Связывание объекта групповой политики с доменом (Windows)
Twitter LinkedIn Facebook Адрес электронной почты
- Статья
- Чтение занимает 2 мин
-
- Применяется к:
- ✅ Windows 10, ✅ Windows 11, ✅ Windows Server 2016, ✅ Windows Server 2019, ✅ Windows Server 2022
После создания объекта групповой политики и настройки его с помощью фильтров группы безопасности и фильтров WMI необходимо связать объект групповой политики с контейнером в Active Directory, который содержит все целевые устройства.
Если фильтры полностью управляют приложением объекта групповой политики только к правильным устройствам, можно связать объект групповой политики с контейнером домена. Кроме того, можно связать объект групповой политики с контейнером сайта или подразделением, если вы хотите ограничить применение объекта групповой политики этим подмножеством устройств.
Учетные данные администратора
Для выполнения этой процедуры необходимо быть членом группы администраторов домена или иным образом делегировать разрешения на изменение объектов групповой политики.
Связывание объекта групповой политики с контейнером домена в Active Directory
Откройте консоль управления групповая политика.
В области навигации разверните узел Forest:YourForestName, домены, а затем — YourDomainName.
Щелкните правой кнопкой мыши элемент YourDomainName и выберите связать существующий объект групповой политики.
В диалоговом окне Выбор объекта групповой политики выберите объект групповой политики, который требуется развернуть, и нажмите кнопку ОК.
Объект групповой политики отображается на вкладке Связанные объекты групповая политика
Вы можете настроить порядок связанных объектов групповой политики, чтобы обеспечить обработку объектов групповой политики с более высоким приоритетом в последнюю очередь. Выберите объект групповой политики и щелкните стрелки вверх или вниз, чтобы переместить его. Объекты групповой политики обрабатываются клиентским устройством от самого большого номера заказа ссылки до самого низкого.
Статьи о Групповые политики. Грамотная настройка и решение проблем
Облако на Openstack
Готовые облачные серверы от 0,53 ₽/час
Низкая стоимость, почасовая оплата
‘;
break;
case 1:
document.
getElementById(«banner_registrator»).innerHTML = ‘
Облачные VPS от 0.5 ₽/час
- ISO + готовые ОС и приложения
- Django, Docker, LAMP, LEMP, Node.JS
- Масштабирование на лету и SnapShot
‘; break; }
WinITPro.ru / PowerShell Windows 10 Windows Server 2019 Групповые политики
23.11.2022
В журналах событий Windows хранится полезная информация, которая нужна при анализе состояния служб и приложений в Windows, отладки ошибок и аварийный ситуаций, аудите различных событий безопасности. По умолчанию для журналов Event Viewer в Windows заданы максимальные размеры, при достижении которых новые…
Читать далее…
23.11.2022
В некоторых случаях администратору нужно определить какой процесс (программа) или пользователь изменил NTFS права доступа на папку или файл на файловом сервере Windows.
Читать далее…
15.11.2022
Групповые политики Active Directory позволяют централизованно применять одинаковые настройки ко множеству компьютеров и/или пользователей домена и существенно упрощают управление конфигурацией в доменной среде. Консоль Group Policy Management Console (GPMC.msc) – это основной инструмент для управления групповыми политиками (Group Policy Object, GPO)…
Читать далее…
29.08.2022
Довольно частая проблема, с которой сталкиваются администраторы терминальных (RDS) ферм Windows Server – нехватка места на системном диске, вызванная большим размером пользовательских данных. В этой статье мы покажем, как настроить автоматическую очистку корзины, папки Загрузки (Downloads), временных папок Temp и папок…
Читать далее…
27.
06.2022
Режим совместимости с Internet Explorer в браузере Edge (IE Mode) позволяет пользователям просматривать старые вебсайты так, как будто они открыты в классическом IE 11. В основном эта функция будет полезна для пользователей корпоративных сетей с устаревшими веб-сайтами (порталами), которые разрабатывались и…
Читать далее…
19.05.2022
С помощью перенаправления папок (Folder Redirection) вы можете хранить некоторые стандартные каталоги профиля пользователя (специальные папки, типа Desktop, Documents, Pictures, Downloads) в сетевой папке на файловом сервере. Перенаправленные папки работают примерно также как подключенные сетевые диски (информация читается и записывается непосредственно…
Читать далее…
11.05.2022
Вы можете использовать групповые политики для распространения запланированных заданий планировщика Windows (Task Scheduler) на компьютерах пользователей домена.
Например, вы можете создать задание, которое автоматически завершит сессию пользователя/выключит компьютер пользователя в определенное время, или запустит определенный скрипт….
Читать далее…
04.04.2022
В этой статье мы рассмотрим, как с помощью политик аудита Windows можно узнать какие программы запускались на компьютере. Довольно часто от администратора требуют предоставить информацию о том, какие приложения запускает пользователь, когда он запускал приложение в последний раз и т.д. Эту…
Читать далее…
02.03.2022
В этой статье мы рассмотрим, как отключить поддержку устаревших версий протокола Transport Layer Security в Windows с помощью групповых политик. Версии протокола TLS 1.0 и 1.1 считаются устаревшими и небезопасными. Если вы мигрировали все ваши сервисы на TLS 1.2 или TLS…
Читать далее…
08.02.2022
На одном из компьютеров перестали применяться новые параметры групповых политик.
Для диагностики я вручную обновил параметров GPO с помощью команды gpupdate /force и увидел такую ошибку в консоли:…
Читать далее…
07.12.2021
Функцию оптимизации доставки (Windows Update Delivery Optimization, WUDO) в Windows 10 можно использовать для более эффективного распространения обновлений Windows (полученных через Windows Update или WSUS), и пакетов Configuration Manager в корпоративной сети с множеством сайтов/филиалов. Благодаря использованию Delivery Optimization вы можете…
Читать далее…
08.11.2021
Логон (логоф) скрипты групповых политик позволяют запустить bat или PowerShell скрипт при загрузке компьютера или входе (выходе) пользователя. В некоторых случаях администратору нужно, чтобы определенный скрипт (команда) запускались для каждого пользователя или компьютера только один раз, и не отрабатывал при следующих…
Читать далее…
Управление объектами групповой политики в Active Directory
Что вы узнаете: Управление сетью Active Directory (AD) может стать немного громоздким, когда количество ресурсов в сети станет больше.
Существует множество вещей, которые необходимо контролировать, таких как разрешения безопасности, установка программного обеспечения, настройки рабочего стола для пользователей и компьютеров, права администратора и многое другое. Здесь в игру вступают групповые политики и объекты групповой политики. В этой статье мы рассмотрим, что такое объекты групповой политики (GPO) AD, каковы их типы и как вы можете реализовать групповые политики с помощью GPO.
Групповые политики AD — это важные части инструкций в среде AD, которые может настраивать ИТ-администратор. Групповые политики AD будут определять поведение и привилегии для пользователей и компьютеров. Групповые политики — это прежде всего решение для обеспечения безопасности сети AD. Администраторы могут настраивать эти параметры, а затем применять наборы этих параметров на сайтах, доменах или организационных единицах, содержащих пользователей и компьютеры.
Несколько параметров групповой политики объединены в набор, называемый объектом групповой политики (GPO). После того как администратор настроит групповые политики в объекте групповой политики по мере необходимости, он сможет связать объект групповой политики с объектами-контейнерами. После этого объекты в рассматриваемых контейнерах будут действовать в рамках границ и правил, установленных политиками в назначенном объекте групповой политики. Объекты групповой политики можно создавать и управлять ими с помощью консоли управления групповыми политиками (GPMC).
GPO хранит информацию о своей конфигурации в двух местах:
1. Контейнер групповой политики (GPC)
2. Шаблон групповой политики (GPT)
GPC — это объект, который содержит такую информацию, как имя GPO, ACL, информация о версии и статус включения/отключения. Он хранится в контейнере CN=Policies, CN=System домена.
GPT хранится в виде файлов в каталоге SYSVOL на каждом контроллере домена в домене. Он содержит административные шаблоны и сценарии, связанные с объектом групповой политики. Содержимое папки SYSVOL реплицируется между всеми контроллерами домена в домене.
Теперь, когда мы поняли, что такое групповые политики и объекты групповой политики, давайте посмотрим, как мы можем создать объект групповой политики, а затем просмотреть, отредактировать и создать резервную копию объекта групповой политики.
Как создать, изменить и связать объект групповой политики в Windows Active Directory Как создать объект групповой политики в Active Directory? Объекты групповой политики можно создавать и управлять ими с помощью консоли управления групповыми политиками (GPMC).
Параметры конфигурации можно изменить с помощью консоли редактора объектов групповой политики (gpedit). Следующие шаги иллюстрируют создание объекта групповой политики:
- Откройте оснастку GPMC. Для этого перейдите в Меню «Пуск» → Администрирование → Консоль управления групповыми политиками.
- На левой панели разверните контейнер Forest , а затем контейнер домена .
- Выберите домен, для которого необходимо создать и применить параметры политики.
- Дважды щелкните домен, чтобы увидеть список подразделений и других контейнеров в домене.
- Щелкните правой кнопкой мыши на Контейнер объектов групповой политики и выберите Новый .
- Введите имя объекта групповой политики и нажмите OK .
Следующие шаги иллюстрируют, как просмотреть различные параметры, настроенные в GPO:
- Откройте оснастку GPMC. Для этого перейдите в Пуск Меню → Администрирование → Консоль управления групповыми политиками .
- Щелкните правой кнопкой мыши контейнер Объекты групповой политики и выберите объект групповой политики.
- На правой панели выберите вкладку Настройки и щелкните Показать все .
- Если параметры политики не определены для объекта групповой политики, в разделах Конфигурация компьютера и Конфигурация пользователя будет указано « Параметры не определены ».
- Чтобы настроить параметры политики для объекта групповой политики, щелкните правой кнопкой мыши в любом месте правой панели или объекта групповой политики и выберите Редактировать .
- Откроется редактор объектов групповой политики . Просмотрите настройки Конфигурация компьютера и Конфигурация пользователя и задайте их при необходимости.
Для этого перейдите в Пуск Меню → Администрирование → Консоль управления групповыми политиками .
Создание объекта групповой политики и определение параметров для этого объекта групповой политики не будут применяться к целевым пользователям и компьютерам. Чтобы применить параметры политики конфигурации в объекте групповой политики, он должен быть связан с сайтом, доменом или подразделением. Следующие шаги иллюстрируют, как связать объект групповой политики:
- Откройте оснастку GPMC. Для этого перейдите в Пуск Меню → Администрирование → Консоль управления групповыми политиками .
- На левой панели разверните контейнер Forest , а затем контейнер домена. Перейдите к целевому домену.
- Щелкните правой кнопкой мыши домен, сайт или подразделение и выберите Связать существующий объект групповой политики .
- В диалоговом окне Select GPO в разделе Объекты групповой политики выберите GPO и нажмите OK .
Теперь все параметры политики, настроенные для этого объекта групповой политики, будут применяться ко всем пользователям и компьютерам, присутствующим на сайте, в домене или подразделении, с которым связан этот объект групповой политики.
Связывание объекта групповой политики с объектом AD Как выполнить резервное копирование и восстановление объектов групповой политики в Active Directory?Резервное копирование и восстановление объектов групповой политики в Active Directory можно выполнять с помощью консоли управления групповыми политиками. Вот шаги, которые вам необходимо выполнить:
- Перейдите к Start и перейдите к Инструменты администрирования . Затем перейдите к Управление групповой политикой и щелкните по нему.
- В открывшемся окне консоли управления групповыми политиками разверните папку Объекты групповой политики , содержащую объект групповой политики, резервную копию которого требуется создать.
- Щелкните правой кнопкой мыши объект групповой политики и выберите Резервное копирование .
- Откроется окно Backup Group Policy Object . Укажите путь к папке, в которой вы хотите разместить резервную копию объекта групповой политики.
- После этого нажмите Резервное копирование .
После завершения операции резервного копирования GPO появится сообщение об успешном завершении резервного копирования GPO. Нажмите OK. Теперь у вас есть резервные копии всех объектов групповой политики. Вы можете проверить, были ли созданы резервные копии объектов групповой политики, перейдя в папку, которую вы указали в процессе резервного копирования.
Пользователи также читают
Управление объектами групповой политики с помощью консоли управления групповыми политиками
Консоль управления групповыми политиками (GPMC) — Часть II
Групповая политика
Основы групповой политики в Active Directory — Redmondmag.com
Active Directory How-To
Основы групповой политики в Active Directory
Ниже приводится описание и объяснение нескольких типов групповой политики.
- Трой Томпсон
- 12.01.2016
В среде Active Directory групповая политика — это простой способ настроить параметры компьютера и пользователя на компьютерах, входящих в домен.
Среда Active Directory означает, что у вас должен быть хотя бы один сервер с установленными доменными службами Active Directory. Групповая политика позволяет централизовать управление компьютерами в вашей сети без необходимости физического посещения и настройки каждого компьютера по отдельности. Если вам необходимо управлять компьютерами в крупной компании, без использования групповой политики это практически невозможно. Чтобы использовать редактор групповой политики в доменной среде, вы должны использовать учетную запись администратора. Стандартная учетная запись пользователя домена не входит в локальную группу администраторов и не имеет необходимых разрешений для настройки групповых политик.
Чтобы запустить средство управления групповыми политиками, выберите «Пуск», «Все программы», «Администрирование», «Управление групповыми политиками» (см. , рис. 1 ).
[Щелкните изображение, чтобы увеличить его.] Рисунок 1. После запуска редактора групповой политики вы увидите множество различных параметров (см.
Рисунок 2 ).
Групповую политику можно применять на различных платформах Microsoft, включая Windows 2000, Windows 2003, Windows XP, Vista, Windows Server 2008, Windows 7, Windows 8. и Windows Server 2012. Конечно, будут некоторые настройки, специфичные для этой операционной системы, но такие настройки встречаются довольно редко. Если пользователь подключается по медленному каналу, который по умолчанию составляет 500 КБ или меньше, некоторые групповые политики не будут применяться. По умолчанию дисковые квоты, перенаправление папок, настройки Internet Explorer и развертывание программного обеспечения не применяются к медленным каналам. Определение медленного канала можно изменить в параметре обнаружения медленных каналов групповой политики.
Параметр групповой политики любого уровня автоматически влияет на все уровни ниже него. При необходимости вы можете предотвратить наследование.
Еще одно поведение по умолчанию, которое следует учитывать, заключается в том, что домены, подразделения и дочерние подразделения наследуют настройки от своих родителей, но повторяющиеся параметры в объектах групповой политики, связанных с дочерними подразделениями, имеют приоритет над теми же параметрами в объектах групповой политики, связанных с родительскими подразделениями. Любая политика, предназначенная для контроллера домена, обновляется в течение пяти минут.
Примеры групповой политики
Сопоставление дисков : Вы можете сопоставить диски с помощью сценариев входа, но это можно сделать более надежно с помощью групповой политики. Также можно удалить сопоставления дисков для пользователей.
Параметры электропитания : с помощью групповой политики вы можете установить такие параметры, как время сна жесткого диска, количество времени, по истечении которого монитор переходит в режим ожидания, а также то, что происходит с ноутбуками, когда вы нажимаете кнопку питания или закрываете крышку.
. Все аспекты питания можно настроить, но некоторые из них являются пользовательскими настройками, которые пользователь может изменить.
Перенаправление папок : Обычно папки пользователей для хранения данных расположены на их локальных компьютерах. Если вы хотите перенаправить их данные в другое место, вы можете сделать это с помощью групповой политики. В доменной среде обычно выполняется резервное копирование данных сервера, но не каждого отдельного компьютера. Перенаправляя «Мои документы» пользователя на сервер, вы защищаете его данные от локального компьютера. Это перенаправление имеет несколько применений. Это позволяет выполнять резервное копирование пользовательских данных в центральном расположении, а также предоставляет пользователям доступ к своим данным независимо от компьютера, на который они входят. Типы папок, которые можно перенаправить:
- Контакты
- Стартовое меню
- Рабочий стол
- Документы
- загрузок
- Избранное
- Музыка
- Видео
- Картинки
- Поиски
- Ссылки
- AppData (Роуминг)
Параметры Internet Explorer: Существует почти 2000 различных элементов, которые можно настроить в Internet Explorer с помощью групповой политики.
Некоторые из наиболее распространенных предметов:
- Настройка Удалить историю просмотров при выходе
- Настройка кнопок панели инструментов
- Настройка поведения страницы новой вкладки по умолчанию
- Отключить изменение настроек домашней страницы
- Запретить сброс настроек Internet Explorer
- Не разрешать пользователям включать или отключать надстройки
- Всплывающий список разрешений
Локальные учетные записи и пароли: Политика домена по умолчанию создается по умолчанию на уровне домена. Эта политика по умолчанию включает три параметра безопасности для всего домена:
- Политика паролей: вы можете использовать групповую политику для установки длины, сложности и срока действия пароля.
- Политика блокировки учетной записи: можно настроить групповую политику, чтобы определить, когда учетная запись будет заблокирована и на какой срок.
- Политика Kerberos: можно установить срок действия билета Kerberos.
Если политика паролей, политика блокировки учетных записей или политика Kerberos установлены где-либо еще в домене, например на уровне подразделения или сайта, эти параметры будут игнорироваться при входе пользователей в домен.
Принтеры: Оснастку «Управление печатью» с групповой политикой можно использовать для автоматического развертывания подключений принтеров к пользователям или компьютерам и установки соответствующих драйверов принтеров. Если вы решите добавить подключения принтеров для каждого компьютера, Windows добавит подключения принтеров при входе пользователя в систему. Если выбраны подключения для каждого пользователя, Windows добавит подключения принтера во время фонового обновления политики. Если параметры подключения принтера удалены из объекта групповой политики, Windows удалит соответствующие принтеры с клиентского компьютера во время следующего фонового обновления политики или входа пользователя в систему.
Вы можете повторно применить групповые политики, не перезагружая компьютер и не выходя из системы. В командной строке «Выполнить» введите GPupdate / force. Это приведет к повторному применению групповых политик. После выполнения этой команды иногда необходимо выйти из системы, чтобы изменения вступили в силу немедленно.
Об авторе
Трой Томпсон более 25 лет работает в области сетевого администрирования, работая сетевым инженером и администратором Microsoft Exchange в Министерстве обороны, пишет технологические статьи, учебные пособия, официальные документы и технические правки. Трой является сертифицированным инструктором Академии Cisco (CCAI) и имеет множество других сертификатов, включая CCNA, MSCE+I, Network+, A+ и Security+. Трой также путешествовал по миру, играя музыку в качестве гитариста группы Bride. Контактная информация [электронная почта защищена]
Dell сокращает 5% персонала
Dell объявила в понедельник, что сокращает пять процентов своей рабочей силы, что составляет около 6650 рабочих мест.
Влияние конструктора на будущее Microsoft 365
Microsoft только начинает интегрировать ИИ в свою линейку продуктов.
Microsoft заверяет HoloLens 2 и смешанную реальность
На этой неделе Microsoft дала заверения в отношении своих обязательств по продолжению работы над некоторыми из своих продуктов смешанной реальности, включая Microsoft Mesh и гарнитуру HoloLens 2.
Microsoft Viva Sales добавляет предварительную версию ChatGPT для создания ответов о продажах
Microsoft Viva Sales теперь имеет доступ к модели искусственного интеллекта (ИИ) ChatGPT 3.5, которая доступна на стадии предварительного просмотра, объявила Microsoft в четверг.
Microsoft запускает AI Powered Teams Premium
В среду Microsoft объявила, что Team Premium, которая поставляется с хуками OpenAI, теперь общедоступна.
