Разное

Group local policy editor: Local Group Policy Editor | Microsoft Docs

Содержание

Десять советов по настройке Windows 7 с помощью Редактора локальной групповой политики

В Windows 7 существует чрезвычайно полезный и исключительно надежно запрятанный инструмент — Редактор локальной групповой политики (Local Group Policy Editor). Желание Microsoft похоронить его в глубине системы совершенно не удивительно — в руках неопытного пользователя Редактор локальной групповой политики может нарушить нормальное функционирование ОС. Это своего рода электронный ящик Пандоры, способный ввергнуть мир Windows в череду несчастий и бед, попади он не в те руки.

Разумеется, эти мрачные пророчества не имеют к вам, дорогие читатели, никакого отношения. Ведь вы — осторожные и внимательные пользователи системных инструментов, и конечно же, не забудете создать точку восстановления системы, прежде чем браться за редактирование локальных групповых политик. Я не сомневаюсь, что на вас можно положиться.

Если коротко, групповые политики — это параметры, управляющие функционированием системы.

Их можно использовать для настройки интерфейса Windows 7, ограничения доступа к определенным зонам, определения параметров безопасности и так далее. Изменять групповые политики можно с помощью Редактора локальной групповой политики — оснастки Консоли управления компьютером Microsoft (Microsoft Management Console). В версиях Windows 7 Home и Windows 7 Home Premium Редактор недоступен, поэтому по каждому пункту я буду также давать рекомендации о том, как добиться желаемого результата с помощью Редактора реестра (Regedit). Чтобы запустить Редактор локальной групповой политики:

1. Нажмите кнопку «Пуск» (Start).
2. Введите «gpedit.msc» в строке поиска.
3. Нажмите [Enter].

На рис. A показано окно Редактора локальной групповой политики. Слово «локальной» указывает на то, что редактируются групповые политики на локальном компьютере, а не на удаленном.


Рисунок A. Использование Редактора локальной групповой политики для изменения групповой политики на локальном компьютере.

1. Запрет на отключение запросов на подтверждение удаления

При удалении файлов или папок в Windows 7 всегда появляется диалоговое окно с предложением подтвердить удаление. Если это вас напрягает, подтверждения можно отключить, нажав правой кнопкой мыши на значке Корзины (Recycle Bin) и сняв флажок «Запрашивать подтверждение на удаление» (Display Delete Confirmation Dialog) в диалоговом окне «Свойства» (Properties).

С другой стороны, система по умолчанию запрашивает подтверждение на удаление не просто так, а для того, чтобы пользователь случайно не удалил нужные файлы. Мы с вами — люди опытные и хорошо понимаем, что можно удалять, а что нет. Но ведь не все такие. Если компьютером пользуются маленькие дети или пожилые родители, плохо знакомые с системой, запрос подтверждения на удаление — прекрасная защита от случайных ошибок неопытных пользователей.

В этом случае имеет смысл сделать так, чтобы рядовые пользователи не имели возможности самостоятельно отключать запросы на подтверждение удаления. Это возможно двумя способами:

• либо путем блокирования флажка «Запрашивать подтверждение на удаление» в диалоговом окне свойств Корзины;
• либо путем блокирования самого диалогового окна «Свойства», чтобы пользователь не имел к нему доступа.

Чтобы воспользоваться одним из этих способов:

1. В окне Редактора локальной групповой политики разверните узел «Конфигурация пользователя» (User Configuration).
2. Разверните элемент «Административные шаблоны» (Administrative Templates).
3. Вызовите окно свойств интересующей вас политики.

• Если хотите заблокировать флажок «Запрашивать подтверждение на удаление» в окне свойств, разверните элемент «Компоненты Windows» (Windows Components) и выберите пункт «Проводник Windows» (Windows Explorer). Дважды щелкните на политике «Запрашивать подтверждение при удалении файлов» (Display Confirmation Dialog When Deleting Files).

Если у вас нет доступа к Редактору локальной групповой политики, откройте Редактор реестра и создайте параметр DWORD с именем «ConfirmFileDelete» (без кавычек) и значением «1» (без кавычек) в разделе «HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer».

• Чтобы сделать недоступной команду «Свойства» в контекстном меню Корзины, выберите пункт «Рабочий стол» (Desktop) и дважды щелкните на политике «Убрать пункт «Свойства» из контекстного меню Корзины» (Remove Properties From The Recycle Bin Context Menu).
Если у вас нет доступа к Редактору локальной групповой политики, откройте Редактор реестра и создайте параметр DWORD с именем «NoPropertiesRecycleBin» (без кавычек) и значением «1» (без кавычек) в разделе «HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer».

4. Выберите значение «Включен» (Enabled).
5. Нажмите «OK», чтобы применить изменения.

2. Отключение области уведомлений

Если вы не пользуетесь областью уведомлений, ее можно полностью отключить. Для этого:

1. В окне Редактора локальной групповой политики разверните узел «Конфигурация пользователя».
2. Разверните элемент «Административные шаблоны».
3. Разверните элемент «Меню «Пуск» и панель задач» (Start Menu And Taskbar).
4. Дважды щелкните на политике «Скрывать область уведомлений» (Hide The Notification Area), выберите значение «Включено» и нажмите «OK».
5. Дважды щелкните на политике «Убрать часы из области уведомлений» (Remove Clock From The System Notification Area), выберите значение «Включено» и нажмите «OK».

6. Выйдите из системы и снова войдите, чтобы изменения вступили в силу.

Чтобы реализовать эту политику через реестр, нажмите кнопку «Пуск», введите в строке поиска «regedit», нажмите [Enter] и подтвердите продолжение операции в окне Контроля учетных записей пользователей (User Account Control, UAC). Откроется Редактор реестра. Найдите в нем раздел «HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer». Если раздел «Explorer» отсутствует, выделите раздел «Policies», выберите пункт меню «Правка | Создать | Раздел» (Edit | New | Key), введите «Explorer» (без кавычек) и нажмите [Enter].

Теперь выполните следующие действия:
1. Выберите пункт меню «Правка | Создать | Параметр DWORD (32 бита)» (Edit | New | DWORD (32-bit) Value).
2. Введите «NoTrayItemsDisplay» (без кавычек) и нажмите [Enter].
3. Нажмите [Enter], чтобы вызвать окно свойств «NoTrayItemsDisplay», введите «1» (без кавычек) и нажмите «OK».

4. Выберите пункт меню «Правка | Создать | Параметр DWORD (32 бита)».
5. Введите «HideClock» (без кавычек) и нажмите [Enter].
6. Нажмите [Enter], чтобы вызвать окно свойств «HideClock», введите «1» (без кавычек) и нажмите «OK».
7. Выйдите из системы и снова войдите, чтобы изменения вступили в силу.



Оцените статью: Голосов 8

Распространение программ в сети с помощью Group Policy

Доброго времени, уважаемые читатели блога! В данном посте буду собирать ссылки на софт, который удалось заставить устанавливаться или обновляться через GPO Active Directory. Админ, однако, очень не любит ручной труд, который можно автоматизировать, особенно если он однообразен и нуден…

Очень часто выходят обновления для таких компонентов, как Adobe Flash, которые являются потенциальной дырой в браузерах пользователей.

Заставить устанавливать такой компонент — пользователя равносильно тому, что совсем его не обновлять. К тому же, необходимы права администратора для данного действия, а пользователь работающий под админом в сети предприятия — это зло, которое так и пытается положить вашу сеть при очередной посещении зловредных ресурсов. И Adobe Flash — это не единственный пример. Посему мы упростим работу себе и обеспечим актуальное состояние софта на рабочих станциях в сети.

Кратко расскажу о установке программ средствами групповых политик Active Directory, назначение пакетов MSI компьютерам (assigning to computer) (взято отсюда):

Задание:

  • скопируйте к себе на компьютер файл Microsoft Installer (MSI) программного обеспечения Wininstaller. Поместите этот файл в каталог C:\Distrib на своем компьютере и расшарьте его как \\имя_вашего_компьютера\Distrib$;
  • создайте групповую политику WinInstaller
    , которая бы устанавливала программное обеспечение Wininstaller на все компьютеры вашего домена в режиме назначения для компьютера и произведите установку при помощи этой групповой политики на свой компьютер.

Решение:

  1. После создания общего каталога и копирования откройте Group Policy Management Console, щелкните правой кнопкой мыши по узлу вашего домена и в контекстном меню выберите Create and Link a GPO here. Присвойте создаваемое групповой политике название Wininstaller.
  2. Щелкните правой кнопкой мыши по объекту созданной групповой политики и в контекстном меню выберите Edit. В окне Group Policy Object Editor раскройте узел Computer Configuration -> Software Settings -> Software installation
    , щелкните правой кнопкой мыши по узлу Software Installation и в контекстном меню выберите New -> Package.
  3. В окне Open введите путь к пакету MSI: \\имя_вашего_компьютера\Distrib$\SWIADMLE.MSI и нажмите Open.
  4. В окне Deploy Software установите переключатель в положение Advanced и нажмите OK.
  5. В окне WinInstall Properties просмотрите все вкладки и нажмите OK. Закройте окна Group Policy Object Editor и Group Policy Management Console с сохранением внесенных изменений и перезагрузите компьютер. В процессе запуска обратите внимание на строку Installing Managed Software WinInstall, которая появится после строки Applying Computer Settings.
  6. После окончания перезагрузки обратите внимание, что в меню Programs появилась новая группа программ.

Если есть желание углубиться в познание AD и GPO, можно ознакомиться с курсом: http://www.intuit.ru/department/os/sysadmswin/, или http://www.intuit.ru/goto/course/netmsserver2003/

Ну что ж, начнем с добычу пакетов MSI:

7-Zip — http://www.7-zip.org/download.html (так же, для пользователя применил скрипт Ассоциации файлов и локализация 7-zip)
Adobe Flash Player — http://www.adobe.com/products/flashplayer/fp_distribution3.html (по ссылке и Flash Plugin и ActiveX)
Adobe Reader — https://acrobat. adobe.com/ru/ru/acrobat/pdf-reader/volume-distribution.html (необходимо оформить бесплатную лицензию)
ftp://ftp.adobe.com/pub/adobe/reader/win/AcrobatDC/1902120058/
(обновления версий в подкаталогах) наложение обновлений Reader:

> mkdir C:\Temp\AdobeReader
> cd C:\Temp\AdobeReader
> msiexec /a AdbeRdr1000_ru_RU.msi TARGETDIR=c:\Temp\AdobeReader\Updated
> msiexec /a c:\Temp\Adobe\Updated\AdbeRdr1000_ru_RU.msi /p C:\Temp\AdobeReader\AdbeRdrUpd1001_Tier4.msp

Google Chrome — https://www.google.com/intl/en/chrome/business/
JAVA
— http://www.java.com/ru/download/ (после распаковки инсталлера, msi в C:\Users\<User>\AppData\LocalLow\Sun\, инструкшн: http://www.java.com/ru/download/help/msi_install.xml)
Mozilla Firefox — http://frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
Notepad++ — https://www.hass.de/content/notepad-msi-package-enterprise-deployment-available
OpenOffice — http://www. i-rs.ru/download или http://ru.openoffice.org/ (после распаковки установщика — готовый MSI)
Примечание, возможна ошибка установки OpenOffice на Windows 7.  
Opera — http://ftp.opera.com/pub/opera/win/ (в каталоге _версия_/autoupdate лежит MSI)
Paint.NET — exe берем отсюда: http://paintnet.ru/download/, MSI создаем по инструкции: http://paint-dot-net.narod.ru/help_ru/p5_Install.htm:

> mkdir C:\Temp\PaintNET
> cd C:\Temp\PaintNET
> C:\Temp\PaintNET\PaintNET.exe /createMsi CHECKFORUPDATES=0
> забираем готовые MSI с рабочего стола

ДубльГИС — http://krasnodar.2gis.ru/how-get/download/ (мануал http://help.2gis.ru/pc/full/install/corporative/)

Upd 2011.07.01: добавил Opera
Upd 2012.02.23: добавил Chrome
Upd 2018.07.24: добавил Notepad++

С Уважением, Mc. Sim!


Другие материалы в категории Group Policy
Теги: Active Directory, Group Policy, Microsoft Windows, MSI, установка

Азбука групповых политик | Windows IT Pro/RE

Настраиваете вы десять серверов Windows или настольных компьютеров или десять тысяч, знайте, что групповая политика предлагает неоценимую помощь в решении этой задачи. Но многие, вероятно, слышали ужасные истории о сложностях групповых политик, когда системный администратор вносил изменения, не понимая их последствий, и в результате не упрощал себе жизнь, а совсем наоборот. Например, изменив разрешения Logon Locally в объекте групповой политики Group Policy Object (GPO) для удаления ненужных групп, вы можете обнаружить, что сделали это в GPO, который применяется ко всем компьютерам в домене, и теперь никто не может зарегистрироваться. Я могу рассказать, как это произошло.

Подобные проблемы весьма распространены. Но вы можете убедиться, что групповая политика соответствует своему потенциалу, оперируя несколькими основными концепциями: как применяются GPO, как работают разрешения и фильтры, в чем разница между политиками и предпочтениями и что в первую очередь следует предпринять для выявления проблем.

Понимание работы групповой политики

Разобраться в том, как клиентская система работает с GPO, важно для того, чтобы гарантировать, что все происходит согласно плану. Давайте для начала поймем, что, несмотря на присутствие в названии функции слова «групповые», политики применяются только для компьютера и пользователя. Поэтому когда вы назначаете Group Policy Object (GPO) объекту Active Directory (AD), компьютерная часть GPO применяется только для объектов компьютера в AD, а пользовательская часть применяется только для пользовательских объектов. Можно использовать группы безопасности, чтобы выявить с помощью фильтра, какие пользователи и компьютеры связаны с данным GPO, однако нельзя нацелить GPO на определенные группы безопасности.

Следуйте правилу: всякий раз, когда вы привязываете GPO к объекту, домену или организационному подразделению (OU) в Active Directory, убедитесь, что пользователь или компьютер, с которым вы хотите, чтобы он был связан, находится в ну

Что это такое и как им пользоваться

Если вы копались в технических аспектах Windows или слышали болтовню из своего ИТ-отдела, возможно, вы слышали о групповой политике. Но если вы не работали в ИТ, вы, вероятно, никогда не использовали его.

Давайте посмотрим на этот важный компонент Windows. Мы исследуем, что такое групповая политика, почему она важна и как вы можете ее изучить.

Что такое групповая политика?

Вы можете быть удивлены некоторыми из доступных опций в групповой политике. Некоторые из них кажутся почти глупыми, но они действительно позволяют точно настроить управление Windows в любой ситуации. Мы рассмотрели лучшую групповую политику для улучшения вашего ПК.

Некоторые из более глубоких примеров:

  • Запретить чтение и / или запись на компакт-диски или другие съемные диски
  • Удалить весь доступ к Центру обновления Windows
  • Удалите всевозможные параметры из проводника
  • Запретить добавление или удаление принтеров
  • Скрыть часы и другие элементы панели задач

Что такое консоль управления групповой политикой?