Инструкция по работе с групповыми политиками Active Directory
В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.
Что такое групповые политики и зачем они нужны?
Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.
Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.
Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу. Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды. С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.
Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.
Компоненты GPO
Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.
Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики. MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее). Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.
Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.
Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
- Централизованная настройка пакета программ Microsoft Office.
- Централизованная настройка управлением питанием компьютеров.
- Настройка веб-браузеров и принтеров.
- Применение определенных правил в зависимости от местоположения пользователя.
- Централизованные настройки безопасности.
- Перенаправление каталогов в пределах домена.
- Настройка прав доступа к приложениям и системным программам.
Оснастка Управление групповыми политиками
После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:
gpmc.mscНажмите OK.
Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.
Оснастка выглядит следующим образом:
Создание объектов групповой политики
Для создания объекта групповой политики перейдите во вкладку Forest -> Domains -> <Ваш домен> -> Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.
В открывшемся окне в поле Name введите удобное для вас имя групповой политики.
После этого вы увидите созданный объект в списке.
Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.
В редакторе групповых политик перейдите по иерархии User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.
В открывшемся окне отметьте Enable для включения правила и при необходимости напишите комментарий. Нажмите
На этом создание объекта групповой политики закончено.
Поиск объектов групповой политики
Как правило в корпоративных средах большое количество объектов GPO, чтобы было проще найти нужный, оснастка обладает встроенным поиском. Для этого выберете ваш лес и в контекстном меню кликните Search.
Открывшееся окно поиска интуитивно понятно для работы. В первую очередь выберете конкретный домен для поиска, также можно производить поиск во всех доменах сразу. Далее выберете нужный пункт поиска, задайте условие и значение. В примере ниже производился поиск объектов групповой политики, в которых встречается слово Default.
Удаление объекта групповой политики
Если экземпляр GPO больше не нужен, его можно удалить. Выберете объект для удаления и с помощью правой кнопки мыши выберете опцию Delete.
P. S. Другие инструкции:
Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже
Управление локальными групповыми политиками сервера Windows
В инструкции описана процедура настройки и управления локальными групповыми политиками сервера Windows.
Что это такое?
Объект групповой политики является компонентом групповой политики, который используется в системах Microsoft для управления учетными записями пользователей и действиями пользователя. Редактор локальной групповой политики — это оснастка Microsoft Management Console (MMC), которая обеспечивает единый пользовательский интерфейс, с помощью которого можно управлять локальными групповыми политиками.
В редакторе локальной групповой политики администратор может редактировать локальные GPO, пользовательские настройки и определять сценарии для определенных задач и процессов.
О том как настроить GPO в домене Active Directory читайте инструкцию:
Управление групповыми политиками Active Directory (AD GPO)
Открытие редактора групповой политики Windows
Чтобы открыть консоль управления GP (Group Policy) откройте окно Run с помощью комбинации клавиш Win+R, в открывшемся окне введите:
gpedit.msc В результате перед вами откроется редактор GP.
Использование локальных групповых политик
Пример 1 Настройка запрета установки программ для пользователей
Откройте редактор GPO, в древовидной структур найдите Computer Configuration → Administrative Templates → Windows Components → Windows Installer. В правой части окна выберете Prohibit User Installs. С помощью двойного щелчка мыши откройте настройки.
В открывшемся окне выберете опцию Enabled, а в выпадающем списке Hide User Installs. В результате пользователей сервера пропадет возможность установки приложений и программ без прав администратора.
Пример 2 Настройка запрета запуска программ для пользователей
Откройте редактор GP, в древовидной структур найдите User Configuration → Administrative Templates → System. В правой части окна выберете Don’t run spicified Windows Applications
. С помощью двойного щелчка мыши откройте настройки политики.В открывшемся окне выберете опцию Enabled, а и нажмите кнопку Show. В открывшийся список введите приложения, запуск которых будет запрещен для пользователя от имени которого производятся настройки.
P. S. Другие инструкции:
Поделиться в соцсетях:Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже
ru191014 Санкт-Петербург ул. Кирочная, 9
+7(812)313-88-33 235 70 1cloud ltd 2018-12-07 Управление локальными групповыми политиками191014 Санкт-Петербург ул. Кирочная, 9
+7(812)313-88-33 235 70 1cloud ltd 2018-12-07 Управление локальными групповыми политиками 600 autoИнструкция по групповым политикам Active Drirectory
Для чего необходимы групповые политики
Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.
Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.
Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.
Компоненты GPO
Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.
Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей” называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.
Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.
Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
- Централизованная настройка пакета программ Microsoft Office.
- Централизованная настройка управлением питанием компьютеров.
- Настройка веб-браузеров и принтеров.
- Установка и обновление ПО.
- Применение определенных правил в зависимости от местоположения пользователя.
- Централизованные настройки безопасности.
- Перенаправление каталогов в пределах домена.
- Настройка прав доступа к приложениям и системным программам.
Оснастка управления групповыми политиками
Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:
gpmc.msc
И нажимаем “OK”.
Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.
Открываем диспетчер серверов и выбираем установку ролей и компонентов.
На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.
Так как установка выполняется для текущего сервера — нажимаем “Далее”.
Установку серверных ролей пропускаем нажатием на кнопку “Далее”.
На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.
Завершаем установку компонентов как обычно.
Окно оснастки управления групповой политикой выглядит так:
Создание объектов групповой политики
Добавим новый объект групповой политики. В левой части, проследуем по пути: Лес → Домены → <Ваш Домен> → Объекты групповой политики.
В правой части окна, кликаем правой кнопкой мыши в свободном месте. В открывшемся контекстном меню, выбираем “Создать”.
В открывшемся окне, вводим имя новой политики. Нажимаем “OK”.
Добавленный объект появится в общем списке:
Настроим созданный объект
Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контектстном меню выбираем “Изменить”.
Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом — удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.
В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.
Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.
В открывшемся окне изменим состояние на “Включено”. В поле комментария рекомендуем не игнорировать. Для завершения настройки нажимаем “OK”.
Создание объектов можно считать оконченным.
Поиск объектов
В корпоративных средах, как правило, создается большое количество объектов GPO. Хорошо было бы уметь находить нужный объект. У консоли есть данный функционал. Для этого, в левой части окна кликаем правой кнопкой мыши по лесу. В открывшемся меню выбираем “Найти…”
В открывшемся окне выбираем в каком домене выполнять поиск. Можно выполнить поиск и по всем доменам, но это может занять продолжительное время.
Попробуем найти созданный ранее объект.
В поле “Элемент поиска” из выпадающего списка выбираем “Имя объекта групповой политики”. В условии оставляем вариант “Содержит”. В “Значение“ указываем имя созданной ранее политики. Именно по этой причине следует создавать понятные имена политик. Нажимаем кнопку “Добавить”.
Критерии поиска заданы. нажимаем кнопку “Найти” и просматриваем результаты поиска.
Удаление объекта групповой политики
Если в объекте GPO пропадает необходимость, будет лучше его удалить. Кликаем по созданному объекту правой кнопкой мыши, в контекстном меню выбираем “Удалить”. Если уверены в своем решении, на вопрос подтверждения отвечаем “Да”.
Средняя оценка: 5.0 Оценили: 1
220140 Минск ул. Домбровская, д. 9
+375 (173) 88-72-49 700 300 ООО «ИТГЛОБАЛКОМ БЕЛ»220140 Минск ул. Домбровская, д. 9
+375 (173) 88-72-49 700 300 ООО «ИТГЛОБАЛКОМ БЕЛ» 700 300Фильтрация групповых политик Windows | Настройка серверов windows и linux
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов по системному администрированию Pyatilistnik.org. В прошлый раз мы с вами научились отключать защитник Windows 8.1, у каждого была своя причина произвести данное действие. Сегодня я хочу вас научить очень полезной вещи, без которой системный администратор управляющий групповой политикой не сможет активно и гибко ее применять. И речь пойдет про применение фильтров на разных этапах применения групповой политики к компьютерам и пользователям.
Для чего нужен механизм фильтрации GPO
Какую бы вы сложную иерархию Active Directory не создавали у вас рано или поздно появится ситуация, что вам нужно для двух и более объектов находящихся в одном OU иметь разные настройки, а для кого-то вообще запретить применение определенной групповой политики, но перемещать объект нельзя, так как в текущей иерархии он получает все настройки по корпоративному стандарту, и усложнять структуру не представляется возможным.
Лично я стараюсь не создавать лишних организационных подразделений, так как, чем проще система, тем проще ею управлять. У вас может быть вообще одна OU и все навалено в ней, но это вам не мешает грамотно применять политики к конкретным объектам, благодаря фильтрации на разных этапах GPO.
Виды фильтрации групповых политик
- Это фильтр безопасности
- Это фильтр WMI
- Это фильтр на вкладке делегирование
- Это фильтр на вкладке сведения
Фильтр безопасности GPO
Данный метод метод ограничения применений групповой политикой самый очевидный и используемый. Тут логика простая, что если вы хотите применить групповую политику, только к определенным объектам:
- Пользователям
- Компьютерам
- Группам
то вы можете их добавить в данный фильтр, после чего нужно удалить группу «Прошедшие проверку (authentication user)«, так как в нее входят все пользователи и компьютеры домена. Давайте это попробуем. Открываем оснастку «Управление групповой политикой». В прошлый раз я создавал политику «Настройка MaxTokenSize» в задачи которой входило изменение размера токена kerberos. Предположим, что я хочу применить ее только в локальной доменной группе MaxTokenSize. Для этого я нажимаю кнопку «Добавить» в области «Фильтры безопасности«, находим ее и нажимаем «Ok».
Теперь нам необходимо удалить группу по умолчанию «Прошедшие проверку«, напоминаю, что в нее входят все компьютеры и пользователи домена.
Вам сделают подсказку, о том что удаление группы «Пользователи, прошедшие проверку подлинности» может предотвратить обработку групповых политик.Ниже я расскажу, что это значит
В итоге мы видим в фильтрах безопасности одну нашу группу. Пробуем зайти на компьютер, где она должна отработать.
В начале 2016 года я столкнулся с тем, что моя политика не отработала, хотя все фильтры безопасности были настроены правильно. Открыв вывод команды gpresult/ r, я обнаружил статус (Unknown reason).
Начав разбираться, все пришло к тому, что новые обновления Microsoft (KB3159398, KB3163017, KB3163018) закрывал одну нехорошую вещь, которая длилась с 2000 года. Проблема заключалась в том, что злоумышленник мог применять атаку «Человек посередине (Man in the Middle)», тем самым делать подмену ответа от контроллера домена на целевом компьютере, это выливалось в то, что он подделывал политику безопасности, которая давала ему права локального администратора для скомпрометированной учетной записи.
Microsoft долго билась с этой проблемой и пришла к решению поменять порядок считывания политики, теперь это могут делать только компьютеры домена. Раньше политики пользователя считывал пользователь, политики компьютера, компьютер. Установив KB3163622 теперь для считывания GPO используется только компьютер и если он не входит в фильтр безопасности политики, то она не применится (Подробнее можете посмотреть вот тут https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14-2016).
Исходя из данной ситуации, чтобы политики успешно применялись Microsoft предложило добавлять одну из групп безопасности в ACL политики «Прошедшие проверку» или «Все компьютеры». Переходим к ACL.
Фильтрация GPO через ACL (Запрет GPO)
И так фильтрацию в фильтре мы сделали, чтобы политика применилась нам необходимо выбрать политику и перейти на вкладку «Делегирование». Тут нам необходимо добавить одну из двух групп «Прошедшие проверку (Authenticated Users)» или «Все компьютеры (Domain Computers)«. Я добавляю первую. Нажимаем кнопку «Добавить» и находим нашу группу.
Уровень прав оставляем «Чтение», этого будет достаточно.
Пробуем проверить применение нашей политики. В качестве испытуемого у меня идет виртуальная машина с Windows 10. После загрузки, я открываю командную строку и смотрю применение политики, для этого пишем команду:
gpresult /r /scope:computer
В итоге я вижу, что среди примененных объектов групповой политики, моя «Настройка MaxTokenSize» в списке присутствует.
Если бы пользователь не был членом группы, которая фигурирует с фильтре безопасности, то мы видели бы вот такую картину, что следующие политики GPO не были применены, так как они отфильтрованы по причине отказано (Безопасность). Как видим нет прав на чтение.
Еще вкладку «Делегирования» используют и для запрещения, простой пример вы сделали политику которая для всех пользователей домена применяет корпоративные обои на рабочий стол. Допустим, что вам для администраторов домена или для круга избранных нужно сделать так, чтобы к ним не применялась политика. Вы создаете группу и уже ей запрещаете чтение данной политики, хоть пользователи и будут по прежнему входить в группу «Прошедшие проверку», но прочитать они ее не смогут так как явный запрет для другой группы куда они входят, гораздо сильнее и приоритетнее чем права чтения.
Добавляем группу для которой хотим запретить применение политики, у меня это Forbidden MaxTokenSize.
Далее даем права «Чтение».
Далее нажимаем кнопку «Дополнительно«, у вас откроется окно параметром безопасности. Тут вы выбираете нужную вам группу, для которой вы хотите запретить применение групповой политики и ставите галку «Запретить«. В таком случае данная группа будет получать при попытке считать GPO «Отказано (безопасность)».
Фильтрация GPO по WMI
Еще одним действенным методом фильтровать получателей групповой политики, это использование WMI фильтров. Мы с вами их уже применяли, когда нужно было применить политику только к ноутбукам.
Простой пример вы создали политику и хотели бы ее применить скажем только на компьютеры у кого установлена операционная система Windows 7. Для нашей задачи нам необходимо создать WMI фильтр, для этого перейдем в «Фильтры WMI«, где выбираем соответствующий пункт.
Задаем имя WMI фильтра, после чего нажимаем кнопку «Добавить». Откроется окно для составления запроса. Конструкция для Windows 7 будет такая:
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE «6.1%» AND ProductType = «1»
Номера для Win32_OperatingSystem
- Windows Server 2019\Windows 10 1809 — 10.0.17763
- Window Server 2016\Windows 10 — 10.0
- Window Server 2012 R2\Windows 8.1 — 6.3
- Window Server 2012\Windows 8 — 6.2
- Window Server 2008 R2\Windows 7 — 6.1
Тип продукта отвечает за назначение компьютера и может иметь 3 значения:
- 1 — рабочая станция;
- 2 — контроллер домена;
- 3 — сервер.
Вот вам пример вывода в PowerShell команды показывающей версию операционной системы:
Get-WmiObject -Class Win32_OperatingSystem | fl Name, Version, ProductType
Можете кстати еще посмотреть полезные WMI фильтры
Сохраняем наш WMI запрос.
Если хотите перед внедрение проверить будет ли применена групповая политика к нужному объекту, то можете провести тестирование в WMI Filter Validation Utility. Если все настроено корректно, но политика не применяется, почитайте по ссылке возможные варианты. Далее берем вашу политику и применяем к ней WMI.
Теперь если компьютер не соответствует критериям WMI фильтра, то вы увидите в gpresult /r /scope:computer вот такую запись (Отказано фильтр WMI)
Фильтрация через состояние GPO
Еще на вкладке «Сведения» есть такая настройка, как состояние GPO. Она необходима для ускорения обработки политики, путем отключения лишних веток. Например у вас политика исключительно на пользователя и вам смысла нет, чтобы компьютер при загрузке пытался прочитать настройки для компьютера, тратя на это время. В таких случаях отключают данный функционал. Тут есть варианты:
- Включено
- Все параметры отключены
- Параметры конфигурации компьютера отключены
- Параметры конфигурации пользователя отключены
На этом у меня все. Мы с вами разобрали все методы и механизмы фильтрации групповых политик, теперь вы готовы к любому сценарию. С вами был Иван Семин .автор и создатель IT портала Pyatilistnik.org.
Как настроить параметры локальных групповых политик для отдельных пользователей
В этой инструкции показаны действия, с помощью которых можно настроить параметры локальных групповых политик для отдельных пользователей.
Групповая политика — это набор правил, применение которых упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.
Параметры групповой политики применяются для управления конфигурацией операционной системы, а также для отключения опций и элементов управления пользовательского интерфейса для параметров, управляемых групповой политикой. Большинство параметров групповой политики хранятся в разделах реестра, связанных с групповыми политиками.
Параметры политик можно разбить на две общие категории: политики, применяемые к компьютерам, и политики, применяемые к пользователям. Политики компьютеров обычно применяются при загрузке операционной системы, а политики пользователей — при входе пользователей в систему.
Обычно при использовании редактора локальных групповых политик (gpedit.msc), изменяемые параметры применяются для текущей учетной записи (т.е. для пользователя под которым вы вошли в систему) или же для всех пользователей компьютера, что не всегда нужно. Для того чтобы настроить параметры групповой политики для отдельного пользователя и при этом находясь в своей учётной записи относящейся к группе администраторов нужно воспользоваться консолью управления MMC (Microsoft Management Console).
Далее в статье показано, как например запретить любой доступ к съёмным запоминающим устройствам для отдельного пользователя.
Чтобы открыть консоль управления MMC, можно воспользоваться поиском, для этого нажмите на значок поиска на панели задач или нажмите сочетание клавиш + S, в появившемся окне в поле поиска введите mmc.exe. В результатах поисковой выдачи выберите mmc.exe
Также открыть консоль управления MMC, можно в окне Выполнить, для этого нажмите сочетание клавиш + R, в поле ввода введите команду mmc и нажмите клавишу Enter ↵.
В окне Контроль учетных записей нажмите кнопку Да.
Далее в открывшейся консоли нужно добавить новую оснастку для изменения параметров групповых политик. Для этого нажмите пункт меню Файл и в выпадающем списке выберите Добавить или удалить оснастку..
В открывшемся окне Добавление и удаление оснасток в списке Доступные оснастки: выберите Редактор объектов групповой политики и нажмите кнопку Добавить.
В окне мастера групповой политики нужно указать объект, на который будут воздействовать политики. По умолчанию выбран объект Локальный компьютер, соответственно политики будут воздействовать на всех пользователей этого компьютера. Для изменения объекта нажмите кнопку Обзор.
В окне Поиск объекта групповой политики перейдите на вкладку Пользователи и выберите из списка нужного пользователя и нажмите кнопку OK, в данном примере это пользователь TestUser1. Таким образом политики будут воздействовать только на выбранного вами пользователя.
Завершив выбор объекта групповой политики (пользователя) нажмите кнопку Готово.
Теперь в консоли появилась добавленная нами оснастка с названием Политика «Локальный компьютер\\TestUser1». Далее, также как и при работе в редакторе локальных групповых политик (gpedit.msc) разверните следующие элементы списка:
Конфигурация пользователя ➯ Административные шаблоны ➯ Система ➯
Доступ к съемным запоминающим устройствам
И далее, в правой части окна дважды щелкните левой кнопкой мыши по параметру политики с названием
Съемные запоминающие устройства всех классов: Запретить любой доступ.
В окне Съемные запоминающие устройства всех классов: Запретить любой доступ, установите переключатель из положения Не задано в положение Включено и нажмите кнопку OK.
Теперь нам нужно сохранить добавленную оснастку и изменения произведённые в ней, для этого нажмите пункт меню Файл и в выпадающем списке выберите Сохранить как..
Далее придумайте названия для этой консоли, а также выберите место для сохранения и нажмите кнопку Сохранить.
Если не изменять место сохранения по умолчанию, то запускать консоль MMC нужно как показано в начале статьи, потом зайти в меню Файл и выбрать нужную оснастку из списка, а если вы выберите к примеру сохранить на рабочий стол, то появится ярлык, запуская который вы всегда будете видеть нужную оснастку.
Теперь при попытке доступа к любому съемному запоминающему устройству, пользователь увидит сообщение показанное на скриншоте ниже. При этом у остальных пользователей компьютера не будет таких ограничений и они могут продолжать пользоваться любыми съемными запоминающими устройствами, например флешками.
Вот так с помощью создания оснасток в консоли управления MMC, можно настроить параметры локальных групповых политик для отдельных пользователей. Также с помощью создания оснастки можно настроить параметры локальных групповых политик для групп пользователей, от том как это сделать, читайте в статье Как настроить параметры локальных групповых политик для группы пользователей
Перестали применяться некоторые групповые политики (GPO) на клиентских машинах. Ошибка доступа к групповым политикам (GPO) Inaccessible. Обновление безопасности групповых политик из MS16-072.
После установки системы Windows 7 Professional (х64) на одну из пользовательских машин, появились проблемы с применением групповых политик, на данной машине. В роли домен контроллера выступает Windows Server 2008 R2, ошибок в его работе не наблюдается, да и все остальные пользователи сети, не испытывают подобных затруднений с применением групповых политик.
При тестировании результатов применения групповых политик на проблемной машине, видно что часть групповых политик применяется, а часть нет. Групповые политики которые не применяются помечены как Inaccessible (Недоступные).
В ходе поиска причины по которой, групповые политики были недоступными, выяснилось что проблема не в пользователе (т.к. если пользователь авторизовался на другой машине, то все предназначенные ему групповые политики успешно применялись), не в домен контроллере (т.к. никаких ошибок в его работе не было выявлено), а проблема именно в самой системе пользовательской машине.
Групповые политики которые не применялись на проблемной машине и имели статус Inaccessible (Недоступные), имеют права доступа только из определенных групп.
А групповые политики которые успешно были применены на проблемной машине, имели права доступа для всех пользователей прошедших проверку.
Как выяснилось в итоге, корнем всех этих бед, стало выпущенное в рамках бюллетеня MS16-072 от 14 июня 2016 года, обновление безопасности для групповых политик, KB для различных ОС: KB3159398, KB3163017, KB3163018, KB3163016. Данное обновление призвано закрыть уязвимости в безопасности применения групповых политик.
Обновление для системы безопасности из бюллетеня MS16-072, устраняет уязвимость в Microsoft Windows, с помощью которой злоумышленник может совершить атаку Man in the Middle (MiTM) с целью подмены трафика, проходящего между контроллером домена и целевой машиной. Целью такой атаки может быть получение прав локального администратора, на целевой машине.
Таким образом если удалить из групповой политики, права доступа для группы Прошедшие проверку (Authenticated Users), то на машине с установленным обновлением из бюллетеня MS16-072, мы заблокируем доступ к групповой политики.
Решить данную проблему можно несколькими способами:
- На машине, удалить установленное обновление из бюллетеня MS16-072.
- Для всех групповых политик, у которых используется фильтрация безопасности по пользовательским группам, делегировать группу Компьютеры домена (Domain Computers) с правами Read.
Удалять установленные обновления на клиентских машинах, не целесообразно. Поэтому действенным решением данной проблемы, является метод добавления в групповые политики с фильтрацией безопасности по пользовательским группам, группу Компьютеры домена (Domain Computers) с правами чтения. Таким образом, у компьютеров домена появится право на чтение этой политики.
Посмотреть в каких групповых политиках отсутствует группа доступа Прошедшие проверку (Authenticated Users), можно выполнив команду в Powershell:
Get-GPO -All | ForEach-Object {if (-Not (Get-GPPermissions -Guid $_.Id -TargetType Group -TargetName ‘Authenticated Users’)) {$_.DisplayName}} |
Чтобы автоматически добавить во все групповые политики группу доступа Компьютеры домена (Domain Computers) с правами на чтение, можно выполнив скрипт в PowerShell:
# Импортируем модуль групповой политики Import-Module -Name GroupPolicy # $ErrorActionPreference = «SilentlyContinue» # Получаем данные по всем имеющимся групповым политикам $GPOList = Get-GPO -All # Циклом проходимся по каждой группой политике ($GPO in $GPOList){ # Если в групповой политике отсутствует группа доступа Authenticated Users if (-Not (Get-GPPermissions -Guid $GPO.Id -TargetType Group -TargetName ‘Authenticated Users’)) { # Добавляем в группу доступа, группу Domain Computers, с правами на чтение Get-GPO -All | Set-GPPermissions -TargetType Group -TargetName ‘Domain Computers’ -PermissionLevel GpoRead} } |
powershell -Command Set-ExecutionPolicy RemoteSigned
Понравилась или оказалась полезной статья, поблагодари автора
Управление групповой политикой Windows Active Directory
Групповая политикав Active Directory (AD) помогает ИТ-администраторам быстро управлять пользователями, компьютерами и группами AD. Традиционно администраторам приходилось полагаться на инструменты управления групповой политикой Active Directory, такие как консоль управления групповой политикой (GPMC) и пользователи и компьютеры Active Directory (ADUC) для управления AD и групповой политикой. Управление групповой политикой с использованием только собственных средств управления групповой политикой AD и PowerShell может быть рутинным и трудоемким.Следовательно, существует незаменимая потребность в упрощении Active Directory и более эффективном управлении групповыми политиками.
ADManager Plus — это веб-инструмент управления Active Directory и создания отчетов, который помогает управлять объектами групповой политики (GPO) нескольких доменов всего за несколько кликов. Он также предоставляет предварительно созданные отчеты о GPO, которые быстро извлекают информацию, связанную с GPO.
Простое управление всеми аспектами групповой политики Windows Active Directory с помощью ADManager Plus для:
- Создать GPO и сразу связать его с любым контейнером
- Включение или отключение объектов групповой политики или отдельных параметров конфигурации (конфигурации пользователя / компьютера)
- Массовое удаление объектов групповой политики
- Создание ссылок GPO
- Включение, отключение или удаление ссылок GPO
- Принудительное применение GPO или отмена его принудительного применения
- Блокировать или разблокировать наследование GPO для любого домена или организационного подразделения (OU) сразу
Создание объектов групповой политики и ссылок на них
Создавайте объекты групповой политики, а также связывайте их сразу с несколькими подразделениями, доменами, сайтами одним действием, что значительно сокращает время и усилия, необходимые для выполнения одних и тех же задач с помощью встроенного редактора групповой политики Active Directory, такого как консоль управления групповой политикой (GPMC). ).ADManager Plus позволяет при необходимости связывать соответствующие объекты групповой политики с соответствующими контейнерами. Вы также можете скопировать существующие ссылки GPO доменов или сайтов при создании новых ссылок GPO.
Управление объектами групповой политики и связями с ними
Выберите несколько объектов групповой политики и ссылок на любой узел и мгновенно выполните следующие действия по управлению групповой политикой:
Изменить объекты групповой политики
Определите параметры административных шаблонов конфигурации пользователя и компьютера, связанные с соответствующими объектами групповой политики, с помощью быстрого поиска и редактирования параметров GPO в Active Directory.
Включение или отключение объектов групповой политики
Вы можете включить или отключить объекты групповой политики полностью или частично, то есть только параметры конфигурации пользователя или компьютера.
Включить ссылки GPO или отключить ссылки GPO
Используя эту функцию, вы можете выбрать несколько ссылок GPO и мгновенно включить или отключить их. Это позволяет администратору контролировать применение объектов групповой политики в соответствии с изменениями политики организации.
Принудительное применение GPO или неисполнение GPO
С помощью ADManager Plus вы можете вызывать объекты групповой политики, чтобы легко применить определенные параметры к другим.При необходимости вы также можете отменить принудительное применение GPO.
Блокировать или разблокировать наследование GPO
По умолчанию параметры групповой политики наследуются от своих родительских объектов. Однако, исходя из ваших потребностей, вы можете выбрать нужный контейнер и наследование блока. При необходимости вы также можете разблокировать наследование.
Удалить объекты групповой политики и ссылки на них
В зависимости от ваших потребностей, удалите объекты групповой политики и удалите ненужные ссылки на них сразу. Очистите объекты групповой политики с помощью предварительно определенных отчетов об объектах групповой политики, которые упрощают выявление неиспользуемых и отключенных объектов групповой политики и их массовое удаление.
Таким образом, ADManager Plus является отличным менеджером групповой политики, который также предлагает предварительно упакованные отчеты, такие как недавно созданные объекты групповой политики, контейнеры с заблокированным наследованием объектов групповой политики и многое другое, что упрощает мгновенное получение информации, связанной с объектами групповой политики. Загрузите ADManager Plus бесплатно, чтобы испытать все эти функции самостоятельно.
Прекратите переключение между ADUC, GPMC и другими окнами, чтобы поддерживать работоспособность среды AD.
Спасибо!
Ваша загрузка находится в процессе и будет завершена через несколько секунд!
Если у вас возникнут проблемы, скачайте вручную здесь
Другие функции
Массовое управление пользователями
Стрельба из ружья задач управления пользователями AD за один выстрел.Также используйте файлы csv для управления пользователями. Осуществлять массовые изменения в Active Directory, включая настройку атрибутов Exchange.
Управление паролями Active Directory
Сбросьте пароль и установите соответствующий пароль с единой веб-консоли без ущерба для безопасности вашего AD! Также делегируйте полномочия по сбросу пароля техническим специалистам службы поддержки!
Отчеты пользователей Active Directory
Исчерпывающие отчеты по пользователям Active Directory и атрибутам пользователей.Создавайте отчеты об активности пользователей в Active Directory. Выполняйте действия по управлению пользователями прямо из интерфейса отчета!
Отчеты о соответствии Active Directory
Active Directory сообщает, чтобы помочь вам в соблюдении государственных нормативных актов, таких как SOX, HIPAA, GLBA, PCI, USA PATRIOT … и многое другое! Сделайте вашу организацию идеальной!
Рабочий процесс Active Directory
Миниатюрный набор инструментов для управления билетами и соответствия требованиям Active Directory прямо в ADManager Plus! Определите жесткую, но гибкую структуру для каждой задачи в вашей AD.Затяните бразды правления своей AD Security.
Автоматизация Active Directory
Полная автоматизация критических задач AD, таких как инициализация пользователей, очистка неактивных пользователей и т. Д. Также позволяет упорядочивать и выполнять последующие задачи и совмещается с рабочим процессом, предлагая блестящую управляемую автоматизацию.
Как применить GPO к группе компьютеров в Active Directory
Групповая политика или GPO может применяться к компьютеру.Наиболее распространенный способ сделать это — связать объект GPO компьютера с OU компьютера . По умолчанию политика будет применяться ко всем компьютерам, входящим в эту OU. Если существует определенная политика только для нескольких определенных компьютеров, то эти компьютеры должны быть сгруппированы вместе в группу компьютеров Active Directory . В этой статье подробно рассказывается о том, как применить GPO к группе компьютеров в Active Directory для . Этот способ более эффективен, чем создание нового подразделения для этих компьютеров каждый раз, когда возникает такая необходимость.
Как применить GPO к группе компьютеров в Active Directory
В этом примере все компьютеры присоединены к домену с именем asaputra.com , а контроллер домена установлен на Windows Server 2012 R2 . Все клиентские компьютеры под управлением Windows 10 и расположены на Prod OU.
Был создан объект групповой политики с именем « Политика защищенного компьютера », связанный с OU Prod .По умолчанию объект групповой политики применяется ко всем компьютерам в этом подразделении.
В приведенных ниже пошаговых инструкциях объясняется, как отфильтровать объект групповой политики «Политика защищенного компьютера , », который будет применяться только к WKS002 и WKS003 .
1. Создайте группу
Группа должна быть создана в подразделении, с которым связана политика. Откройте подразделение на консоли «Пользователи и компьютеры Active Directory» , щелкните правой кнопкой мыши в пустой области и выберите « Создать»> «Группа
Укажите имя группы , затем выберите область действия группы Глобальный и тип группы — Безопасность .
Нажмите ОК , чтобы сохранить параметры и убедиться, что группа создана.
2. Добавьте целевые компьютеры в качестве члена группы
Дважды щелкните имя группы, чтобы открыть ее свойства. Выберите вкладку Члены и нажмите кнопку Добавить .
Появится всплывающее окно. Нажмите кнопку Типы объектов и убедитесь, что установлен флажок Компьютеры .
Теперь введите имена целевых компьютеров , разделенные точкой с запятой, затем нажмите кнопку Проверить имена .Если он набран правильно, имена будут подчеркнуты, как показано на рисунке ниже.
Убедитесь, что все целевые компьютеры теперь добавлены к члену группы, затем щелкните OK для подтверждения.
3. Измените GPO Security Filtering
Переключитесь на консоль управления групповой политикой . Выберите объект политики, который нужно изменить, и перейдите на вкладку Scope .
В разделе Security Filtering выберите группу Authenticated Users и нажмите кнопку Remove .
Затем, все еще находясь на Security Filtering , нажмите кнопку Add .
Введите имя группы, созданной на предыдущем шаге. Убедитесь, что он набран правильно, нажав кнопку « Проверить имена» , затем нажмите «ОК» для подтверждения.
Убедитесь, что группа добавлена в список.
Наконец, для обеспечения работы политики прошедших проверку пользователей все еще должны иметь как минимум доступ для чтения к политике .В том же объекте политики перейдите на вкладку Delegations и нажмите кнопку Add .
Добавьте группу Authenticated Users с разрешением Read , как показано на рисунке ниже.
Проверка
Мы можем проверить правильность применения политики. На клиентском компьютере откройте командную строку с повышенными привилегиями и используйте команду gpresult / r / SCOPE COMPUTER . На компьютерах, которые входят в группу SECURED_COMPUTER , а именно WKS002 и WKS003 , результат покажет, что политика применяется как правило .
Но на компьютере, который не входит в группу, результат покажет, что политика отфильтрована .
Имейте в виду, что применение GPO к группе компьютеров может быть немного сложным . Если вы видите, что объект групповой политики фильтруется на компьютере, который является членом целевой группы, то есть вероятность, что компьютер еще не осознал, что он был членом группы. В этом случае компьютер требует перезагрузки, чтобы обновить членство в группе .Чтобы проверить членство в группе компьютеров, используйте ту же команду, что и выше, и прокрутите вниз до нижнего раздела, где вы увидите эту информацию.
Вот как применить GPO к группе компьютеров в Active Directory.
Следующие две вкладки изменяют содержимое ниже.Я практикующий ИТ-специалист со специализацией в сетевой и серверной инфраструктуре. У меня есть многолетний опыт проектирования, анализа, эксплуатации и оптимизации инфраструктурных решений для сетей масштаба предприятия.Вы можете отправить мне сообщение в LinkedIn или электронное письмо по адресу [email protected], чтобы узнать подробнее о материалах, которые я написал, или о возможности сотрудничества в проекте.
Как настроить групповую политику для LAPS
В сообщении подробно описаны шаги по настройке групповой политики для LAPS. Это третий и последний пост, посвященный настройке групповой политики LAPS.
В этом посте мы изменим некоторые параметры групповой политики, относящиеся к LAPS.Мы знаем, что LAPS обеспечивает управление паролями локальных учетных записей компьютеров, присоединенных к домену. Пароли хранятся в Active Directory (AD) и защищены ACL. Следовательно, только соответствующие пользователи могут прочитать его или запросить его сброс.
В моих предыдущих постах мы затронули две важные темы. Во-первых, как установить и развернуть программное обеспечение Microsoft LAPS, а во-вторых, как настроить Active Directory для LAPS. Вы можете получить доступ к обоим сообщениям, нажав на ссылки ниже.
Как настроить групповую политику для LAPS
Для настройки групповой политики для LAPS
- Запустите консоль управления групповой политикой.
- Щелкните правой кнопкой мыши подразделение, в котором находятся компьютеры вашего домена.
- Щелкните Создать объект групповой политики в этом домене и свяжите его здесь.
- Укажите имя групповой политики, например «LAPS», и нажмите OK.
- На следующем шаге отредактируйте GPO.
Параметры LAPS находятся в разделе Конфигурация компьютера > Административные шаблоны > LAPS . Вы можете увидеть четыре настройки. Мы настроим те, которые требуются.
Щелкните правой кнопкой мыши параметр политики Включите управление паролями локального администратора и щелкните свойств . Поскольку мы хотим управлять паролем локального администратора, мы включим параметр политики. Нажмите ОК .
Настройки пароля LAPS
Затем отредактируйте политику настройки пароля. По умолчанию это решение использует пароль максимальной сложности, 14 символов, и меняет пароль каждые 30 дней.
Вы можете изменить значения в соответствии со своими потребностями, отредактировав групповую политику.Вы можете изменить индивидуальные настройки пароля в соответствии со своими потребностями. Щелкните ОК.
Имя учетной записи администратора — Если вы решили управлять настраиваемой учетной записью локального администратора, вы должны указать ее имя в групповой политике. Я не настраивал этот параметр политики.
Защита от слишком длительного запланированного времени для сброса пароля. — Если вы не хотите разрешать установку срока действия пароля для учетной записи администратора на время, превышающее максимальный срок действия пароля, вы можете сделать это в GPO.
Если вы хотите просмотреть настройки пароля компьютера с помощью PowerShell, Get-AdmPwdPassword вам поможет.
- Импорт-модуль AdmPwd.PS
- Get-AdmPwdPassword -Computername « имя компьютера «
Что произойдет, если пользователь, которому не предоставлены права на просмотр пароля локального администратора, попытается получить к нему доступ ?.