые соответствуют всем выбранным элементам одновременно.
Пример использования фильтрации по требованию:
- Откройте оснастку «Редактор локальной групповой политики»;
- В дереве консоли перейдите к узлу «Административные шаблоны»;
- Откройте диалоговое окно «Параметры фильтра»;
- Установите флажок в группе «Включить фильтры по требованиям»;
- В раскрывающемся списке «Включить параметры, соответствующие всем выбранным платформам», и установите флажки на значениях «Семейство Windows 7 > Windows 7» и «Семейство Windows Vista > Vista», после чего нажмите на кнопку «ОК»;
- Примените фильтр.
Фильтр отобразил параметры, операционная система которых не должна быть старше Windows Vista.
Добавление и удаление шаблонов
Кроме всех вышеперечисленных возможностей, оснастка «Редактор локальной групповой политики» позволяет добавлять файлы классических административных шаблонов (*.adm-файлы, которые не используют формат XML). В операционных системах, начиная с ОС Windows Vista и Windows Server 2008, по умолчанию шаблоны с расширением .adm не используются. Но редактор локальной групповой политики все еще может распознавать такие шаблоны, и при необходимости вы их можете добавить в узел «Классические административные шаблоны». Для того чтобы добавить такой шаблон, выполните следующие действия:
- Откройте оснастку «Редактор локальной групповой политики»;
- В дереве консоли перейдите к узлу «Административные шаблоны»;
- Выберите команду «Добавление и удаление шаблонов» одним из следующих способов:
- Нажмите правой кнопкой мыши на узле «Административные шаблоны» и выберите команду «Добавление и удаление шаблонов»;
- Откройте меню «Действие», а затем выберите команду «Добавление и удаление шаблонов»;
- В области действий выберите «Дополнительные действия», а затем команду «Добавление и удаление шаблонов».
- Для добавления шаблона нажмите на кнопку «Добавить». В диалоговом окне «Шаблоны политики», передвигаясь по дереву каталогов, откройте папку, содержащую нужный файл. В диалоговом окне будут выведены все файлы с расширением *.adm. После того как нужное изображение будет найдено, выделите его, щелкнув на нем левой кнопкой мыши, что поместит его имя в строку для ввода имени файла и нажмите на кнопку «Открыть».
- Для удаления шаблона в диалоговом окне «Добавление и удаление шаблонов», выберите шаблон, который хотите удалить и нажмите на кнопку «Удалить».
Заключение
В этой статье рассказывается об узле «Административные шаблоны» оснастки «Редактор локальной групповой политики». При помощи этой статьи вы узнали, как можно использовать этот узел, изменять параметры политики, а также фильтровать параметры политики, отображаемые в узле административных шаблонов тремя методами. Также был описан метод добавления устаревших файлов шаблонов административных политик в оснастку «Редактор локальной групповой политики». О методах создания собственных шаблонов административных политик будет рассказано в одной из следующих статей.
