Разное

Групповые политики windows 2019: Инструкция по работе с групповыми политиками Active Directory

Содержание

Инструкция по работе с групповыми политиками Active Directory

В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.

Что такое групповые политики и зачем они нужны?

Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.

Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.

Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу.

Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды. С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.

Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.

Компоненты GPO

Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.

Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики. MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее).

Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.

Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.

Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

  • Централизованная настройка пакета программ Microsoft Office.
  • Централизованная настройка управлением питанием компьютеров.
  • Настройка веб-браузеров и принтеров.
  • Установка и обновление ПО.
  • Применение определенных правил в зависимости от местоположения пользователя.
  • Централизованные настройки безопасности.
  • Перенаправление каталогов в пределах домена.
  • Настройка прав доступа к приложениям и системным программам.

Оснастка Управление групповыми политиками

После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:

gpmc.msc

Нажмите OK.

Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.

Оснастка выглядит следующим образом:

Создание объектов групповой политики

Для создания объекта групповой политики перейдите во вкладку Forest -> Domains -> <Ваш домен> -> Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.

В открывшемся окне в поле Name введите удобное для вас имя групповой политики.

После этого вы увидите созданный объект в списке.

Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку

Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.

В редакторе групповых политик перейдите по иерархии User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.

В открывшемся окне отметьте Enable для включения правила и при необходимости напишите комментарий. Нажмите OK для сохранения изменений.

На этом создание объекта групповой политики закончено.

Поиск объектов групповой политики

Как правило в корпоративных средах большое количество объектов GPO, чтобы было проще найти нужный, оснастка обладает встроенным поиском. Для этого выберете ваш лес и в контекстном меню кликните Search.

Открывшееся окно поиска интуитивно понятно для работы. В первую очередь выберете конкретный домен для поиска, также можно производить поиск во всех доменах сразу. Далее выберете нужный пункт поиска, задайте условие и значение. В примере ниже производился поиск объектов групповой политики, в которых встречается слово Default.

Удаление объекта групповой политики

Если экземпляр GPO больше не нужен, его можно удалить. Выберете объект для удаления и с помощью правой кнопки мыши выберете опцию Delete.

 

P. S. Другие инструкции:

Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

Как настраивать групповые политики Windows Server 2016

Групповые политики являются одним из самых эффективных способов управления компьютерной сетью, построенной на базе Windows-сетей.

Групповые политики используют для упрощения администрирования, предоставляя администраторам централизованное управление привилегиями, правами и возможностями как пользователей, так и компьютеров сети.

При помощи политики возможно:

  • назначать сценарии пользователя и сценарии компьютера, запускающиеся в конкретно указанное время;
  • определять политики параметров пароля учетных записей, блокировку пользователей;
  • распространять программное обеспечение на компьютеры сети при помощи публикации или назначения;
  • выполнять набор настроек безопасности для удаленных машин;
  • ввести контроль над доступом к windows-компонентам, системным ресурсам, сетевым ресурсам, утилитам панели управления, рабочему столу и экрану;
  • проводить настройку по распределению прав на доступ к файлам и папкам;
  • настраивать перенаправление определенных папок из профиля пользователя.

Групповые политики возможно применять сразу на нескольких доменах, на отдельных доменах, на подгруппах в домене, на отдельных системах.

Политики, применяемые к отдельным системам, называются локальными групповыми политиками. Такие политики хранятся только на локальном компьютере. Остальные групповые политики соединены в объекты и хранятся в хранилище данных Active Directory.

Управление групповых политик имеется только в профессиональных и серверных версиях Windows.

Для каждой новой версии Windows вносились новые изменения в групповую политику. В некоторых случаях старые политики не применяются на новые версии Windows.

Обычно большинство политик прямо совместимы. Это означает, что, как правило, политики, предоставленные в Windows Server 2003, могут использоваться на Windows 7 и более поздних, а также на Windows Server 2008 и более поздних. Однако, политики для Windows 8/10 и Windows Server 2012/2016 обычно не применимы к более ранним версиям Windows.

Для того, чтобы узнать какие версии поддерживает политика, можно открыть окно ее свойств – там посмотреть на поле Требование к версии или поддерживается. В нем указаны версии ОС, на которых эта политика будет работать:

Редактирование групповых политик

Консоль редактирования групповой политики входит в состав сервера, ее требуется установить в диспетчере сервера как дополнительный компонент управления групповыми политиками:

После этого в составе программ меню Администрирование появляется задача Управление групповыми политиками.

В оснастке Управление групповой политикой назначаются политики к подразделениям, а благодаря иерархической структуре можно визуально понять к какой группе относятся какая-либо политика:

Групповая политика изменяется в редакторе управления групповыми политиками – для этого требуется выбрать команду Изменить в меню Действия. Так же новую групповую политику можно создать либо «с нуля», для этого выбираем Объекты групповой политики выбираем команду Создать в меню Действие. Записываем новое имя объекта групповой политики после этого нажимаем

ОК. Можно скопировать в нее параметры уже существующей политики в зависимости от требуемой задачи.

Чтобы применить созданную политику, требуется установить для нее связь с соответствующим объектом службы каталогов в оснастке Управление групповой политикой:

Примененную политику можно настроить по фильтру безопасности. Таким способом параметры данного объекта групповой политики возможно разделить только для заданных групп, пользователей и компьютеров, входящих в домен:

Рекомендации по применению политик

Главное заключается в том, чтобы не изменять политику по умолчанию. Потому как если в политике возникнет какая-либо серьезная ошибка, то возврат к начальному состоянию приведет к удалению не только последних настроек, но и всех других параметров. Поэтому для административных действий по управлению системой создавайте новые политики, тогда для изменения настроек вам потребуется только отключать/включать привязку политик к организационной структуре.

Обработка одной политики с наибольшим числом назначенных параметров, не отличается по времени от обработки нескольких политик, в каждой из которых назначается только часть этих параметров. Поэтому удобнее создавать несколько политик, чем включать все изменения в одну.

Не стоит удалять ранее созданные групповые политики – желательно просто отключить привязку их от объекта службы каталогов. Они могут потребоваться в дальнейшем для анализа в случае каких-либо проблем.

В рамках нашей услуги ИТ-обслуживание мы не только настраиваем групповые политики, но и берем на себя обслуживание всей ИТ-структуры клиента, включая все настройки, обновления ПО и поддержку в режиме 24/7.

Групповые политики для настройки Windows Server 2016

Цель данной статьи — тонкая настройка терминального сервера. Все скриншоты будут соответствовать версии Windows Server 2016. В результате такой настройки вы сможете повысить безопасность сервера и ограничить права терминальных пользователей.

Удаляем лишние команды из Проводника

Откройте редактор групповой политики (команда gpedit.msc) и перейдите в раздел Конфигурация пользователя, Административные шаблоны, Компоненты Windows, Проводник (рис. 1.).


Рис. 1. Параметры Проводника

Как видите, есть много полезных и не очень групповых политик в Windows Server 2016. Рассмотрим несколько полезных. Так, Скрыть выбранные диски из окна Мой компьютер (рис. 2) позволяет удалить значки выбранных дисков из окна Этот компьютер (в последних версиях Windows это окно называется именно так).


Рис.  2. Ограничиваем доступ пользователей в Windows Server 2016 к определенным дискам

Впрочем, если пользователь окажется умным и введет путь диска (например, D:\) в окне Проводника, он сможет получить доступ к нему. Для таких умных пользователей предназначена групповая политика Запретить доступ к дискам через «Мой компьютер» (рис. 3).


Рис. 3. Запретить доступ к дискам

Неплохо было бы еще и запретить пользователю использовать окно Выполнить (открывается при нажатии Win + R). Для этого нужно включить групповую политику Отключить сочетания клавиш Windows + X. Правда, такая настройка «убьет» все сочетания, в том числе и Win + R, но отдельной групповой политики, которая бы отключала отдельные команды, в современных версиях Windows Server нет (хотя раньше была опция, скрывающая команду Выполнить)

Запрещаем доступ к командной строке и PowerShell

Окно Выполнить используют самые начинающие пользователи. Продвинутые пользователи используют или командную строку, или PowerShell. Запретить пользователям использовать командную строку можно, проведя настройку групповой политики Конфигурация пользователя, Административные шаблоны, Система, Запретить использование командной строки (рис. 4). Также включите опцию Запретить также обработку сценариев в командной строке, чтобы нельзя было запускать сценарии командной строки.


Рис. 4. Запрещаем использование командной строки в Windows Server

Если облака для вас
не просто теория

Широкий спектр услуг
по выделенным северам
и мультиклауд-решениям

Конфигурация VPS и бесплатный тест уже через 2 минуты

Организация вашей IT-инфраструктуры на основе мультиклауд-решения

Отдельной групповой политики, запрещающей запуск PowerShell, нет, но есть групповая политика, запрещающая запуск определенных приложений. Она называется Не запускать указанные приложения Windows и находится все в том же разделе Система. Включите ее и запретите запуск powershell.exe and powershell_ise.exe (рис. 5).


Рис. 5. Запрет запуска PowerShell

Также, пока вы еще не «ушли» из раздела Система, неплохо было бы запретить запуск редактора реестра. Для этого включите Запретить доступ к средствам редактирования реестра.

Максимальное время работы пользователя

Групповая политика Конфигурация пользователя, Административные шаблоны, Компоненты Windows, Службы удаленных рабочих столов, Узел сеансов удаленных рабочих столов, Ограничение сеансов по времени, Задать ограничение по времени для активных сеансов служб удаленных рабочих столов позволяет задать максимальную продолжительность сеанса. Ее можно установить, например, в 8 часов.


Рис. 6. Ограничиваем время сеанса

К сожалению, эта настройка не помешает пользователю снова залогиниться на сервере. Ограничить время входа на сервер можно только с помощью оснастки Пользователи и компьютеры Active Directory, но далеко не все терминальные серверы являются контроллерами домена, к сожалению. Разворачивать контроллер домена только ради этой функции не хочется (например, если терминальный сервер у вас используется только ради совместного доступа к 1С, нет смысла проводить настройку контроллера домена).


Рис. 7. Установка времени входа учетной записи в Windows Server

Отключение элементов панели управления

С помощью групповых политик можно отключить некоторые элементы панели управления. В разделе Конфигурация пользователя, Административные шаблоны, Панель управления находятся две замечательных групповые политики — Скрыть указанные элементы панели управления и Запретить доступ к панели управления и параметрам компьютера. Первая позволяет запретить выбранные элементы панели управления, а вторая вообще запрещает доступ к панели управления и к параметрам компьютера.

Надеюсь, прочитав эту статью, администратору будет немного спокойнее — ведь теперь пользователи смогут сделать гораздо меньше, чего стоит только отключение командной строки и PowerShell.

Популярные услуги

Windows Server 2019. Квоты, Групповые политики, Создание ярлыков и сетевых дисков.

Продолжаем изучать WIndows Server. И сегодня мы поговорим о том как настраивать доменные компьютеры с помощью групповых политик.

В предыдущей статье мы создали сетевую папку для пользователей. Хотелось бы теперь автоматически создать ярлык или сетевой диск на всех компьютерах которые входят в домен. Собственно Active Directory и предназначен для администрирования этих компьютеров и обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики и т.д.

Создания ярлыка.

Создавать ярлык на сетевую папку мы будем через групповую политику домена. Тут есть два варианта : Мы изменяем Default Domain Policy, и правело будет действовать для всего домена.

Или создать новую групповую политику в нашем Тестовом подразделение.

Переходим в Конфигурацию пользователя — Кон. WIndows и выбираем Ярлыки и создаем новый.

Давайте немного поговорим о настройках.

Действие :
  • Создать — Создание нового ярлыка для компьютеров или пользователей.
  • Заменить — Удаление и повторное создание ярлыков для пользователей и компьютеров. Конечным результатом действия Заменить является перезапись существующего ярлыка. Если ярлык не существует, то действие Заменить создает новый ярлык.
  • Обновить — Изменение параметров существующего ярлыка для пользователей или компьютеров. Это действие отличается от Заменить тем, что оно обновляет только параметры ярлыка, определенные в элементе настройки. Все остальные параметры ярлыка остаются прежними. Если ярлык не существует, то действие Обновить создает новый ярлык.
  • Удалить — Удаление ярлыка для компьютеров или пользователей.
Расположение :

Здесь мы указываем точно расположение созданного Ярлыка.

Выполнение:

Здесь мы выбираем размер окна при открытие созданного Ярлыка.

Сетевые диски.

Можно для удобства вместо папки смонтировать сетевой диск. И опять же это не сложно сделать с помощью групповых политик. Собственно тут все очень похоже на создание Ярлыков.

Выбираем Сопоставление дисков , задаем путь к сетевой папке и букву диска.

Если по какой-то причине политики не применяются, можно на локальной машине в ручную обновить групповые политики из консоли.

gpupdate

Квоты.

Как говориться : Места много не бывает ) Логично что мы захотим ограничить размер сетевых ресурсов (папки). В Windows Server это сделать достаточно легко с помощью Квот.

Первым делом нам потребуется Роль «Файловые службы и службы хранилища» . А если точнее то конкретный компонент «Диспетчер ресурсов файлового сервера»

Заходим в Диспетчер ресурсов — Создаем новый шаблон квот. Квоты могут быть Жёсткими( превысить объем нельзя) или мягкими (вас просто уведомят о приведение квоты)

Так же вы можете настроить всякие сценарии для уведомления о превышение квоты. Теперь выбираем наш Шаблон, кликаем правой кнопкой мыши и создаем Квоту на основе шаблона.

Вот и все хитрости . Успехов.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Развертывание перенаправления папок и функции автономных файлов

  • Чтение занимает 6 мин

В этой статье

Применяется к: Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Vista, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2, Windows Server 2008 R2, Windows Server (Semi-annual Channel).

В этой статье приведены требования по развертыванию перенаправления папок вместе с функцией автономных файлов, в том числе инструкции по управлению доступом к перенаправляемым файлам.

Список последних изменений в этой статье см. в Журнале изменений.

Предварительные требования

Требования по администрированию

  • Для администрирования перенаправления папок вам потребуется войти в систему в качестве члена группы безопасности «Администраторы домена», «Администраторы предприятия» или «Владельцы-создатели групповой политики».
  • Необходим компьютер с установленными инструментами «Управление групповыми политиками» и «Центр администрирования Active Directory».

Требования к файловому серверу

Файловый сервер — это компьютер, на котором размещены перенаправляемые папки.

Взаимодействие со службами удаленных рабочих столов

От вашей конфигурации удаленного доступа зависит настройка файлового сервера, общих файловых ресурсов и политик. Если на файловом сервере также размещаются службы удаленных рабочих столов, некоторые этапы развертывания будут отличаться.

  • Нет необходимости создавать группу безопасности для пользователей перенаправления папок.
  • Для общего файлового ресурса, в котором размещаются перенаправляемые папки, необходимо настроить другие разрешения.
  • Требуется заранее создать папки для новых пользователей и задать для этих папок определенные разрешения.

Важно!

Большинство процедур, описанных в этом разделе далее, относятся к обеим конфигурациям. Если действие относится строго к какой-то одной из них, это будет специально оговорено.

Ограничение доступа

Внесите на файловом сервере следующие изменения в соответствии с вашей конфигурацией.

  • Все конфигурации. Предоставьте административный доступ к файловому серверу только ИТ-администраторам, которые должны иметь соответствующие полномочия. Процедура на следующем шаге описывает настройку доступа для отдельных общих ресурсов.
  • Серверы без дополнительного размещения служб удаленных рабочих столов. Если на вашем файловом сервере дополнительно не размещаются службы удаленных рабочих столов, отключите на нем соответствующую службу termserv.
Взаимодействие с другими функциями хранилища

Чтобы перенаправление папок и автономные файлы корректно взаимодействовали с другими функциями хранилища, проверьте следующие настройки.

  • Если общая папка использует пространства имен DFS, у папок DFS (ссылок) должен быть один целевой объект, чтобы избежать конфликтов серверов при изменении настроек пользователем.
  • Если общая папка использует репликацию DFS для копирования данных на другой сервер, пользователи должны иметь доступ лишь к исходному серверу, чтобы избежать конфликтов при изменении параметров серверов.
  • При использовании кластеризованной общей папки устраните непрерывную доступность в общей папке, чтобы избежать проблем с производительностью при перенаправлении папок и использовании автономных файлов. Кроме того, когда пользователь теряет доступ к постоянно доступному общему файловому ресурсу, может пройти 3–6 минут, прежде чем автономные файлы перейдут в автономный режим. Это может вызвать недовольство их пользователей, еще не переключенных на постоянный автономный режим.

Требования к клиенту

  • Клиентские компьютеры должны работать под управлением Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2019, Windows Server 2016, Windows Server (Semi-annual Channel), Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008.
  • Компьютеры клиентов должны быть присоединены к управляемому вами домену для доменных служб Active Directory (AD DS).
  • На клиентских компьютерах должны быть процессоры x64 или x86. Перенаправление папок не поддерживается на компьютерах с процессорами ARM.

Примечание

Некоторые новые возможности перенаправления папок предусматривают дополнительные требования к клиентскому компьютеру и Active Directory. Дополнительные сведения см. в статьях Deploy primary computers (Развертывание основных компьютеров), Disable Offline Files on folders (Отключение функции «Автономные файлы» в папках), Enable Always Offline mode (Включение постоянного автономного режима) и Enable optimized folder moving (Включение оптимизированного перемещения папок).

Шаг 1. Создание группы безопасности перенаправления папок

Если на файловом сервере используются службы удаленных рабочих столов, пропустите этот шаг и назначайте разрешения, когда будете создавать заранее папки для новых пользователей.

Эта процедура создает группу безопасности, содержащую всех пользователей, для которых будут действовать параметры политики перенаправления папок.

  1. На компьютере с установленным центром администрирования Active Directory откройте «Диспетчер сервера».

  2. Выберите Сервис > Центр администрирования Active Directory. Отобразится центр администрирования Active Directory.

  3. Щелкните правой кнопкой мыши нужный домен или подразделение и выберите Создать > Группа.

  4. В окне Создание группы в разделе Группа укажите следующие параметры.

    • В поле Имя группы введите имя группы безопасности, например Пользователи перенаправления папок.
    • Для области группы выберите Безопасность > Глобальная.
  5. В разделе Участники щелкните элемент Добавить. Откроется диалоговое окно Выбор пользователей, контактов, компьютеров, учетных записей служб или групп.

  6. Введите имена пользователей или групп, для которых хотите развернуть перенаправление папок, нажмите кнопку ОК, после чего нажмите ОК еще раз.

Шаг 2. Создание общей папки для перенаправляемых папок

Если у вас еще нет общего файлового ресурса для перенаправляемых папок, выполните следующую процедуру, чтобы создать его на сервере под управлением Windows Server 2012 или более поздней версии.

Примечание

Если вы создаете общий ресурс на сервере под управлением другой версии Windows Server, некоторые функции могут отличаться или быть недоступны.

  1. В области навигации Диспетчера сервера выберите Файловые службы и службы хранилища > Общие ресурсы. Откроется страница Общие ресурсы.

  2. На странице Общие ресурсы выберите Задачи > Новый общий ресурс. Откроется мастер создания общих ресурсов.

  3. На странице Выбор профиля выполните одно из следующих действий.

    • Если установлен диспетчер ресурсов файлового сервера и вы используете свойства управления папками, выберите Общий ресурс SMB — дополнительные.
    • Если диспетчер ресурсов файлового сервера не установлен и вы не используете свойства управления папками, выберите Общий ресурс SMB — быстрый профиль.
  4. На странице Расположение общего ресурса выберите сервер и том, в котором хотите создать общий ресурс.

  5. На странице Имя общей папки укажите имя (например, Users$ ) в поле Имя общей папки.

    Совет

    При создании общего ресурса необходимо скрыть его, добавив после его имени символ $. Это закроет возможность его просмотра пользователям без соответствующих полномочий.

  6. На странице Другие параметры снимите флажок Включить постоянную доступность, если он установлен. При необходимости установите флажки Включить перечисление на основе доступа и Шифрование доступа к данным.

  7. На странице Разрешения выберите Настройка разрешений доступа. Откроется диалоговое окно Дополнительные параметры безопасности.

  8. Нажмите кнопку Отключение наследования, а затем щелкните элемент Convert inherited permissions into explicit permission on this object (Преобразовать наследуемые разрешения для объекта в явные).

  9. Задайте разрешения, приведенные в следующих таблицах и рисунках.

    Важно!

    Выбор разрешений зависит от вашей конфигурации удаленного доступа, поэтому используйте подходящую вам таблицу.

    • Разрешения для файловых серверов без служб удаленных рабочих столов:

      Учетная запись пользователя Разрешение Применяется к
      Система Полный доступ Текущая папка, подпапки и файлы
      Администраторы Полный доступ Только эта папка
      Создатель/владелец Полный доступ Только вложенные папки и файлы
      Группа безопасности с пользователями, которым необходимо размещать данные в общем ресурсе («Пользователи перенаправления папок») Вывод содержимого папки/чтение данных 1
      Создание папок/добавление данных 1
      Чтение атрибутов 1
      Чтение дополнительных атрибутов 1
      Чтение 1
      Обзор папок/выполнение файлов 1
      Только текущая папка
      Прочие группы и учетные записи Нет (удалите все учетные записи, не перечисленные в этой таблице)

      1 Дополнительные разрешения.

    • Разрешения для файловых серверов со службами удаленных рабочих столов:

      Пользовательская учетная запись или роль Разрешение Применяется к
      Система Полный доступ Текущая папка, подпапки и файлы
      Администраторы Полный доступ Текущая папка, подпапки и файлы
      Создатель/владелец Полный доступ Только вложенные папки и файлы
      Прочие группы и учетные записи Нет (удалите все прочие учетные записи из списка управления доступом)

  10. Если ранее в этой процедуре вы выбрали профиль Общий ресурс SMB — дополнительные, также выполните следующие действия.

    • На странице Свойства управления выберите для «Использования папки» значение Файлы пользователя.
    • При необходимости выберите квоту, которая будет действовать для пользователей ресурса.
  11. На странице Подтверждение щелкните элемент Создать.

Шаг 3. Предварительное создание папок для новых пользователей на серверах, где также размещаются службы удаленных рабочих столов

Если на файловом сервере также размещаются службы удаленных рабочих столов, выполните следующую процедуру, чтобы заранее создать папки для новых пользователей и назначить этим папкам необходимые разрешения.

  1. Перейдите в корневую папку общего файлового ресурса, созданного в предыдущей процедуре.

  2. Создайте новую папку. Можно использовать один из следующих методов:

    • Щелкните корневую папку правой кнопкой мыши и выберите Создать > Папка. В качестве имени папки введите имя нового пользователя.

    • Если же вы хотите создать новую папку с помощью Windows PowerShell, откройте окно командной строки PowerShell и выполните следующий командлет:

      New-Item -Path 'c:\shares\frdeploy\<newuser>' -ItemType Directory
      

      Примечание

      В этой команде <newuser> соответствует имени нового пользователя.

  3. Щелкните правой кнопкой мыши новую папку и выберите Свойства > Безопасность > Дополнительно > Владелец. Владельцем папки должна быть группа «Администраторы».

  4. Задайте разрешения, приведенные в следующей таблице и на рисунке. Разрешения для всех не перечисленных здесь групп и учетных записей необходимо удалить.

    Учетная запись пользователя Разрешение Применяется к
    Система Полный доступ Текущая папка, подпапки и файлы
    Администраторы Полный доступ Текущая папка, подпапки и файлы
    Создатель/владелец Полный доступ Только подпапки и файлы
    newuser1 Полный доступ Текущая папка, подпапки и файлы
    Прочие группы и учетные записи Нет (удалите все прочие учетные записи из списка управления доступом)

    1 newuser соответствует имени учетной записи нового пользователя.

Шаг 4. Создание объекта групповой политики для перенаправления папок

Если у вас еще нет объекта групповой политики (Group Policy Object, GPO), который управляет перенаправлением папок и функциями автономных файлов, создайте его, выполнив следующую процедуру.

  1. На компьютере с установленным инструментом «Управление групповыми политиками» откройте «Диспетчер сервера».

  2. Выберите Сервис > Управление групповыми политиками.

  3. Правой кнопкой мыши щелкните домен или подразделение, в котором нужно настроить перенаправление папок, а затем выберите Создать объект GPO в этом домене и связать его.

  4. В диалоговом окне Новый объект групповой политики введите имя объекта (например, Параметры перенаправления папок) и нажмите кнопку .

  5. Щелкните созданный объект GPO правой кнопкой мыши и уберите флажок Связь включена. Это гарантирует, что объект не будет применяться, пока вы не завершите его настройку.

  6. Выберите GPO. Выберите Область > Фильтры безопасности > Прошедшие проверку, а затем выберите Удалить, чтобы объект GPO не применялся ко всем пользователям.

  7. В разделе Фильтрация ограничений безопасности щелкните элемент Добавить.

  8. В диалоговом окне Выбор пользователя, компьютера или группы выполните одно из следующих действий в зависимости от вашей конфигурации.

  9. Выберите Делегирование > Добавить и укажите Прошедшие проверку. Нажмите кнопку OK, а затем нажмите OK еще раз, чтобы принять разрешения на Чтение по умолчанию.

    Важно!

    Этот шаг является обязательным из-за изменений, внесенных в обновление системы безопасности MS16-072. Теперь вам требуется предоставить группе «Прошедшие проверку» делегированные разрешения на чтение GPO перенаправления папок. В противном случае объект GPO не будет применен к пользователям или, если он уже применен, он будет удален, а папки будут вновь направляться на локальный компьютер. Дополнительные сведения об изменениях в развертывании GPO, внесенных в MS16-072, см. здесь.

Шаг 5. Настройка параметров групповой политики для перенаправления папок и для автономных файлов

Создав объект GPO для параметров перенаправления папок, измените параметры групповой политики для активации и настройки перенаправления папок, выполнив следующие действия.

Примечание

По умолчанию функция автономных файлов включена для перенаправления папок на клиентских компьютерах с Windows и отключена на компьютерах с Windows Server. Эта функция может быть включена пользователями, либо вы можете контролировать ее через групповую политику. Политика называется Разрешить или запретить использование автономных файлов.

Дополнительные сведения о некоторых других параметрах групповой политики для автономных файлов см. в статьях Enable Advanced Offline Files Functionality (Включение расширенных функциональных возможностей автономных файлов) и Configuring Group Policy for Offline Files (Настройка групповой политики для автономных файлов).

  1. В компоненте «Управление групповыми политиками» щелкните правой кнопкой мыши GPO, который вы создали (например, Настройки перенаправления папок), затем выберите команду Изменить.

  2. В окне редактора «Управление групповыми политиками» выберите Конфигурация пользователя > Политики > Параметры Windows > Перенаправление папок.

  3. Щелкните правой кнопкой мыши папку, которую требуется перенаправить (например, Документы), а затем выберите пункт Свойства.

  4. В диалоговом окне Свойства в поле Параметры выберите Перенаправлять папки всех пользователей в одно расположение (простая) .

    Примечание

    Чтобы применить перенаправление папок к клиентским компьютерам под управлением Windows XP или Windows Server 2003, перейдите на вкладку Параметры и установите флажок Также применить политику перенаправления для операционных систем Windows 2000, Windows 2000 Server, Windows XP и Windows Server 2003.

  5. В разделе Расположение целевой папки выберите Создать папку для каждого пользователя на корневом пути, а затем в поле Корневой путь введите путь к общему файловому ресурсу, в котором хранятся перенаправляемые папки, например: \\fs1.corp.contoso.com\users$ .

  6. (Необязательно.) Перейдите на вкладку Параметры и в разделе Удаление политики выберите После удаления политики перенаправить папку обратно в локальный профиль пользователя (это может сделать перенаправление папок более предсказуемым для администраторов и пользователей).

  7. Нажмите кнопку , а затем выберите Да в диалоговом окне Предупреждение.

Шаг 6. Активация объекта групповой политики для перенаправления папок

После завершения настройки параметров групповой политики для перенаправления папок необходимо включить объект групповой политики (GPO). Это изменение позволит применить объект GPO к затронутым пользователям.

Совет

Если вы планируете задействовать поддержку основного компьютера или другие настройки политики, это следует сделать до включения GPO, чтобы предотвратить копирование данных пользователя на неосновные компьютеры до включения поддержки основного компьютера.

  1. Откройте «Управление групповой политикой».
  2. Щелкните правой кнопкой мыши созданный вами GPO и выберите пункт Связь включена. Рядом с соответствующим пунктом меню появится флажок.

Шаг 7. Проверка перенаправления папок

Чтобы проверить работу перенаправления папок, необходимо войти на компьютер под учетной записью пользователя, для которого настроено перенаправление. После этого убедитесь, что папки и профили перенаправляются.

  1. Войдите в систему на основном компьютере (если его поддержка включена) под учетной записью пользователя, для которого вы включили перенаправление папок.

  2. Если пользователь уже вошел в систему, откройте командную строку с повышенными привилегиями и введите нижеприведенную команду, чтобы убедиться, что на компьютере используются последние настройки групповой политики.

    gpupdate /force
    
  3. Откройте проводник.

  4. Щелкните правой кнопкой мыши перенаправленную папку (например, «Мои документы» в библиотеке документов) и выберите пункт Свойства.

  5. Перейдите на вкладку Расположение и убедитесь, что отображается путь к указанному вами общему файловому ресурсу, а не локальный путь.

Приложение A. Контрольный список для развертывания перенаправления папок

Завершить Задача или элемент
Подготовка домена и другие предварительные требования
— Присоедините компьютеры к домену
— Создайте учетные записи пользователей
— Проверьте выполнение требований к файловому серверу и совместимость с другими службами
— Размещаются ли на файловом сервере также службы удаленных рабочих столов?
— Ограничьте доступ к файловому серверу
Шаг 1. Создание группы безопасности перенаправления папок
— Имя группы:
— Члены:
Шаг 2. Создание общей папки для перенаправляемых папок
— Имя общей папки:
Шаг 3. Предварительное создание папок для новых пользователей на серверах, где также размещаются службы удаленных рабочих столов
Шаг 4. Создание объекта групповой политики для перенаправления папок
— Имя GPO:
Шаг 5. Настройка параметров групповой политики для перенаправления папок и для автономных файлов
— Перенаправленные папки:
— Включена ли поддержка Windows 2000, Windows XP и Windows Server 2003?
— Включена ли функция «Автономные файлы»? (по умолчанию включена на клиентских компьютерах Windows)
— Включен ли постоянный автономный режим?
— Включена ли фоновая синхронизация файлов?
— Включено ли оптимизированное перемещение перенаправленных папок?
Включение поддержки основного компьютера (необязательно):
— На основе компьютеров или на основе пользователей?
— Назначение основных компьютеров для пользователей
— Расположение сопоставлений пользователей и основных компьютеров:
— Включение поддержки основного компьютера для переназначения папок (необязательно)
— Включение поддержки основного компьютера для перемещаемых профилей пользователей (необязательно)
Шаг 6. Активация объекта групповой политики для перенаправления папок
Шаг 7. Проверка перенаправления папок

Журнал изменений

В следующей таблице представлены наиболее важные изменения этого раздела.

Дата Описание Причина
9 марта 2021 г. Добавлены инструкции для разных конфигураций. Необходимость изменений для улучшения контроля доступа в различных конфигурациях.
18 января 2017 г. На шаге Создание объекта групповой политики для перенаправления папок добавлено действие по делегации разрешений на чтение пользователям, прошедшим проверку подлинности, что стало обязательным из-за обновления системы безопасности для групповой политики. Отзывы клиентов.

Дополнительные сведения

Использование групповой политики для удаленной установки программного обеспечения — Windows Server

  • Чтение занимает 5 мин

В этой статье

В этой статье описывается использование групповой политики для автоматического распространения программ на клиентские компьютеры или пользователей.

Применяется к:   Windows Server 2012 R2
Исходный номер КБ:   816102

Сводка

Для распространения компьютерных программ с помощью групповой политики можно использовать следующие методы:

  • Назначение программного обеспечения

    Вы можете назначить рассылку программы пользователям или компьютерам. Если назначить программу пользователю, она устанавливается при входе пользователя на компьютер. Когда пользователь впервые запускает программу, установка выполняется. Если назначить программу компьютеру, она устанавливается после его начала, и она доступна всем пользователям, входивших на компьютер. Когда пользователь впервые запускает программу, установка выполняется.

  • Программное обеспечение для публикации

    Вы можете опубликовать распространение программы для пользователей. Когда пользователь входит в компьютер, опубликованная программа отображается в диалоговом окне Добавить или Удалить программы, и ее можно установить оттуда.

Примечание

Windows Автоматическая установка групповой политики Server 2003 требует клиентских компьютеров с Windows microsoft 2000 или более поздней версии.

Создание точки рассылки

Чтобы опубликовать или назначить компьютерную программу, создайте точку распространения на сервере публикации, следуя следующим шагам:

  1. Войдите на сервер в качестве администратора.
  2. Создайте общую папку сети, в которую вы Windows пакет установки (.msi файл), который необходимо распространить.
  3. Установите разрешения на долю, чтобы разрешить доступ к пакету рассылки.
  4. Скопируйте или установите пакет в точку распространения. Например, чтобы распространить файл .msi, запустите административную установку () для копирования файлов setup.exe /a в точку распространения.

Создание объекта групповой политики

Чтобы создать объект групповой политики (GPO) для распространения пакета программного обеспечения, выполните следующие действия:

  1. Запустите оснастку пользователей и компьютеров Active Directory, нажав кнопку Начните, указав на административные средства, а затем нажав кнопку Active Directory Users and Computers.
  2. В дереве консоли щелкните правой кнопкой мыши домен и нажмите кнопку Свойства.
  3. Щелкните вкладку Групповой политики и нажмите кнопку New.
  4. Введите имя для этой новой политики и нажмите кнопку Ввод.
  5. Щелкните Свойства, а затем нажмите вкладку Безопасность.
  6. Зачистка контрольного окна Apply Group Policy для групп безопасности, к которые не нужно применять эту политику.
  7. Выберите поле Применить групповую политику для групп, к которые необходимо применить эту политику.
  8. После этого нажмите кнопку ОК.

Назначение пакета

Чтобы назначить программу компьютерам с Windows Server 2003, Windows 2000 или Windows XP Professional или пользователям, входивших на одну из этих рабочих станций, выполните следующие действия:

  1. Запустите оснастку пользователей и компьютеров Active Directory, нажав кнопку Начните, указав на административные средства, а затем нажав кнопку Active Directory Users and Computers.

  2. В дереве консоли щелкните правой кнопкой мыши домен и нажмите кнопку Свойства.

  3. Щелкните вкладку Групповой политики, выберите политику, которую вы хотите, и нажмите кнопку Изменить.

  4. В соответствии с конфигурацией компьютера расширим Параметры.

  5. Правой кнопкой мыши установка программного обеспечения, указать на Новый, а затем нажмите пакет.

  6. В диалоговом окне Open введите полный путь универсальной конвенции имен (UNC) общего пакета установщика, который вам нужен. Например, \\<file server>\<share>\<file name>.msi.

    Важно!

    Не используйте кнопку Просмотр для доступа к расположению. Убедитесь, что вы используете путь UNC общего пакета установщика.

  7. Нажмите кнопку Open (Открыть).

  8. Щелкните назначенное, а затем нажмите кнопку ОК. Пакет указан в правой области окна групповой политики.

  9. Закрой привязку групповой политики, нажмите кнопку ОК, а затем закрой привязку пользователей и компьютеров Active Directory.

  10. Когда клиентский компьютер запускается, управляемый пакет программного обеспечения устанавливается автоматически.

Публикация пакета

Чтобы опубликовать пакет для пользователей компьютеров и сделать его доступным для установки из списка Добавить или Удалить программы в панели управления, выполните следующие действия:

  1. Запустите оснастку пользователей и компьютеров Active Directory, нажав кнопку Начните, указав на административные средства, а затем нажав кнопку Active Directory Users and Computers.

  2. В дереве консоли щелкните правой кнопкой мыши домен и нажмите кнопку Свойства.

  3. Щелкните вкладку Групповой политики, щелкните политику, которую вы хотите, и нажмите кнопку Изменить.

  4. В соответствии с конфигурацией пользователей расширяем Параметры.

  5. Правой кнопкой мыши установка программного обеспечения, указать на Новый, а затем нажмите пакет.

  6. В диалоговом окне Open введите полный путь UNC общего пакета установщика, который вам нужен. Например, \\file server\share\file name.msi.

    Важно!

    Не используйте кнопку Просмотр для доступа к расположению. Убедитесь, что вы используете путь UNC общего пакета установщика.

  7. Нажмите кнопку Open (Открыть).

  8. Нажмите кнопку Опубликовать, а затем нажмите кнопку ОК.

  9. Пакет указан в правой области окна групповой политики.

  10. Закрой привязку групповой политики, нажмите кнопку ОК, а затем закрой привязку пользователей и компьютеров Active Directory.

  11. Проверьте пакет.

    Примечание

    Поскольку существует несколько версий Windows, на вашем компьютере могут быть другие действия. Если они есть, см. документацию по продуктам для выполнения этих действий.

    1. Войдите на работу на Windows 2000 Professional или Windows XP Professional с помощью учетной записи, на которую вы опубликовали пакет.
    2. В Windows XP нажмите кнопку Начните, а затем нажмите панель управления.
    3. Дважды щелкните Добавить или Удалить программы, а затем нажмите кнопку Добавить новые программы.
    4. В списке Добавить программы из списка сети щелкните опубликованную программу и нажмите кнопку Добавить. Установлена программа.
    5. Нажмите кнопку ОК, а затем нажмите кнопку Закрыть.

Переделока пакета

В некоторых случаях может потребоваться передиплоять пакет программного обеспечения (например, при обновлении или изменении пакета). Чтобы перенаполнить пакет, выполните следующие действия:

  1. Запустите оснастку пользователей и компьютеров Active Directory, нажав кнопку Начните, указав на административные средства, а затем нажав кнопку Active Directory Users and Computers.

  2. В дереве консоли щелкните правой кнопкой мыши домен и нажмите кнопку Свойства.

  3. Щелкните вкладку Групповой политики, щелкните объект групповой политики, который использовался для развертывания пакета, а затем нажмите кнопку Изменить.

  4. Разместим контейнер Параметры программного обеспечения, содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.

  5. Щелкните контейнер установки программного обеспечения, содержащий пакет.

  6. В правой области окна групповой политики щелкните правой кнопкой мыши программу, указать все задачи, а затем нажмите приложение Redeploy. Вы получите следующее сообщение:

    Повторное удаление этого приложения будет переустановить приложение везде, где оно уже установлено. Вы хотите продолжить?

  7. Нажмите кнопку Да.

  8. Выйти из оснастки групповой политики, нажмите кнопку ОК, а затем закроем привязку пользователей и компьютеров Active Directory.

Удаление пакета

Чтобы удалить опубликованный или заданный пакет, выполните следующие действия:

  1. Запустите оснастку пользователей и компьютеров Active Directory, нажав кнопку Начните, указав на административные средства, а затем нажав кнопку Active Directory Users and Computers.
  2. В дереве консоли щелкните правой кнопкой мыши домен и нажмите кнопку Свойства.
  3. Щелкните вкладку Групповой политики, щелкните объект групповой политики, который использовался для развертывания пакета, а затем нажмите кнопку Изменить.
  4. Разместим контейнер Параметры программного обеспечения, содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.
  5. Щелкните контейнер установки программного обеспечения, содержащий пакет.
  6. В правой области окна групповой политики щелкните правой кнопкой мыши программу, указать все задачи, а затем нажмите кнопку Удалить.
  7. Выполните одно из следующих действий:
    • Нажмите кнопку Немедленно удалить программное обеспечение с пользователей и компьютеров, а затем нажмите кнопку ОК.
    • Нажмите Кнопку Разрешить пользователям продолжать использовать программное обеспечение, но предотвратить новые установки, а затем нажмите кнопку ОК.
  8. Закрой привязку групповой политики, нажмите кнопку ОК, а затем закрой привязку пользователей и компьютеров Active Directory.

Устранение неполадок

Опубликованные пакеты отображаются на клиентских компьютерах после их удаления с помощью групповой политики.

Такая ситуация может возникнуть, когда пользователь установил программу, но не использовал ее. Когда пользователь впервые запускает опубликованную программу, установка завершается. После этого group Policy удаляет программу.

Глава 9. Групповая политика — Windows Server 2016 Книга рецептов.

В данной книге мы уже обсуждали несколько рецептов, которые обращались за изменениями к GPO (Group Policy Objects, Объектам групповой политики), однако у нас не был времени для обсуждения того, почему Групповая политика так важна в первую очередь. Для тех, кто работал какое-то время с Active Directory, Групповая политика может быть знакомой территорией. Однако я всё ещё обнаруживаю, что большая часть ИТ народа работающего с ролью Администратора сервера не настолько близки с Групповой политикой и тем как можно извлекать из неё преимущества. В частности, в не очень крупных компаниях это невероятно мощное средство Windows, как правило, упускается из виду. Достаточно просто представлять себе Active Directory как контейнерное хранилище для учётных записей ваших пользователей и компьютеров, так как это является ключевой необходимой задачей, которую он выполняет. Однако, как только вы установили родь Служб домена для настройки своего первого Контроллера домена (DC, Domain Controller), вы автоматически включаете в этот домен возможности Групповой политики.

Давайте пройдёмся вместе по некоторым рецептам, чтобы убедиться что вы способны комфортно взаимодействовать с Групповой политикой и начнём исследовать лежащие в её основе возможности:

  • Создание и назначение новых объектов Групповой политики

  • Установка соответствия сетевых дисков при помощи Групповой политики

  • Перенаправление папки Мои документы на сетевое совместно используемое устройство

  • Создание VPN соединений при помощи Групповой политики

  • Создание подключений к принтерам при помощи Групповой политики

  • Применение Групповой политики для усиления мощности прокси сервера Интернета

  • Просомотр и настройка текущих включённых настроек внутри GPO

  • Просмотр всех назначенных некоторому компьтеру в настоящее время GPO

  • Резервное копирование и восстановление GPO

  • Подключение к шаблонам ADMX и ADML

Групповая политика (Group Policy) является централизованным инструментом администрирования для ваших подключённых к домену систем. Для суммирования её возможностей вы можете создавать политики в Active Directory, назначая эти политики определённым пользователям или компьютерам и в рамках этих политик изменять любое число установок или настроек, которые располагаются внутри операционной системы Windows. Сам элемент внутри Active Directory, который содержит эти установки называется GPO (Group Policy Object, объектом Групповой политики), поэтому мы сосредоточимся на создании и манипуляции им для принятия некоторых централизованных решений по управлению, которые окажут воздействие на большое число компьютеров в нашей среде. GPO могут применяться для учётных записей пользователей, установок компьютеров клиентов, или для размещения настроек на ваши серверы. Любая подключённая к домену система может управляться через GPO, а обычные настройки размещаемые на своих местах посредством GPO не могут изменяться пользователями, что делает их неотъемлемой частью системы безопасности для компаний, освоивших применение Групповой политики на постоянной основе.

Мы разместим ряд различных установок настроек внутри конкретных GPO которые мы создадим на протяжении данной главы, однако мы не будем приближаться к охвату даже и части всех доступных установок, с которыми можно обращаться. Для полного рассмотрения доступных настроек групповой политики ознакомьтесь, пожалуйста со следующей ссылкой: http://www.microsoft.com/en-us/download/details.aspx?id=25250.

Создание и назначение нового GPO

Чтобы начать применение Групповой политики, нам вначале необходимо создать объект Групповой политики. Обычно мы будем называть его GPO и этот объект содержит все настройки которые мы хотим развёртывать. Он также содержит информацию, необходимую для присоединённых к домену систем чтобы знать какие машины и пользователи получат эти установки, а какие нет. Критически важно тщательное планирование назначений GPO. Легко создать политику, которая будет применена ко всем подключённым к домену системам во всей вашей сетевой среде, однако, в зависимости от того какие установки вы настраиваете в данной политике, они могут оказаться пагубными для ваших серверов. Я часто обнаруживаю, что администраторы, которые только- только начали знакомиться с Групповой политикой применяют встроенную GPO именуемую Политикой домена по умолчанию (Default Domain Policy). Она по умолчанию применяется ко всему в вашей сетевой среде. Иногда это в действительности то что вы хотите осуществить. Но в подавляющем большинстве случаев это не так!

Мы намереваемся воспользоваться данным разделом для детализации самого процесса создания новой GPO и применить ряд секций назначений, называемых Links (Ссылками) и Security Filters (Фильтрами безопасности), которые предоставят нам полный контроль над тем, какие системы получат эти объекты и, что более существенно, какие нет.

Наша текущая работа будет выполняться в сервере контроллера домена Server 2016. Если у вас исполняется роль Служб домена (Domain Services), у вас уже имеются установленными определённые элементы, которые необходимы для управления Групповой политикой.

Как это сделать…
  1. Откройте диспетчер сервера (Server Manager), кликните по меню Tools (Средства) и выберите для открытия Консоль Group Policy Management.

  2. Раскройте имя своего домена и кликните по папке с наименованием Group Policy Objects. Она отобразит вам перечень ваших текущих GPO.

  3. Кликните правой кнопкой по папке Group Policy Objects, а теперь кликните по New.

  4. Введите имя для своего нового GPO. Я собираюсь назвать его у себя Map Network Drives. Мы завершим применение этого GPO в следующем рецепте.


  5. Кликните OK, а затем раскройте свою папку Group Policy Objects, если она пока ещё не раскрыта. Вы должны видеть в этом перечне новый GPO. Далее кликните на этот новый GPO чтобы просмотреть его настройки.

  6. Мы хотим применять этот GPO только к определённой группе пользователей, которую мы хотим установить. Это назначение данного GPO обрабатывается на самом нижнем уровне в разделе Security Filtering (Фильтрация безопасности), который вы можете увидеть на снимке экрана ниже. На нём вы можете обнаружить что, по умолчанию, в данном списке находятся Authenticated Users. Это означает, что если мы создадим ссылку между этим GPO и OU (Organizational Unit, Подразделением) в своём домене, данные установки политики немедленно будут применены ко всем учётным записям пользователей.


  7. Так как мы хотим быть абсолютно уверенными, что только определённые учётные записи пользователей получат такие соответствия дисков, мы собираемся изменить свой раздел Security Filtering и внести в список только пользователей той группы, которую мы должны создать для получения таких учётных записей пользователей. В разделе Security Filtering кликните по кнопке Remove чтобы удалить из данного перечня Authenticated Users. он теперь должен быть пустым.

  8. Теперь кликните по кнопке Add… также приводимой в разделе Security Filtering.

  9. Введите название своей группы для которой вы желаете осуществлять фильтрацию данного GPO. Моя группа имеет название Sales Group. Кликните OK.

  10. Теперь данный GPO будет применяться только к пользователям, которых мы поместим в свою группу с названием Sales Group, однако на данный момент времени данный GPO не собирается никуда применяться, так как мы пока не установили никакие ссылки. Существует верхний раздел вашей закладки Scope (Область действия), и он в настоящее время пустой.


  11. Нам необходима связать этот GPO с некоторым местом в структуре нашего домена. Это на самом деле сообщит ему применить данную политику отсюда и далее к нашему Подразделению (OU). Создав некую ссылку без какой бы то ни было фильтрации безопасности, такой GPO будет применён ко всему относящемуся к данной ссылке. Однако, так как у нас включена фильтрация безопасности и ниже определена конкретная группа, имеющаяся фильтрация безопасности будет завершаться авторизацией, применяющей данные установки GPO только к членам нашей Sales Group. Для данной политики Map Network Drives мы хотим применить её к Подразделению (OU) с названием US Laptops.

  12. Кликните правой кнопкой по Подразделению с именем US Laptops, а затем кликните по параметру Link an Existing GPO….


  13. Выберите имя своей новой GPO, Map Network Drives, а затем кликните OK.


Наш новый GPO теперь привязан к Подразделению (OU) US Laptops, поэтому, на данном уровне, все помещаемые в данное Подразделение системы будут получать данные установки, если только мы не спарим их со следующим шагом в своём разделе Фильтрации безопасности. Так как мы наполнили его только одним именем своей конкретной группы Sales Group, это означает, что такая новая политика соответствия дисков будет применяться только к тем пользователям, которые добавляются в данную группу.

Как это работает…

В примере нашего рецепта мы создали новый объект Групповой политики и выполнили необходимые шаги чтобы ограничить этот GPO на те компьютеры и тех пользователей, которых мы полагаем находящимися внутри нашего домена. Каждая сетевая среда имеет свои отличия, и вы можете найти для себя достаточным только определённых Links чтобы сохранять GPO отсортированным для соответствия своим потребностям, либо же вам может потребоваться выполнить усиление такой фильтрации некоторой комбинацией Links и Security Filtering. В любом случае, сколь ни тщательно бы вы выполнили эту работу, убедитесь ещё раз с настройками данных полей, что у вас нет и тени сомнения в том, к кому будет применён этот GPO. Вы можете заметить в данном рецепте, что мы на самом деле не настраивали никакие установки внутри самого GPO, поэтому на данный момент он всё ещё ничего не выполняет ничего с членами Sales Group. Продолжайте чтение для перемещения к реальной части установок Групповой политики.

Установка соответствия сетевых дисков Групповой политикой

Почти все применяют соответствия дисков для некоторого удобства в своих средах. Создание соответствий дисков вручную как часть начальной настройки нового пользователя громоздко и необходимо. Оно также работает таким образом, что возможно будет дублироваться, так как пользователи в дальнейшем перемещаются с одного компьютера на другой. Если мы воспользуемся групповой политикой для централизации создания таких соответствий дисков, мы сможем гарантировать, что одни и те же пользователи будут получать одни и те же дисковые соответствия где бы в сети они не находились. Если выполнить планирование аккуратно, вы можете включить такое соответствие чтобы оно возникало повсеместно в вашей сетевой среде для любой подключаемой к домену системы при простой регистрации пользователя, причём в точности так, как он всегда это делает. Это хороший, несложный пример первой задачи для её выполнения в рамках Групповой политики с тем, чтобы окунуть наши ноги и научиться чему- то что может быть полезным для вашей организации.

Мы применяем некий контроллер домена Server 2016 в своей среде чтобы создать и настроить такой объект Групповой политики. Мы также предполагаем, что у вас для данной задачи уже создан новый GPO, который был настроен для Links и Security Filtering.

Как это сделать…

Чтобы создать некоторое сопоставление дисков в Групповой политике:

  1. Откройте консоль Group Policy Management в меню Tools (Средства) Диспетчера сервера.

  2. Раскройте имя своего домена, а затем зайдите в папку Group Policy Objects. В ней мы видим свой новый GPO с именем Map Network Drives.

  3. Кликните правой кнопкой по своему GPO Map Network Drives, а затем кликните Edit….


  4. Переместитесь в User Configuration | Preferences | Windows Settings | Drive Maps.

  5. Кликните правой кнопкой по Drive Maps и выберите New | Mapped Drive.


  6. Настройте Location в качестве получателя создаваемого соответствия диска и воспользуйтесь полем Label as если вам нужно дополнительное описание имени для отображения пользователям.

  7. Выберите Drive Letter для применения такого нового соответствия из приведённого на данном экране ниспадающего меню.


  8. Кликните OK.

  9. Мы предполагаем, что вы уже создали соответствующие Links и Security Filtering к которым вы хотите применять данный GPO. Если так, то вы можете зарегистрироваться на некотором компьютере в своём домене с учётной записью пользователя, к которому применяется данная политика. После регистрации на данном компьютере откройте ile Explorer и вы должны обнаружить новый сетевой диск, автоматический поставленный вам в соответствие в процессе вашей регистрации.

Как это работает…

Существует ряд различных способов которым можно автоматически осуществлять выполнения соотнесения дисков, которое будет автоматически выполняться в среде Windows, и данный рецепт сейчас отобразил один из самых простых вариантов исполнения данной задачи. Применяя Групповую политику для автоматизации создания нашего соответствия сетевых дисков, мы можем административно централизовать данную задачу и удалить создание загрузки такого соответствия дисков из нашего процесса службы технической поддержки.

Перенаправление папки Мои документы в общий сетевой ресурс

Пользователи приучены сохранять документы, фотографии и прочее в их папке Documents или My Documents, так как это то место где они чувствуют себя дома. При работе в офисном компьютере над своими заданиями, также естественна тенденция сохранять это в локальной папке Documents. Обычно это нежелательное поведение, так как резервное копирование папок документов всего персонала индивидуальным образом было бы ночным кошмаром администраторов. Поэтому более распространённым решением такой проблемы является предоставление каждому соответствующего сетевого диска и обучение пользователей сохранению документов в таких перенаправляемых устройствах. Это хорошо в теории, но сложно осуществлять на практике. Поскольку пользователи всё ещё имеют возможность сохранять документы в своей локальной папке My Documents, имеется хорошая возможность того, чтобы они сохраняли там по крайней мере некотороые вещи, вероятно, не осознавая этого.

Данный рецепт является быстрым изменением Групповой политикой, которое можно выполнить для папки My Documents на подключённых к вашему домену компьютерах с тем, чтобы перенаправить их на совместно используемые сетевые ресурсы. Таким образом, если все пользователи выполняют сохранение в My Documents, эти документы будут записываться в файловый сервер, куда вы их перенаправили.

Мы настроим свою новую GPO в контроллере домена Server 2016.

Как это сделать…

Выполните следующие шаги чтобы перенаправить папку My Documents при помощи Групповой политики:

  1. Запустите Консоль Group Policy Management из меню Tools (Средства) Диспетчера сервера.

  2. Кликните правой кнопкой по имени своего домена и выберите Create a GPO in this domain, and Link it here….


  3. Введите что- нибудь в поле Name для своего нового GPO. Я собираюсь назвать свой Redirect My Documents. Затем кликните OK.

  4. Просмотрите папку Group Policy Objects, которая приводится под именем вашего домена.

  5. Кликните правой кнопкой по данному имени нашего нового GPO перенаправления и кликните Edit….

  6. Переместитесь в User Configuration | Policies | Windows Settings | Folder Redirection | Documents.

  7. Кликните правой кнопкой по Documents и перейдите в Properties.


  8. раскройте ниспадающее меню Setting и выберите Basic — Redirect everyone’s folder to the same location.

  9. Введите в отобразившемся поле Root Path куда вы желаете перенаправлять все папки Documents. Я собираюсь применять совместный ресурс, который я создал в своём файловом сервере . У меня это выглядит так: \\file1\users\.


  10. Кликните OK.

  11. Ваши настройки должны немедленно поместиться на место в данном GPO. Теперь пройдите вперёд и зарегистрируйтесь на пробной машине клиента и откройте папку Documents.

  12. Создайте внутри папки Documents новый текстовый документ. Мы только что создали что- то в локальной папке Documents чтобы могли обнаружить где в действительности оно сохранится.

  13. Теперь зарегистрируйтесь на своём файловом сервере и проверьте внутри своего каталога Users что мы определили. теперь у нас там имеется папка с именем моего пользоваателя, а внутри этой папки присутствует папка Documents, которая содержит новый текстовый документ, который я только что создал и сохранил внутри своей My Documents на моём компьютере клиента!


Как это работает…

Перенаправление My Documents всех пользователей для автоматического сохранения на централизованном файловом сервере легко изменяется при помощи Групповой политики. Вы можете даже объединять эту настройку с другой, которая приводит соответствие сетевых дисков, затем просто определять буквенный диск в своей настройке перенаправления документов вместо того, чтобы набирать некоторого UNC, который может потенциально измениться в дальнейшем. Однако, раз вы решили настроить его в своей среде, я гарантирую, что применение этой настройки будет иметь результатом более централизованное администрирование ваших данных и меньше потерь файлов вашими пользователями.

Создание VPN соединения Групповой политикой

Если у вас ранее административная или техническая поддержка решения связи VPN, вы скорее всего не насловах знакомы с настройкой профилей соединений VPN на компьютерах клиентов. В некоторой среде, в которой VPN применяется в качестве решения удалённого доступа, то что я зачастую наблюдаю, так это то, что такой процесс создания профиля VPN обычно проходится вручную, что требует человеческих рук с последующей первой регистрацией в данном компьютере пользователя. Это не эффективно и легко забывается. При наличии присутствующих в вашем Windows Server 2016 инструментах, вы можете автоматизировать создание таких соединений VPN на клиентских компьютерах. Давайте применим Групповую политику для создания таких профилей для нас в процессе регистрации пользователя.

Мы воспользуемся контроллером домена Server 2016 для настройки своего нового объекта Групповой политики. После завершения мы также воспользуемся компьютером клиента с WIndows 10 для регистрации и проверки успешности создания своего профиля VPN. Для данного рецепта мы собираемся сделать предположение, что создали требуемый GPO и настроили связи, а также выполнили фильтрацию в соответствии со своими потребностями прежде чем приступить к реальной настройке такого GPO.

Как это сделать…

Выполните следующие шаги настройки GPO который будет автоматически создавать некий профиль соединения VPN на ваших компьютерах удалённого клиента:

  1. Внутри своей Консоли Group Policy Management кликните правой кнопкой по своему новому применяемому к этой задаче GPO, и кликните Edit….

  2. Переместитесь в User Configuration | Preferences | Control Panel Settings.

  3. Кликните правой кнопкой по Network Options и выберите New | VPN Connection.


  4. Введите что- нибудь в своём поле Connection name для данного нового соединения VPN; это имя будет отображаться на компьютерах клиентов, а поле общедоступного IP address таких клиентских компьютеров нужно для соединения при удалённой работе. В зависимости от имеющихся потребностей для вашего определённого соединения VPN, вам также может понадобиться посещение дополнительных закладок доступных в этом экране для завершения ваших конкретных настроек. Затем кликните OK.


  5. Теперь зарегистрируйтесь на своём клиентском компьютере и кликните по иконке Network в лотке systray, в том самом месте, в которое вы кликаете при беспроводном подключении к сети. Вы можете отметить, что в процессе нашей регистрации на данном компьютере было добавлено новое VPN соединение с названием MyCompany VPN и оно теперь доступно для применения.


Как это работает…

В данном рецепте мы воспользовались Групповой политикой для автоматизации создания некоторого нового VPN соединения для нашего удалённого ноутбука. Применение GPO для чего- то подобного этому сохраняет время и усилия, так как вам больше не нужно настраивать эти соединения вручную в процессе построения нового ПК. Вы можете также использовать эту функцию для обновления существующих настроек VPN в дальнейшем если вам понадобится изменить IP адреса или что- нибудь подобное. Как вы можете начать понимать по ходу данного рецепта, существует множество различных вещей, которые можно осуществлять при помощи Групповой политики.

Создание соединения принтера Групповой политикой

Давайте предположим, что вы только что установили новый сетевой принтер в своём офисе. Вы выполнили настройку на нескольких компьютерах чтобы убедиться в том, что он работает надлежащим образом, однако теперь вы запускаете ряд за рядом компьютеры, которые хотели бы по возможности также печатать на этом принтере. Перспектива регистрации на каждом компьютере для запуска и прохода мастера создания принтера целиком не выглядит как тот способ, которым вы желаете провести свою ночь пятницы. Давайте снова рассмотрим что мы можем сделать при помощи Групповой политики для сохранения своего времени. Мы воспользуемся некоторым новым GPO который будет настроен на автоматическую установку такого нового принтера на всех рабочих местах клиентов.

Мы предполагаем, что вы уже создали свой новый GPO и подключили его соответственно с тем, чтобы только те компьютеры, которым требуется такой новый принтер, могли получать такие новые настройки GPO. Теперь мы собираемся воспользоваться Консолью управления Групповой политикой в своём первичном контроллере домена, который работает под управлением Windows Server 2016.

Как это сделать…

Чтобы настроить ваш новый GPO на создание нового принтера выполните следующие шаги:

  1. Внутри своей Консоли Group Policy Management кликните правой кнопкой по своему новому применяемому к этой задаче GPO, и кликните Edit….

  2. Переместитесь в User Configuration | Preferences | Control Panel Settings.

  3. Кликните правой кнопкой по Network Options и выберите New | TCP/IP Printer.


  4. Введите информацию, которая необходима для подключения данного принтера. Так как мы выбрали установку нового принтера TCP/IP, нам необходимо ввести что- то в его поля IP Address и Local Name для того, чтобы пользователи были в состоянии увидеть этот принтер в своём перечне. Я также собираюсь воспользоваться Set this printer as the default printer… only if a local printer is not present (Настроить этот принтер в качестве принтера по умолчанию… только в случае если отсутствует локальный принтер).


  5. Кликните OK и данный принтер будет распределён тем пользователям, которых вы отфильтровали под данный GPO.

Как это работает…

Применение Групповой политики для автоматизации регулярных задач ИТ имеет большой смысл для любых видов технологий. В данном рецепте мы построили простое подключение принтера чтобы вам не приходилось выполнять это вручную десятки раз на компьютерах, которым необходима возможность печатать на нём.

Применение групповой политики для усиления сервера Прокси интернет

Большинство сетевых сред значительного размера применяют прямой прокси сервер (сервер посредник) для фильтрации своего обмена в Интернете. Это существенный ящик, который расположен рядом с передним краем всей корпоративной сетевой среды; всякий раз, когда компьютеры клиентов в сетевой среде пытаются получить доступ во всемирный Интернет, их запросы пересылаются через этот сервер. Выполнение этого позволяет компаниям отслеживать использование Интернета, ограничивать возможности просмотра и ставить в тупик большую часть вредоносного программного обеспечения. При реализации сервера прокси один из основных вопросов всегда это «Как мы можем заставить пользоваться данным прокси?» Некоторые решения делают маршрутом по умолчанию такой прокси сервер с тем, чтобы весь обмен осуществлялся таким образом на сетевом уровне. Более часто, однако, бывает желательным для подобного прокси сервера настраиваться только на уровне браузера, так как может оказаться невозможным всему обмену протекать через такой прокси; только веб обмен имеющихся браузеров должен делать это.

Применяя Групповую политику для настройки прокси вашего Internet Explorer, эта задача будет автоматической и не требовать обслуживания персоналом. Это также обеспечит то, чтобы пользователи не имели возможности манипулировать данными полями в дальнейшем и вы сможете быть уверенными, что ваш веб обмен протекает через имеющийся прокси сервер как вы это предопределили.

Наш GPO уже был создан; теперь мы применяем Консоль управления Групповой политикой в своём Контроллере домена Server 2016 для установки настроек внутри данного GPO. Компьютер клиента Windows 10 также ожидает своего применения, так как мы хотим проверить этот GPO по окончанию настройки.

Как это сделать…

Выполните следующие шаги для повсеместной настройки прокси Интернета через Групповую политику:

  1. Внутри своей Консоли Group Policy Management кликните правой кнопкой по своему новому применяемому к этой задаче GPO, и кликните Edit….

  2. Переместитесь в User Configuration | Preferences | Control Panel Settings | Internet Settings.

  3. Кликните правой кнопкой по Network Options и выберите New | Internet Explorer 10.


    Совет

    Вам может понадобиться создание множества политик здесь если вы применяете на своих рабочих местах множество версий Internet Explorer.

  4. Вы обнаружите блок диалога, который выглядит в точности так же как обычные доступные в IE опции Internet. У вас здесь имеется возможность изменять многие из них, однако для наших текущих целей мы проследуем в закладку Connections.

  5. Кликните по кнопке LAN settings.

  6. Проверьте данный блок относительно Proxy server. Затем введите в поля Address Port значения для вашего конкретного сервера прокси.


  7. Кликните OK и ваши настройки будут помещены на своё место.

  8. Теперь зарегистрируйтесь на своём компьютере клиента и давайте посмотрим была ли успешно реализована информация данного прокси сервера. Запустим nternet Explorer и откроем Internet options.

  9. переместитесь в закладку Connections и кликните по кнопке LAN settings чтобы убедиться что настройки вашего прокси сервера были подключены надлежащим образом. Также отметьте что они теперь затенены серым, что показывает вам что они были осуществлены Групповой политикой и не могут изменяться вручную.

Как это работает…

Применение Групповой политики для назначения настроек Internet сервера прокси всем вашим клиентским компьютерам одним простым созданием GPO является другим примером лежащей в основе Групповой политики мощности. Такие возможности для централизованного администрирования присоединённых к вашему домену машин практически не имеют границ; вам только необходимо слегка углубиться и найти верное место внутри GPO для внесения изменений в свои настройки. Может быть у вас нет прокси сервера в сетевой среде и вам не требуется данный рецепт. Однако я призываю проделать обсуждавшиеся шаги и применить их к какой- либо используемой вами технологии. Я гарантирую, что любой работающий в ИТ найдёт внутри Групповой политики настройки, которые дадут ему преимущества! Пройдитесь по ним и отыщите то, что поможет вам сохранить время и средства!

Просмотр включённых в настоящий момент внутри GPO настроек

До сих пор мы создавали GPO и помещали в них настройки, поэтому мы достаточно осведомлены о том, что происходит с каждой из наших политик. Во многих случаях, однако, вы входите в новую среду, которая содержит массу существующих политик и вам может понадобиться определить что происходит в этих политиках. У меня имеется множество случаев, когда я устанавливал новый сервер, подключал его, а он падал. Это не обязательно было крутое пике, однако некоторые компоненты не работали как следует, либо я не мог направлять к нему сетевой обмен по какой- либо из причин. Иногда подобное этому могло быть очень трудно отслеживаемым. Так как проблемы обнаруживались в процессе присоединения к домену, я делал предположение, что некоторый вид существующих GPO применялся к моему новому серверу и это имело для него отрицательное влияние. Давайте заглянем вовнутрь Групповой политики простейшим способом отображения настроек, которые содержатся в каждом GPO.

Для данного рецепта нам необходим только доступ к Консоли управления Групповой политикой, которую я планирую запустить на своём сервере контроллера домена Server 2016.

Как это сделать…

Для быстрого просмотра содержащихся внутри некоторого GPO настроек выполните следующие шаги:

  1. В Контроллере домена откройте Диспетчер сервера и запустите Консоль Group Policy Management изнутри меню Tools (Средства).

  2. Раскройте имя своего домена, затем зайдите в его папку Group Policy Objects. Она отобразит все настроенные на текущий момент в вашем домене GPO.

  3. Кликните по одному из GPO чтобы вы могли наблюдать его разделы Links и Security Filtering в правой панели своего окна.

  4. Теперь кликните по закладке Settings рядом с верхней частью.

  5. Когда закладка Settings открыта, кликните по ссылке show all рядом с верхним краем. Это отобразит все имеющиеся настройки, установленные в данный момент внутри этого GPO.


Как это работает…

В данном очень простом примере мы воспользовались Консолью управления Групповой политикой чтобы просмотреть текущие установки, настроенные внутри нашей GPO. Это может быть очень полезным для проверки в уже существующих настройках и для сравнения их с тем, что в действительности настроено на компьютерах клиентов. Просмотр этой информации также может помочь вам определить потенциальные проблемы, такие как двойные настройки разделённые на несколько GPO.

Также ознакомьтесь…

Просмотр содержащихся в GPO настроек может быть полезен в процессе поиска неисправностей, однако существует множество других инструментов, которые могут дополнительно применяться при обнаружении неисправностей Групповой политики. Вот пара ссылок чтобы помочь вам понять рекомендуемые процедуры поиска неисправностей Групповой политики:

Просмотр назначенных в настоящий момент компьютеру GPO

Как только вы запустите Групповую политику распространять настройки по многим клиентским компьютерам, важной становится способность просматривать настройки и политики, которые были применены или наоборот, не применены, к конкретным компьютерам. К счастью, существует встроенная прямо в саму операционную систему Windows команда для отображения такой информации. Имеется множество различных переключателей, которые могут применяться вместе с этой командой, поэтому давайте исследуем некоторые из наиболее часто применяемых, которые я наблюдал используемыми администраторами сервера.

В настоящий момент у нас имеется ряд GPO; некоторые применены на верхнем уровне домена, а некоторые применяются только к конкретным Подразделениям (OU). Мы собираемся выполнить некоторые команды на своём веб сервере Server 2016 чтобы определить какие GPO были применены к нему, а какие нет.

Как это сделать…

Давайте воспользуемся командой gpresult для сбора некоторой информации о применённых к нашему серверу политиках:

  1. Зарегистрируйтесь на своём веб сервере, либо на компьютере клиента, на котором вы желаете рассмотреть эти результаты и откройте приглашение командной строки с правами администратора.

  2. Введите gpresult /r и нажмите Enter. Это отобразит все результирующие данные по каким- либо применённым, либо не применённым политикам в нашей системе. Вы можете пролистывать эту информацию для поиска нужных вам данных.


  3. Теперь давайте слегка очистим эти данные. Например, только что полученный нами вывод имеет информацию об обеих политиках, и о политиках компьютеров, и о политиках пользователей. Теперь мы желаем отобразить только политики, применённые на уровне User. Пройдите далее воспользовавшись командой gpresult /r /scope:user.


    Совет

    Вы можете применять либо переключатель /SCOPE:USER, либо переключатель /SCOPE:COMPUTER чтобы просматривать определённые политики своих пользователей или компьютеров применённые в данной системе.

  4. А если вы не являетесь гигантским поклонником просмотра этих данных через командную строку, нечего бояться! Существует другой переключатель которым можно воспользоваться для экспорта данных в формат HTML. Попробуйте следующую команду: gpresult /h c:\gpresult.html.

  5. После выполнения этой команды просотрите свой диск C: и вы должны иметь там некоторый файл с именем gpresult.html. Пройдите далее и откройте этот файл для просмотра данных gpresult в веб браузере с лучшим представлением и пониманием.


Как это работает…

Команда gpresult может применяться очень разнообразными способами для отображения информации о том, какие объекты Групповой политики и настройки были применены к вашему клиентскому компьютеру или серверу. Это может быть особенно полезно при попытках определить какие политики были применены и может оказаться ещё более полезным, когда вы стараетесь выяснить почему определённая политика не применилась. Если политика отклоняется из- за прав или полномочий, вы обнаружите это в выводе. Это вероятно будет означать, что вам следует что- то отрегулировать в своих Links или Security Filtering чтобы позволить данной политике успешно применяться к вашей машине. Однако, когда вы определили для себя воспользоваться этими данными, не забудьте поупражняться с командой gpresult и ознакомиться с её результатами, раз уж вы собираетесь выполнять администрирование своей среды при помощи Групповой политики.

Седует сделать ещё одно замечание о другой команде, которая очень часто применяется на практике. Подключённые к домену Windows машины обрабатывают настройки Групповой политики всякий раз только через некоторое время; по умолчанию они будут обновлять свои настройки и просматривать новые изменения политики каждые 90 минут. Если вы создали или изменили политики и заметили, что они ещё не были применены к вашим оконечным компьютерам, вы можете потусить пару часов и подождать применения этих изменений. Если вы желаете ускорить слегка данный процесс, вы можете зарегистрироваться на таком оконечном компьютере, сервере или чём- то ещё, что должно принять эти изменения и воспользоваться командой gpupdate /force. Это заставит данный компьютер повторно посетить Групповую политику и применить все изменения, которые там были осуществлены для него. Когда мы делаем изменения на площадке и не хотим тратить много времени для ожидания естественного осуществления их репликации, мы часто применяем gpupdate /force множество раз, так как мы осуществляем изменения и проходим процесс проверки.

Также ознакомьтесь…

Я рекомендую предпочесть gpresult для просмотра своих политик, которые в настоящий момент применены к некоторому компьютеру с которым я работаю, однако это не единственный способ. Вы также можете пожелать проверить RSOP.MSC. Это инструмент, который можно запустить чтобы просмотреть более визуально стимулированную версию применённых к вашему компьютеру политик и настроек. Для ознакомления с подробностями, пройдите по следующей ссылке:

Резервное копирование и восстановление GPO

как и в случае с любыми фрагментами данных в вашей организации, хорошей мыслью будет хранить резервные копии ваших GPO. Сохранение таких копий в отдельности от полного Контроллера домена или полной резервной копии Active Directory может иметь преимущества, так как оно делает возможным более быстрое восстановление конкретного GPO в случае внезапного удаления. Или, может так случиться, что вы обновите свой GPO, однако выполненные вами изменения теперь вызывают проблемы и вы бы хотели откатить эту политику обратно чтобы обеспечить её настроенной так, как это было вчера. Какой бы ни была причина резервного копирования и восстановления GPO, давайте рассмотрим пару способов выполнения каждой из задач. Мы воспользуемся своей Консолью управления Групповой политикой для осуществления этих функций, а также выясним как выполнять те же самые резервное копирование и восстановление при помощи PowerShell.

Мы намереваемся выполнить эти задачи в контроллере домена Windows Server 2016 в нашей среде. Мы воспользуемся и Консолью управления Групповой политикой, и командной строкой PowerShell.

Как это сделать…

В нашем домене имеется GPO с названием Map Network Drives. Вначале мы воспользуемся Консолью управления Групповой политикой для резервного копирования и восстановления этого GPO:

  1. В меню Диспетчера сервера Tools (Средства) откройте Консоль Group Policy Management.

  2. Переместитесь в Forest | Domains | Your Domain Name | Group Policy Objects.

  3. Если мы желаете выполнить резервную копию отдельного GPO, вы просто кликаете правой кнопкой по такому конкретному GPO и выбираете Back Up…. В противном случае, может оказаться для нас более практичным осуществить резервное копирование всего набора GPO. Чтобы сделать это, кликните правой кнопкой по папке Group Policy Objects и затем выберите Back Up All….


  4. Определите местоположение, куда вы хотите сохранять свои резервные копии и сделайте описание для такого набора резервной копии. Затем кликните Back Up.


  5. Когда процесс резервного копирования завершится, вы должны обнаружить состояние того, сколько GPO было резервно скопировано.


Теперь давайте попробуем выполнить то же самое полное резервное копирование GPO, однако на этот раз применим PowerShell:

  1. Откройте приглашение PowerShell с правами администратора.

  2. Воспользуйтесь следующей командой:

    
    Backup-GPO -Path C:\GPO_Backups_PowerShell -All
     	   

Теперь у нас имеется полная резервная копия всех GPO, давайте попробуем восстановить GPO c названием Map Network Drives.

  1. Переместитесь обратно в Консоль Group Policy Management и отыщите в ней папку Group Policy Objects. То же самое местоположение вы использовали для резервного копирования минуту назад.

  2. Кликните правой кнопкой по своему GPO Map Network Drives и выберите Restore from Backup….


  3. Кликните Next и определите папку, в которой сохранены ваши файлы резервных копий. Затем вновь кликните кнопку Next.

  4. Поскольку резервная копия вашего GPO Map Network Drives присутствует в данной папке, вы обнаружите её в своём мастере. Выберите этот GPO и кликните Next.


  5. Кликните Finish и ваш GPO будет восстановлен в своё предыдущее состояние.

Теперь мы восстановим тот же самый GPO Map Network Drives, но на этот раз применим PowerShell следующим образом:

  1. Проследуйте в приглашение PowerShell с правами администратора.

  2. Воспользуйтесь следующей командой для восстановления предыдущей версии данного GPO из его резервной копии, которую мы создали ранее:

    
    Restore-GPO -Name "Map Network Drives" -Path C:\GPO_Backups_PowerShell
     	   

    Совет

    Вместо того, чтобы набирать в данной команде название требуемого GPO, вы можете вместо этого определить GUID данной политики. Хотя это значение обычно и немного длиннее самого имени, именно такую тенденцию я наблюдаю более предпочитаемой администраторами для применения именования своей политики. Например, GUID нашего GPO Map Network Drives имеет значение 77eed750-de8e-44e9-9649-96cab2f2abdc.

Как это работает…

Резервное копирование и восстановление GPO является обычной задачей всякого администратора Active Directory и Групповой политики. В данном рецепте мы прошли через каждый из этих процессов, применив пару различных инструментов для каждой из процедур. Консоль управления Групповой политикой прекрасна благодаря своему графическому интерфейсу и простоте просмотра доступных вам параметров. Однако, зачастую PowerShell является более предпочтительным, так как он может быть автоматизирован (подумайте о резервном копировании по расписанию). Он также предоставляет средства удалённого исполнения таких команд с другой машины внутри вашей сетевой среды.

Также ознакомьтесь…

Вот некоторые ссылки, для более расширенной информации о cmdlet PowerShell, которые мы применяли в данном рецепте:

Стыковка с шаблонами ADMX и ADML

Иногда вы можете обнаруживать себя в том положении, что вы следуете руководству по установке или определённой статье, которые определяют вам инструкции для настройки определённых свойств внутри некоторого GPO. Однако, когда для вас наступает время взглянуть на эти опции, они отсутствуют. Как это возможно, если документация отчётливо показывает что данные опции присутствуют внутри Групповой политики. Существует магия файлов ADMX и ADML. Многие настойки и установки имеются внутри Групповой политики прямо в основной поставке, однако некоторые технологии строятся дополнительных установках или полях внутри GPO, которые по умолчанию отсутствуют. Когда такое происходит, подобные технологии будут содержать файлы, которые могут быть помещены вовнутрь вашего Контроллера домена. Эти файлы затем автоматически импортируются Групповой политикой, а их установки затем возникнут в обычных инструментах изменения GPO. Наиболее коварной частью в выполнении этого заключается в выяснении того, где же должны находится файлы ADMX и ADML чтобы они были видны и могли импортироваться Групповой политикой. Давайте выведем это вместе.

Я постоянно выполняю это при настройке Active Directory. Имеются специализированные инструменты, которые вы можете установит на своём компьютере Windows 7 которые сообщат вам некоторую информацию о соединении DirectAccess, однако эти инструменты необходимо настраивать через GPO. Проблема же состоит в том, что эти установки по умолчанию отсутствуют внутри Групповой политики. Поэтому Microsoft включил в файлы этих загружаемых инструментов файлы ADMХ и ADMLX, причём оба должны быть подключены к Групповой политике. Мы уже загрузили этот инструмент с названием Ассистент связей DirectAccess (DirectAccess Connectivity Assistant) и у меня имеются файлы ADMХ и ADMLX, расположенные на жёстком диске моего контроллера домена. Работа, которую нам необходимо осуществить, будет выполняться на данном контроллере домена DC1.

Как это сделать…

Чтобы поместить настройки из файлов ADMХ и ADMLX в Групповую политику, выполните следующее:

  1. Скопируйте файл ADMX в C:\Windows\PolicyDefinitions в своём контроллере домена, в моём случае имя файла DirectAccess_Connectivity_Assistant_2_0_GP.admx.

  2. Скопируйте файл ADML в C:\Windows\PolicyDefinitions\en-US в своём контроллере домена, в моём случае имя файла DirectAccess_Connectivity_Assistant_2_0_GP.adml.


  3. Теперь просто откройте внутри Диспетчера сервера Group Policy Management Console.

  4. Изменит тот GPO, который вам нужно при помощи данных новых установок, и вы можете обнаружить некоторые совершенно новые доступные нам установки внутри, которых не было пять минут назад! Эти установки отображены для нас внутри Computer Configuration | Policies | Administrative Templates.


Как это работает…

Вы можете импортировать новы опции установок и настроек в Групповую политику взяв файлы ADMХ и ADMLX и поместив их в надлежащие папки своего сервера контроллера домена. То, по чему мы только что прошлись, является примером того, как осуществлять данную задачу в отдельном контроллере домена, однако что произойдёт, если в вашей среде имеется множество контроллеров домена? Должны ли вы копировать эти файлы на каждый сервер? Нет, это не тот способ, о котором вы должны позаботиться. В среде, которая имеет множество контроллеров домена, вместо этого, файлы ADMХ и ADMLX должны быть размещены внутри чего- то с названием Active Directory Central Store (Центральное хранилище Active Directory). Вместо того, чтобы копировать файлы ADMХ и ADMLX в их местоположение на диске C:, откройте File Explorer и переместитесь в \\<DOMAIN_NAME>\SYSVOL\<DOMAIN_NAME>\Policies\PolicyDefinitions. Это местоположение Центрального хранилища будет реплицировано на все ваши контроллеры домена. Просто поместите необходимые файлы здесь вместо своего локального диска, и ваши новые установки станут затем доступными внутри консоли Групповой политики в ваших контроллерах домена.

Управление групповой политикой

Group Policy — это технология управления Active Directory для Windows, которая обеспечивает централизованное управление параметрами конфигурации. Хотя это не единственное доступное решение для управления — также можно использовать PowerShell Desired State Configuration (DSC) и Mobile Device Management (MDM), но групповая политика является рекомендуемой технологией для клиентских устройств, присоединенных к домену, поскольку она обеспечивает более детальный контроль, чем другие решения.

Консоль управления групповой политикой

Параметры групповой политики

настраиваются в объектах групповой политики (GPO).Вы можете связать GPO с доменами, сайтами и организационными единицами (OU). Для еще большего контроля объекты групповой политики могут применяться в соответствии с результатами фильтров инструментария управления Windows (WMI), хотя фильтры WMI следует использовать с осторожностью, поскольку они могут значительно увеличить время обработки политики.

Консоль управления групповой политикой (GPMC) — это встроенный инструмент администрирования Windows, который позволяет администраторам управлять групповой политикой в ​​лесу Active Directory и получать данные для устранения неполадок групповой политики.Вы можете найти консоль управления групповой политикой в ​​меню «Инструменты» Microsoft Windows Server Manager. Не рекомендуется использовать контроллеры домена для повседневных задач управления, поэтому вам следует установить средства удаленного администрирования сервера (RSAT) для вашей версии Windows.

Установка консоли управления групповой политикой

Если вы используете Windows 10 версии 1809 или более поздней, вы можете установить GPMC с помощью приложения «Настройки»:

  1. Откройте приложение «Настройки», нажав WIN + I.
  2. Щелкните Приложения в настройках Windows.
  3. Щелкните Управление дополнительными функциями .
  4. Нажмите + Добавить объект .
  5. Щелкните RSAT: Инструменты управления групповой политикой , а затем щелкните Установить .

Рисунок 1. Установка консоли управления групповой политикой с помощью интерфейса приложения «Настройка»

Если вы используете старую версию Windows, вам необходимо загрузить нужную версию RSAT с веб-сайта Microsoft.

Для удобства вы можете также установить диспетчер сервера. Но если вы решите не делать этого, вы можете добавить GPMC в консоль управления Microsoft (MMC) и сохранить консоль.

Использование консоли управления групповой политикой

Каждый домен AD имеет два объекта групповой политики по умолчанию:

  • Политика домена по умолчанию , которая связана с доменом
  • Политика контроллеров домена по умолчанию , которая связана с OU
  • контроллера домена

Вы можете увидеть все объекты групповой политики в домене, щелкнув контейнер объектов групповой политики на левой панели консоли управления групповыми политиками.

Рисунок 2. Интерфейс консоли управления групповыми политиками

Создать новый объект групповой политики

Не изменяйте ни политику контроллеров домена по умолчанию, ни политику домена по умолчанию . Лучший способ добавить свои собственные параметры — создать новый объект групповой политики. Есть два способа создать новый объект групповой политики:

  • Щелкните правой кнопкой мыши домен, сайт или подразделение, с которым вы хотите связать новый объект групповой политики, и выберите Создать объект групповой политики в этом домене и связать его здесь… Когда вы сохраните новый объект групповой политики, он будет немедленно связан и включен .
  • Щелкните правой кнопкой мыши контейнер объектов групповой политики и выберите в меню New . Вам нужно будет вручную связать новый объект групповой политики, щелкнув правой кнопкой мыши домен, сайт или подразделение и выбрав Связать существующий объект групповой политики . Вы можете сделать это в любое время.

Независимо от того, как вы создаете новый объект групповой политики, в диалоговом окне «Новый объект групповой политики» необходимо указать имя объекта групповой политики и выбрать его основу для существующего объекта групповой политики. См. Следующий раздел для получения информации о других параметрах.

Редактировать объект групповой политики

Чтобы изменить объект групповой политики, щелкните его правой кнопкой мыши в консоли управления групповыми политиками и выберите в меню Изменить .Редактор управления групповой политикой Active Directory откроется в отдельном окне.

Рисунок 3. Интерфейс редактора управления групповыми политиками

GPO делятся на настройки компьютера и пользователя. Параметры компьютера применяются при запуске Windows, а параметры пользователя применяются при входе пользователя в систему. При фоновой обработке групповой политики параметры применяются периодически, если в объекте групповой политики обнаружено изменение.

Политики и предпочтения

Настройки пользователя и компьютера дополнительно разделены на Политики и Предпочтения:

  • Политики не «татуируют» реестр — когда параметр в объекте групповой политики изменяется или объект групповой политики выходит за рамки, параметр политики удаляется и вместо него используется исходное значение.Параметры политики всегда заменяют параметры конфигурации приложения и будут выделены серым цветом, чтобы пользователи не могли их изменить.
  • Предпочтения по умолчанию татуируют реестр, но это поведение можно настроить для каждого параметра предпочтения. Предпочтения перезаписывают параметры конфигурации приложения, но всегда позволяют пользователям изменять элементы конфигурации. Многие из настраиваемых элементов в предпочтениях групповой политики могут быть ранее настроены с помощью сценария входа в систему, например, сопоставление дисков и конфигурация принтера.

Вы можете развернуть Политики или Предпочтения, чтобы настроить их параметры. Затем эти настройки будут применены к компьютерам и пользовательским объектам, попадающим в область действия GPO. Например, если вы свяжете новый объект групповой политики с подразделением контроллера домена, настройки будут применены к объектам компьютеров и пользователей, расположенным в этом подразделении и любых дочерних подразделениях. Вы можете использовать параметр «Блокировать наследование» на сайте, в домене или подразделении, чтобы запретить применение объектов групповой политики, связанных с родительскими объектами, к дочерним объектам.Вы также можете установить флаг «Принудительно» для отдельных объектов групповой политики, который переопределяет параметр «Блокировать наследование» и любые элементы конфигурации в объектах групповой политики, которые имеют более высокий приоритет.

Приоритет GPO

Несколько объектов групповой политики могут быть связаны с доменами, сайтами и подразделениями. Если щелкнуть один из этих объектов в консоли управления групповыми политиками, справа на вкладке «Связанные объекты групповой политики» появится список связанных объектов групповой политики. Если существует более одного связанного объекта групповой политики, объекты групповой политики с более высоким порядковым номером имеют приоритет над параметрами, настроенными в объектах групповой политики с меньшим номером.

Вы можете изменить порядковый номер ссылки, щелкнув объект групповой политики и используя стрелки слева, чтобы переместить его вверх или вниз. На вкладке «Наследование групповой политики» будут показаны все примененные объекты групповой политики, в том числе унаследованные от родительских объектов.

Рисунок 4. Информация обо всех применяемых объектах групповой политики в GPMC

Расширенное управление групповой политикой

Advanced Group Policy Management (AGPM) доступен как часть пакета Microsoft Desktop Optimization Pack (MDOP) для клиентов Software Assurance.В отличие от GPMC, AGPM — это клиент-серверное приложение, в котором серверный компонент хранит объекты групповой политики в автономном режиме, включая историю для каждого объекта групповой политики. Объекты групповой политики, управляемые AGPM, называются управляемыми объектами групповой политики, потому что они управляются службой AGPM, и администраторы могут регистрировать их на входе и выходе, так же, как вы можете проверять файлы или код на входе и выходе из GitHub или системы управления документами.

AGPM обеспечивает больший контроль над объектами групповой политики, чем это возможно с помощью GPMC. Помимо обеспечения контроля версий, он позволяет вам назначать роли, такие как рецензент, редактор и утверждающий, администраторам групповой политики, что помогает реализовать строгий контроль изменений на протяжении всего жизненного цикла GPO.Аудит AGPM также позволяет лучше понять изменения групповой политики.

ИТ-консультант и автор, специализирующийся на технологиях управления и безопасности. Рассел имеет более чем 15-летний опыт работы в ИТ, он написал книгу по безопасности Windows и стал соавтором текста для серии официальных академических курсов Microsoft (MOAC).

Создание объекта групповой политики (Windows 10) — безопасность Windows

  • 2 минуты на чтение

В этой статье

Относится к

  • Окна 10
  • Windows Server 2016

Чтобы создать новый объект групповой политики, используйте оснастку MMC «Пользователи и компьютеры Active Directory».

Учетные данные администратора

Для выполнения этой процедуры вы должны быть членом группы администраторов домена или получить другие разрешения на создание новых объектов групповой политики.

Для создания нового объекта групповой политики

  1. Откройте консоль управления групповой политикой.

  2. На панели навигации разверните Лес: YourForestName , разверните Домены , разверните YourDomainName , а затем щелкните Объекты групповой политики .

  3. Щелкните Action , а затем щелкните New .

  4. В текстовом поле Имя введите имя нового объекта групповой политики.

    Примечание

    Обязательно используйте имя, которое четко указывает цель GPO. Проверьте, есть ли в вашей организации соглашение об именах для объектов групповой политики.

  5. Оставьте Source Starter GPO равным (нет) , а затем нажмите OK .

  6. Если ваш GPO не будет содержать никаких пользовательских настроек, вы можете повысить производительность, отключив раздел User Configuration GPO.Для этого выполните следующие действия:

    1. На панели навигации щелкните новый объект групповой политики.

    2. На панели сведений щелкните вкладку Подробности .

    3. Изменить статус объекта групповой политики с на Параметры конфигурации пользователя отключены .

Редактор локальной групповой политики | Документы Microsoft

  • 2 минуты на чтение

В этой статье

Применимо к: Windows Server 2012 R2

Local Group Policy Editor — это оснастка консоли управления Microsoft (MMC), которая используется для настройки и изменения параметров групповой политики в объектах групповой политики (GPO).

Администраторы должны иметь возможность быстро изменять параметры групповой политики для нескольких пользователей и компьютеров в сетевой среде. Редактор локальной групповой политики предоставляет администраторам иерархическую древовидную структуру для настройки параметров групповой политики в объектах групповой политики. Затем эти объекты групповой политики можно связать с сайтами, доменами и организационными единицами (OU), которые содержат объекты компьютеров или пользователей.

Редактор локальной групповой политики состоит из двух основных разделов:

Конфигурация пользователя Сохраняет настройки, применяемые к пользователям (при входе в систему и во время периодического фонового обновления),

Конфигурация компьютера Содержит настройки, применяемые к компьютерам (при запуске и во время периодического фонового обновления).

Эти разделы далее подразделяются на различные типы политик, которые можно установить, такие как административные шаблоны, безопасность и перенаправление папок.

Для эффективной работы администраторам необходим немедленный доступ к информации о функциях и назначении отдельных параметров политики. Для параметров политики административных шаблонов редактор локальной групповой политики предоставляет информацию о каждом параметре политики непосредственно в веб-представлении консоли. Эта информация показывает требования к операционной системе, определяет параметр политики и включает любые конкретные сведения о влиянии включения или отключения параметра политики.

Кроме того, разработчики должны иметь возможность быстро и легко добавлять поддержку групповой политики в свои программные продукты. Редактор локальной групповой политики разработан с возможностью расширения. Самый простой способ для разработчиков расширить редактор локальной групповой политики для своих приложений — это написать файлы настраиваемых административных шаблонов, которые они могут добавить в редактор локальной групповой политики.

Используйте редактор локальной групповой политики

Следующие процедуры объясняют, как открыть редактор локальной групповой политики из командной строки или как оснастку MMC.

Чтобы открыть редактор локальной групповой политики из командной строки

  • На экране Start щелкните стрелку Apps . На экране Apps введите gpedit.msc , а затем нажмите ENTER .

Чтобы открыть редактор локальной групповой политики в виде оснастки

  1. На экране Start щелкните стрелку Apps . На экране Apps введите mmc , а затем нажмите ENTER .

  2. В меню Файл щелкните Добавить / удалить оснастку .

  3. В диалоговом окне Добавить или удалить оснастки щелкните Редактор локальной групповой политики , а затем щелкните Добавить .

  4. В диалоговом окне Select Group Policy Object нажмите Browse .

  5. Щелкните Этот компьютер , чтобы изменить объект локальной групповой политики, или щелкните Другой компьютер , чтобы изменить объект локальной групповой политики для другого компьютера.Щелкните Пользователи , чтобы изменить объекты локальной групповой политики с правами администратора, без прав администратора или для отдельных пользователей.

  6. Нажмите Готово .

Примечание

Если вы хотите сохранить консоль редактора локальной групповой политики и выбрать, какой GPO будет в ней открываться, из командной строки: В диалоговом окне «Выбор объекта групповой политики » установите флажок « Разрешить изменение фокуса оснастки групповой политики при запуске из командной строки ».

Как установить инструменты консоли управления групповой политикой (GPMC) на Windows Server 2019

Фон управления групповой политикой

В прошлых версиях Windows Server инструменты, используемые для управления групповой политикой, стали более зрелыми, и их названия со временем менялись. Первоначально управление групповой политикой осуществлялось с помощью инструментов Active Directory. Затем был выпущен специальный инструмент управления групповой политикой под названием Консоль управления групповой политикой (GPMC), который заменил функциональность групповой политики в инструментах Active Directory.В Windows Server 2019 инструменты управления групповыми политиками называются просто «Управление групповыми политиками».

Предварительные требования для установки консоли управления групповыми политиками (GPMC)

Вам потребуется компьютер под управлением Windows Server 2019 с установленными «Графическими средствами управления и инфраструктурой» для установки средств управления Active Directory с использованием графического пользовательского интерфейса Диспетчера серверов.

Инструкции по установке Group Policy Management

Чтобы установить средства управления групповой политикой (GPMC) на Windows Server 2019, следуйте этим инструкциям.

  1. Откройте панель мониторинга диспетчера серверов Windows Server 2019. Если диспетчер сервера не запускается по умолчанию, нажмите клавиши «Windows + R», введите «servermanager» в поле «Открыть» и нажмите «Enter» или нажмите кнопку «ОК».
  2. В главном окне диспетчера сервера щелкните «Добавить роли и компоненты».
  3. В «Мастере добавления ролей и компонентов» в разделе «Тип установки» установите переключатель «Установка на основе ролей или функций» и нажмите «Далее».
  4. В «Мастере добавления ролей и компонентов» в разделе «Выбор сервера» установите переключатель «Выбрать сервер из пула серверов», выберите сервер, на котором вы хотите установить инструменты консоли управления групповой политикой (GPMC), и нажмите «Далее». ”
  5. В «Мастере добавления ролей и компонентов» в разделе «Роли сервера» нажмите «Далее».
  6. В «Мастере добавления ролей и компонентов» в разделе «Функции» прокрутите вниз и отметьте «Управление групповой политикой».Нажмите «Далее». Если будет предложено установить какие-либо вспомогательные роли, примите значения по умолчанию и продолжите.
  7. В «Мастере добавления ролей и компонентов» на странице «Подтверждение» нажмите «Установить», чтобы начать установку инструментов управления групповой политикой.
  8. Начнется установка средств управления групповой политикой, и будет отображаться ход ее выполнения. Эта установка не требует перезапуска сервера.
  9. Инструменты управления групповой политикой теперь можно найти в меню «Инструменты» в «Диспетчере сервера».

Как создать GPO в Windows Server 2019.

Привет, в сегодняшнем посте мы рассмотрим объекты групповой политики в Windows Server 2019. Объект Group Police — это набор политик, которые можно создавать в различных областях сервера. Кроме того, эти правила направлены на достижение ряда целей. Например, чтобы запретить пользователям выполнять действие. Или также, чтобы компьютеры вырабатывали автоматические действия. Следовательно, это отличный инструмент для управления корпоративной средой при использовании Windows Server.Точно так же эти политики могут применяться ко всему домену или к организационной единице. Таким образом можно ограничить доступ к определенным параметрам. Или установите специальную конфигурацию на всех клиентских компьютерах. По этой причине сегодня мы увидим, как создать GPO в Windows Server 2019.

Предварительные требования

  • Локальная сеть должна быть структурирована в Active Directory. То есть, по крайней мере, на одном из серверов должна быть установлена ​​Active Directory. Чтобы узнать, как это сделать, прочтите этот пост.
  • Управляемые компьютеры должны быть связаны с доменом. Кроме того, их пользователи должны использовать свои учетные данные домена для входа на компьютеры.
  • Вам необходимы разрешения для редактирования групповой политики в вашем домене. Следовательно, пользователь должен входить в группу администраторов политики.

Давайте создадим объект Group Police на Windows Server 2019

В первую очередь войдите в Dashboard Server. Оказавшись там, нажмите Инструменты .Затем щелкните Диспетчер групповой политики .

Войдите в диспетчер групповой политики.

Сразу откроется окно с менеджером групповой политики. Обратите внимание, что эти шаги просты, но их следует выполнять в их порядке. Ну а в левом столбце необходимо выбрать ранее созданный лес. Сразу ниже — назначенный домен. Щелкните его правой кнопкой мыши и выберите вариант: Создать объект групповой политики в этом домене и связать его здесь.

Создание объекта групповой политики в домене

Затем назначьте объекту групповой политики желаемое имя.

Назовите объект групповой политики по своему усмотрению.

Наконец, вы можете увидеть фактически созданный объект групповой политики. Кроме того, вы можете увидеть все сделанные настройки.

Заключение

Таким простым способом мы увидели, как создать объект групповой политики на Windows Server. Этот инструмент — отличный вариант для управления несколькими компьютерами, подключенными к каталогу. Это позволяет назначать задачи и общее поведение. Таким образом, вам не придется настраивать каждый компьютер индивидуально. В следующих публикациях мы продолжим углубляться в эти политики.Хорошо, на этом пока все. До скорого!

AEG: Как создать и связать GPO в Active Directory :: AEG: Как создать и связать GPO в Active Directory :: GlobalSign Support

AEG: как создать и связать объект групповой политики в Active Directory

AEG: как создать и связать объект групповой политики в Active Directory

Введение

Эта статья расскажет, как создать и связать групповую политику в Active Directory. Если это не то решение, которое вы ищете, поищите его в строке поиска выше.

Руководящие принципы

Создание объекта групповой политики — довольно простая задача, если вы знаете, какие параметры нужно изменить и как применить их к конечным точкам, на которые вы пытаетесь повлиять. Эти инструкции должны быть выполнены пользователем, который является членом группы владельцев-создателей групповой политики, на контроллере домена с управлением групповой политикой.

  1. Откройте Управление групповой политикой, перейдя в меню «Пуск» > Инструменты администрирования Windows , затем выберите Управление групповой политикой .

  2. Щелкните правой кнопкой мыши Объекты групповой политики , затем выберите Новый , чтобы создать новый объект групповой политики.

  3. Введите имя для нового объекта групповой политики, чтобы вы могли легко определить, для чего он нужен, затем нажмите OK .

  4. Выберите GPO из списка объектов групповой политики , затем в разделе Security Filtering добавьте и удалите пользователей, группы и компьютеры, к которым должен применяться GPO.

  5. Щелкните правой кнопкой мыши объект групповой политики и выберите Изменить .Измените любую политику, которую вы хотите применить, в Конфигурации компьютера и \ или пользователя. По завершении закройте редактор GPO.
    Примечание. Проверьте раздел «Политики открытого ключа», чтобы узнать, как настроить политики для AEG.

  6. Теперь объект групповой политики создан, но вам все еще нужно связать его. Найдите подразделение или домен, к которому вы хотите применить GPO, затем щелкните его правой кнопкой мыши и выберите Link an Existing GPO …, затем выберите свой GPO из списка и нажмите OK .

Примечание. Наследование определяет, какой GPO будет иметь приоритет над настройками другого. Уровни, к которым могут применяться объекты групповой политики, от самого низкого до самого высокого приоритета:

  • Локальный — это политики, применяемые локально к системе и пользователю.
  • Сайт — политики, применяемые ко всему, что является членом сайта, переопределят параметры, настроенные на локальном уровне.
  • Домен — параметры в объектах групповой политики, связанных с доменом, переопределяют параметры, настроенные в объекте групповой политики, который связан на локальном уровне и на уровне сайта.
  • Организационная единица — связанные здесь объекты групповой политики будут иметь приоритет над любыми другими объектами групповой политики, кроме тех, которые связаны с подчиненным подразделением или объектом групповой политики, помеченным как принудительно.
  • Принудительный — Принудительный объект групповой политики переопределит настройки всех других объектов групповой политики, если он не заблокирован с помощью блочного наследования.

Как создать и связать объект групповой политики в Active Directory

В этом Спросите администратора я покажу вам, как создать объект групповой политики (GPO) в Active Directory и связать его с сайтом, доменом или организационной единицей (OU).

Групповая политика

была представлена ​​в Windows 2000 как часть Active Directory, заменив системные политики Windows NT. Групповая политика — это мощный инструмент, который может снизить общую стоимость владения, помогая ИТ-специалистам поддерживать стандартные параметры конфигурации на серверах и клиентах. Хотя PowerShell Desired State Configuration (DSC) может узурпировать групповую политику в какой-то момент в будущем в качестве предпочтительного инструмента конфигурации, в настоящее время групповая политика является ключевым инструментом для поддержки любого домена AD.

Создание нового объекта групповой политики

Консоль управления групповой политикой (GPMC) по умолчанию присутствует на контроллерах домена или может быть установлена ​​как часть средств удаленного администрирования сервера (RSAT) на рядовых серверах или клиентских устройствах. Дополнительные сведения об установке RSAT см. В разделе Инструменты удаленного администрирования сервера (RSAT) для Windows 8: загрузка и установка в базе знаний Petri IT.

Свяжите диспетчер объектов групповой политики в GPMC (Изображение предоставлено Расселом Смитом)

После того, как вы определили, с какого устройства вы собираетесь запускать GPMC, вам необходимо запустить GPMC или войти в систему с учетной записью пользователя, имеющей разрешение для создания новых объектов групповой политики (GPO).Хотя это не лучшая практика, для целей этой статьи я буду входить в контроллер домена (DC) Windows Server 2012 R2, используя учетную запись администратора домена.

  • Независимо от того, используете ли вы Windows 8.1 или Windows Server 2012 R2, переключитесь на экран Start , введите управление групповой политикой и выберите Group Policy Management в результатах поиска.
  • Если вам нужно запустить GPMC с альтернативными учетными данными, убедитесь, что Управление групповой политикой выбрано в результатах поиска, нажмите CTRL + SHIFT + ENTER , а затем введите имя пользователя и пароль.
  • На левой панели консоли управления групповыми политиками разверните свой лес AD, Домены , а затем домен, в котором вы хотите создать новый объект групповой политики, если у вас есть несколько вариантов на выбор.
  • В своем домене щелкните правой кнопкой мыши Объекты групповой политики и выберите в меню Новый .
  • В диалоговом окне New GPO присвойте GPO имя и нажмите OK .
  • Разверните контейнер Объекты групповой политики на левой панели, щелкните правой кнопкой мыши новый объект групповой политики и выберите в меню Изменить .

Откроется окно редактора управления групповой политикой . В этом примере я собираюсь настроить поддержку KDC для утверждений, комплексной аутентификации и настройки защиты Kerberos , которая может быть расположена в Computer Configuration > Policies > Administrative Templates > System > KDC , на левой панели окна редактора.

  • На левой панели окна редактора управления групповой политикой перейдите к расположению параметра, который вы хотите изменить.
  • После того, как вы нашли местоположение, дважды щелкните параметр на правой панели, а затем отметьте Включено в диалоговом окне.
  • Иногда есть дополнительные параметры, и в этом примере мне нужно выбрать Поддерживается из раскрывающегося меню в диалоговом окне настроек.
  • По завершении нажмите ОК и закройте окно редактора управления групповой политикой .

Связать объект групповой политики

Теперь у нас есть объект групповой политики с настроенным параметром, давайте свяжем его в иерархии AD.Я хочу применить настроенный мной параметр ко всем контроллерам домена в моем домене.

  • В консоли управления групповыми политиками щелкните правой кнопкой мыши OU Domain Controllers в разделе Domains и выберите в меню Link an Existing GPO… .
  • В диалоговом окне Select GPO в разделе Group Policy Objects выберите GPO, который вы хотите связать, и нажмите OK .
  • Теперь нажмите Контроллеры домена OU на левой панели.

На правой панели вы увидите новый объект групповой политики в списке.Объекты групповой политики с более высоким порядковым номером, то есть те, которые расположены выше в списке, имеют приоритет над объектами с меньшими номерами. Вы можете связать объекты групповой политики с сайтами и доменами AD так же, как их можно связать с подразделениями. Параметры GPO будут применяться к объектам AD, попадающим в область действия, то есть в этом примере к любым учетным записям компьютеров, расположенным в подразделении контроллеров домена .

Petri.com каждую пятницу публикует статьи о глубоких технологиях от MVP и наших собственных экспертов. Подпишитесь на этот еженедельный информационный бюллетень, наполненный самыми впечатляющими Петри.com статьи с той недели.

Petri.com может использовать вашу контактную информацию для предоставления обновлений, предложений и ресурсов, которые могут вас заинтересовать. Вы можете отписаться в любое время. Чтобы узнать больше о том, как мы управляем вашими данными, вы можете прочитать нашу Политику конфиденциальности и Условия использования.

Добавить комментарий

Ваш адрес email не будет опубликован.