Windows 2020 r2 групповые политики: Правила применения групповой политики для контроллеров домена — Windows Server
Правила применения групповой политики для контроллеров домена — Windows Server
-
- Чтение занимает 2 мин
В этой статье
В этой статье описываются правила применения групповой политики для контроллеров домена.
Исходная версия продукта: Windows Server 2012 R2
Исходный номер статьи базы знаний: 259576
Аннотация
Контроллеры домена извлекают некоторые параметры безопасности только из объектов групповой политики, связанных с корневым каталогом домена. Так как контроллеры домена используют одну и ту же базу данных учетных записей для домена, некоторые параметры безопасности должны быть установлены одинаково на всех контроллерах домена. Это обеспечивает единообразие взаимодействия между членами домена независимо от того, какой контроллер домена используется для входа в систему. Windows 2000 выполняет эту задачу, позволяя применять к контроллерам домена на уровне домена только определенные настройки групповой политики. Это поведение групповой политики отличается для рядовых серверов и рабочих станций.
Следующие параметры применяются к контроллерам домена в Windows 2000 только в том случае, если групповая политика связана с контейнером домена:
Все параметры в разделе Конфигурация компьютера/параметры Windows/параметры безопасности/политики учетных записей (сюда входят все политики блокировки учетных записей, пароли и политики Kerberos).
Следующие три параметра в разделе Конфигурация компьютера/Конфигурация Windows/параметры безопасности/Локальные политики/параметры безопасности :
- Автоматический выход пользователей по истечении времени входа
- Переименование учетной записи администратора
- Переименование гостевой учетной записи
Следующие параметры применяются к контроллерам домена под управлением Windows Server 2003, только если групповая политика связана с контейнером домена. (Параметры расположены в разделе Конфигурация компьютера/Конфигурация Windows/параметры безопасности/Локальные политики/параметры безопасности.)
- Accounts: состояние учетной записи администратора
- Accounts: состояние учетной записи гостя
- Учетные записи: Переименование учетной записи администратора
- Учетные записи: Переименование гостевой учетной записи
- Безопасность сети: принудительный выход при истечении времени входа
Дополнительные сведения
Эти параметры из объектов групповой политики не применяются к подразделению контроллеров домена, так как контроллер домена может быть перемещен из подразделения контроллеров домена в другое подразделение. Использование контейнера домена позволяет применять эти параметры независимо от того, в каком подразделении находится контейнер домена.
Процесс применения этих параметров на контроллере домена включает в себя:
- Контроллер домена собирает список объектов групповой политики, выполняя поиск в родительских контейнерах объекта компьютера контроллера домена.
- Контроллер домена применяет указанные выше параметры только в том случае, если объект групповой политики связан с контейнером домена.
- При наличии нескольких объектов групповой политики, связанных с контейнером домена, приложение объектов групповой политики начинается с объекта групповой политики в нижней части списка и заканчивается объектом групповой политики вверху. В результате объект групповой политики в верхней части будет иметь приоритет над другими.
Создание и настройка групповых политик в Windows Server 2008 R2
Данное руководство представляет собой пошаговую инструкцию по созданию и настройке локальной групповой политики, а также групповых политик на уровне доменов и подразделений в Windows Server 2008 R2.
Групповые политики – это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object).
I. Область действия групповых политик
Все групповые политики имеют свою область действия (scope), которая определяет границы влияния политики. Области действия групповых политик условно можно разделить на четыре типа:
Локальные групповые политики
Групповые политики, применяемые к локальному компьютеру, или локальные групповые политики. Эти политики настраиваются в оснастке «Редактор локальных групповых политик» и применяются только к тому компьютеру, на котором они были настроены. Они не имеют механизма централизованного развертывания и управления и, по сути, не являются групповыми политиками.
Групповые политики доменов
Объекты групповых политик, применяемые к домену Active Directory (AD) и оказывающие влияние на все объекты, имеющие отношение к данному домену. Поскольку в рамках домена работает механизм наследования, то все политики, назначенные на домен, последовательно применяются и ко всем нижестоящим контейнерам.
Групповые политики подразделения
Политики, применяемые к подразделению (Organizational Unit policy, сокр. OU) и оказывающие влияние на все содержимое данного OU и дочерних OU (при их наличии).
Групповые политики сайтов
Сайты в AD используются для представления физической структуры организации. Границы сайта определяются одной или несколькими IP-подсетями, которые объединены высокоскоростными каналами связи. В один сайт может входить несколько доменов и наоборот, один домен может содержать несколько сайтов. Объекты групповой политики, примененные к сайту AD, оказывают влияние на все содержимое этого сайта. Следовательно, групповая политика, связанная с сайтом, применяется ко всем пользователям и компьютерам сайта независимо от того, к какому домену они принадлежат.
II. Порядок применения и приоритет групповых политик
Порядок применения групповых политик напрямую зависит от их области действия. Первыми применяются Локальные политики, затем Групповые политики сайтов, затем отрабатывают Доменные политики и затем OU политики. Если на одну OU назначено несколько GPO, то они обрабатываются в том порядке, в котором были назначены (Link Order).
Приоритет GPO напрямую зависит от порядка их применения — чем позднее применяется политика, тем выше ее приоритет. При этом нижестоящие политики могут переопределять вышестоящие — например Локальная политика будет переопределена Доменной политикой сайта, Доменная политика — политикой OU, а политика вышестоящего OU — нижестоящими политиками OU.
III. Создание локальной групповой политики
1. Для создания локальной групповой политики зайдите на рабочую станцию, нажмите Пуск, в поле поиска введите Выполнить, затем, в поисковой выдаче, выберите Выполнить (Рис.1).
Рис.1
.
2. В открывшемся окне введите в поле gpedit.msc, затем нажмите OK (Рис.2).
Рис.2
.
3. В открывшемся окне Вы увидите две основные категории параметров групповой политики — параметры конфигурации компьютера и параметры конфигурации пользователя. Параметры конфигурации компьютера применяются к компьютеру в целом, то есть действуют в отношении всех пользователей, входящих в систему на данном компьютере, без различия, гости они, пользователи или администраторы. Параметры конфигурации пользователя действуют только в отношении конкретно заданных пользователей (Рис.3).
Рис.3
.
4. Выберите: Конфигурация пользователя > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.4).
Рис.4
.
5. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:\Green_Local.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер (Рис.5).
Рис.5
.
6. После перезагрузки компьютера Вы увидите, что политика отработала и фон рабочего изменился (Рис.6).
Рис.6
.
IV. Создание и настройка групповой политики на уровне домена
1. Для создания групповой политики на уровне домена зайдите на сервер, выберите Пуск > Администрирование > Управление групповой политикой (Рис.7).
Рис.7
.
2. Выберите домен (прим. в данном руководстве это example.local), через правую кнопку мыши вызовите меню, в котором выберите Создать объект групповой политики в этом домене и связать его… (Рис.8).
Рис.8
.
3. В появившемся окне выберите, в соответствующем поле, имя новой групповой политики (прим. в данном руководстве это GPO-1), затем нажмите ОК (Рис.9).
Рис.9
.
4. Выберите созданную групповую политику (прим. GPO-1), через правую кнопку мыши вызовите меню, в котором выберите Изменить (Рис.10).
Рис.10
.
5. Выберите: Конфигурация пользователя > Политики > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.11).
Рис.11
.
6. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:\Yellow_Domain_GPO-1.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (Рис.12).
Рис.12
.
7. После перезагрузки компьютера Вы увидите, что групповая политика домена отработала и фон рабочего стола на компьютере изменился (прим. на компьютере доменные политики успешно применились и переопределили настройки, задаваемые локальными политиками. Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым) (Рис.13).
Рис.13
.
V. Создание и настройка групповой политики на уровне подразделения
1. Для создания групповой политики на уровне подразделения (Organizational Unit policy, сокр. OU) зайдите на сервер, выберите Пуск > Администрирование > Управление групповой политикой (Рис.14).
Рис.14
.
2. Выберите домен (прим. в данном руководстве это example.local), через правую кнопку мыши вызовите меню, в котором выберите Создать подразделение (Рис.15).
Рис.15
.
3. В появившемся окне выберите, в соответствующем поле, имя нового подразделения (прим. в данном руководстве это OU-1), затем нажмите ОК (Рис.16).
Рис.16
.
4. Выберите созданное подразделение (прим. OU-1), через правую кнопку мыши вызовите меню, в котором выберите Создать объект групповой политики в этом домене и связать его… (Рис.17).
Рис.17
.
5. В появившемся окне выберите, в соответствующем поле, имя новой групповой политики (прим. в данном руководстве это GPO-2), затем нажмите ОК (Рис.18).
Рис.18
.
6. Выберите созданную групповую политику (прим. GPO-2), через правую кнопку мыши вызовите меню, в котором выберите Изменить (Рис.19).
Рис.19
.
7. Выберите: Конфигурация пользователя > Политики > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.20).
Рис.20
.
8. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это Red_OU_OU-1_GPO-2.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (прим. на этом же компьютере она была переопределена доменной групповой политикой) (Рис.21).
Рис.21
.
9. После перезагрузки компьютера Вы увидите, что доменная политика (GPO-1) переопределена политикой (GPO-2), назначенной на OU. (Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым, после чего доменная политика была переопределена политикой OU и фон стал красным) (Рис.22).
Рис.22
.
VI. Наследование в групповых политиках
1. На все политики в домене распространяется наследование, т.е. политики, назначенные на родительский контейнер (домен или OU), последовательно применяются ко всем дочерним контейнерам. При необходимости это можно изменить, отключив наследование для отдельно взятого OU. Для этого необходимо перейти в управление групповой политикой (прим. Пуск > Администрирование > Управление групповой политикой), выбрать нужное OU (прим. в данном руководстве это OU-1), кликнуть на нем правой клавишей мыши и в контекстном меню отметить пункт Блокировать наследование. После этого для данного OU и его дочерних OU (при их наличии) отменяется воздействие всех вышестоящих политик (Рис.23).
Примечание! Политика Default Domain Policy содержит настройки, определяющие политику паролей и учетных записей в домене. Эти настройки не могут быть заблокированы.
Рис.23
.
VII. Форсирование применения групповых политик
1. Форсирование применения групповых политик применяется тогда, когда данная политика должна отработать независимо от остальных политик. Если политика форсирована, то, вне зависимости от своей области действия она получает наивысший приоритет. Это значит, что ее настройки не могут быть переопределены нижестоящими политиками, а также на нее не действует отмена наследования. Чтобы форсировать политику, необходимо перейти в управление групповой политикой (прим. Пуск > Администрирование > Управление групповой политикой), выбрать нужную политику (прим. в данном руководстве это GPO-1), кликнуть на ней правой клавишей мыши и в контекстном меню отметить пункт Принудительный (Рис.24).
Рис.24
.
Надеемся, что данное руководство помогло Вам!
.
Поделиться ссылкой:
Похожее
Строим отчеты и анализируем групповые политики с помощью PowerShell
Тема использования PowerShell для администрирования крайне актуальна, и на Хабре появляется все больше и больше статей на эту тему. Предыдущий перевод статьи Джеффри Хикса, который мы опубликовали в прошлую пятницу, вызвал волну интереса. И как тут не вспомнить замечательное выступление того же автора на TechEd North America 2012. Доклад, который Джеффри Хикс проводил вместе с Джереми Московицем (Jeremy Moskowitz), был посвящен анализу объектов групповых политик и формированию отчетов. Оригинальный материал (видео) здесь, мы же приводим крактко содержание + скрипты. В любом случае рекомендуем посмотреть само видео.
В фокусе доклада было два вопроса:
- Строит отчеты по групповым политикам
- Проводим анализ групповых политик
Подробности – под катом.
Используем PowerShell в связке с групповыми политиками: что для этого нужно?
Чтобы использовать PowerShell при работе с групповыми политиками, нам необходимы:
Последовательность наших действий:
- Импортируем модуль групповых политик (Import-module GroupPolicy)
- Получаем объект групповых политик с помощью PowerShell (Get a GPO PowerShell Object)
- Строим отчет на основе этого объекта
- Строим HTML/XML-отчеты по объектам групповых политик
- Парсим и осуществляем поиск в XML для целей анализа
- Осуществляем поиск с помощью Select-XML и Xpath
Строим отчеты по групповым политикам
Проблема №1. Необходимо получить информацию о том, что в настоящий момент происходит в групповых политиках
PS C:\> Import-Module GroupPolicy
PS C:\> Get-GPO JeremyGPO
В данном случае вместо JeremyGPO выступает отображаемое имя (DisplayName) объекта групповых политик. Выводится такая табличка
DisplayName : JeremyGPO
DomainName : GLOBOMANTICS.local
Owner : GLOBOMANTICS\Domain Admins
Id : cd73c562-5bfe-40e2-b81e-28da10da425c
GpoStatus : ComputerSettingsDisabled
Description :
CreationTime : 12/28/2011 2:52:37 PM
ModificationTime : 5/21/2012 11:08:26 AM
UserVersion : AD Version: 4, SysVol Version: 4
ComputerVersion : AD Version: 1, SysVol Version: 1
WmiFilter :
Решение проблемы: создаем отчеты.
Например, перед нами стоит задача получить список всех объектов групповых, которые были изменены за последние 30 дней, отсортированные по убыванию (последние наверху) с тремя значениями (отображаемое имя, время изменения, описание). Полученную информацию необходимо экспортировать в .csv файл (GPOModReport.csv в данном примере). Как это выглядит в PowerShell:
PS C:\> get-gpo -all | Where {$_.ModificationTime -gt (Get-Date).AddDays(-30)}
... | Sort ModificationTime -Descending | Where {$_.ModificationTime -ge (Get-Date).AddDays(-30)} | Select Displayname,ModificationTime,Description
... | Export-CSV R:\GPOModReport.csv
Примеры дополнительных команд
#Созданные и измененные объекты групповых политик
PS C:\>get-gpo -all | Sort CreationTime,Modificationtime | Select Displayname,*Time
#Находим все объекты групповых политик, измененные за последние 30 дней
PS C:\>get-gpo -all | Where {$_.ModificationTime -ge (Get-Date).AddDays(-30)}
#Создаем отчет по отдельному объекту групповых политик (Defaul Domain Policy)
PS C:\>Get-GPOReport -name "Default Domain Policy" -ReportType HTML -Path "c:\work\ddp.htm"
invoke-item "c:\work\ddp.htm"
#Создаем отчеты по всем объектам групповых политик
PS C:\>Get-GPOReport -All -ReportType HTML -Path "c:\work\allgpo.htm"
invoke-item "c:\work\allgpo.htm"
#Создаем для каждого объекта групповых политик свой отчет
#заменяем пробелы на _ в имени GPO
PS C:\>Get-GPO -all | foreach {
$f="{0}.htm" -f ($_.Displayname).Replace(" ","_")
$htmfile=Join-Path -Path "C:\work" -ChildPath $f
Get-GPOReport -Name $_.Displayname -ReportType HTML -Path $htmfile
Get-Item $htmfile
}
Проблема №2. Слишком много GPO, которые не используются.
Задача: найти пустые GPOs
- Определить объекты групповых политик без настроек
- Ищем XML ExtensionData
PS C:\> Import-Module GroupPolicy
PS C:\> [xml]$r = Get-GPOReport -Name MyGPO
-ReportType XML
PS C:\> if ((-Not $r.gpo.user.extensiondata) -AND (-not $r.gpo.computer.extensiondata)) {
"GPO is empty"
}
Дополнительные команды
#requires -version 2.0
#find empty gpos in the domain
Function Get-EmptyGPO {
Param (
[Parameter(Position=0,ValueFromPipeline=$True,
ValueFromPipelinebyPropertyName=$True)]
[string]$DisplayName
)
Begin {
#import the GroupPolicy Module
Import-Module GroupPolicy
}
Process {
#create an XML report
[xml]$report=Get-GPOReport -Name $displayname -ReportType XML
#totally empty
if ((-Not $report.gpo.user.extensiondata) -AND (-not $report.gpo.computer.extensiondata)) {
#no extension data so write
Get-GPO -Name $Displayname
}
} #process
End {}
} #function
Function Test-EmptyGPO {
Param (
[Parameter(Position=0,ValueFromPipeline=$True,
ValueFromPipelinebyPropertyName=$True)]
[string]$DisplayName
)
Begin {
#import the GroupPolicy Module
Import-Module GroupPolicy
}
Process {
#set default values
$User=$False
$Computer=$False
#create an XML report
[xml]$report=Get-GPOReport -Name $displayname -ReportType XML
if ($report.gpo.user.extensiondata) {
$User=$True
}
If ( $report.gpo.computer.extensiondata) {
$Computer=$True
}
#write a custom object to the pipeline
New-Object -TypeName PSObject -Property @{
Displayname=$report.gpo.name
UserData=$User
ComputerData=$Computer
}
} #Process
End {}
} #function
#Get-GPO -All | Get-EmptyGPO
#Get-GPO -All | Test-EmptyGPO
Проблема №3.
Кто обращался к объекту групповой политики?
Имеются ли GPO, в которых половина политики деактивирована (“Are there any GPOs with ‘half’ the policy disabled?”)
Имеются ли GPO, в которых все политики деактивированы (“Are there any GPOs with ‘all’ the policy disabled?”)
Применяем фильтр по статусу GPO (GPOStatus). Каждому из трех вопросов выше соответствуют три команды:
PS C:\> get-gpo -all | Sort GPOStatus | format-table -GroupBy GPOStatus Displayname,*Time
PS C:\> get-gpo -all | where {$_.GPOStatus -match "disabled"} | Select GPOStatus,Displayname
PS C:\> get-gpo -all | where {$_.GPOStatus -match "AllSettingsDisabled"}
Анализируем объекты групповых политик
Проблема №4. Обнаруживаем GPO без связей
PS C:\> Import-Module ActiveDirectory
Get-ADOrganizationalUnit -filter * | select-object
-ExpandProperty DistinguishedName | get-adobject
-prop gplink | where {$_.gplink} | Select-object
-expand gplink | foreach-object {
foreach ($item in ($_.Split("]["))) {
$links+=$regex.match($item).Value
}
}
Get-GPO -All | Where {$links -notcontains $_.id}
Дополнительные команды
#requires -version 2.0
<#
Find unlinked GPOs. This requires the Active Directory Module
This version does not query for site links
#>
Import-Module ActiveDirectory,GroupPolicy
#GUID regular expression pattern
[Regex]$RegEx = "(([0-9a-fA-F]){8}-([0-9a-fA-F]){4}-([0-9a-fA-F]){4}-([0-9a-fA-F]){4}-([0-9a-fA-F]){12})"
#create an array of distinguishednames
$dn=@()
$dn+=Get-ADDomain | select -ExpandProperty DistinguishedName
$dn+=Get-ADOrganizationalUnit -filter * | select -ExpandProperty DistinguishedName
$links=@()
#get domain and OU links
foreach ($container in $dn) {
#pull the GUID and add it to the array of links
get-adobject -identity $container -prop gplink |
where {$_.gplink} | Select -expand gplink | foreach {
#there might be multiple GPO links so split
foreach ($item in ($_.Split("]["))) {
$links+=$regex.match($item).Value
} #foreach item
} #foreach
} #foreach container
#$links
<#
get all gpos where the ID doesn't belong to the array
write the GPO to the pipeline
#>
Get-GPO -All | Where {$links -notcontains $_.id}
Проблема 5. Объекты групповых политик с излишними настройками в реестре (“Extra Registry Settings”)
Находим излишние настройки в реестре
#Use Xpath with the XML report data
PS C:\> [xml]$report = Get-GPOReport -Name MyGPO
-ReportType XML
PS C:\> $ns = @{q3 = "http://www.microsoft.com/GroupPolicy/Settings/Registry"}
PS C:\> $nodes = Select-Xml -Xml $report -Namespace $ns -XPath "//q3:RegistrySetting" | select -expand Node | Where {$_.AdmSetting -eq 'false'}
Дополнительные команды
#requires -version 2.0
#find GPOs with extra registry, ie non-ADM settings
Function Test-GPOExtraRegistry {
Param (
[Parameter(Position=0,ValueFromPipeline=$True,
ValueFromPipelinebyPropertyName=$True)]
[string]$DisplayName
)
Begin {
#import the GroupPolicy Module
Import-Module GroupPolicy
}
Process {
#create an XML report
[xml]$report=Get-GPOReport -Name $displayname -ReportType XML
#define the XML namespace
$ns=@{q3="http://www.microsoft.com/GroupPolicy/Settings/Registry"}
$nodes=Select-Xml -Xml $report -Namespace $ns -XPath "//q3:RegistrySetting" |
select -expand Node | Where {$_.AdmSetting -eq 'false'}
if ($nodes) {
#extra settings were found so get the GPO and write it to the pipeline
Get-GPO -Name $Displayname
}
}
End {}
} #function
#Import-Module GroupPolicy
#Get-GPO -all | Test-GPOExtraRegistry
Еще раз обозначим, что мы привели в посте лишь сухой остаток того, что было продемонстрировано в докладе. Сам доклад можно посмотреть здесь.
Бонусы:
Также для построения отчетов по групповым политикам вы можете воспользоваться нашей программой NetWrix Group Policy Change Reporter.
Почему не применяется групповая политика, решаем за минуту
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org, в прошлый раз я вам показал, как я делал досрочное погашение ипотеки Сбербанка, поделился свои жизненным опытом. Сегодня я хочу вас научить, как находить и диагностировать причины, по которым у вас может не применяться назначенная вами групповая политика к компьютеру или пользователю или целому организационному подразделению. Мы рассмотрим все этапы, через которые проходит происходит взаимодействие с GPO. Разберем утилиты, которыми должен владеть системный администратор в задачи которого входит создание и назначение политик. Уверен, что данный пост будет вам полезен и интересен.
За, что Active Directory от Microsoft получила такую популярность? Одним из ответов на данный вопрос, будет функционал групповой политики. Все администраторы, как и большинство современных людей, существа очень ленивые и любят, когда все централизованно управляется и по возможности автоматизированно. Именно объекты GPO, позволяют производить настройки десятков, сотен и тысяч компьютеров, из одного места и практически по всем направлениям, например добавление принтеров, скриптов входа, профилей WiFi и многое другое.
Очень частые ситуации, что системный администратор создал новую групповую политику, применил ее на нужный ему объект, но эффекта это не дало и нужно понять почему она не применилась и вот тут начинающие системные администраторы попадают в просак, не понимая, где и что нужно искать. Ниже мы с вами разберем алгоритм действий, который поможет вам найти причину и восстановить работу применения групповой политики на нужный объект.
К чему применяется групповая политика (GPO)
Первое, на что я хочу обратить внимание, это ответить, что делает групповая политика. Все мы прекрасно знаем, что операционная система Windows, это набор служб и ключей реестра. Все настройки, которые вы видите и меняете в графическом режиме, по сути меняют ключи реестра. Понимая, это сразу можно сделать вывод:
- что реестр есть как для объекта компьютер
- и реестр есть для объекта пользователь
Именно эту две сущности являются конечными объектами в политике GPO. В Active Directory объекты пользователей и компьютеров не лежат просто так, а располагаются в двух видах папок:
- Это контейнер — по сути простая папка, важно, что к ней нельзя применять объекты групповой политики.
- Второй тип, это организационные подразделения (OU) — это специальные папки для объединения объектов AD по принципам. Именно с OU связываются объекты групповой политики, для применения их к компьютерам и пользователям. Внешне контейнер отличается от организационной утилитой, тем что у OU, есть дополнительная лычка на значке, это показано на скриншоте.
Алгоритм устранения проблем с GPO
Предположим, что у меня есть групповая политика, которая применяется на организационное подразделение «Client Computers«. Политика называется «Управление UIPI». По какой-то причине пользователь жалуется, что она у него не применилась.
Из информации, об области действия групповой политики, первое на что нужно обратить свое внимание, это находится ли объект пользователя или компьютера по нужному пути. Сделать, это просто в оснастке «Управление групповой политикой» найдите вашу политику и посмотрите к каким OU она применяется, это видно на вкладке «Область (Scope)», ее еще называют областью действия политики. В моем случае, это путь root.pyatilistnik.org/Client Computers.
Так как Active Directory, это иерархическая структура, то одна OU можете быть часть дерева из других и сама включать в себя большое количество организационных подразделений. Поэтому если у вас есть вложенность, то просто зайдя в нужную OU вы можете сразу не найти нужный объект. В таком случае воспользуйтесь поиском по Active Directory. Например у меня есть рабочая станция с которой идут жалобы на применение объекта GPO. В поиске выбираем в поле «Найти» компьютеры и в имени указываем w10-cl01, после чего нажимаем «Найти». В результатах поиска вы получите выдачу. Щелкаем по нужному объекту и переходим в нем на вкладку «Объект», где смотрим «Каноническое имя объекта«, по сути это его путь расположения в Active Directory. Сравниваем его с тем, что получили из области применения групповой политики и делаем вывод, попадает объект под действие или нет.
Далее убедитесь, что у вас элементарно включена связь объекта групповой политики с нужным организационным подразделением. Для этого в оснастке управления GPO, щелкните правым кликом по нужной политике и в контекстном меню проверьте, что установлена галка «Связь включена«, ее так же можно проверить на вкладке «Область» в столбце «Связь задействована», должно стоять значение «да».
Следующим моментом необходимо проверить, что политика не отключена на определенный объект. Для этого перейдите на вкладку «Сведения» на нужной GPO. Нас интересует строка «Состояние GPO». По умолчанию там стоит значение «Включено«, означающее, что политика будет пытаться примениться заданные в ней настройки к обоим типам объектов (Пользователю и компьютеру). Но может быть выставлено значение:
- Параметры конфигурации компьютера отключены (Computer configuration settings disabled)
- Параметры конфигурации пользователя отключены (User configuration settings disabled)
- Все параметры отключены (All setting disabled) — запретит применение политики для любого объекта
Сделано, это для ускорения применения политики к объекты. Согласитесь, что если у вас в GPO настроены изменения только для пользователя, то нет смысла проверять политику для компьютера. Поэтому системные администраторы могут отключать это, но могут и ошибиться, выключив не тот объект
Выше я вам писал, что структура OU иерархическая, а это означает, что политика прилинкованная с вышестоящего организационного подразделения применяется на нижестоящее. Но вот если у нижестоящей OU отключено наследование сверху, то он не сможет применить данную политику. Проверяется очень просто, найдите нужную вам OU, щелкните по ней правым кликом и удостоверьтесь, что не стоит пункт «Блокировать наследование».
Он кстати будет иметь характерный значок с восклицательным знаком. Данный механизм создан специально, чтобы изолировать данную OU от ненужных политик GPO.
Проверка прав на политику
Объекты групповой политики, так же имеют свой ACL (лист доступа), это означает, что вы можете более тонко настраивать к каким объектам применяется данная политика. В редакторе «Управление групповой политикой» выберите ваш GPO. На вкладке «Область» найдите раздел «Фильтры безопасности«, он отображает к каким объектам применяется политика. Данный фильтр безопасности может включать объекты:
- Пользователь
- Компьютер
- Группа безопасности
По умолчанию тут прописана группа безопасности «Прошедшие проверку (Authenticated Users)». По умолчанию в данную группу входят все доменные пользователи и доменные компьютеры
Если у вас тут выставлена другая группа или отдельные записи, то убедитесь, что нужный объект состоит в данном ACL. Хочу отметить, что если даже нужный объект присутствует в списке фильтра безопасности, то это не означает, что политика к нему применяется и тут дело все в том, что в 2014 году Microsoft изменила принцип чтения политики, таким образом, что у вас в делегированном фильтре безопасности обязательно должна присутствовать группа «Компьютеры домена» или «Прошедшие проверку» у которой должны быть прав на чтение политики. Вся соль в том, что когда вы удаляете группу «Прошедшие проверку» из фильтра безопасности, она удаляется и из вкладки делегирование.
Чтобы параметры групповой политики для пользователя успешно применялись, она требует наличия у каждой учетной записи компьютера разрешения на считывание данных GPO из контроллера домена. Удаление группы «Прошедшие проверку» может предотвратить обработку групповых политик для пользователя. добавьте группу безопасности «Пользователи, прошедшие проверку подлинности» или «Компьютеры домена», у которой есть по крайней мере разрешение только для чтения (https://support.microsoft.com/en-us/kb/316622)
Поэтому перейдите на вкладку «Делегирование» и проверьте наличие любой из групп «Прошедшие проверку» или «Компьютеры домена» и, что есть права на чтение. Если групп нет, то добавьте любую из них. Для этого нажмите кнопку «Дополнительно», далее добавить и выберите «Прошедшие проверку».
Удостоверьтесь, что выставлена галка «Чтение».
Тут же убедитесь, что нет запретов на нужный вам объект, в моем примере, это W10-CL03. Если есть снимите.
Обратите внимание на группу «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ (Enterprise Domain Controllers)» данная группа определяет, будет ли происходить репликация данной политики на другие контроллеры или нет, так что если политика отсутствует в папке SYSVOL на других контроллерах, то проверьте права у данной группы.
Еще одним механизмом фильтрации групповой политики, может выступать WMI фильтры. Если они есть и ваш объект не соответствует его требованиям, то вы не сможете применить политику. Посмотреть, это можно в соответствующем разделе. В моем примере есть WMI фильтр для ноутбуков, который не даст применения политики на стационарные компьютеры. Подробнее, о создании WMI фильтров и механизме проверки WMI фильтров, читайте по ссылкам. Ниже я покажу, как на конечном компьютере увидеть, что он не подошел из-за фильтрации GPO по WMI.
Инструменты диагностики групповой политики
Выше мы разобрали возможные места, где могла быть проблема, но по мимо них еще есть несколько инструментов, которые могут дать системному администратору информацию, о причинах, которые мешают применению GPO к нужному объекту.
Существуют три инструмента, которые вам покажут информацию, о применяемых политиках на объекты:
- Утилита командной строки gpresult
- Утилита rsop
- Моделирование групповой политики в оснастке gpmc.msc
- Результаты групповой политики
Диагностика GPO через gpresult
Gpresult первое средство, которое позволит системному администратору определить на каком этапе есть проблемы с выполнением GPO. Откройте на клиентском компьютере или ноутбуке командную строку от имени администратора и введите команду:
gpresult /r /scope:user (Для пользователя)
gpresult /r /scope:computer (Для компьютера)
Gpresult /r /z (Полный отчет)
Gpresult /r /z > c:\gpresult.txt (Экспорт в файл)
В моем примере у меня есть политика для компьютера «Управление UIPI», поэтому я воспользуюсь gpresult для компьютера. Выполнив gpresult /r /scope:computer я вижу, что моя политика не применилась и числится в списке «Следующие политики GPO не были применены, так как они отфильтрованы». Фильтрация отказано в доступе (Безопасность). Из этого видно, что у компьютера просто нет прав на чтение политики.
Так же в логах Windows вы можете обнаружить событие с кодом ID 5313:
Код 5313: Следующие объекты групповой политики не были применены, так как они были отфильтрованы:
Local Group Policy
Не применяется (пусто)
Управление UIPI
Отказано (безопасность)
А вот пример 5313, но с уже WMI фильтром:
Следующие объекты групповой политики не были применены, так как они были отфильтрованы:
Local Group Policy
Не применяется (пусто)
Управление UIPI
Отказано (фильтр WMI)
Я для исключаю его из запрета применения и пробую новую попытку применения политики. Я делаю для начала обновление групповой политики через gpupdate /force и затем снова выполняю команду gpresult /r /scope:computer, где теперь вижу, что политика не применилась из-за WMI фильтра. Теперь уже понятно куда копать.
Получение данных GPResult с удаленного компьютера GPResult /s server01 /r, поможет администратору или технической поддержке собрать диагностические данные. Аналогичные действия вы можете выполнять и для пользователя, тут все аналогично. Теперь воспользуемся утилитой RSOP. Откройте окно выполнить и введите rsop.msc.
Начнется сбор применяемых политик.
По результатам, у вас откроется окно результирующей политики. Похожее на то, где вы редактируете политику GPO. Тут вы можете перемещаться по веткам и смотреть текущие значения.
Но это не удобно и мы можем совместить две утилиты gpresult и Resultant Set of Policies (RSoP), получив выгодный симбиоз. В командной строке введите:
GPResult /h c:\report.html /f
На выходе вы получите удобный html отчет, о всех примененных или отфильтрованных политиках. Открыв отчет, вы легко поймете ,какие политики были применены, а какие нет и можете сразу посмотреть значения настроек.
Результаты групповой политики
В оснастке GPMC есть возможность посмотреть какие политики применяются к нужному объекту групповой политики. Данный мастер называется «Результат моделирования групповой политики». Щелкаем по нему правым кликом и открываем мастер.
Выбираем нужный компьютер, к которому мы хотим проверить применение политики.
Если в момент добавления компьютера у вас выскочит ошибка «Сервер RPC-недоступен», то проверьте, что у вас запущена на нем служба WMI и в брандмауэре открыты порты для подключения к ней.
Так как я проверяю GPO для компьютера, то мне нет смысла отображать политику для пользователей.
Нажимаем далее. У вас появится отчет. Раскрыв его на вкладке «Сведения» вы увидите, какие политики применены, а какие нет.
Раскрыв подробнее политику, которая не смогла примениться, я вижу, что причиной всему был WMI фильтр.
Последним удобным инструментом диагностики и моделирования групповой политики, выступает функционал GPMC, под названием «Моделирование групповой политики«. В задачи которого входит проверка применения политики в существующей ситуации, так и просто тест без реальной прилинковки к OU, указав нужный объект. В оснастке GPMC выберите пункт «Моделирование групповой политикой» и щелкните по нему правым кликом, выбрав «Мастер моделирования групповой политики».
На первом шаге мастера моделирования групповой политики, будет простое уведомление, что к чему, нажимаем далее.
Далее вам будет предложен выбор, дабы указать нужный контроллер домена.
Теперь выбираем нужную OU, для которой мы будем тестировать групповую политику. Делается все через кнопку «Обзор». Я выбрал «Client Computers»
Нажимаем далее.
На следующем шаге мастера моделирования групповой политики, вам предоставят сэмулировать таки параметры:
- Медленное сетевое подключение, меньше 500 кб/с
- Обработка петлевого адреса (Замыкание групповой политики — loopbacl policy) — это опция когда вы применяете для OU в которой находятся компьютеры, например терминальные сервера, политики для пользователя. Делается это для того, чтобы политики применяемые к пользователю на его рабочей станции или другом сервере от тех, что в данной OU. Можете подробно почитать, что такое замыкание групповой политики.
- Выбор сайта.
Указываем в какой группе находится наш объект, к которому будет применяться политика.
далее вы можете применить любой из фильтров WMI, который вы хотите тестировать.
Нажимаем далее.
В итоге мы получаем результат моделирования групповой политики, тут можно посмотреть, что применилось, что нет.
На этом у меня все. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org. Надеюсь, что статья оказалась полезной.
Как в Windows 10 применять групповые политики ко всем пользователям, кроме администраторов
Помимо применения твиков, для ограничения доступа к различным функциям в Windows 10 часто используется такой инструмент администрирования как редактор локальных групповых политик. Изменения, внесенные через редактор локальных политик в параметры системы и приложений затрагивают все учётные записи пользователей, включая администраторскую, что может создавать неудобства для самого администратора компьютера.
Как в Windows 10 применять групповые политики ко всем пользователям, кроме администраторов
А нельзя ли сделать так, чтобы изменяемые через редактор политик настройки применялись только к пользователям, не имеющим администраторских прав? Почему бы и нет, установить такое разграничение вполне возможно. Нажатием Win + R откройте окошко «Выполнить», введите в него команду mmc и нажмите ввод. Откроется консоль управления MMC. В главном меню выберите Файл; Добавить или удалить оснастку.
В левом поле открывшегося окна найдите оснастку «Редактор объектов групповой политики» и нажмите кнопку «Добавить».
Откроется окно мастера выбора объекта групповой политики. Нажмите в нём «Обзор»,
переключитесь в открывшемся диалоговом окошке на вкладку «Пользователи» и выберите группу «Не администраторы». Сохраните настройки нажатием сначала «OK»,
а затем «Готово».
При этом в правом поле окна добавления и удаления оснасток у вас появится новая оснастка «Локальный компьютер/Не администраторы». Почти всё готово. Нажатием «OK»
возвращаемся в главное окно консоли,
выделяем созданную политику, жмём Файл; Сохранить как
и сохраняем файл с расширением MSC в любое удобное расположение.
В следующий раз, когда вам нужно будет настроить какой-нибудь параметр через редактор локальных групповых политик, не ограничивая и не затрагивая при этом администраторов компьютера, запускайте этот файл и изменяете доступные политики как если бы работали в редакторе gpedit.msc.
Метки к статье: Родительский контроль и ограничения пользователей Системные функции
Обновляем ADMX шаблоны групповых политик в центральном доменном хранилище до уровня Windows 8.1 и Windows Server 2012 R2
На первоначальном этапе внедрения новых ОС нам нужно подготовить доменную инфраструктуру применения групповых политик – расширить набор шаблонов групповых политик для поддержки новых систем, расположенный в центральном хранилище шаблонов в сетевой папке, например в нашем случае это будет папка \\holding.com\SYSVOL\holding.com\Policies\PolicyDefinitions\
Перед нами стоит задача – собрать все новые и обновлённые *.ADMX файлы шаблонов групповых политик и соответствующие им английские и русские языковые *.ADML файлы (чтобы администраторы в домене могли при необходимости использовать для редактирования групповых политик оснастку Group Policy Management (GPMC) на обоих языках).
Для выполнения этой задачи нам понадобится 4 дистрибутива (*.ISO файлы), из которых мы будем извлекать соответствующие файлы:
- Windows 8.1 RTM English (32 или 64 бита)
- Windows 8.1 RTM Russian (32 или 64 бита)
- Windows Server 2012 R2 RTM English
- Windows Server 2012 R2 RTM Russian
Создадим структуру временных папок, например C:\Temp\ADMX , в которой подкаталоги \W81_EN , \W81_RU, \WS2012R2_EN, \WS2012R2_EN, \WS2012R2_RU будут использоваться для извлечения ADMX/ADML файлы из соответствующих систем а подкаталог \WIM будет использоваться для временного монтирования WIM-образов из состава дистрибутивов соответствующих систем.
Общий порядок выполняемых действий с каждым из 4 перечисленных дистрибутивом такой:
1) Монтируем в виртуальный DVD-привод ISO-образ дистрибутива;
2) Внутри смонтированного ISO-образа находим WIM-образ содержащий копию ОС и изучив его монтируем эту копию ОС во временный подкаталог \WIM;
3) Внутри смонтированного WIM находим файлы ADMX/ADML и копируем их в соответствующие подкаталоги;
4) Размонтируем WIM-образ;
5) Размонтируем ISO-образ.
Итак, рассмотрим эту цепочку действий на примере дистрибутива Windows Server 2012 R2 RTM English. Монтируем ISO-образ дистрибутива в командной строке вызывая командлеты PowerShell:
PowerShell Mount-DiskImage 'C:\Temp\Windows Server 2012 R2\RTM\SW_DVD5_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_Core_MLF_X19-05182.ISO'
При указании полного пути ISO-файла образа обязательно используем одинарные кавычки, т.к. использование двойных кавычек в данной ситуации по непонятной для меня причине вызывают у PS ошибку.
В нашем примере, в результате выполнения этой команды, образ смонтировался с буквой диска H:\
Находим в смонтированном образе файл H:\sources\install.wim
Теперь нам нужно забраться внутрь этого файла и извлечь оттуда файлы шаблонов групповых политик. Чтобы узнать индекс нужной нам системы внутри WIM-образа выполним
PowerShell Get-WindowsImage –ImagePath 'H:\sources\install.wim'
В данном примере нас интересует система с индексом 4. Монтируем эту систему в режиме «только чтение» во временную папку \WIM командой:
PowerShell Mount-WindowsImage –Imagepath 'H:\sources\install.wim' -index 4 –Path 'C:\Temp\ADMX\WIM' -ReadOnly
Теперь забираемся в папку C:\Temp\ADMX\WIM и из подкаталога \Windows\PolicyDefinitions\ копируем всё содержимое в каталог C:\Temp\ADMX\WS2012R2_EN\
Выходим из каталога C:\Temp\ADMX\WIM и отмонтируем образ ОС от этого каталога:
PowerShell Dismount-WindowsImage -Discard –Path 'C:\Temp\ADMX\WIM'
Теперь отмонтируем из виртуального DVD-привода (в нашем случае H:) ISO-образ:
PowerShell Dismount-DiskImage 'c:\Temp\Windows Server 2012 R2\RTM\SW_DVD5_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_Core_MLF_X19-05182.ISO'
Проделаем описанную последовательность действий для других трёх дистрибутивов ОС.
Результаты сбора файлов получились у меня следующие:
\W81_EN — 173 файла ADMX, 173 файла ADML в подкаталоге en-US
\W81_RU — 173 файла ADMX, 173 файла ADML в подкаталоге ru-RU
\WS2012R2_EN — 176 файлов ADMX, 176 файлов ADML в подкаталоге en-US
\WS2012R2_RU — 176 файлов ADMX, 174 файла ADML в подкаталоге ru-RU и 2 файла ADML в подкаталоге en-US
Проверка показала, что 167 одноимённых файлов ADMХ во всех 4 подкаталогах одинаковы по своему содержимому, но по другим файлам между клиентскими и серверными ОС есть различия. Чтобы было понятно, зачем мы собираем шаблоны групповых политик с разных систем (клиентских и серверных), — приведём простой пример сравнения шаблонов, которые мы извлекли из этих систем.
Сравним по содержимому каталоги с шаблонами GPO Windows 8.1 и Windows Server 2012 R2 с помощью программы WinMerge 2.14.0
В результате сравнения нам видны файлы шаблонов GPO *.ADMX и соответствующие им языковые файлы *.ADML которые есть в Windows 8.1, но нет в Windows Server 2012 R2:
…и файлы шаблонов GPO *.ADMX и соответствующие им языковые файлы *.ADML которые есть в Windows Server 2012 R2, но нет в Windows 8.1:
Проанализировав ситуацию, собираем все файлы из 4 подкаталогов в один общий подкаталог, например C:\Temp\ADMX\W81_WS2012R2\. В конечном счете у меня получилось в этом каталоге 182 *.ADMX файла, и 182 *.ADML файла в подкаталоге en-US и 180 *.ADML файлов в подкаталоге ru-RU
Если мы дополнительно хотим проанализировать ситуацию на предмет отличия тех шаблонов групповых политик, которые у нас есть на текущий момент в центральном доменном хранилище \\holding.com\SYSVOL\holding.com\Policies\PolicyDefinitions\ от тех, что мы собрали с новых систем, то лучше не проводить такое сравнение непосредственно указывая сетевой доменный каталог, а сделать копию доменных файлов, например в подкаталог C:\Temp\ADMX\FromDomain\. Теперь мы можем спокойно сравнить содержимое файлов в каталоге C:\Temp\ADMX\W81_WS2012R2\ (все новые и обновлённые шаблоны) и C:\Temp\ADMX\FromDomain\ (существующие в AD шаблоны).
Результат сравнения каталогов в каждом конкретном случае будет разным, в зависимости от уровня обновления шаблонов в вашем домене. На самом деле такое сравнение можно и не проводить, а просто с выполнить конечное результирующее действие – скопировать (с заменой файлов) содержимое каталога C:\Temp\ADMX\W81_WS2012R2\ в сетевую папку центрального хранилища шаблонов в домене \\holding.com\SYSVOL\holding.com\Policies\PolicyDefinitions\. В результате все существующие файлы ADMX/ADML будут заменены на новую версию, и теперь можно выполнить проверку правильности наших действий, открыв оснастку GPMC и убедившись в том что нам доступны новые параметры GPO и при работе с оснасткой не возникает никаких ошибок.
Дополнительная информация по теме:
TechNet Library — What’s New in Group Policy in Windows Server 2012 R2
Group Policy Central — All the new Windows 8.1 Group Policy Administrative Settings
Обновлено 06.11.2013
Для читателей нашего блога административные шаблоны и их языковые файлы для Windows 8.1 и Windows Server 2012 R2, то есть то что мы в результате описанной задачи получили в каталоге \W81_WS2012R2\ доступны для загрузки по ссылке: Windows 8.1 & Server 2012 R2 RTM ADMX.zip
Поделиться ссылкой на эту запись:
Похожее
Загрузите справочную таблицу параметров групповой политики для Windows 10 May 2020 Update (2004) из официального центра загрузки Microsoft
Важно! Выбор языка ниже приведет к динамическому изменению всего содержимого страницы на этот язык.
В этой таблице перечислены параметры политики для конфигураций компьютера и пользователей, которые включены в файлы административных шаблонов, поставляемые с Windows 10 May 2020 Update (2004). Вы можете настроить эти параметры политики при редактировании объектов групповой политики.
Детали
Системные требования
Инструкции по установке
Раса / тема (Нажмите, чтобы отсортировать) | Опрос | Результаты | Распространение |
---|---|---|---|
Всеобщие выборы: Трамп vs.Байден | Emerson | Байден 50, Трамп 45 | Байден +5 |
Всеобщие выборы: Трамп против Байдена | Экономист / YouGov | Байден 54, Трамп 43 | Байден +11 |
Всеобщие выборы: Трамп против Байдена | CNN | Байден 54, Трамп 42 | Байден +12 |
Всеобщие выборы: Трамп vs.Байден | Reuters / Ipsos | Байден 52, Трамп 42 | Байден +10 |
Висконсин: Трамп против Байдена | Маркетт * | Байден 48, Трамп 43 | Байден +5 |
Висконсин: Трамп против Байдена | Trafalgar Group (R) * | Байден 48, Трамп 47 | Байден +1 |
Висконсин: Трамп vs.Байден | ABC News / Wash Post * | Байден 57, Трамп 40 | Байден +17 |
Флорида: Трамп против Байдена | Reuters / Ipsos | Байден 49, Трамп 47 | Байден +2 |
Аризона: Трамп против Байдена | Reuters / Ipsos | Байден 48, Трамп 46 | Байден +2 |
Мичиган: Трамп vs.Байден | NY Times / Сиена * | Байден 49, Трамп 41 | Байден +8 |
Мичиган: Трамп против Байдена | ABC News / Wash Post * | Байден 51, Трамп 44 | Байден +7 |
Мичиган: Трамп против Байдена | МИРС / Mitchell Research * | Байден 52, Трамп 42 | Байден +10 |
Пенсильвания: Трамп vs.Байден | Франклин и Маршалл * | Байден 50, Трамп 44 | Байден +6 |
Северная Каролина: Трамп против Байдена | Civitas / Харпер (R) * | Трамп 46, Байден 47 | Байден +1 |
Южная Каролина: Трамп против Байдена | East Carolina U. | Трамп 51, Байден 44 | Трамп +7 |
Грузия: Трамп vs.Байден | Монмут * | Трамп 46, Байден 50 | Байден +4 |
Мэн: Трамп против Байдена | Колби Колледж | Байден 51, Трамп 38 | Байден +13 |
Мэн CD2: Трамп против Байдена | Колби Колледж | Трамп 42, Байден 46 | Байден +4 |
Монтана: Трамп против Байдена | МСУ-Биллингс * | Трамп 52, Байден 45 | Трамп +7 |
Арканзас: Трамп vs.Байден | Опрос в Арканзасе | Трамп 65, Байден 32 | Трамп +33 |
Вирджиния: Трамп против Байдена | Кристофер Ньюпорт Univ. | Байден 53, Трамп 41 | Байден +12 |
Сенат штата Мэн — Коллинз против Гидеона | Колби Колледж * | Гидеон 47, Коллинз 43 | Гидеон +4 |
Сенат Мичигана — Джеймс vs.Петерс | ABC News / Wash Post | Петерс 52, Джеймс 46 | Петерс +6 |
Сенат Мичигана — Джеймс против Питерса | NY Times / Сиена * | Петерс 49, Джеймс 41 | Петерс +8 |
Сенат Мичигана — Джеймс против Питерса | Detroit News / WDIV-TV | Петерс 48, Джеймс 39 | Петерс +9 |
Сенат Мичигана — Джеймс vs.Петерс | МИРС / Mitchell Research * | Петерс 52, Джеймс 43 | Петерс +9 |
Сенат Северной Каролины — Тиллис против Каннингема | Civitas / Харпер (R) * | Каннингем 46, Тиллис 43 | Каннингем +3 |
Сенат Северной Каролины — Тиллис против Каннингема | WRAL-TV / SurveyUSA | Каннингем 48, Тиллис 45 | Каннингем +3 |
Сенат Южной Каролины — Graham vs.Харрисон | East Carolina U. | Грэм 49, Харрисон 46 | Грэм +3 |
Сенат Джорджии — Пердью против Оссоффа | Монмут * | Ossoff 49, Perdue 47 | Оссофф +2 |
Специальные выборы в Сенат штата Джорджия — открытые первичные выборы | Монмут | Warnock 41, Loeffler 22, Collins 19, Lieberman 4, Slowinski 2, Tarver 3 | Варнок +19 |
Сенат Аризоны — McSally vs.Келли | Reuters / Ipsos | Келли 51, МакСалли 44 | Келли +7 |
Сенат Айовы — Эрнст против Гринфилда | Кто-ТВ 13 ** | Эрнст 45, Гринфилд 51 | Гринфилд +6 |
Сенат Монтаны — Дейнс против Баллока | МСУ-Биллингс * | Дейн 47, Баллок 48 | Баллок +1 |
Сенат Вирджинии — Gade vs.Warner | Кристофер Ньюпорт Univ. | Warner 57, Gade 37 | Уорнер +20 |
Сенат Арканзаса — Коттон против Харрингтона | Опрос в Арканзасе | Хлопок 75, Харрингтон 20 | Хлопок +55 |
Губернатор Монтаны — Джанфорте против Куни | МСУ-Биллингс * | Джанфорте 45, Куни 45 | Галстук |
Второй округ штата Мэн — Crafts vs.Золотой | Колби Колледж | Золотой 56, Поделки 31 | Золотой +25 |
Монтана Расширенный округ — Розендейл против Уильямса | МСУ-Биллингс * | Rosendale 47, Williams 46 | Rosendale +1 |
Утверждение должности президента Трампа | CNN | Утвердить 42, Отклонить 56 | Не одобрять +14 |
Утверждение должности президента Трампа | Reuters / Ipsos | Утвердить 42, Не одобрить 57 | Не одобрять +15 |
Утверждение должности президента Трампа | Emerson | Утвердить 45, Не одобрить 51 | Не одобряю +6 |
Утверждение должности президента Трампа | Экономист / YouGov | Утвердить 42, Отклонить 56 | Не одобрять +14 |
Разрешение на работу в Конгрессе | Экономист / YouGov | Утвердить 15, Не одобрить 68 | Не одобряю +53 |
2020 Общее голосование в Конгрессе | Экономист / YouGov | Демократы 52, республиканцы 42 | демократов +10 |
2020 Общее голосование в Конгрессе | CNN | Демократы 54, республиканцы 42 | демократов +12 |
Направление страны | Экономист / YouGov | Правое направление 30, неправильный путь 65 | Неверный трек +35 |
Направление страны | Reuters / Ipsos | Правое направление 26, неправильный путь 64 | Неверный трек +38 |
Простое руководство: реализация групповой политики в Windows Server 2012 R2
Привет всем,
Сегодня я покажу, как реализовать групповую политику (GPO) в Windows Server 2012 R2…
Для тех, кто поддерживает Server Infra, вы все знаете, насколько сложной является наша задача, особенно в отношении групповой политики, вам, как администраторам, нужен механизм для настройки и обеспечения соблюдения настроек и ограничений пользователей и компьютеров.
Групповая политика
может обеспечить такую согласованность, позволяя администраторам централизованно управлять параметрами конфигурации и применять их.
Для этой демонстрации позволяет предположить, что ваш ИТ-менеджер попросил вас создать центральное хранилище для файлов ADMX, чтобы каждый мог редактировать объекты групповой политики, созданные с помощью настроенных файлов ADMX. Вам также необходимо создать начальный объект групповой политики, который включает параметры Internet Explorer, а затем настроить объект групповой политики, который применяет параметры объекта групповой политики для исследовательского отдела и ИТ-отдела.
Для этой демонстрации я также использую свой существующий сервер домена DC01.comsys.local и мой клиент Windows 8 Surface01.comsys.local .
1 — 1-й, вам необходимо настроить центральное хранилище на сервере DC01, но перед этим перейдите к своему Group Policy Management на DC01.
2 — Затем в консоли управления групповой политикой (GPMC ) дважды щелкните Comsys.local, разверните, пока не получите папку объектов групповой политики .Щелкните правой кнопкой мыши Политика домена по умолчанию и щелкните Изменить …
3 — Затем в редакторе управления групповой политикой дважды щелкните Конфигурация пользователя , разверните Политики , а затем щелкните Административные шаблоны , если вы отметите это, вы увидите примечание о том, что Административные шаблоны: определения политик (.admx files), полученный с локального компьютера .
4 — Затем перейдите к папке политик ( c: \ windows \ SYSVOL \ sysvol \ comsys.local ), здесь создайте новую папку с именем PolicyDefinitions .
5 — Затем перейдите в папку C: \ windows \ PolicyDefinitions r, вам нужно здесь скопировать все файлы .adml и .admx. ..
6 — затем вставьте файлы .adml и .admx , которые вы только что скопировали, в папку c: \ windows \ SYSVOL \ sysvol \ comsys.local \ PolicyDefinitions. …
7 — Затем позволяет проверить расположение административного шаблона в консоли управления групповыми политиками.. откройте свою консоль управления групповыми политиками, а затем нажмите «Административные шаблоны». Теперь вы должны увидеть, что там написано «Административные шаблоны: определения политик (файлы ADMX), полученные из центрального хранилища …».
8 — Следующий шаг позволяет создать Internet Explorer Restriction по умолчанию начальный объект групповой политики на консоли GPMC, щелкните правой кнопкой мыши Starter GPO s и выберите New …
9 — В поле New Starter GPO введите ComSystem IE Restrictions , а в поле Comment введите Этот GPO, созданный Hamizi для отключения страницы General в IE Options , а затем нажмите OK…
10 — после того, как вы создали запущенный GPO, теперь нам нужно настроить начальный GPO ограничения IE, чтобы продолжить, щелкните правой кнопкой мыши ComSystem IE Restrictions и нажмите Edit …
11 — Затем в редакторе групповой политики Starter GPO перейдите к Конфигурация пользователя , Административные шаблоны , а затем щелкните правой кнопкой мыши Все настройки , а затем щелкните Параметры фильтра …
12 — затем в поле «Параметры фильтра» щелкните « Включить фильтры по ключевым словам» , а затем в поле «Фильтр для слов»: введите Общая страница , затем выберите Exact , затем нажмите ОК …
13 — Затем вам нужно дважды щелкнуть настройку страницы «Отключить общие», нажать Включено , а затем нажать OK..
14 — Наш следующий шаг — создать объект групповой политики IE Restrictions из начального GPO IE Restrictions, для продолжения щелкните правой кнопкой мыши Comsys.local и щелкните Создайте объект групповой политики в этом домене и свяжите его e…
15 — Затем в поле New GPO введите ComSystem IE Restrictions, а затем В Source Starter GPO выберите ComSystem IE Restrictions, и затем нажмите OK…
16 — так что теперь давайте протестируем GPO, посмотрим, повлиял ли он на пользователей нашего домена или нет … на клиенте Windows 8 я вхожу в систему как Alan .. Алан из Исследовательского отдела .
17 — как только ваш пользователь успешно войдет в систему, перейдите в панель управления и щелкните Сеть и Интернет, затем щелкните Изменить домашнюю страницу .. вы должны увидеть окно сообщения, информирующее вас о том, что эта функция отключена …
18 — вы можете щелкнуть Internet Option s и заметить, что в диалоговом окне Internet Properties на вкладке General не отображается …
19 — так что теперь для следующего шага давайте используем фильтрацию безопасности , чтобы исключить ИТ-отдела из политики ограничений Internet Explorer.. в консоли управления групповыми политиками щелкните ComSystem IE Restrictions GPO и щелкните вкладку Delegation , затем нажмите кнопку Advanced ..
20 — Затем в окне «Настройки безопасности ограничений ComSystem IE» нажмите «Добавить».
21 — затем в поле Select Users, Computers, Service Accounts, or Groups введите IT Dep t, а затем нажмите OK…
22 — затем в поле «Параметры безопасности ограничений ComSystem IE» щелкните группу ИТ-отдел (COMSYS \ IT Dept) рядом с Применить разрешение групповой политики , установите флажок Запретить и нажмите кнопку ОК.. затем щелкните Да для подтверждения ..
23 — Теперь давайте протестируем GPO для нашего ИТ-отдела … на моем Windows 8 я вхожу в систему как Candy ( Candy — ИТ-инженер в ИТ-отделе )…
24 — как только Синди успешно войдет в Windows 8, перейдите в Панель управления и щелкните Сеть и Интернет, затем щелкните Изменить домашнюю страницу. В окне Свойства Интернета откроется вкладка Общие , и все настройки будут доступны ..
, на этом пока все, ребята … в следующий раз, чтобы узнать больше о конфигурации Windows Server 2012 R2 …
Нравится:
Нравится Загрузка …
Связанные
Windows Server 2012 R2 — וד 2 — בן שושן
- רי
- מבחנים
מבחנים
סימולציה | ראיון עבודה — קש תקשורת נתונים…
06.12.2017
מבחנים
ראיון עבודה — מבחן מנהל רשתות חלק ב ’
01.01.2017
מבחנים
ראיון עבודה — מבחן מנהל רשתות חלק א ’
29.07.2015
מבחנים
ראיון עבודה — מבחן טכנאי מחשוב חלק ג ’
29.07.2015
מבחנים
ראיון עבודה — בוחן טכנאי מחשוב 500-10…
01.04.2015
- אבטחת מידע
- Межсетевые экраны
Информационной безопасности
Тестирование на проникновение — Защита
Тестирование на проникновение — нападение
פורנזיקה Кибер-криминалистика
ВсеМежсетевые экраны
התקנת КПП R80.40 רת רשת DMZ וניתובים
01.04.2020
Межсетевые экраны
ר על Firewall והתקנת pfsense
05.05.2018
Межсетевые экраны
רת Snort ב pfsense כ- NIDS — IPS…
05.05.2018
Межсетевые экраны
תיקון תקלת התחברות לצ’ק פוינט אחרי ה 24…
10.02.2018
Информационной безопасности
ר וביצוע ולשת CVE-2020-0601 CurveBall — תום קובץ…
17.01.2020
Информационной безопасности
הסבר ולימוד Regex — регулярное выражение
05.08.2019
Информационной безопасности
הסבר על HSTS — строгая безопасность транспорта HTTP
17.04.2019
Информационной безопасности
יצירת מפתח אסימטרי וסימטרי בעזרת Openssl — יצירת…
17.04.2019
Тестирование на проникновение — Защита
ר והתקנת ELK — ElasticSearch | Logstash |…
15.10.2020
Тестирование на проникновение — Защита
תקנה והגדרת VPN — Remote Access ב Checkpoint…
25.08.2020
Тестирование на проникновение — Защита
כתיבת חוקי Yara ו IPS בסיסי והסבר מהם…
01.04.2020
Тестирование на проникновение — Защита
Анонимность — ונימיות ברשת ProxyChains ו Anonsurf גלישה דרך…
01.04.2020
Тестирование на проникновение — нападение
כיצד כל אחד יכול ליצור Ransomware מהם הסכנות…
27.10.2020
Тестирование на проникновение — нападение
ביצוע MITM בעזרת Ettercap — הפשטת SSL בעזרת…
30.05.2020
Тестирование на проникновение — нападение
יצוע SMBGhost SMBv3 — CVE-2020-0796 רמת Local Privilege…
31.03.2020
Тестирование на проникновение — нападение
ימוש ב Hot Potato לביצוע Повышение привилегий Windows…
01.04.2020
פורנזיקה Кибер-криминалистика
פורנזיקה — Cyber Forensics — הסבר על ASCII,…
01.04.2020
פורנזיקה Кибер-криминалистика
ירת Windows רת כלים והוצאת סיסמאות בעזרת LaZagne
01.04.2020
פורנזיקה Кибер-криминалистика
ימוש ב FTK Imager וחקירת Изображение בעזרת Вскрытие…
01.04.2020
פורנזיקה Кибер-криминалистика
הסבר על Magic Numbers וביצוע הוצאת קבצים דרך…
01.04.2020
אבטחת מידע
כיצד כל אחד יכול ליצור Ransomware הסכנות…
27.10.2020
אבטחת מידע
ר והתקנת ELK — ElasticSearch | Logstash |…
15.10.2020
אבטחת מידע
תקנה והגדרת VPN — Remote Access ב Checkpoint…
25.08.2020
אבטחת מידע
ביצוע MITM בעזרת Ettercap — הפשטת SSL בעזרת…
30.05.2020
- Межсетевые экраны
- Windows Server
- Возможности системы Windows
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
ונחים ב Windows Server
ВсеВозможности системы Windows
יצירת משתמשים אוטומטית ב AD על ידי CSVDE
13.02.2015
Возможности системы Windows
הסבר על SYSVOL ושכפול Групповая политика
02.12.2015
Windows 7
ר על Планировщик заданий וכיצד ליצור משימה אוטומטית…
07.04.2014
Возможности системы Windows
Переименуйте учетную запись администратора שינוי שם מנהל המערכת…
11.05.2014
Windows Server 2008 R2
ר על Планировщик заданий וכיצד ליצור משימה אוטומטית…
07.04.2014
Windows Server 2008 R2
הגדרת Службы развертывания Windows — WDS, PXE
01.11.2014
Windows Server 2008 R2
צירוף DC נוסף ל DC קיים
01.10.2014
Windows Server 2008 R2
רת Автономные файлы ו Теневое копирование тома
01.05.2014
Windows Server 2012
הפיכת Server 2012 Core ל Gui
12.10.2014
Windows Server 2012
ר והתקנת IPAM — Управление IP-адресами
08.03.2014
Windows Server 2012
ר על Планировщик заданий וכיצד ליצור משימה אוטומטית…
07.04.2014
Windows Server 2012
Режим кольцевой обработки групповой политики пользователей
11.05.2014
Windows Server 2012 R2
ר והגדרת Рабочие папки
04.12.2015
Windows Server 2012 R2
הפיכת Server 2012 Core ל Gui
12.10.2014
Windows Server 2012 R2
ר והתקנת IPAM — Управление IP-адресами
08.03.2014
Windows Server 2012 R2
Пулы хранения данных ביצוע Raid | Двойная пара |…
07.04.2014
Windows Server 2016
ר והגדרת DNS ב Windows Server יף ביותר
27.03.2019
Windows Server 2016
ר מקיף והתקנת Windows Server 2016/2019 DHCP
15.12.2018
Windows Server 2016
רת שרת Windows Server כ Маршрутизатор — יציאה לאינטרנט
15.12.2018
Windows Server 2016
MDT — Microsoft Deployment Toolkit — ת Windows…
12.04.2017
ונחים ב Windows Server
הסבר מורחב — лес, дерево, домен, доверие Active Directory
02.12.2015
ונחים ב Windows Server
ר על Репликация AD ומהו ה KCC
06.02.2015
ונחים ב Windows Server
הסבר על Функциональный уровень домена
06.08.2014
ונחים ב Windows Server
Тонкое положение
26.04.2014
Windows Server
ר והגדרת DNS ב Windows Server יף ביותר
27.03.2019
Windows Server
ר מקיף והתקנת Windows Server 2016/2019 DHCP
15.12.2018
Windows Server
רת שרת Windows Server כ Маршрутизатор — יציאה לאינטרנט
15.12.2018
Windows Server
ר וביצוע Drupalgeddon2 על רכת התוכן Drupal 7.54
29.09.2018
- Возможности системы Windows
- Платформы
- Exchange 2010
Exchange 2013
FreeNAS
Hyper-V
Lync 2013
System Center Configuration Manager
vMware vSphere
ВсеExchange 2010
ר על Outlook Anywhere והגדרתו
16.12.2014
Exchange 2010
ר על POP ו IMAP וכיצד מגדירים רת…
16.12.2014
Exchange 2010
ר על Exchange ActiveSync והגדרתו
16.12.2014
Exchange 2010
הסבר על יצירת תיבה חדשה למשתמש Обмен
16.12.2014
Exchange 2013
ר ויצירת Общие папки
25.04.2014
Exchange 2013
Роли администратора מתן הרשאות מנהל לקבוצות עם הרשאות
10.04.2014
Exchange 2013
העברת Mailbox ל Database ביצוע Move לתיבה
10.04.2014
Exchange 2013
מהו GAL — Глобальный список адресов הסבר
10.04.2014
FreeNAS
הסבר על RaidZ ועל Raid בכללי
30.04.2014
FreeNAS
יצירת NFS ב- FreeNAS וצירופו ל- vSphere
26.04.2014
FreeNAS
יצירת שיתוף CIFS דרך FreeNAS
26.04.2014
FreeNAS
הגדרת iSCSI ב FreeNAS
26.04.2014
Hyper-V
Вложенная виртуализация Hyper-V הגדרת VM תוך VM
12.02.2017
Hyper-V
Hyper-v Inside vMware — מכונה וירטואלית בתוך מכונה…
02.12.2015
Hyper-V
ירו את Hyper-V 2012 ומהו Гипервизор
16.12.2014
Hyper-V
יצירת מכונה חדשה ב- Hyper-v
16.12.2014
Lync 2013
ר על Persistent Chat והגדרתו ב Lync 2013
15.07.2014
Lync 2013
תקנת Lync 2013 גרסת Standard
24.06.2014
System Center Configuration Manager
רת התחברות מרחוק דרך SCCM 2012
10.04.2014
System Center Configuration Manager
Настройте Office 2013 и разверните MSP
27.07.2014
System Center Configuration Manager
הגדרת System Center Configuration Manager 2012 Endpoint Protection
24.07.2014
System Center Configuration Manager
רת OSD הפצת מערכת הפעלה דרך System Center…
15.07.2014
vMware vSphere
Hyper-v Inside vMware — מכונה וירטואלית בתוך מכונה…
02.12.2015
vMware vSphere
Шаблоны и клоны vSphere תבניות ושכפול מכונה
05.05.2014
vMware vSphere
vMware vSphere Высокая доступность
28.04.2014
vMware vSphere
Кластер хранилища данных и хранилище DRS
28.04.2014
Платформы
Вложенная виртуализация Hyper-V הגדרת VM תוך VM
12.02.2017
Платформы
Hyper-v Inside vMware — מכונה וירטואלית בתוך מכונה…
02.12.2015
Платформы
ר על Outlook Anywhere והגדרתו
16.12.2014
Платформы
ירו את Hyper-V 2012 ומהו Гипервизор
16.12.2014
- Exchange 2010
Cách cài phần mềm cho client to Windows Server 2012 R2 dùng Group Policy
Windows Server 2012 R2 bao gồm tính năng có tên gọi Установка и обслуживание программного обеспечения
Windows Server 2012 R2 bao gồm tính năng có tên gọi Техническое обслуживание с DS, групповой политикой, вам нужно, чтобы установщик Windows работал с вами, но вы не могли этого сделать, если хотите.Trong bài viết dưới đây Quản trị mạng sẽ hướng dẫn bạn các bước để cài t phần mềm cho client từ Windows Server 2012 R2 dng Group Policy.
Trong ví dụ dưới đây Quản trị mạng sẽ sử dụng ứng dụng Adobe Reader X.
Trên Domain Server, mở Server Manager, sau ó нажмите chọn Tools và mở Management Group Policy Management…
— Trên cửa sổ kích chuột phải và tên domain là osi.com.my, sau ó click chọn Создайте объект групповой политики в этом домене и свяжите его здесь….
2. Ti cửa sổ hộp thoại New GPO, tại khung Name bạn nhập Deploy Adobe Reader вместо ri click chọn OK .
3. Управление групповой политикой, не более Развертывание GPO для Adobe Reader , нажмите кнопку Редактировать …
4. Подключить группу Редактор управления политиками, tại mục Computer Configuration , mở rộng Policies , sau ó mở rộng Software Settings .
Kích chuột phải vào Установка программного обеспечения , sau đó từ menu ngữ cảnh, щелкните chọn New => Package …
5. Trên hộp thoại Open, duyệt dẫno ng Adobe, щелкните AdbeRdr1000_en_US.msi или щелкните chọn Открыть .
6. Trên cửa sổ Deploy Software, hãy chắc chắn rằng tùy chọn Назначено ã c lựa chọn rồi click chọn OK .
7. Чо хонг вай гай ва хак нхон Adobe ReaderX или « лифт кк » в редакторе управления групповой политикой ….
8. Bc tiếp theo là cho phép chuyển пел клиентский компьютер с Windows 8.1, bn có chạy gpupdate / boot / force trên client PC, sau ó khởi clientng lại client PC.
Sau khi khởi động xong client PC , tiến hành đăng nhập Пользователь домена và bạn có thể xác nhận Adobe đã c cài đặt.
Tham khảo thêm một số bài viết dưới đây:
Chúc các bạn thành công!
Общие сведения о порядке обработки и наследовании групповой политики — видеоурок по Windows Server
Обзор
Стенограммы
Просмотр в автономном режиме
Детали курса
Групповая политика позволяет администраторам управлять сетью нажатием нескольких кнопок.Он контролирует, как вы запускаете программы, ограничиваете доступ пользователей, настраиваете рабочие столы в соответствии с корпоративной тематикой, защищаете компьютеры от кражи данных и многое другое. Немногие ИТ-администраторы знают, как освоить эту полезную функцию Active Directory в Windows Server 2012, но после нашего обучения вы сможете эффективно использовать ее возможности.
В этом курсе автор Эд Либерман использует Windows Server 2012 R2, чтобы продемонстрировать, что такое групповая политика и как ее эффективно использовать. Он показывает, как настроить обработку групповой политики, настроить параметры и предпочтения, а также устранить проблемы и конфликты групповой политики по мере их возникновения.
Примечание. Этот курс соответствует домену «Настройка и управление групповой политикой» для экзамена MCSA 70-411 «Администрирование Windows Server 2012».
Инструктор
Эд Либерман
Технический автор в LinkedIn
Консультант и тренер Эд Либерман помог тысячам людей начать карьеру в ИТ.
Эд Либерман работает в сфере технологий более 20 лет. Он сертифицирован и инструктирует ИТ с 1998 года. Он помог тысячам людей начать или продвинуться по карьерной лестнице в ИТ-индустрии. Когда его нет в классе, он помогает корпорациям с их сетевой инфраструктурой в качестве независимого консультанта. Эд подготовит вас к сдаче экзаменов, пока вы разовьете навыки, необходимые для успеха в «реальном мире». Его стиль преподавания побуждает вас весело проводить время во время учебы.Эд также добровольно проводит свое время в своем местном сообществе в качестве репетитора по математике для детей начальной школы, испытывающих трудности.
Узнать больше
Видеть меньше
Навыки, описанные в этом курсе
.