Групповые политики windows: Локальная групповая политика Windows
Погружение в шаблоны и приручение GPO Windows / Блог компании Сервер Молл / Хабр
В очередной статье из цикла «конспект админа» мне хотелось бы освежить в памяти несколько нюансов использования групповых политик. Заодно поразвлекаемся с созданием своих шаблонов и с автоматизацией работы с этими самыми политиками.
Я не буду рассказывать, что такое групповые политики, и остановлюсь лишь на основных моментах, которые стоит иметь в виду при работе с ними.
В системах Windows помимо доменных существуют и локальные групповые политики ― управлять ими можно при помощи оснастки gpedit.msc на системах редакции Professional и выше. Часто считается, что без домена можно настраивать локальные групповые политики только для всех пользователей на компьютере. Это не совсем верно ― с выходом Windows Vista появилась возможность использовать множественную локальную групповую политику или MLGPO. Этот механизм позволяет настраивать отдельные политики для разных пользователей.
Добраться до него можно через вызов консоли mmc: при добавлении оснастки «Управление объектами групповой политики» нажать кнопку «Обзор». Далее на вкладке «Пользователи» уже можно выбрать конкретного пользователя или группу «Администраторы» и «Не администраторы». К сожалению, управление для группы пользователей не реализовано.
Управление групповой политикой для отдельных пользователей.
Бывало и так, что на отдельностоящем терминальном сервере разворачивали Active Directory только для того, чтобы отдельному пользователю настроить поведение драйвера для EasyPrint. Не надо так.
При добавлении доменных групповых политик стоит помнить про порядок их применения ― политика, примененная последней, будет обладать наивысшим приоритетом (да и на собеседованиях часто спрашивают).
Итак, предположим, что у нас есть компьютер в домене и четыре групповые политики: локальная на этом компьютере; политика на подразделение, в котором находится компьютер; политика на домен и политика на лес. Порядок их применения будет следующим:
- Локальная групповая политика.
- Групповая политика сайта.
- Групповая политика домена.
- Групповая политика верхнего подразделения.
- Групповая политика дочернего подразделения.
То есть чем ближе к объекту, тем приоритетнее, за исключением локальной групповой политики. Если надо отключить применение вышестоящих политик, то ставьте блокировку наследования.
Блокировка наследования.
Любую групповую политику можно условно разделить на две конфигурации ― пользователя и компьютера. Обычно политики с настройками компьютеров назначаются на подразделение, в котором находятся компьютеры. А политики с настройками пользователей ― на пользователей.
Если надо применить настройки компьютера к подразделению с пользователями и наоборот, используют так называемое замыкание групповой политики. Например, такая настройка пригодится, когда нужно применить специфические политики к пользователям для работы на терминальных серверах.
Работа замыкания настраивается непосредственно в политике ― «Настройка компьютера ― Административные шаблоны ― Система ― Режим обработки замыкания пользовательской групповой политики». Подробнее про механизм уже писали в статье про использование Merge\Replace в GPO. Я лишь добавлю, что режим замыкания групповой политики ― тоже частый вопрос на собеседовании.
Настройка замыкания групповой политики.
Физически доменные групповые политики находятся в папке SYSVOL на контроллерах домена. Папка реплицируется между контроллерами. Каждая групповая политика выглядит как папка с именем в виде GUID.
Групповые политики домена.
Правила фильтрации, настраиваемые через редактор групповой политики, соответствуют настройкам прав NTFS на соответствующую подпапку.
Говоря о правилах фильтрации, нельзя не упомянуть обновление MS16-072, которое «сломало» групповые политики. Теперь для того чтобы работали правила фильтрации, надо добавлять к каждому фильтру правило «на чтение», но не «на применение» группе Domain Computers.
В каждой папке с групповой политикой существуют подпапки Machine и User, соответствующие настройкам пользователя и компьютера. Если углубиться в подпапки, можно легко понять структуру групповой политики:
- В корне папки находится файл GPT.ini с настройками групповой политики, такими как ее название.
- В подпапках Machine и User сидят файлы registry.pol с настройками соответствующих веток реестра.
- По пути Microsoft\Windows NT\SecEdit можно найти шаблон настроек безопасности ― GptTmpl.inf.
- В подпапке Preferences находятся предпочтения групповых политик, представляющие из себя подпапки с файлами xml.
- В подпапке Applications сидят дистрибутивы для развертывания через групповые политики.
- В папке Scripts находятся скрипты на logon\logoff для пользователя и startup\shutdown для компьютера.
- В папке Documents and Settings есть настройки перенаправления пользовательских папок.
- Наконец, в папке Adm находятся устаревшие шаблоны групповой политики.
Подробнее про структуру можно почитать в материале Group Policy Basics, поэтому перейдем сразу к шаблонам.
По сути своей административные шаблоны ― это специальные файлы с инструкциями по изменению клиентского реестра (ветки HKCU или HKLM) и настройками отображения изменяемых параметров через «Управление групповой политикой». В принципе, реестр можно менять и через «Предпочтения групповых политик». Но разница здесь не только в красивом интерфейсе.
Способ изменения реестра | Как ведет себя при удалении политики со стандартными настройками | Можно ли изменить параметр вручную | Можно ли изменить параметр через приложение |
Шаблоны | Параметр реестра восстанавливается на значение «по умолчанию», если настройки по умолчанию есть в шаблоне | — | — |
Предпочтения политик | Параметр реестра не изменяется | + | + |
Сравнение предпочтения групповых политик и административных шаблонов.
Другими словами, настройка реестра через шаблоны групповых политик более строгая. Тогда как настройка через предпочтения групповых политик напоминает периодическое применение reg-файла. Конечно, предпочтения позволяют не только менять параметры реестра, но и довольно гибко настраиваются. Тем и ценны.
Это актуально при изменении ветки Policies, и настраиваемое приложение должно хранить свои настройки в реестре. Простое изменение параметров через Предпочтения и Шаблоны будет работать схожим образом, только шаблоны могут оказаться удобнее.
До появления Windows Vista\2008 в качестве шаблона групповых политик брали исключительно стандарт .adm. Будучи с простой структурой, которую было легко редактировать вручную, этот стандарт обладал и рядом недостатков:
- Для каждого языка приходилось создавать отдельный файл шаблона.
- Файл шаблона физически находился в папке с групповой политикой. При использовании одного и того же шаблона он сохранялся в каждую папку, что увеличивало занимаемое место и время репликации.
- Не поддерживались мультистроковые параметры и параметры QWORD.
На замену устаревшему стандарту появился новый. Новые шаблоны представляют собой два файла: сам шаблон, не зависимый от языка ― .admx и языковой «пакет» к нему ― файл .adml. Теперь шаблоны можно «положить» в центральное хранилище, и обращаться к нему, не плодя одинаковые файлы в папке SYSVOL.
Не обошлось без ложки дегтя ― теперь содержимое файла представляет собой популярный в индустрии формат XML. И создавать новые шаблоны в блокноте стало уже не так удобно.
Под большинство параметров, которые могут понадобиться, шаблоны уже существуют. Кроме того, многие производители приложений выпускают свои административные шаблоны. Вот несколько примеров:
Если возникает необходимость разработать и внедрить свой административный шаблон, то самый простой вариант ― это создать старый файл .adm и сконвертировать его в admx специальной утилитой. Вариант посложнее ― начинать сразу с .admx.
Для начала разберем простой пример. Создадим шаблон групповой политики, который позволит нам включать и выключать отображение скрытых и системных файлов, а заодно и отображение расширений.
Сразу скажу, что это можно провернуть через «Предпочтения групповых политик» ― в параметрах панели управления ― опции папки. Но мы легких путей не ищем и заодно не хотим, чтобы параметры отображения можно было менять вручную.
За необходимые нам параметры отвечают три ключа в реестре:
- Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden.
- Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt.
- Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden.
Содержимое ADM-шаблона, который разберем далее, под спойлером.
CLASS USER
CATEGORY !!ShowExplorer
POLICY !!ShowHiddenFiles
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
EXPLAIN !!ShowHiddenFilesExplanation
VALUENAME "Hidden"
VALUEON NUMERIC "1"
VALUEOFF NUMERIC "2"
END POLICY
POLICY !!ShowFileExtensions
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
EXPLAIN !!ShowFileExtensionsExplanation
VALUENAME "HideFileExt"
VALUEON NUMERIC "0"
VALUEOFF NUMERIC "1"
END POLICY
POLICY !!ShowSuperHiddenFiles
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
EXPLAIN !!ShowSuperHiddenFilesExplanation
VALUENAME "ShowSuperHidden"
VALUEON NUMERIC "1"
VALUEOFF NUMERIC "0"
END POLICY
END CATEGORY
[strings]
ShowExplorer="Отображение файлов в проводнике"
ShowHiddenFiles="Показывать скрытые файлы"
ShowHiddenFilesExplanation="Когда эта настройка включена, проводник будет показывать скрытые файлы."
ShowSuperHiddenFiles="Показывать системные файлы"
ShowSuperHiddenFilesExplanation="Когда эта настройка включена, проводник будет показывать системные файлы"
ShowFileExtensions="Показывать расширения файлов"
ShowFileExtensionsExplanation="Когда эта настройка включена, проводник будет показывать расширения файлов"
Разберем подробнее синтаксис файла.
- CLASS. Может принимать значение USER или MACHINE ― в зависимости от класса будет изменятся ветка реестра HKCU или HKLM соответственно.
- CATEGORY. Строка, в которой задается имя «папки» политики.
- POLICY. В строке задается название конкретной политики ― у нас таких будет три.
- KEYNAME. Путь в реестре к изменяемым параметрам.
- EXPLAIN. Отсылка к «переменной» с объяснением настройки.
- VALUENAME. Название изменяемого параметра в реестре.
- VALUEON**VALUEOFF**. Значение, которое будет принимать параметр при включении и выключении его в политике.
- [strings]. Секция со значениями переменных, которые я использовал для текстовых строк. Можно их не использовать, но тогда могут быть проблемы из-за русского языка.
Помимо задействованных опций есть и другие, например:
- EDITTEXT. Текстовое поле для ввода.
- NUMERIC. Поле для ввода цифр.
- CHECKBOX. Список, где можно отмечать параметры «галочками».
- COMBOBOX. Список с «переключателем»
- DROPDOWNLIST. Выпадающий список.
- LISTBOX. Список для ввода нескольких элементов.
Подробнее со всеми параметрами можно ознакомится в разделе MSDN ADM Format.
Установить новый шаблон не просто, а очень просто ― достаточно щелкнуть правой кнопкой мыши по пункту «Административные шаблоны», выбрать «Добавление и удаление шаблонов» и добавить наш свежесозданный шаблон.
Добавленный шаблон.
После установки шаблона он отобразится в ветке «Классические административные шаблоны».
Теперь можно сконвертировать наш шаблон в .admx с помощью утилиты faAdmxConv из ADMX Migrator.
Конвертируем шаблон.
После конвертации получившийся шаблон .admx и папку Ru-ru с файлом локализации .adml нужно скопировать в папку %Systemroot%\PolicyDefinitions для локальной политики или в папку Sysvol\PolicyDefinitions на контроллере домена.
Установленный шаблон .admx.
Полный листинг получившегося шаблона и файла локализации под спойлером.
Шаблон:
<?xml version="1.0" encoding="utf-8"?>
<policyDefinitions revision="1.0" schemaVersion="1.0">
<policyNamespaces>
<target prefix="fullarmor" namespace="FullArmor.6fb075d6-ddee-4302-9d06-50c4d83e1910" />
<using prefix="windows" namespace="Microsoft.Policies.Windows" />
</policyNamespaces>
<supersededAdm fileName="E:\1\explorer.adm" />
<resources minRequiredRevision="1.0" />
<supportedOn>
<definitions>
<definition name="SUPPORTED_NotSpecified" displayName="$(string.ADMXMigrator_NoSupportedOn)" />
</definitions>
</supportedOn>
<categories>
<category name="ShowExplorer" displayName="$(string.ShowExplorer)" />
</categories>
<policies>
<policy name="ShowHiddenFiles" displayName="$(string.ShowHiddenFiles)" explainText="$(string.ShowHiddenFilesExplanation)" presentation="$(presentation.ShowHiddenFiles)" key="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" valueName="Hidden">
<parentCategory ref="ShowExplorer" />
<supportedOn ref="SUPPORTED_NotSpecified" />
<enabledValue>
<decimal value="1" />
</enabledValue>
<disabledValue>
<decimal value="2" />
</disabledValue>
</policy>
<policy name="ShowFileExtensions" displayName="$(string.ShowFileExtensions)" explainText="$(string.ShowFileExtensionsExplanation)" presentation="$(presentation.ShowFileExtensions)" key="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" valueName="HideFileExt">
<parentCategory ref="ShowExplorer" />
<supportedOn ref="SUPPORTED_NotSpecified" />
<enabledValue>
<decimal value="0" />
</enabledValue>
<disabledValue>
<decimal value="1" />
</disabledValue>
</policy>
<policy name="ShowSuperHiddenFiles" displayName="$(string.ShowSuperHiddenFiles)" explainText="$(string.ShowSuperHiddenFilesExplanation)" presentation="$(presentation.ShowSuperHiddenFiles)" key="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" valueName="ShowSuperHidden">
<parentCategory ref="ShowExplorer" />
<supportedOn ref="SUPPORTED_NotSpecified" />
<enabledValue>
<decimal value="1" />
</enabledValue>
<disabledValue>
<decimal value="0" />
</disabledValue>
</policy>
</policies>
</policyDefinitions>
Файл локализации:
<?xml version="1.0" encoding="utf-8"?>
<policyDefinitionResources revision="1.0" schemaVersion="1.0">
<displayName></displayName>
<description></description>
<resources>
<stringTable>
<string>Отображение файлов в проводнике</string>
<string>Показывать скрытые файлы</string>
<string>Когда эта настройка включена, проводник будет показывать скрытые файлы.</string>
<string>Показывать системные файлы</string>
<string>Когда эта настройка включена, проводник будет показывать системные файлы</string>
<string>Показывать расширения файлов</string>
<string>Когда эта настройка включена, проводник будет показывать расширения файлов</string>
<string>ADMX Migrator encountered a string that is not present in the source ADM string table.</string>
<string>ADMX Migrator encountered a policy that does not have a supportedOn value.</string>
</stringTable>
<presentationTable>
<presentation />
<presentation />
<presentation />
</presentationTable>
</resources>
</policyDefinitionResources>
Действительно, xml в новом формате читается чуть хуже, чем старый .adm. Для облегчения работы с новым форматом в поставке ADMX Migrator есть утилита faAdmxEditor.msc. Помимо этой утилиты есть и скрипты для конвертации reg-файлов в шаблоны, и сторонние платные утилиты.
Конечно же, можно обойтись без вот-этого-всего и разобраться самостоятельно ― оставлю это в качестве домашнего задания. Благо на портале MSDN есть подробное описание XML-схемы, и есть неплохие материалы с примерами в сети. Например, «Административные шаблоны групповой политики».
Теперь перейдем к автоматизации.
Работать с групповыми политиками из командной строки довольно тоскливо. Основных инструментов можно выделить три.
PowerShell. Есть набор командлетов для резервного копирования, восстановления и управления групповыми политиками. Создание новых политик ограничено ― можно лишь изменять реестр. Впрочем, в большинстве случаев и этого достаточно. В качестве примера создадим групповую политику, которая отключит автоматическое обновление Adobe Reader DC.
За отключение автоматического обновления отвечает ключ реестра bUpdater в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown]. Установив параметр в 0, мы отключим опцию.
Создание групповой политики на PowerShell будет выглядеть так:
Import-module -Name GroupPolicy
Write-Host "Создаем новый объект политики с именем Adobe_Reader_disable_autoupdate"
New-GPO -Name Adobe_Reader_disable_autoupdate
Write-Host "Добавляем нужное нам значение реестра"
Set-GPRegistryValue -Name "Adobe_Reader_disable_autoupdate" -key "HKLM\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown" -ValueName bUpdater -TypeDWord -value 0
Write-Host "Прилинковываем новый объект к нужному OU"
Set-GPLink -Name Adobe_Reader_disable_autoupdate -Target "ou=Computers,dc=domain,dc=com" -LinkEnabled Yes
Свежесозданная групповая политика.
Полный список и описание командлетов доступны в материале Technet Group Policy Cmdlets in Windows PowerShell.
Интерфейс COM к GPMC (консоли управления групповой политикой). Способ позволяет сделать с политиками многое, на любом языке программирования, поддерживающим COM-интерфейсы. К сожалению, популярность он не приобрел и примеров в сети довольно мало, несмотря на богатое описание методов интерфейса на портале MSDN. Немногочисленные примеры использования доступны для загрузки в галерее Technet.
LGPO.exe. Не так давно Microsoft заменил набор утилит для работы с локальными групповыми политиками на единую утилиту. Скачать ее можно на официальном сайте. Утилита удобна для копирования и развертывания локальных групповых политик. Заявлена и поддержка MLGPO. Создавать свои политики тоже можно. Также программа удобна для создания и изменения файлов реестра registry.pol. Для примера изменим локальную групповую политику, добавив в нее отключение обновления несчастного Acrobat Reader DC.
Сделаем бэкап локальной групповой политики командой
lgpo.exe /b C:\Temp /n "Backup"
В папке C:\Temp появится подпапка с GUID по структуре схожая с доменными групповыми политиками:
Теперь развернем registry.pol в текстовый файл:
LGPO.exe /parse /m C:\temp\{GUID}\DomainSysvol\GPO\Machine\registry.pol >> reg.txt
Синтаксис текстового файла очевиден. Добавим в него значения реестра для отключения автоматического обновления «Акробата»:
Добавленный в файл параметр реестра.
Теперь останется завернуть наш reg.txt обратно в registry.pol и импортировать изменившийся файл обратно в локальную групповую политику:
LGPO.exe /r C:\Temp\reg.txt /w C:\Temp\registry.pol
LGPO.exe /m C:\Temp\registry.pol
Все эти махинации, конечно же, можно завернуть в один скрипт и использовать для массового изменения локальной групповой политики привычным инструментом для запуска команд на удаленных компьютерах. Подробнее про методы запуска команд можно почитать в нашей статье «1000++ способ запуска команд на удаленном компьютере».
Конечно же, зная структуру доменной групповой политики, ничто не мешает сделать удобный именно вам инструмент для создания и управления политиками. Поделитесь в комментариях, есть ли у вас свои способы настройки реестров пользовательских машин?
Групповые политики в Windows 7
Групповые политики нужны для управления операционной системы Windows. Они применяются во время персонализации интерфейса, ограничения доступа к определенным ресурсам системы и многого другого. Используют данные функции преимущественно системные администраторы. Они создают однотипную рабочую среду на нескольких компьютерах, ограничивают доступ пользователям. В этой статье мы подробно разберем групповые политики в Windows 7, расскажем про редактор, его настройку и приведем некоторые примеры групповых политик.
Редактор групповой политики
В Windows 7 Домашняя Базовая/Расширенная и Начальная редактор групповых политик просто отсутствует. Разработчики позволяют использовать его только в профессиональных версиях Виндовс, например, в Windows 7 Максимальная. Если вы не обладаете этой версией, то те же действия вам придется выполнять через изменения параметров реестра. Давайте подробнее рассмотрим редактор.
Запуск редактора групповой политики
Переход к среде работы с параметрами и настройками осуществляется за несколько простых действий. Вам только необходимо:
- Зажать клавиши Win + R, чтобы открыть «Выполнить».
- Напечатать в строке gpedit.msc и подтвердить действие, нажав «ОК». Далее запустится новое окно.
Теперь можно приступать к работе в редакторе.
Работа в редакторе
Разделяется главное окно управления на две части. Слева располагается структурированные категории политик. Они в свою очередь делятся еще на две различные группы – настройка компьютера и настройка пользователя.
В правой части отображается информация о выбранной политике из меню слева.
Из этого можно сделать вывод, что работа в редакторе осуществляется путем перемещения по категориям для поиска необходимой настройки. Выберите, например, «Административные шаблоны» в «Конфигурации пользователя» и перейдите в папку «Меню «Пуск» и диспетчер задач». Теперь справа отобразятся параметры и их состояния. Нажмите на любую строку, чтобы открыть ее описание.
Настройки политики
Каждая политика доступна для настройки. Открывается окно редактирования параметров по двойному щелчку на определенную строку. Вид окон может отличаться, все зависит от выбранной политики.
Стандартное простое окно имеет три различных состояния, которые настраиваются пользователем. Если точка стоит напротив «Не задано», то политика не действует. «Включить» – она будет работать и активируются настройки. «Отключить» – находится в рабочем состоянии, однако параметры не применяются.
Рекомендуем обратить внимание на строку «Поддерживается» в окне, она показывает, на какие версии Windows распространяется политика.
Фильтры политик
Минусом редактора является отсутствие функции поиска. Существует множество различных настроек и параметров, их больше трех тысяч, все они разбросаны по отдельным папкам, а поиск приходится осуществлять вручную. Однако данный процесс упрощается благодаря структурированной группе из двух ветвей, в которых расположились тематические папки.
Например, в разделе «Административные шаблоны», в любой конфигурации, находятся политики, которые никак не связаны с безопасностью. В этой папке находится еще несколько папок с определенными настройками, однако можно включить полное отображение всех параметров, для этого нужно нажать на ветвь и выбрать пункт в правой части редактора «Все параметры», что приведет к открытию всех политик данной ветви.
Экспорт списка политик
Если все-таки появляется необходимость найти определенный параметр, то сделать это можно только путем экспорта списка в текстовый формат, а потом уже через, например Word, осуществлять поиск. В главном окне редактора есть специальная функция «Экспорт списка», он переносит все политики в формат TXT и сохраняет в выбранном месте на компьютере.
Применение фильтрации
Благодаря появлению ветви «Все параметры» и улучшению функции фильтрации поиск практически не нужен, ведь лишнее откидывается путем применения фильтров, а отображаться будут только необходимые политики. Давайте подробнее рассмотрим процесс применения фильтрации:
- Выберите, например, «Конфигурация компьютера», откройте раздел «Административные шаблоны» и перейдите в «Все параметры».
- Разверните всплывающее меню «Действие» и перейдите в «Параметры фильтра».
- Поставьте галочку возле пункта «Включить фильтры по ключевым словам». Здесь имеется несколько вариантов подбора соответствий. Откройте всплывающее меню напротив строки ввода текста и выберите «Любой» – если нужно отображать все политики, которые соответствуют хотя бы одному указанному слову, «Все» – отобразит политики, содержащие текст из строки в любом порядке, «Точный» – только параметры, точно соответствующие заданному фильтру по словам, в правильном порядке. Флажками снизу строки соответствий отмечаются места, где будет осуществляться выборка.
- Нажмите «ОК» и после этого в строке «Состояние» отобразятся только подходящие параметры.
В том же всплывающем меню «Действие» ставится или убирается галочка напротив строки «Фильтр», если нужно применить или отменить заранее заданные настройки подбора соответствий.
Принцип работы с групповыми политиками
Рассматриваемый в этой статье инструмент позволяет применять множество самых разнообразных параметров. К сожалению, большинство из них понятно только профессионалам, использующим групповые политики в рабочих целях. Однако и обычному пользователю есть что настроить, используя некоторые параметры. Разберем несколько простых примеров.
Изменение окна безопасности Windows
Если в Виндовс 7 зажать сочетание клавиш Ctrl + Alt + Delete, то будет запущено окно безопасности, где осуществляется переход к диспетчеру задач, блокировка ПК, завершение сеанса системы, смена профиля пользователя и пароля.
Каждая команда за исключением «Сменить пользователя» доступна для редактирования путем изменения нескольких параметров. Выполняется это в среде с параметрами или путем изменения реестра. Рассмотрим оба варианта.
- Откройте редактор.
- Перейдите в папку «Конфигурация пользователя», «Административные шаблоны», «Система» и «Варианты действий после нажатия Ctrl + Alt + Delete».
- Откройте любую необходимую политику в окне справа.
- В простом окне управления состоянием параметра поставьте галочку напротив «Включить» и не забудьте применить изменения.
Пользователям, у которых нет редактора политик, все действия нужно будет выполнять через реестр. Давайте рассмотрим все действия пошагово:
- Перейдите к редактированию реестра.
- Перейдите к разделу «System». Он находится по этому ключу:
- Там вы увидите три строки, отвечающие за появление функций в окне безопасности.
- Откройте необходимую строку и поменяйте значение на «1», чтобы активировать параметр.
Подробнее: Как открыть редактор реестра в Windows 7
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
После сохранения изменений деактивированные параметры больше не будут отображаться в окне безопасности Windows 7.
Изменения панели мест
Многие используют диалоговые окна «Сохранить как» или «Открыть как». Слева отображается навигационная панель, включая раздел «Избранное». Данный раздел настраивается стандартными средствами Windows, однако это долго и неудобно. Поэтому лучше воспользоваться групповыми политиками для редактирования отображения значков в данном меню. Редактирование происходит следующим образом:
- Перейдите в редактор, выберите «Конфигурация пользователя», перейдите к «Административные шаблоны», «Компоненты Windows», «Проводник» и конечной папкой будет «Общее диалоговое окно открытия файлов».
- Здесь вас интересует «Элементы, отображаемые в панели мест».
- Поставьте точку напротив «Включить» и добавьте до пяти различных путей сохранения в соответствующие строки. Справа от них отображается инструкция правильного указания путей к локальным или сетевым папкам.
Теперь рассмотрим добавление элементов через реестр для пользователей, у которых отсутствует редактор.
- Перейдите по пути:
- Выберите папку «Policies» и сделайте в ней раздел comdlg32.
- Перейдите в созданный раздел и сделайте внутри него папку Placesbar.
- В этом разделе потребуется создать до пяти строковых параметров и назвать их от «Place0» до «Place4».
- После создания откройте каждый из них и в строку введите необходимый путь к папке.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
Слежение за завершением работы компьютера
Когда вы завершаете работу за компьютером, выключение системы происходит без показа дополнительных окон, что позволяет не быстрее выключить ПК. Но иногда требуется узнать почему происходит выключение или перезапуск системы. В этом поможет включение специального диалогового окна. Включается оно с помощью редактора или путем изменения реестра.
- Откройте редактор и перейдите к «Конфигурация компьютера», «Административные шаблоны», после чего выберите папку «Система».
- В ней нужно выбрать параметр «Отображать диалог слежения за завершением работы».
- Откроется простое окно настройки, где необходимо поставить точку напротив «Включить», при этом в разделе параметры во всплывающем меню необходимо указать «Всегда». После не забудьте применить изменения.
Данная функция включается и через реестр. Вам нужно совершить несколько простых действий:
- Запустите реестр и перейдите по пути:
- Найдите в разделе две строки: «ShutdownReasonOn» и «ShutdownReasonUI».
- Введите в строку с состоянием «1».
HKLM\Software\Policies\Microsoft\Windows NT\Reliability
Читайте также: Как узнать, когда в последний раз включался компьютер
В этой статье мы разобрали основные принципы использования групповых политик Виндовс 7, объяснили значимость редактора и сравнили его с реестром. Ряд параметров предоставляет пользователям несколько тысяч различных настроек, позволяющие редактировать некоторые функции пользователей или системы. Работа с параметрами осуществляется по аналогии с приведенными выше примерами.
Мы рады, что смогли помочь Вам в решении проблемы.
Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.
Помогла ли вам эта статья?
ДА НЕТ
Инструкция по работе с групповыми политиками Active Directory
В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.
Что такое групповые политики и зачем они нужны?
Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.
Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.
Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу. Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды. С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.
Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.
Компоненты GPO
Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.
Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики. MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее). Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.
Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.
Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
- Централизованная настройка пакета программ Microsoft Office.
- Централизованная настройка управлением питанием компьютеров.
- Настройка веб-браузеров и принтеров.
- Установка и обновление ПО.
- Применение определенных правил в зависимости от местоположения пользователя.
- Централизованные настройки безопасности.
- Перенаправление каталогов в пределах домена.
- Настройка прав доступа к приложениям и системным программам.
Оснастка Управление групповыми политиками
После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:
gpmc.msc
Нажмите OK.
Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.
Оснастка выглядит следующим образом:
Создание объектов групповой политики
Для создания объекта групповой политики перейдите во вкладку Forest -> Domains -> <Ваш домен> -> Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.
В открывшемся окне в поле Name введите удобное для вас имя групповой политики.
После этого вы увидите созданный объект в списке.
Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.
В редакторе групповых политик перейдите по иерархии User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.
В открывшемся окне отметьте Enable для включения правила и при необходимости напишите комментарий. Нажмите OK для сохранения изменений.
На этом создание объекта групповой политики закончено.
Поиск объектов групповой политики
Как правило в корпоративных средах большое количество объектов GPO, чтобы было проще найти нужный, оснастка обладает встроенным поиском. Для этого выберете ваш лес и в контекстном меню кликните Search.
Открывшееся окно поиска интуитивно понятно для работы. В первую очередь выберете конкретный домен для поиска, также можно производить поиск во всех доменах сразу. Далее выберете нужный пункт поиска, задайте условие и значение. В примере ниже производился поиск объектов групповой политики, в которых встречается слово Default.
Удаление объекта групповой политики
Если экземпляр GPO больше не нужен, его можно удалить. Выберете объект для удаления и с помощью правой кнопки мыши выберете опцию Delete.
P. S. Другие инструкции:
Спасибо за Вашу оценку!
К сожалению, проголосовать не получилось. Попробуйте позже
Инструкция по групповым политикам Active Drirectory
Групповые политики Windows являются неотъемлемой частью администрирования Windows-систем. Рассмотрим примеры работы с этим инструментом на VDS под управлением ОС семейства Windows Server.
Для чего необходимы групповые политики
Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.
Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.
Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.
Компоненты GPO
Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.
Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей” называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.
Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.
Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
- Централизованная настройка пакета программ Microsoft Office.
- Централизованная настройка управлением питанием компьютеров.
- Настройка веб-браузеров и принтеров.
- Установка и обновление ПО.
- Применение определенных правил в зависимости от местоположения пользователя.
- Централизованные настройки безопасности.
- Перенаправление каталогов в пределах домена.
- Настройка прав доступа к приложениям и системным программам.
Оснастка управления групповыми политиками
Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:
gpmc.msc
И нажимаем “OK”.
Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.
Открываем диспетчер серверов и выбираем установку ролей и компонентов.
На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.
Так как установка выполняется для текущего сервера — нажимаем “Далее”.
Установку серверных ролей пропускаем нажатием на кнопку “Далее”.
На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.
Завершаем установку компонентов как обычно.
Окно оснастки управления групповой политикой выглядит так:
Создание объектов групповой политики
Добавим новый объект групповой политики. В левой части, проследуем по пути: Лес → Домены → <Ваш Домен> → Объекты групповой политики.
В правой части окна, кликаем правой кнопкой мыши в свободном месте. В открывшемся контекстном меню, выбираем “Создать”.
В открывшемся окне, вводим имя новой политики. Нажимаем “OK”.
Добавленный объект появится в общем списке:
Настроим созданный объект
Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контектстном меню выбираем “Изменить”.
Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом — удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.
В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.
Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.
В открывшемся окне изменим состояние на “Включено”. В поле комментария рекомендуем не игнорировать. Для завершения настройки нажимаем “OK”.
Создание объектов можно считать оконченным.
Поиск объектов
В корпоративных средах, как правило, создается большое количество объектов GPO. Хорошо было бы уметь находить нужный объект. У консоли есть данный функционал. Для этого, в левой части окна кликаем правой кнопкой мыши по лесу. В открывшемся меню выбираем “Найти…”
В открывшемся окне выбираем в каком домене выполнять поиск. Можно выполнить поиск и по всем доменам, но это может занять продолжительное время.
Попробуем найти созданный ранее объект.
В поле “Элемент поиска” из выпадающего списка выбираем “Имя объекта групповой политики”. В условии оставляем вариант “Содержит”. В “Значение“ указываем имя созданной ранее политики. Именно по этой причине следует создавать понятные имена политик. Нажимаем кнопку “Добавить”.
Критерии поиска заданы. нажимаем кнопку “Найти” и просматриваем результаты поиска.
Удаление объекта групповой политики
Если в объекте GPO пропадает необходимость, будет лучше его удалить. Кликаем по созданному объекту правой кнопкой мыши, в контекстном меню выбираем “Удалить”. Если уверены в своем решении, на вопрос подтверждения отвечаем “Да”.
Средняя оценка: 5.0
Оценили: 1
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
700
300
Как открыть редактор локальной групповой политики в Windows 10. G-ek.com
Групповая политика — это способ настройки параметров компьютера и пользователя для устройств, которые присоединены к доменным службам Active Directory (AD), а также к учетным записям локальных пользователей. Она контролирует широкий спектр параметров и может использоваться для принудительного применения и изменения настроек по умолчанию для соответствующих пользователей. Локальная групповая политика — это базовая версия групповой политики для компьютеров, не входящих в домен. Параметры локальной групповой политики хранятся в следующих папках:
- C:\Windows\System32\GroupPolicy
- C:\Windows\System32\GroupPolicyUsers.
Когда в Windows 10 вам необходимо открыть редактор локальной групповой политики, для этого вы можете использовать командную строку, команду выполнить, поиск на панели задач, меню Пуск или с помощью консоли управления (MMC).
Рассмотрим самые простые варианты:
- C помощью меню Пуск.
- C помощью команды Выполнить.
- C помощью Проводника Windows.
- С помощью командной строки или PowerShell
- Открыть редактор локальной групповой политики в качестве оснастки консоли управления.
- Открыть редактор локальной групповой политики в Windows 10 Home.
Открыть редактор локальной групповой политики с помощью меню «Пуск».
- Откройте меню «Пуск» и введите gpedit.msc в верхней части меню появится значок, при клике, на котором, откроется редактор политики.
Чтобы просмотреть все применяемые политики в разделе «Конфигурация компьютера», перейдите в раздел «Конфигурация компьютера \ Административные шаблоны \ Все параметры»
Чтобы просмотреть все применяемые политики пользовательской настройки, перейдите в раздел «Конфигурация пользователя \ Административные шаблоны \ Все параметры».
Примечание: вы можете использовать поиск на панели задач.
Открыть редактор локальной групповой политики с помощью команды «Выполнить».
- Нажмите сочетание клавиш Win + X или кликните правой кнопкой мыши на меню «Пуск».
- В открывшемся меню выберите Выполнить.
- В строке «Открыть» введите — gpedit.msc и нажмите кнопку «ОК».
Открыть редактор локальной групповой политики с помощью Проводника Windows.
- Откройте Проводник с помощью ярлыка на панели задач или просто нажав сочетание клавиш Win + E
- В адресную строку проводника введите или скопируйте и вставьте:
gpedit.msc
- Нажмите Enter
Открыть редактор локальной групповой политики из командной строки или PowerShell
Откройте Командную строку или вы можете открыть новый экземпляр PowerShell.
Введите: gpedit.msc и нажмите клавишу Enter.
Открыть редактор локальной групповой политики в качестве оснастки консоли управления.
- Откройте консоль управления MMC. (Нажмите кнопку «Пуск», введите mmc и нажмите клавишу Enter).
- В меню Файл выберите пункт Добавить или удалить оснастку.
- В открывшимся диалоговом окне, дважды кликните «Редактор объектов групповой политики» и нажмите кнопку «Готово» и «ОК».
Открыть редактор локальной групповой политики в Windows 10 Home.
Как вы уже знаете, приложение Редактора локальной групповой политики доступно в Windows 10 Pro, Enterprise или Education. Пользователи Windows 10 Home не имеют доступа к gpedit.msc из-за ограничений ОС. Вот простое и элегантное решение, которое позволяет разблокировать его без установки сторонних приложений.
Существует простой способ включить Редактор локальных групповых политик в Windows 10 Home запустив всего лишь один пакетный файл.
Чтобы включить Gpedit.msc (групповая политика) в Windows 10 Home
- Загрузите следующий ZIP-архив: Скачать ZIP-архив.
- Распакуйте его содержимое в любую папку. Он содержит только один файл, gpedit_home.cmd
- Кликните правой кнопкой мыши по файлу.
- Выберите в контекстном меню «Запуск от имени администратора».
Все!
Пакетный файл вызовет DISM для активации редактора локальной групповой политики. Подождите, пока командный файл не завершит свою работу.
Помните, что некоторые политики не будут работать в Windows Home. Некоторые политики жестко заданы для версий Windows Pro. Кроме того, если вы активируете gpedit.msc с помощью предоставленного пакетного файла, изменение политик для отдельных пользователей не вступит в силу. Они по-прежнему требуют настройки реестра.
Вы можете самостоятельно создать пакетный файл. Прежде чем начать, рекомендуем создать точку восстановления системы, и вы могли в любой момент отменить произведенные изменения в системе.
- Откройте текстовый редактор, например «Блокнот».
- Скопируйте и вставьте следующие строки:
@echo off pushd "%~dp0" dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txt dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txt for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i" pause
- В меню «Файл» текстового редактора выберите «Сохранить как» в диалоговом окне в строке «Имя файла» введите — gpedit.bat и нажмите кнопку «Сохранить».
- Запустите от имени Администратора полученный пакетный файл gpedit.bat
- При запросе фильтра Windows SmartScreen, нажмите «Подробнее», затем нажмите кнопку «Выполнить в любом случае».
- В окне Контроля учетных записей, нажмите кнопку «Да».
- Дождитесь пока утилита DISM внесет изменения и закройте окно.
Все! Редактор локальных групповых политик (gpedit.msc) включен и теперь Вы можете его запустить любым из описанных выше способов.
Policy Plus
Существует хорошая альтернатива встроенному приложению gpedit.msc, которое называется Policy Plus. Это стороннее приложение с открытым исходным кодом: PolicyPlus
Policy Plus предназначен для того, чтобы сделать параметры групповой политики доступными для всех.
- Редактор работает на всех выпусках Windows, не только на Pro и Enterprise
- Полностью соблюдает условия лицензирования
- Просмотр и редактирование политик на основе реестра в локальных объектах групповой политики, объектах групповой политики для отдельных пользователей, отдельных файлах POL, автономных кустах пользователей реестра и действующем реестре
- Переход к политикам по идентификатору, тексту или отдельным записям реестра.
- Просмотр дополнительной технической информации об объектах (политики, категории, продукты)
- Удобные способы изменить и импортировать настройки политики
Рекомендуем: Как Windows 10 вернуть настройки локальной групповой политики по умолчанию.
Редактор локальной групповой политики Windows для начинающих
  windows | для начинающих
В этой статье поговорим о еще одном инструменте администрирования Windows — редакторе локальной групповой политики. С его помощью вы можете настроить и определить значительное количество параметров своего компьютера, установить ограничения пользователей, запретить запускать или устанавливать программы, включить или отключить функции ОС и многое другое.
Отмечу, что редактор локальной групповой политики недоступен в Windows 7 Домашняя и Windows 8 (8.1) SL, которые предустановлены на многие компьютеры и ноутбуки (однако, можно установить Редактор локальной групповой политики и в домашней версии Windows). Вам потребуется версия начиная с Профессиональной.
Дополнительно на тему администрирования Windows
Как запустить редактор локальной групповой политики
Первый и один из самых быстрых способов запуска редактора локальной групповой политики — нажать клавиши Win + R на клавиатуре и ввести gpedit.msc — этот способ будет работать в Windows 8.1 и в Windows 7.
Также можно воспользоваться поиском — на начальном экране Windows 8 или в меню пуск, если вы используете предыдущую версию ОС.
Где и что находится в редакторе
Интерфейс редактора локальной групповой политики напоминает другие инструменты администрирования — та же структура папок в левой панели и основная часть программы, в которой можно получить информацию по выбранному разделу.
Слева настройки разделены на две части: Конфигурация компьютера (те параметры, которые задаются для системы в целом, вне зависимости от того, под каким пользователем был совершен вход) и Конфигурация пользователя (настройки, относящиеся к конкретным пользователям ОС).
Каждая из этих частей содержит следующие три раздела:
- Конфигурация программ — параметры, касающиеся приложений на компьютере.
- Конфигурация Windows — настройки системы и безопасности, другие параметры Windows.
- Административные шаблоны — содержит конфигурацию из реестра Windows, то есть эти же параметры вы можете изменить с помощью редактора реестра, но использование редактора локальной групповой политики может быть более удобным.
Примеры использования
Перейдем к использованию редактора локальной групповой политики. Я покажу несколько примеров, которые позволят увидеть, как именно производятся настройки.
Разрешение и запрет запуска программ
Если вы пройдете в раздел Конфигурация пользователя — Административные шаблоны — Система, то там вы обнаружите следующие интересные пункты:
- Запретить доступ к средствам редактирования реестра
- Запретить использование командной строки
- Не запускать указанные приложения Windows
- Выполнять только указанные приложения Windows
Два последних параметра могут быть полезными даже обычному пользователю, далекому от системного администрирования. Кликните дважды по одному из них.
В появившемся окне установите «Включено» и нажмите по кнопке «Показать» около надписи «Список запрещенных приложений» или «Список разрешенных приложений», в зависимости от того, какой из параметров меняется.
Укажите в строчках имена исполняемых файлов программ, запуск которых нужно разрешить или запретить и примените настройки. Теперь, при запуске программы, которая не разрешена, пользователь будет видеть следующее сообщение об ошибке «Операция отменена из-за ограничений, действующих на этом компьютере».
Изменение параметров контроля учетных записей UAC
В разделе Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности имеется несколько полезных настроек, одну из которых можно и рассмотреть.
Выберите параметр «Контроль учетных записей: поведение запроса на повышение прав для администратора» и дважды кликните по нему. Откроется окно с параметрами этой опции, где по умолчанию стоит «Запрос согласия для исполняемых файлов не из Windows» (Как раз поэтому, всякий раз, при запуске программы, которая хочет изменить что-то на компьютере, у вас запрашивают согласие).
Вы можете вообще убрать подобные запросы, выбрав параметр «Повышение без запроса» (только этого лучше не делать, это опасно) или же, напротив, установить параметр «Запрос учетных данных на безопасном рабочем столе». В этом случае, при запуске программы, которая может внести изменения в системе (а также для установки программ) каждый раз потребуется вводить пароль учетной записи.
Сценарии загрузки, входа в систему и завершения работы
Еще одна вещь, которая может оказать полезной — скрипты загрузки и выключения, которые вы можете заставить выполняться с помощью редактора локальной групповой политики.
Это может пригодиться, например, для запуска раздачи Wi-Fi с ноутбука при включении компьютера (если вы реализовывали ее без сторонних программ, а создав Wi-Fi сеть Ad-Hoc) или выполнения операций резервного копирования при выключении компьютера.
В качестве скриптов можно использовать командные файлы .bat или же файлы сценариев PowerShell.
Сценарии загрузки и выключения находятся в Конфигурация компьютера — Конфигурация Windows — Сценарии.
Сценарии входа в систему и выхода — в аналогичном разделе в папке «Конфигурация пользователя».
Например, мне нужно создать сценарий, выполняемый при загрузке: я дважды кликаю по «Автозагрузка» в сценариях конфигурации компьютера, нажимаю «Добавить» и указываю имя файла .bat, который следует выполнить. Сам файл должен находится в папке C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup (этот путь можно увидеть по нажатию кнопки «Показать файлы»).
В случае, если сценарий требует ввода каких-то данных пользователем, то на время его исполнения дальнейшая загрузка Windows будет приостановлена, до завершения работы скрипта.
В заключение
Это лишь несколько простых примеров использования редактора локальной групповой политики, для того, чтобы показать, что такое вообще присутствует на вашем компьютере. Если вдруг захочется разобраться подробнее — в сети есть масса документации на тему.
А вдруг и это будет интересно:
Управление локальными групповыми политиками сервера Windows
В инструкции описана процедура настройки и управления локальными групповыми политиками сервера Windows.
Что это такое?
Объект групповой политики является компонентом групповой политики, который используется в системах Microsoft для управления учетными записями пользователей и действиями пользователя. Редактор локальной групповой политики — это оснастка Microsoft Management Console (MMC), которая обеспечивает единый пользовательский интерфейс, с помощью которого можно управлять локальными групповыми политиками.
В редакторе локальной групповой политики администратор может редактировать локальные GPO, пользовательские настройки и определять сценарии для определенных задач и процессов.
О том как настроить GPO в домене Active Directory читайте инструкцию:
Управление групповыми политиками Active Directory (AD GPO)
Открытие редактора групповой политики Windows
Чтобы открыть консоль управления GP (Group Policy) откройте окно Run с помощью комбинации клавиш Win+R, в открывшемся окне введите:
gpedit.msc
В результате перед вами откроется редактор GP.
Использование локальных групповых политик
Пример 1 Настройка запрета установки программ для пользователей
Откройте редактор GPO, в древовидной структур найдите Computer Configuration → Administrative Templates → Windows Components → Windows Installer. В правой части окна выберете Prohibit User Installs. С помощью двойного щелчка мыши откройте настройки.
В открывшемся окне выберете опцию Enabled, а в выпадающем списке Hide User Installs. В результате пользователей сервера пропадет возможность установки приложений и программ без прав администратора.
Пример 2 Настройка запрета запуска программ для пользователей
Откройте редактор GP, в древовидной структур найдите User Configuration → Administrative Templates → System. В правой части окна выберете Don’t run spicified Windows Applications. С помощью двойного щелчка мыши откройте настройки политики.
В открывшемся окне выберете опцию Enabled, а и нажмите кнопку Show. В открывшийся список введите приложения, запуск которых будет запрещен для пользователя от имени которого производятся настройки.
P. S. Другие инструкции:
Поделиться в соцсетях:
Спасибо за Вашу оценку!
К сожалению, проголосовать не получилось. Попробуйте позже
ru
191014
Санкт-Петербург
ул. Кирочная, 9
+7(812)313-88-33
235
70
1cloud ltd
2018-12-07
Управление локальными групповыми политиками
191014
Санкт-Петербург
ул. Кирочная, 9
+7(812)313-88-33
235
70
1cloud ltd
2018-12-07
Управление локальными групповыми политиками
600
auto
Применение групповой политики | Документы Microsoft
- 2 минуты на чтение
В этой статье
Политика
применяется при запуске компьютера и при входе пользователя в систему. Когда пользователь включает компьютер, система применяет компьютерную политику. Когда пользователь входит в систему в интерактивном режиме, система загружает профиль пользователя, а затем применяет политику пользователя.
Примечание
Это обзорная тема для разработчиков, которые пишут код, взаимодействующий с групповой политикой.Дополнительные сведения о групповых политиках и о том, как применять их от имени администратора, см. В разделе Групповая политика для начинающих.
Политика
может быть дополнительно повторно применена на периодической основе. По умолчанию политика повторно применяется каждые 90 минут. Чтобы установить интервал, с которым политика будет применяться повторно, используйте редактор объектов групповой политики. Политика также может быть применена повторно по запросу. Чтобы немедленно обновить текущие параметры политики, приложения могут вызвать функцию RefreshPolicy ; администраторы могут вызвать Gpupdate.Утилита командной строки exe.
При применении политики система запрашивает у службы каталогов список объектов групповой политики для обработки. Каждый объект групповой политики связан с контейнером Active Directory, к которому принадлежит компьютер или пользователь. По умолчанию система обрабатывает объекты групповой политики в следующем порядке: локальный, сайт, домен, затем организационная единица. Таким образом, компьютер или пользователь получает параметры политики последнего обработанного контейнера Active Directory.
При обработке GPO система проверяет список управления доступом (ACL), связанный с GPO.Если запись управления доступом (ACE) запрещает компьютеру или пользователю доступ к GPO, система не применяет параметры политики, указанные в GPO. Если ACE разрешает доступ к GPO, система применяет параметры политики, указанные в GPO.
Имейте в виду, что развертывание приложения происходит только во время запуска системы или интерактивного входа пользователя в систему, а не на периодической основе. Это предотвращает нежелательные результаты, такие как удаление или обновление используемого приложения. Однако параметры политики на основе реестра и параметры политики безопасности применяются периодически.
Для получения дополнительной информации см. Обработка политики. Дополнительные сведения о том, как программно взаимодействовать с параметрами групповой политики с помощью этого поставщика, см. В разделах «Использование API групповой политики».
.Обзор групповой политики
| Документы Microsoft
- 3 минуты на чтение
В этой статье
Применимо к: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
Используйте этот раздел, чтобы найти ресурсы документации и другую техническую информацию, необходимую для выполнения основных задач групповой политики. Вы можете узнать о новых и обновленных функциях групповой политики в Windows Server 2012 R2 и Windows 8.1и способы автоматизации общих задач групповой политики с помощью Windows PowerShell.
Возможно, вы имели в виду…
Описание функции
Групповая политика — это инфраструктура, которая позволяет вам указывать управляемые конфигурации для пользователей и компьютеров с помощью параметров групповой политики и предпочтений групповой политики. Чтобы настроить параметры групповой политики, которые влияют только на локальный компьютер или пользователя, вы можете использовать редактор локальной групповой политики. Вы можете управлять параметрами групповой политики и предпочтениями групповой политики в среде доменных служб Active Directory (AD DS) через консоль управления групповой политикой (GPMC).Инструменты управления групповой политикой также включены в пакет средств удаленного администрирования сервера, чтобы вы могли управлять параметрами групповой политики с рабочего стола.
Windows PowerShell При установке консоли управления групповыми политиками на серверах или клиентских компьютерах также устанавливается модуль Windows PowerShell. У вас есть полная функциональность Windows PowerShell. Если вы устанавливаете пакет средств удаленного администрирования сервера, также устанавливаются последние командлеты Windows PowerShell для групповой политики.Дополнительные сведения о командлетах и сценариях Windows PowerShell, которые можно использовать для управления групповой политикой, см. В разделе Командлеты групповой политики.
Вы можете настроить функцию групповой политики с помощью командлетов Windows PowerShell. Дополнительные сведения об использовании командлетов диспетчера сервера для установки консоли управления групповой политикой см. В разделе Установка или удаление ролей, служб ролей или компонентов и модуля командлета развертывания диспетчера сервера.
Практическое применение
Используя групповую политику, вы можете значительно снизить совокупную стоимость владения вашей организации.Различные факторы, такие как большое количество доступных параметров политики, взаимодействие между несколькими политиками и параметры наследования, могут усложнить разработку групповой политики. Тщательно планируя, проектируя, тестируя и развертывая решение на основе бизнес-требований вашей организации, вы можете обеспечить стандартизированные функциональные возможности, безопасность и управление, необходимые вашей организации.
Вот несколько сценариев Windows Server 2012, в которых для реализации решения используется групповая политика:
Новый и измененный функционал
Дизайн групповой политики
может быть очень сложным.Различные факторы, такие как большое количество доступных параметров политики и элементов предпочтений, взаимодействие между несколькими политиками и параметры наследования, могут затруднить определение правильности работы групповой политики на каждом компьютере.
В Windows Server 2012 групповая политика была сосредоточена на улучшении устранения неполадок групповой политики. Windows Server 2012 R2 расширяет поддержку сетей IPv6, добавляет кэширование политик для сокращения времени входа в синхронном режиме и обеспечивает более подробную регистрацию событий.Дополнительные сведения об этих изменениях и дополнительную информацию о дополнительных изменениях в функциональности, которые здесь не перечислены, см. В разделах «Что нового в групповой политике в Windows Server 2012 [перенаправлено]» и «Что нового в групповой политике в Windows Server».
См. Также
.
объектов групповой политики | Документы Microsoft
- 2 минуты на чтение
В этой статье
Объект групповой политики (GPO) — это виртуальный набор параметров политики. У GPO есть уникальное имя, например GUID.
Параметры групповой политики содержатся в объекте групповой политики. Объект групповой политики может представлять параметры политики в файловой системе и в Active Directory. Параметры GPO оцениваются клиентами с использованием иерархической природы Active Directory.
На следующем рисунке показана структура объекта групповой политики.
Для создания групповой политики администратор может использовать редактор объектов групповой политики, который может быть автономным инструментом. Однако рекомендуется использовать редактор объектов групповой политики в качестве расширения для оснастки MMC, связанной с Active Directory, потому что это позволит вам просматривать Active Directory для правильного контейнера Active Directory и определять групповую политику на основе выбранного сфера управления (SOM).Примеры оснасток, связанных с Active Directory, включают оснастку «Пользователи и компьютеры Active Directory» и оснастку «Сайты и службы Active Directory».
Имейте в виду, что параметры политики делятся на параметры политики, которые влияют на компьютер, и параметры политики, влияющие на пользователя. Политики, связанные с компьютером, определяют поведение системы, параметры приложений, параметры безопасности, назначенные приложения, а также сценарии запуска и завершения работы компьютера. Политики, связанные с пользователем, определяют поведение системы, параметры приложений, параметры безопасности, назначенные и опубликованные приложения, сценарии входа и выхода пользователей и перенаправление папок.Имейте в виду, что настройки, относящиеся к компьютеру, имеют приоритет над настройками, относящимися к пользователю.
.
BrowseForGPO | Функция BrowseForGPO создает диалоговое окно браузера GPO, которое позволяет пользователю открывать или создавать GPO. |
CreateGPOLink | Функция CreateGPOLink создает связь между указанным GPO и указанным сайтом, доменом или организационной единицей. |
Удалить | Метод Delete удаляет объект групповой политики. |
Удалить все GPOLinks | Функция DeleteAllGPOLinks удаляет все ссылки GPO для указанного сайта, домена или подразделения. |
УдалитьGPOLink | Функция DeleteGPOLink удаляет связь между указанным GPO и указанным сайтом, доменом или организационной единицей. |
EnterCriticalPolicySection | Функция EnterCriticalPolicySection приостанавливает применение политики, чтобы позволить приложениям безопасно считывать параметры политики. |
Экспорт RSoPData | Функция ExportRSoPData экспортирует пространство имен WMI, содержащее информацию RSoP, в файл данных.Функция записывает информацию в файл данных, который можно импортировать в пространство имен WMI с помощью вызова функции ImportRSoPData. |
БесплатноGPOListA | Функция FreeGPOList освобождает указанный список объектов групповой политики. |
БесплатноGPOListW | Функция FreeGPOList освобождает указанный список объектов групповой политики. |
GetAppliedGPOListA | Функция GetAppliedGPOList извлекает список объектов групповой политики, примененных для указанного пользователя или компьютера. |
GetAppliedGPOListW | Функция GetAppliedGPOList извлекает список объектов групповой политики, примененных для указанного пользователя или компьютера. |
GetDisplayName | Метод GetDisplayName извлекает отображаемое имя для объекта групповой политики. |
GetDisplayName | Метод GetDisplayName извлекает отображаемое имя для объекта групповой политики. |
GetDSPath | Метод GetDSPath получает путь Active Directory для указанного раздела объекта групповой политики. |
GetDSPath | Метод GetDSPath извлекает путь Active Directory к корню указанного раздела GPO. |
GetEventLogEntryText | Метод GetEventLogEntryText возвращает текст для определенной записи в журнале событий. |
GetFileSysPath | Метод GetFileSysPath возвращает путь в файловой системе для указанного раздела GPO. Путь в формате UNC. |
GetFileSysPath | Метод GetFileSysPath извлекает путь файловой системы к корню указанного раздела GPO.Путь в формате UNC. |
GetFlags | Метод GetFlags извлекает информацию о сеансе пользовательского интерфейса RSoP. |
GetGPOListA | Функция GetGPOList извлекает список объектов групповой политики для указанного пользователя или компьютера. |
GetGPOListW | Функция GetGPOList извлекает список объектов групповой политики для указанного пользователя или компьютера. |
GetHint | Метод GetHint извлекает тип объекта Active Directory, с которым может быть связан этот объект групповой политики. |
GetLocalManagedApplications | Функцию GetLocalManagedApplications можно запустить на целевом компьютере, чтобы получить список управляемых приложений на этом компьютере. |
GetMachineName | Метод GetMachineName получает имя компьютера удаленного объекта групповой политики. Это имя, указанное методом OpenRemoteMachineGPO. |
GetManagedApplicationCategories | Функция GetManagedApplicationCategories получает список категорий приложений для домена.Список одинаковый для всех пользователей в домене. |
GetManagedApplications | Функция GetManagedApplications получает список приложений, которые отображаются на панели «Добавить» окна «Установка и удаление программ» (ARP) для указанного пользовательского контекста. |
GetName | Метод GetName извлекает уникальное имя для объекта групповой политики. Обычно это значение GUID. |
GetName | Метод GetName получает уникальное имя GPO. |
GetNamespace | Метод GetNameSpace извлекает пространство имен, из которого отображаются данные RSoP. |
GetOptions | Метод GetOptions извлекает параметры, выбранные пользователем для редактора объектов групповой политики. |
GetOptions | Метод GetOptions извлекает параметры для объекта групповой политики. |
GetPath | Метод GetPath получает путь к объекту групповой политики. |
GetPropertySheetPages | Метод GetPropertySheetPages извлекает страницы страницы свойств, связанные с GPO. |
GetRegistryKey | Метод GetRegistryKey извлекает дескриптор корня раздела реестра для указанного раздела GPO. |
GetRegistryKey | Метод GetRegistryKey извлекает дескриптор корня раздела реестра для указанного раздела GPO. |
GetType | Метод GetType извлекает информацию о типе редактируемого объекта групповой политики. |
GetType | Метод GetType извлекает информацию о типе редактируемого объекта групповой политики. |
ImportRSoPData | Функция ImportRSoPData импортирует файл данных, содержащий данные RSoP, в пространство имен WMI. Файл должен быть создан в результате вызова функции ExportRSoPData. |
Установить приложение | Функция InstallApplication может устанавливать приложения, которые были развернуты для целевых пользователей, принадлежащих к домену. |
LeaveCriticalPolicySection | Функция LeaveCriticalPolicySection возобновляет фоновое применение политики. Эта функция закрывает дескриптор раздела политики. |
Новый | Метод New создает новый объект групповой политики в Active Directory с указанным отображаемым именем. Метод открывает объект групповой политики с помощью метода OpenDSGPO. |
OpenDSGPO | Метод OpenDSGPO открывает указанный объект групповой политики и при необходимости загружает информацию реестра. |
OpenLocalMachineGPO | Метод OpenLocalMachineGPO открывает объект групповой политики по умолчанию для компьютера и дополнительно загружает информацию реестра. |
OpenRemoteMachineGPO | Метод OpenRemoteMachineGPO открывает объект групповой политики по умолчанию для указанного удаленного компьютера и дополнительно загружает информацию реестра. |
PFNGENERATEGROUPPOLICY | Функция обратного вызова GenerateGroupPolicy — это определяемая приложением функция обратного вызова, которую каждое расширение политики должно экспортировать при генерации данных RSoP в режиме планирования. |
PFNPROCESSGROUPPOLICY | Функция ProcessGroupPolicy — это определяемая приложением функция обратного вызова, используемая при применении политики. |
PFNPROCESSGROUPPOLICYEX | Функция ProcessGroupPolicyEx — это определяемая приложением функция обратного вызова, используемая при применении политики. |
PFNSTATUSMESSAGECALLBACK | Функция StatusMessageCallback — это определяемая приложением функция обратного вызова, используемая для отображения сообщений о состоянии при применении политики. |
Политика Изменена | Метод PolicyChanged сообщает редактору объектов групповой политики об изменении параметров политики. |
ProcessGroupPolicyCompleted | Функция ProcessGroupPolicyCompleted уведомляет систему о том, что указанное расширение завершило применение политики. |
ProcessGroupPolicyCompletedEx | Функция ProcessGroupPolicyCompletedEx уведомляет систему о том, что указанное расширение политики завершило применение политики.Функция также сообщает о состоянии регистрации результирующего набора политик (RSoP). |
RefreshPolicy | Функция RefreshPolicy вызывает немедленное применение политики на клиентском компьютере. |
RefreshPolicyEx | Функция RefreshPolicyEx вызывает немедленное применение политики на компьютере. Расширенная функция позволяет указать тип применяемого обновления политики. |
Регистрация GPNotification | Функция RegisterGPNotification позволяет приложению получать уведомление об изменении политики.Когда происходит изменение политики, указанный объект события устанавливается в сигнальное состояние. |
RsopAccessCheckByType | Функция RSoPAccessCheckByType определяет, предоставляет ли дескриптор безопасности указанный набор прав доступа клиенту, идентифицированному RSOPTOKEN. |
RsopFileAccessCheck | Функция RSoPFileAccessCheck определяет, предоставляет ли дескриптор безопасности файла указанный набор прав доступа к файлу клиенту, идентифицированному RSOPTOKEN. |
RsopResetPolicySettingStatus | Функция RSoPResetPolicySettingStatus отсоединяет экземпляр RSOP_PolicySettingStatus от его экземпляра RSOP_PolicySetting. |
RsopSetPolicySettingStatus | Функция RSoPSetPolicySettingStatus создает экземпляр RSOP_PolicySettingStatus и экземпляр RSOP_PolicySettingLink. Функция связывает (связывает) RSOP_PolicySettingStatus со своим экземпляром RSOP_PolicySetting. |
Сохранить | Метод Save сохраняет указанные параметры политики реестра на диск и обновляет номер редакции объекта групповой политики. |
SetDisplayName | Метод SetDisplayName устанавливает отображаемое имя для объекта групповой политики. |
SetOptions | Метод SetOptions устанавливает параметры для объекта групповой политики. |
Удалить приложение | Функция UninstallApplication удаляет приложение групповой политики, которое выполняет настройку и установку с помощью файлов MSI установщика Windows. |
Отмена регистрации GPNotification | Функция UnregisterGPNotification отменяет регистрацию указанного дескриптора уведомления о политике из получения уведомлений об изменении политики. |
.