Создание групповой политики и управление ею в доменных службах Azure AD
- Чтение занимает 5 мин
В этой статье
Параметры для объектов пользователей и компьютеров в доменных службах Azure Active Directory (Azure AD DS) часто управляются с помощью групповая политика объектов (GPO).Settings for user and computer objects in Azure Active Directory Domain Services (Azure AD DS) are often managed using Group Policy Objects (GPOs). AD DS Azure включает встроенные объекты групповой политики для контейнеров AADDC Users и AADDC Computers .Azure AD DS includes built-in GPOs for the AADDC Users and AADDC Computers containers. Эти встроенные объекты групповой политики можно настроить для настройки групповая политика в соответствии с потребностями среды.You can customize these built-in GPOs to configure Group Policy as needed for your environment. Члены группы
В гибридной среде групповые политики, настроенные в локальной среде AD DS, не синхронизируются с Azure AD DS.In a hybrid environment, group policies configured in an on-premises AD DS environment aren’t synchronized to Azure AD DS. Чтобы определить параметры конфигурации для пользователей или компьютеров в AD DS Azure, измените один из объектов групповой политики по умолчанию или создайте пользовательский объект групповой политики.To define configuration settings for users or computers in Azure AD DS, edit one of the default GPOs or create a custom GPO.
В этой статье показано, как установить средства управления групповая политика, а затем изменить встроенные объекты групповой политики и создать пользовательские объекты групповой политики.This article shows you how to install the Group Policy Management tools, then edit the built-in GPOs and create custom GPOs.
Перед началомBefore you begin
Для работы с этой статьей требуются следующие ресурсы и разрешения:To complete this article, you need the following resources and privileges:
- Активная подписка Azure.An active Azure subscription.
- Связанный с вашей подпиской клиент Azure Active Directory, синхронизированный с локальным или облачным каталогом.An Azure Active Directory tenant associated with your subscription, either synchronized with an on-premises directory or a cloud-only directory.
- Управляемый домен доменных служб Azure Active Directory, включенный и настроенный в клиенте Azure AD.An Azure Active Directory Domain Services managed domain enabled and configured in your Azure AD tenant.
- Виртуальная машина управления Windows Server, присоединенная к управляемому домену AD DS Azure.A Windows Server management VM that is joined to the Azure AD DS managed domain.
- Учетная запись пользователя, входящая в группу администраторов Azure AD DC в клиенте Azure AD.A user account that’s a member of the Azure AD DC administrators group in your Azure AD tenant.
Примечание
Вы можете использовать групповая политика административные шаблоны, скопировав новые шаблоны на рабочую станцию управления.You can use Group Policy Administrative Templates by copying the new templates to the management workstation. Скопируйте файлы ADMX в %SYSTEMROOT%\PolicyDefinitions и скопируйте файлы. ADML для конкретного языкового стандарта в %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion] , где Language-CountryRegion соответствует языку и региону файлов ADML .Copy the .admx files into %SYSTEMROOT%\PolicyDefinitions and copy the locale-specific .adml files to %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], where Language-CountryRegion matches the language and region of the .adml files.
Например, скопируйте на английскую версию США версии файлов ADML в \en-us папку.For example, copy the English, United States version of the .adml files into the \en-us folder.
Кроме того, можно централизованно хранить административный шаблон групповая политика на контроллерах домена, входящих в управляемый домен.Alternatively, you can centrally store your Group Policy Administrative Template on the domain controllers that are part of the managed domain. Дополнительные сведения см. в статье Создание центрального хранилища для групповая политика административные шаблоны в Windows и управление им.For more information, see How to create and manage the Central Store for Group Policy Administrative Templates in Windows.
Для создания и настройки групповая политика объектов (GPO) необходимо установить средства управления групповая политика.To create and configure Group Policy Object (GPOs), you need to install the Group Policy Management tools. Эти средства можно установить в качестве компонента Windows Server.These tools can be installed as a feature in Windows Server. Дополнительные сведения об установке средств администрирования на клиенте Windows см. в разделе Install средства удаленного администрирования сервера (RSAT).For more information on how to install the administrative tools on a Windows client, see install Remote Server Administration Tools (RSAT).
Войдите на виртуальную машину управления.Sign in to your management VM. Инструкции по подключению с помощью портал Azure см. в разделе Подключение к виртуальной машине Windows Server.For steps on how to connect using the Azure portal, see Connect to a Windows Server VM.
При входе в виртуальную машину по умолчанию должен открываться диспетчер сервера.Server Manager should open by default when you sign in to the VM. Если это не произойдет, откройте меню Пуск и выберите Диспетчер сервера.If not, on the Start menu, select Server Manager.
На панели управления в окне диспетчера серверов щелкните Добавить роли и компоненты.In the Dashboard pane of the Server Manager
На странице Перед началом работы в мастере добавления ролей и компонентов щелкните Далее.On the Before You Begin page of the Add Roles and Features Wizard, select Next.
В разделе Тип установки оставьте флажок Установка ролей или компонентов и щелкните Далее.For the Installation Type, leave the Role-based or feature-based installation option checked and select Next.
На странице Выбор сервера выберите из пула серверов текущую виртуальную машину, например myvm.aaddscontoso.com, и щелкните Далее.On the Server Selection page, choose the current VM from the server pool, such as myvm.aaddscontoso.com, then select Next.
На странице Роли сервера нажмите кнопку Далее.On the Server Roles page, click Next.
На странице Функции выберите Управление групповой политикой.On the Features page, select the Group Policy Management feature.
На странице Подтверждение щелкните Установить.On the Confirmation page, select Install. Установка средств управления групповая политика может занять одну или две минуты.It may take a minute or two to install the Group Policy Management tools.
Когда установка компонента завершится, нажмите кнопку Закрыть, чтобы выйти из мастера добавления ролей и компонентов.When feature installation is complete, select Close to exit the Add Roles and Features wizard.
Открытие консоль управления групповыми политиками и изменение объектаOpen the Group Policy Management Console and edit an object
Объекты групповой политики по умолчанию (GPO) существуют для пользователей и компьютеров в управляемом домене.Default group policy objects (GPOs) exist for users and computers in a managed domain. Функция управления групповая политика, установленная из предыдущего раздела, позволяет просматривать и редактировать существующий объект GPO.With the Group Policy Management feature installed from the previous section, let’s view and edit an existing GPO. В следующем разделе вы создадите пользовательский объект групповой политики.In the next section, you create a custom GPO.
Примечание
Для администрирования групповой политики в управляемом домене необходимо войти в учетную запись пользователя, которая является членом группы администраторов контроллера домена AAD .To administer group policy in a managed domain, you must be signed in to a user account that’s a member of the AAD DC Administrators group.
На начальном экране выберите Администрирование.From the Start screen, select Administrative Tools. Отобразится список доступных средств управления, включая управление групповая политика , установленное в предыдущем разделе.A list of available management tools is shown, including Group Policy Management installed in the previous section.
Чтобы открыть консоль управления групповыми политиками (GPMC), выберите управление групповая политика.To open the Group Policy Management Console (GPMC), choose Group Policy Management.
В управляемом домене есть два встроенных групповая политика объектов (GPO) — один для контейнера Computers AADDC , а другой — для контейнера Пользователи AADDC .There are two built-in Group Policy Objects (GPOs) in a managed domain — one for the AADDC Computers container, and one for the AADDC Users container. Эти объекты групповой политики можно настроить таким образом, чтобы при необходимости настроить групповую политику в управляемом домене.You can customize these GPOs to configure group policy as needed within your managed domain.
В консоли управления групповая политика разверните узел лес: aaddscontoso.com .In the Group Policy Management console, expand the Forest: aaddscontoso.com node. Затем разверните узлы домены .Next, expand the Domains nodes.
Существуют два встроенных контейнера для AADDC компьютеров и пользователей AADDC.Two built-in containers exist for AADDC Computers and AADDC Users. К каждому из этих контейнеров применяется объект групповой политики по умолчанию.Each of these containers has a default GPO applied to them.
Эти встроенные объекты групповой политики можно настроить для настройки конкретных групповых политик в управляемом домене.These built-in GPOs can be customized to configure specific group policies on your managed domain. Щелкните правой кнопкой мыши один из объектов групповой политики, например AADDC Computers, а затем выберите изменить….Right-select one of the GPOs, such as AADDC Computers GPO, then choose Edit….
Откроется средство редактор «Управление групповыми политиками», позволяющее настроить объект групповой политики, например политики учетной записи.The Group Policy Management Editor tool opens to let you customize the GPO, such as Account Policies:
По завершении выберите файл > сохранить , чтобы сохранить политику.When done, choose File > Save to save the policy. По умолчанию компьютеры обновляют групповая политика каждые 90 минут и применяют внесенные изменения.Computers refresh Group Policy by default every 90 minutes and apply the changes you made.
Создание пользовательского групповая политика объектаCreate a custom Group Policy Object
Для группирования аналогичных параметров политики часто создаются дополнительные объекты групповой политики вместо применения всех необходимых параметров в отдельном объекте групповой политики по умолчанию.To group similar policy settings, you often create additional GPOs instead of applying all of the required settings in the single, default GPO. С помощью Azure AD DS можно создать или импортировать собственные объекты групповой политики и связать их с пользовательским подразделением.With Azure AD DS, you can create or import your own custom group policy objects and link them to a custom OU. Если необходимо сначала создать пользовательское подразделение, см. раздел Создание настраиваемого подразделения в управляемом домене.If you need to first create a custom OU, see create a custom OU in a managed domain.
В консоли управления групповая политика выберите Пользовательское подразделение (OU), например MyCustomOU.In the Group Policy Management console, select your custom organizational unit (OU), such as MyCustomOU. Щелкните правой кнопкой мыши подразделение и выберите создать объект GPO в этом домене и свяжите его…:Right-select the OU and choose Create a GPO in this domain, and Link it here…:
Укажите имя для нового объекта групповой политики, например мой пользовательский объект групповой политики, а затем нажмите кнопку ОК.Specify a name for the new GPO, such as My custom GPO, then select OK. При необходимости можно создать этот пользовательский объект групповой политики на основе существующего объекта групповой политики и набора параметров политики.You can optionally base this custom GPO on an existing GPO and set of policy options.
Пользовательский объект групповой политики создается и связывается с пользовательским подразделением.The custom GPO is created and linked to your custom OU. Чтобы настроить параметры политики, щелкните правой кнопкой мыши настраиваемый объект групповой политики и выберите пункт изменить…:To now configure the policy settings, right-select the custom GPO and choose Edit…:
Откроется редактор «Управление групповыми политиками» , позволяющий настроить объект групповой политики:The Group Policy Management Editor opens to let you customize the GPO:
По завершении выберите файл > сохранить , чтобы сохранить политику.When done, choose File > Save to save the policy. По умолчанию компьютеры обновляют групповая политика каждые 90 минут и применяют внесенные изменения.Computers refresh Group Policy by default every 90 minutes and apply the changes you made.
Дальнейшие действияNext steps
Дополнительные сведения о доступных параметрах групповая политика, которые можно настроить с помощью консоль управления групповыми политиками, см. в разделе Работа с элементами предпочтений групповая политика.For more information on the available Group Policy settings that you can configure using the Group Policy Management Console, see Work with Group Policy preference items.
Создание и настройка групповых политик в Windows Server 2008 R2
Данное руководство представляет собой пошаговую инструкцию по созданию и настройке локальной групповой политики, а также групповых политик на уровне доменов и подразделений в Windows Server 2008 R2.
Групповые политики – это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object).
I. Область действия групповых политик
Все групповые политики имеют свою область действия (scope), которая определяет границы влияния политики. Области действия групповых политик условно можно разделить на четыре типа:
Локальные групповые политики
Групповые политики, применяемые к локальному компьютеру, или локальные групповые политики. Эти политики настраиваются в оснастке «Редактор локальных групповых политик» и применяются только к тому компьютеру, на котором они были настроены. Они не имеют механизма централизованного развертывания и управления и, по сути, не являются групповыми политиками.
Групповые политики доменов
Объекты групповых политик, применяемые к домену Active Directory (AD) и оказывающие влияние на все объекты, имеющие отношение к данному домену. Поскольку в рамках домена работает механизм наследования, то все политики, назначенные на домен, последовательно применяются и ко всем нижестоящим контейнерам.
Групповые политики подразделения
Политики, применяемые к подразделению (Organizational Unit policy, сокр. OU) и оказывающие влияние на все содержимое данного OU и дочерних OU (при их наличии).
Групповые политики сайтов
Сайты в AD используются для представления физической структуры организации. Границы сайта определяются одной или несколькими IP-подсетями, которые объединены высокоскоростными каналами связи. В один сайт может входить несколько доменов и наоборот, один домен может содержать несколько сайтов. Объекты групповой политики, примененные к сайту AD, оказывают влияние на все содержимое этого сайта. Следовательно, групповая политика, связанная с сайтом, применяется ко всем пользователям и компьютерам сайта независимо от того, к какому домену они принадлежат.
II. Порядок применения и приоритет групповых политик
Порядок применения групповых политик напрямую зависит от их области действия. Первыми применяются Локальные политики, затем Групповые политики сайтов, затем отрабатывают Доменные политики и затем OU политики. Если на одну OU назначено несколько GPO, то они обрабатываются в том порядке, в котором были назначены (Link Order).
Приоритет GPO напрямую зависит от порядка их применения — чем позднее применяется политика, тем выше ее приоритет. При этом нижестоящие политики могут переопределять вышестоящие — например Локальная политика будет переопределена Доменной политикой сайта, Доменная политика — политикой OU, а политика вышестоящего OU — нижестоящими политиками OU.
III. Создание локальной групповой политики
1. Для создания локальной групповой политики зайдите на рабочую станцию, нажмите Пуск, в поле поиска введите Выполнить, затем, в поисковой выдаче, выберите Выполнить (Рис.1).
Рис.1
.
2. В открывшемся окне введите в поле gpedit.msc, затем нажмите OK (Рис.2).
Рис.2
.
3. В открывшемся окне Вы увидите две основные категории параметров групповой политики — параметры конфигурации компьютера и параметры конфигурации пользователя. Параметры конфигурации компьютера применяются к компьютеру в целом, то есть действуют в отношении всех пользователей, входящих в систему на данном компьютере, без различия, гости они, пользователи или администраторы. Параметры конфигурации пользователя действуют только в отношении конкретно заданных пользователей (Рис.3).
Рис.3
.
4. Выберите: Конфигурация пользователя > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.4).
Рис.4
.
5. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:\Green_Local.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер (Рис.5).
Рис.5
.
6. После перезагрузки компьютера Вы увидите, что политика отработала и фон рабочего изменился (Рис.6).
Рис.6
.
IV. Создание и настройка групповой политики на уровне домена
1. Для создания групповой политики на уровне домена зайдите на сервер, выберите Пуск > Администрирование > Управление групповой политикой (Рис.7).
Рис.7
.
2. Выберите домен (прим. в данном руководстве это example.local), через правую кнопку мыши вызовите меню, в котором выберите Создать объект групповой политики в этом домене и связать его… (Рис.8).
Рис.8
.
3. В появившемся окне выберите, в соответствующем поле, имя новой групповой политики (прим. в данном руководстве это GPO-1), затем нажмите ОК (Рис.9).
Рис.9
.
4. Выберите созданную групповую политику (прим. GPO-1), через правую кнопку мыши вызовите меню, в котором выберите Изменить (Рис.10).
Рис.10
.
5. Выберите: Конфигурация пользователя > Политики > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.11).
Рис.11
.
6. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:\Yellow_Domain_GPO-1.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (Рис.12).
Рис.12
.
7. После перезагрузки компьютера Вы увидите, что групповая политика домена отработала и фон рабочего стола на компьютере изменился (прим. на компьютере доменные политики успешно применились и переопределили настройки, задаваемые локальными политиками. Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым) (Рис.13).
Рис.13
.
V. Создание и настройка групповой политики на уровне подразделения
1. Для создания групповой политики на уровне подразделения (Organizational Unit policy, сокр. OU) зайдите на сервер, выберите Пуск > Администрирование > Управление групповой политикой (Рис.14).
Рис.14
.
2. Выберите домен (прим. в данном руководстве это example.local), через правую кнопку мыши вызовите меню, в котором выберите Создать подразделение (Рис.15).
Рис.15
.
3. В появившемся окне выберите, в соответствующем поле, имя нового подразделения (прим. в данном руководстве это OU-1), затем нажмите ОК (Рис.16).
Рис.16
.
4. Выберите созданное подразделение (прим. OU-1), через правую кнопку мыши вызовите меню, в котором выберите Создать объект групповой политики в этом домене и связать его… (Рис.17).
Рис.17
.
5. В появившемся окне выберите, в соответствующем поле, имя новой групповой политики (прим. в данном руководстве это GPO-2), затем нажмите ОК (Рис.18).
Рис.18
.
6. Выберите созданную групповую политику (прим. GPO-2), через правую кнопку мыши вызовите меню, в котором выберите Изменить (Рис.19).
Рис.19
.
7. Выберите: Конфигурация пользователя > Политики > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.20).
Рис.20
.
8. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это Red_OU_OU-1_GPO-2.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (прим. на этом же компьютере она была переопределена доменной групповой политикой) (Рис.21).
Рис.21
.
9. После перезагрузки компьютера Вы увидите, что доменная политика (GPO-1) переопределена политикой (GPO-2), назначенной на OU. (Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым, после чего доменная политика была переопределена политикой OU и фон стал красным) (Рис.22).
Рис.22
.
VI. Наследование в групповых политиках
1. На все политики в домене распространяется наследование, т.е. политики, назначенные на родительский контейнер (домен или OU), последовательно применяются ко всем дочерним контейнерам. При необходимости это можно изменить, отключив наследование для отдельно взятого OU. Для этого необходимо перейти в управление групповой политикой (прим. Пуск > Администрирование > Управление групповой политикой), выбрать нужное OU (прим. в данном руководстве это OU-1), кликнуть на нем правой клавишей мыши и в контекстном меню отметить пункт Блокировать наследование. После этого для данного OU и его дочерних OU (при их наличии) отменяется воздействие всех вышестоящих политик (Рис.23).
Примечание! Политика Default Domain Policy содержит настройки, определяющие политику паролей и учетных записей в домене. Эти настройки не могут быть заблокированы.
Рис.23
.
VII. Форсирование применения групповых политик
1. Форсирование применения групповых политик применяется тогда, когда данная политика должна отработать независимо от остальных политик. Если политика форсирована, то, вне зависимости от своей области действия она получает наивысший приоритет. Это значит, что ее настройки не могут быть переопределены нижестоящими политиками, а также на нее не действует отмена наследования. Чтобы форсировать политику, необходимо перейти в управление групповой политикой (прим. Пуск > Администрирование > Управление групповой политикой), выбрать нужную политику (прим. в данном руководстве это GPO-1), кликнуть на ней правой клавишей мыши и в контекстном меню отметить пункт Принудительный (Рис.24).
Рис.24
.
Надеемся, что данное руководство помогло Вам!
.
Поделиться ссылкой:
Похожее
Редактор локальной групповой политики Windows для начинающих
  windows | для начинающих
В этой статье поговорим о еще одном инструменте администрирования Windows — редакторе локальной групповой политики. С его помощью вы можете настроить и определить значительное количество параметров своего компьютера, установить ограничения пользователей, запретить запускать или устанавливать программы, включить или отключить функции ОС и многое другое.
Отмечу, что редактор локальной групповой политики недоступен в Windows 7 Домашняя и Windows 8 (8.1) SL, которые предустановлены на многие компьютеры и ноутбуки (однако, можно установить Редактор локальной групповой политики и в домашней версии Windows). Вам потребуется версия начиная с Профессиональной.
Дополнительно на тему администрирования Windows
Как запустить редактор локальной групповой политики
Первый и один из самых быстрых способов запуска редактора локальной групповой политики — нажать клавиши Win + R на клавиатуре и ввести gpedit.msc — этот способ будет работать в Windows 8.1 и в Windows 7.
Также можно воспользоваться поиском — на начальном экране Windows 8 или в меню пуск, если вы используете предыдущую версию ОС.
Где и что находится в редакторе
Интерфейс редактора локальной групповой политики напоминает другие инструменты администрирования — та же структура папок в левой панели и основная часть программы, в которой можно получить информацию по выбранному разделу.
Слева настройки разделены на две части: Конфигурация компьютера (те параметры, которые задаются для системы в целом, вне зависимости от того, под каким пользователем был совершен вход) и Конфигурация пользователя (настройки, относящиеся к конкретным пользователям ОС).
Каждая из этих частей содержит следующие три раздела:
- Конфигурация программ — параметры, касающиеся приложений на компьютере.
- Конфигурация Windows — настройки системы и безопасности, другие параметры Windows.
- Административные шаблоны — содержит конфигурацию из реестра Windows, то есть эти же параметры вы можете изменить с помощью редактора реестра, но использование редактора локальной групповой политики может быть более удобным.
Примеры использования
Перейдем к использованию редактора локальной групповой политики. Я покажу несколько примеров, которые позволят увидеть, как именно производятся настройки.
Разрешение и запрет запуска программ
Если вы пройдете в раздел Конфигурация пользователя — Административные шаблоны — Система, то там вы обнаружите следующие интересные пункты:
- Запретить доступ к средствам редактирования реестра
- Запретить использование командной строки
- Не запускать указанные приложения Windows
- Выполнять только указанные приложения Windows
Два последних параметра могут быть полезными даже обычному пользователю, далекому от системного администрирования. Кликните дважды по одному из них.
В появившемся окне установите «Включено» и нажмите по кнопке «Показать» около надписи «Список запрещенных приложений» или «Список разрешенных приложений», в зависимости от того, какой из параметров меняется.
Укажите в строчках имена исполняемых файлов программ, запуск которых нужно разрешить или запретить и примените настройки. Теперь, при запуске программы, которая не разрешена, пользователь будет видеть следующее сообщение об ошибке «Операция отменена из-за ограничений, действующих на этом компьютере».
Изменение параметров контроля учетных записей UAC
В разделе Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности имеется несколько полезных настроек, одну из которых можно и рассмотреть.
Выберите параметр «Контроль учетных записей: поведение запроса на повышение прав для администратора» и дважды кликните по нему. Откроется окно с параметрами этой опции, где по умолчанию стоит «Запрос согласия для исполняемых файлов не из Windows» (Как раз поэтому, всякий раз, при запуске программы, которая хочет изменить что-то на компьютере, у вас запрашивают согласие).
Вы можете вообще убрать подобные запросы, выбрав параметр «Повышение без запроса» (только этого лучше не делать, это опасно) или же, напротив, установить параметр «Запрос учетных данных на безопасном рабочем столе». В этом случае, при запуске программы, которая может внести изменения в системе (а также для установки программ) каждый раз потребуется вводить пароль учетной записи.
Сценарии загрузки, входа в систему и завершения работы
Еще одна вещь, которая может оказать полезной — скрипты загрузки и выключения, которые вы можете заставить выполняться с помощью редактора локальной групповой политики.
Это может пригодиться, например, для запуска раздачи Wi-Fi с ноутбука при включении компьютера (если вы реализовывали ее без сторонних программ, а создав Wi-Fi сеть Ad-Hoc) или выполнения операций резервного копирования при выключении компьютера.
В качестве скриптов можно использовать командные файлы .bat или же файлы сценариев PowerShell.
Сценарии загрузки и выключения находятся в Конфигурация компьютера — Конфигурация Windows — Сценарии.
Сценарии входа в систему и выхода — в аналогичном разделе в папке «Конфигурация пользователя».
Например, мне нужно создать сценарий, выполняемый при загрузке: я дважды кликаю по «Автозагрузка» в сценариях конфигурации компьютера, нажимаю «Добавить» и указываю имя файла .bat, который следует выполнить. Сам файл должен находится в папке C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup (этот путь можно увидеть по нажатию кнопки «Показать файлы»).
В случае, если сценарий требует ввода каких-то данных пользователем, то на время его исполнения дальнейшая загрузка Windows будет приостановлена, до завершения работы скрипта.
В заключение
Это лишь несколько простых примеров использования редактора локальной групповой политики, для того, чтобы показать, что такое вообще присутствует на вашем компьютере. Если вдруг захочется разобраться подробнее — в сети есть масса документации на тему.
А вдруг и это будет интересно:
Обзор групповой политики| Документы Microsoft
- 3 минуты на чтение
В этой статье
Применимо к: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
Используйте этот раздел, чтобы найти ресурсы документации и другую техническую информацию, необходимую для выполнения основных задач групповой политики. Вы можете узнать о новых и обновленных функциях групповой политики в Windows Server 2012 R2 и Windows 8.1и способы автоматизации общих задач групповой политики с помощью Windows PowerShell.
Возможно, вы имели в виду…
Описание функции
Групповая политика — это инфраструктура, которая позволяет вам определять управляемые конфигурации для пользователей и компьютеров с помощью параметров групповой политики и предпочтений групповой политики. Чтобы настроить параметры групповой политики, которые влияют только на локальный компьютер или пользователя, вы можете использовать редактор локальной групповой политики. Вы можете управлять параметрами групповой политики и предпочтениями групповой политики в среде доменных служб Active Directory (AD DS) через консоль управления групповой политикой (GPMC).Инструменты управления групповой политикой также включены в пакет средств удаленного администрирования сервера, чтобы вы могли управлять параметрами групповой политики с рабочего стола.
Windows PowerShell При установке консоли управления групповыми политиками на серверах или клиентских компьютерах также устанавливается модуль Windows PowerShell. У вас есть полная функциональность Windows PowerShell. Если вы устанавливаете пакет средств удаленного администрирования сервера, также устанавливаются последние командлеты Windows PowerShell для групповой политики.Дополнительные сведения о командлетах и сценариях Windows PowerShell, которые можно использовать для управления групповой политикой, см. В разделе Командлеты групповой политики.
Вы можете настроить функцию групповой политики с помощью командлетов Windows PowerShell. Дополнительные сведения об использовании командлетов диспетчера сервера для установки консоли управления групповой политикой см. В разделе Установка или удаление ролей, служб ролей или компонентов и модуля командлета развертывания диспетчера сервера.
Практическое применение
Используя групповую политику, вы можете значительно снизить совокупную стоимость владения вашей организации.Различные факторы, такие как большое количество доступных параметров политики, взаимодействие между несколькими политиками и параметры наследования, могут усложнить разработку групповой политики. Тщательно планируя, проектируя, тестируя и развертывая решение на основе бизнес-требований вашей организации, вы можете обеспечить стандартизированные функциональные возможности, безопасность и управление, необходимые вашей организации.
Вот несколько сценариев Windows Server 2012, в которых для реализации решения используется групповая политика:
Новый и измененный функционал
Дизайн групповой политикиможет быть очень сложным.Различные факторы, такие как большое количество доступных параметров политики и предпочтений, взаимодействие между несколькими политиками и параметры наследования, могут затруднить определение правильности работы групповой политики на каждом компьютере.
В Windows Server 2012 групповая политика была сосредоточена на улучшении устранения неполадок групповой политики. Windows Server 2012 R2 расширяет поддержку сетей IPv6, добавляет кэширование политик для сокращения времени входа в систему в синхронном режиме и обеспечивает более подробную регистрацию событий.Дополнительные сведения об этих изменениях и дополнительную информацию о дополнительных изменениях в функциональности, которые здесь не перечислены, см. В разделах «Что нового в групповой политике в Windows Server 2012 [перенаправлено]» и «Что нового в групповой политике в Windows Server».
См. Также
Административные шаблоны групповой политики
Переключить навигацию Главная страница групповой политики- Поиск
Microsoft
Помощник по подключению DirectAccess Отключить сжатие SMB Microsoft Edge для бизнеса Набор инструментов Edge Chromium Blocker Расширенный набор инструментов для смягчения последствий Forefront Endpoint Protection 2010 Forefront Identity Manager 2010 R2 Расширения на стороне клиента предпочтений групповой политики Диспетчер гибридных подключений Azure Скрыть указанные диски Internet Explorer Групповая политика IPv6 Установите тип узла NetBIOS (KB160177) Служба управления ключами Решение для пароля локального администратора (LAPS) Административные шаблоны групповой политики Microsoft Desktop Optimization Pack NetBanner Microsoft Office 2007 Microsoft Office 2010 Microsoft Office 2013 Microsoft Office 365 профессиональный плюс, Office 2019, Office 2016 Клиент синхронизации нового поколения OneDrive для бизнеса Записная книжка OneNote для занятий Windows Small Business Server System Center Configuration Manager Безопасный канал System Center Operations Manager / агент мониторинга Microsoft System Center Operations Manager — безагентный мониторинг исключений System Center Operations Manager — настройка сервера управления Набор средств обеспечения безопасности Microsoft Базовый уровень безопасности Windows Silverlight System Center Endpoint Protection Консоль администратора Virtual Machine Manager Пакет групповой политики телеметрии Windows 10 Windows 7 и Windows Server 2008 R2 Windows 8.1 и Windows Server 2012 R2 Windows 10 и Windows Server 2016 Справка для Windows (WinHlp32.exe)Citrix
Индикатор качества подключения Файлы Citrix Citrix Workspace Служба федеративной аутентификации (FAS) Citrix Receiver Citrix ShareFile Citrix XenApp и XenDesktop Citrix ShareFile Drive Mapper Управление рабочей средойLenovo
Подключения Lenovo ThinkVantage Access Lenovo AutoLock Lenovo Power Manager Lenovo Privacy Guard Настройки Lenovo для предприятияVMware
VMware Dynamic Environment Manager VMware ThinApp Enterprise VMware Horizon 6 Просмотр служб RDSH VMware Horizon 7 Enterprise VMware User Environment Manager (UEM) FlexEngineCjwdev
Сброс учетной записи Active DirectoryЧто такое UAC и как его настроить в вашем домене?
Привет,
Сегодня я собираюсь поговорить о UAC (Контроль учетных записей пользователей), дать вам краткое объяснение того, что это такое, и показать вам необходимые шаги для правильной настройки UAC.
UAC позволяет нам защищать наши компьютеры, предотвращая запуск вредоносного программного обеспечения пользователями, и не дает пользователям запускать на своих компьютерах какие-либо нерелевантные установки.
Используя UAC, мы полностью блокируем любые потенциальные вредоносные программы, запускаемые на компьютере.
При попытке установить / удалить или даже запустить какой-либо исполняемый файл, есть некоторые приложения, которым необходимо выполнить запись в места или разделы реестра, которые обычные пользователи не могут. Как только исполняемый файл попытается записать в эти места, появится UAC.если вы являетесь участником локального администратора и UAC включен на втором уровне [это по умолчанию на компьютере с Windows], вы не получите никаких уведомлений.
Если установлен первый уровень, вам всегда будут предлагаться какие-либо изменения, даже если вы являетесь администратором.
Третий уровень UAC будет уведомлять вас только тогда, когда приложение пытается внести изменения в системные папки или в реестр, и не будет затемнять рабочий стол. Затемнение рабочего стола — это «Безопасный рабочий стол» от Microsoft, который не позволит ничему запускаться, пока не будет подтверждено приглашение UAC.
Четвертый уровень не уведомит вас вообще, если какое-либо приложение попытается внести изменения в ваш компьютер.Это обходит любые меры безопасности и по этой причине не рекомендуется.
Какую бы метку вы ни выбрали на ползунке, если вы не являетесь администратором, вам будет предложено ввести учетные данные администратора для запуска процесса.
После того, как вы установили приложение, и оно предложит вам ввести свои административные учетные данные, запустите его, это потому, что приложение не было разработано для поддержки UAC. UAC Aware — это метод разработки, при котором приложение не запрашивает повышение прав с использованием привилегий своего родительского процесса.Для получения дополнительной информации о приложениях с поддержкой UAC вы можете посетить этот сайт:
https://www.codeproject.com/Articles/17968/Making-Your-Application-UAC-Aware
Как вы можете проверить свой статус UAC ?
Сначала откройте CMD и выполните следующий запрос: [Этот запрос может выполнить любой]
REG QUERY HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ / v EnableLUA
0x1 означает, что UAC включен, 0x0 означает отключение UAC.
Виртуализация UAC помогает нам предотвратить запись приложений в защищенные системные местоположения, перенаправляя действия записи в местоположение, на которое пользователь имеет разрешение в своем профиле. Чтобы увидеть, какие приложения используют виртуализацию UAC, вам нужно добавить столбец виртуализации UAC в диспетчере задач. Щелкните правой кнопкой мыши одно из названий столбцов заголовков и нажмите Выбрать столбец, отметьте виртуализацию UAC и нажмите OK
Хорошо, давайте немного поговорим о GPO:
Предложения по настройке GPO
- Нет локального администраторы, за исключением администраторов домена и ИТ-поддержки.Создайте новую группу безопасности, добавьте любых ИТ-членов, а затем разверните группу с помощью GPO, чтобы она была локальным администратором на ваших клиентах.
- Чтобы удалить всех пользователей с локальными администраторами со своих компьютеров, прочтите эту статью:
https://pelegit.co.il/manage-local-account-users-powershell/
3. Примените GPO к группа безопасности, содержащая ваши компьютеры, которые должны получить эту политику. Не применяйте это к аутентифицированному пользователю , проще управлять группой компьютеров, к которым вы хотите применить GPO, чем добавлять исключения для тех, которые вы не хотите применять.
Политика для настройки:
Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Локальные политики / параметры безопасности> Учетная запись пользователя> Контроль> Настройка политики
Контроль учетных записей пользователей: режим утверждения администратором для встроенной учетной записи администратора включен
Контроль учетных записей пользователей: Разрешить приложениям UIAccess запрашивать повышение прав без использования защищенного рабочего стола Включено
Контроль учетных записей пользователей: Поведение запроса на повышение прав для администраторов в режиме утверждения администратором Запрос на согласие
Контроль учетных записей пользователей: Поведение запроса на повышение прав для стандартных пользователей Запрос учетных данных
Контроль учетных записей пользователей: обнаружение установок приложений и запрос на повышение прав Включено
Контроль учетных записей пользователей: повышают только исполняемые файлы, которые подписаны и проверены Отключено
Учетная запись пользователя Контроль: только повышать UIAc cess приложения, которые установлены в безопасных местах Отключено
Контроль учетных записей пользователей: запуск всех администраторов в режиме утверждения администратором Включено
Контроль учетных записей пользователей: переключение на безопасный рабочий стол при запросе повышения прав Отключено
Контроль учетных записей пользователей : Виртуализация ошибок записи файлов и реестра для отдельных пользователей Включено
Если в вашей организации есть отдел, который не должен иметь повышенных прав UAC (например,g Research and Deployment), убедитесь, что они являются локальными администраторами своего компьютера, а затем вы можете применить GPO, который будет применяться только к их компьютерам. Убедитесь, что при создании объекта групповой политики вы применяете его к группе безопасности компьютеров и не применяете его к аутентифицированным пользователям.
Контроль учетных записей пользователей: режим утверждения администратором для встроенной учетной записи администратора Отключено
Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме утверждения администратором Повышение без запроса
Контроль учетных записей пользователей: поведение запроса на повышение прав для стандартных пользователей Запрашивать учетные данные
Контроль учетных записей пользователей: обнаруживать установки приложений и запрашивать повышение прав Отключено
Контроль учетных записей пользователей: повышать только исполняемые файлы, которые подписаны и проверены Отключено
Контроль учетных записей пользователей : Повышать права только для приложений UIAccess, установленных в безопасных местах Отключено
Контроль учетных записей пользователей: Запуск всех администраторов в режиме утверждения администратором Отключено
Контроль учетных записей пользователей: переключение на безопасный рабочий стол при запросе на повышение прав Отключено
- Еще одно предложение, с моей точки зрения, заключается в том, что если вы системный администратор, работайте с двумя учетными записями, одна для рутинной работы (вход в компьютеры), вторая для администрирования (серверы, конфигурации и так далее, да, я знаю, неудобно работать с двумя учетными записями, но поверьте мне, когда вы получите программу-вымогатель, разочарование будет еще больше)
Страница не найдена
ДокументыМоя библиотека
раз- Моя библиотека