Использование групповая политика для настройки клиентских компьютеров членов домена

Результирующий набор инструментов политики

Самый простой способ увидеть все параметры групповой политики, которые вы применили к компьютеру или учетной записи пользователя, – использовать инструмент «Результирующий набор политик».

Он не покажет последнюю политику, примененную к вашему компьютеру, – для этого вам нужно будет использовать командную строку, как мы опишем в следующем разделе. Тем не менее, он показывает практически все политики, которые вы настроили для регулярного использования. И предоставляет простой графический интерфейс для просмотра параметров групповой политики, действующих на вашем ПК, независимо от того, входят ли эти параметры в групповую политику или локальную групповую политику.

Чтобы открыть инструмент, нажмите «Поиск», введите «rsop.msc» → нажмите на предложенный вариант.

Инструмент «Результирующий набор политик» начнёт сканирование вашей системы на примененные параметры групповой политики.

После того, как сканирование будет выполнено, инструмент покажет вам консоль управления, которая очень похожа на редактор локальной групповой политики, за исключением того, что она отображает только использованные параметры и несколько неустановленных настроек безопасности.

Это позволяет легко просматривать и видеть, какие политики действуют

Обратите внимание, что вы не можете использовать инструмент «Результирующая политика» для изменения этих параметров. Вы можете дважды щелкнуть параметр, чтобы просмотреть детали, но если вы хотите отключить или внести изменения в параметр, вам придется использовать редактор локальных групповых политик

Ошибка vmware player and device/credential guard are not compatible что это и как исправить? |

После очередных обновлений от   Windows 10 у многих пользователей VM Ware Workstation при первом запуске созданной VM возникает вот такая ошибка.  В окошке размещена ссылка на базу знаний WM Ware по этой проблеме. В базе знаний я нашел видео и ответы, как решить проблему, но все на английском языке.

Разобравшись, я решил написать это дополнение к  своим статьям о виртуальных машинах. Ошибка появляется при попытке запуска любой из виртуальных машин на последних редакциях «десятки». Связано это с политиками безопасности и доступа к ядру, которые обновили разработчики, якобы для той же самой безопасности.

На деле  они просто продвигают свою Hyper-V, потому как получается, что вы будете пользоваться либо Hyper -V, либо VM Ware Workstation Pro. Хотя, не исключено,что в более поздних версиях разрабы учтут этот баг и гипервизор будет работать без ошибок. Итак, что нам рекомендуют в базе знаний?  Сначала проверяем настройку групповых политик безопасности для виртуализации. Нажимаем Win r и вводим команду gpedit.msc

Открываем ветви как на рисунке, доходим до «настроек безопасности виртуализации» (справа):

Отключаем данную политику:

Переходим в «Панель управления», «Программы», «Удаление программы». Находим справа ссылку на  «Установка компонентов Windows»:

Проверяем наличие установленных компонентов виртуальной машины Hyper-V. Если галочки напротив стоят — снимаем, жмем ОК; компьютер попросит перезагрузку, но перезагружаемся только когда закончим дело.  Должно выглядеть так:

Виртуальная машина Hyper-V будет удалена. После вызываем командную строку от имени администратора (правой кнопкой мыши по кнопке «Пуск», либо через поиск): По очереди копируем туда команды, которые отредактируют загрузчик Windows. После ввода  КАЖДОЙ команды нажимаем ENTER . В CMD  вставка текста производится нажатием Ctrl V.

После всех манипуляций в вашей командной строке результаты должны быть такие:

Выходит, что Microsoft таким ненавязчивым сервисом предлагает пользоваться своей  технологией виртуализации. Так что при выборе машины которая будет крутиться на сервере,  теперь надо все еще раз взвесить — что будет  лучше на перспективу — «родное» или стороннее с точки зрения обновлений, настроек  и совместимости.

Узел предпочтений групповой политики «INI-файлы»

«INI-файлы»operaprefs.ini

Первым делом, в оснастке «Управление групповой политикой» создаем объект групповой политики, который будет называться «Opera INI-files Preferences» и будет отвечать исключительно за настройки INI-файла этого браузера, сразу связываем сам объект со всем доменом (изменения, правда, будут вноситься только лишь в конфигурацию пользователя, но для простоты сейчас будет выполнено именно так), ну а после этого уже откроем редактор управления групповыми политиками.
Следовательно, находясь в узле «Конфигурация Windows» (Windows Settings) конфигурации пользователя, выберем узел «INI-файлы» (INI files), а затем, как видно из следующей иллюстрации, из контекстного меню, как обычно, выберем команду «Создать», а затем «Файл .ini» («Ini file»):Рис. 3. Создание элемента предпочтений групповой политики «INI-файл»

Так как будут всего лишь видоизменяться некоторые значения уже существующих свойств, достаточно остановиться на действии «Обновить» (Update). В текстовом поле «File Path» следует указать точный путь и имя самого файла. В нашем случае, как уже известно, это C:\Users\Администратор\AppData\Roaming\Opera\Opera\operaprefs.ini. Но ведь если подумать, далеко не каждый юзер обладает профилем с именем «Администратор», поэтому, чтобы у вас при использовании этого элемента предпочтения не было никаких проблем, я рекомендую вам использовать переменные

Обязательно обратите внимание на то, что при использовании предпочтений групповой политики нельзя использовать общепринятые переменные. Следовательно, придется воспользоваться тем, что предоставляют возможности предпочтений

Здесь есть такая переменная, как %LogonUser%, которая подставляет в строку имя выполнившего вход в систему пользователя. Именно по этой причине и нужно создавать наши элементы предпочтения в узле конфигурации пользователя. В общем, у нам должно получиться следующее значение: C:\Users\%LogonUser%\AppData\Roaming\Opera\Opera\operaprefs.ini. Так как мы хотим изменить значения трех свойств в известном нам разделе User Prefs, его и необходимо указать в текстовом поле «Имя раздела», то есть «Section name», без квадратных скобок. Переходим к самому свойству: в соответствующем текстовом поле следует указать значение «Chat Room Splitter», так как именно это свойство и необходимо изменить. Ну а в текстовое поле «Значение свойства», что в оригинале идет как «Property Value», мы указываем наше новое значение, то есть, 80. Диалоговое окно свойств данного элемента предпочтения можно увидеть ниже:Рис. 4. Диалоговое окно свойств элемента предпочтения INI-файла

Так как объект групповой политики привязан ко всему домену, применяться этот элемент предпочтений будет на каждый компьютер компании. Ну а если не на всех компьютерах установлена Opera, то просто у пользователей на компьютерах с распространением объекта групповой политики будет зря создаваться ненужный файл. Такого быть не должно, и этого можно избежать, если воспользоваться нацеливанием на уровень элемента. В диалоговом окне редактора нацеливания необходимо выбрать элемент «Соответствие файлов» («File Match») из раскрывающегося списка «Тип соответствия», то есть «Match type», остановиться на типе «Файл существует» («file exists»), а затем в соответствующем текстовом поле локализовать файл с настройками этого браузера, то есть файл operaprefs.ini. Вот только если вы выбираете файл при помощи соответствующего диалогового окна, обязательно обратите внимание на то, чтобы в текстовом поле с путями вместо учетной записи текущего пользователя было прописано %LogonUser%. В противном случае будет выполняться поиск файла для указанной вами учетной записи, что практически во всех случаях приведет к ошибке. Диалоговое окно редактора нацеливания изображено на следующей иллюстрации:Рис. 5. Диалоговое окно редактора нацеливания

  • В первом элементе предпочтения имя свойства должно быть Click to Minimize, а его значение должно быть 1;
  • Во втором элементе предпочтения имя свойства — Cookies Directory, а значение — {SmallPreferences}Cookies.

Рис. 6. Редактор управления групповыми политиками после создания всех элементов предпочтенийgpupdateРис. 7. Измененный файл operaprefs.ini

Использование элемента предпочтения групповой политики «Локальные пользователи и группы»

«Администраторы»«Управление групповой политикой»«Group Policy Preferences — 17»

Сценарий 1

Конфигурация компьютера\Настройка\Параметры панели управления\Локальные пользователи и группыComputer Configuration\Preferences\ Control Panel Setting\ Local Users and GroupsСоздать«Локальный пользователь»New >Local User)Рис. 1. Создание элемента предпочтений групповой политики локального пользователяСоздатьCreateОбновитьUpdateПользовательUser name«MBeasley»ПереименоватьRename to«Обновить» Update«Полное имя» (Full name«Michael Beasley»ОписаниеDescription«Новая учетная запись»ПарольПодтверждениеPasswordConfirm PasswordЕще раз про паролиP@ssw0rd«Требовать смену пароля при следующем входе в систему»User must change password at next logon«Срок действия учетной записи не ограничен»Account never expiresРис. 2. Диалоговое окно создания новой учетной записи локального пользователя

Сценарий 2

ОбновитьUpdateПереименоватьRename to«TrueAdmin»Требовать смену пароля при следующем входе в системуUser must change password at next logon«Запретить смену пароля пользователем»Usercannot change password«Срок действия пароля не ограничен»Password never expires«Срок действия пароля не ограничен» Password never expires)Отключить учетную записьAccount is disabled)«ОК»Рис. 3. Изменение встроенной учетной записи администратора

Сценарий 3

«Администраторы»Локальная группаLocal GroupОбновитьUpdateЗаменитьReplaceИмя группыGroup name«Администраторы»ПереименоватьRename to«Администраторы имеют полные, ничем не ограниченные права доступа на локальном компьютере»«Удалить всех пользователей-членов для этой группы»Delete all member users«Удалить все группы-члены для этой группы»Delete all member groupsЧлены группыДобавитьAdd«Builtin\Администратор»«ОК»Администраторы доменаРис. 4. Изменение членства в локальной группе администраторов

Настроим созданный объект

Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контектстном меню выбираем “Изменить”.

Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом — удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.

В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.

Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.

В открывшемся окне изменим состояние на “Включено”. В поле комментария рекомендуем не игнорировать. Для завершения настройки нажимаем “OK”.

Создание объектов можно считать оконченным.

Основное предназначение предпочтений

Как считается, на локальном уровне заниматься изменением настроек политик смысла нет. Установка настраиваемых расширенных опций большей частью может применяться в корпоративных системах с разветвленными локальными сетями на предприятиях или в офисах.

В этом смысле системный администратор, управляющий дочерними машинами с центрального сервера, может, что называется, упростить жизнь и себе, и рядовым сотрудникам, один раз сделав соответствующие настройки

При этом совершенно неважно, какая именно модификация операционной системы установлена на сетевых компьютерах или каким образом производится их загрузка (например, по сети при отсутствии на дочерних терминалах жестких дисков)

Каким именно образом будет производиться настройка параметров, администратор решает сам. Тут все зависит от того, как операционные системы загружаются на локальных компьютерах. С одной стороны, вроде бы использование клиента групповой или локальной политики выглядит проще. С другой – действия с системным реестром имеют повышенный приоритет. Отменить произведенные действия в нем нельзя, не говоря уже о том, что в редакторе политик переустановленные опции просто станут недоступными.

Впрочем, редактирование реестра можно применять, когда загрузка ОС осуществляется с центрального сервера, например, при подключении сетевых терминалов по схеме «звезда». На отдельно взятых компьютерах с установленными на них операционных системах рыться в параметрах – дело совершенно ненужное, поэтому тут лучше использовать именно настройки политик. Впрочем, при знании вопроса некоторые параметры можно задать для клиента, а некоторые (особо важные) отредактировать в реестре. Ничего плохого в этом не будет, даже несмотря на то, что некоторые настройки дублируются и там, и там.

Practical applications

By using Group Policy, you can significantly reduce your organization’s total cost of ownership. Various factors, such as the large number of policy settings available, the interaction between multiple policies, and inheritance options, can make Group Policy design complex. By carefully planning, designing, testing, and deploying a solution based on your organization’s business requirements, you can provide the standardized functionality, security, and management control that your organization needs.

Here are some Windows Server 2012 scenarios that use Group Policy to implement a solution:

Принцип работы с групповыми политиками

Рассматриваемый в этой статье инструмент позволяет применять множество самых разнообразных параметров. К сожалению, большинство из них понятно только профессионалам, использующим групповые политики в рабочих целях. Однако и обычному пользователю есть что настроить, используя некоторые параметры. Разберем несколько простых примеров.

Изменение окна безопасности Windows

Если в Виндовс 7 зажать сочетание клавиш Ctrl + Alt + Delete, то будет запущено окно безопасности, где осуществляется переход к диспетчеру задач, блокировка ПК, завершение сеанса системы, смена профиля пользователя и пароля.

Каждая команда за исключением «Сменить пользователя» доступна для редактирования путем изменения нескольких параметров. Выполняется это в среде с параметрами или путем изменения реестра. Рассмотрим оба варианта.

  1. Откройте редактор.
  2. Перейдите в папку «Конфигурация пользователя», «Административные шаблоны», «Система» и «Варианты действий после нажатия Ctrl + Alt + Delete».

Откройте любую необходимую политику в окне справа.

В простом окне управления состоянием параметра поставьте галочку напротив «Включить» и не забудьте применить изменения.

Пользователям, у которых нет редактора политик, все действия нужно будет выполнять через реестр. Давайте рассмотрим все действия пошагово:

  1. Перейдите к редактированию реестра.

Подробнее: Как открыть редактор реестра в Windows 7

Перейдите к разделу «System». Он находится по этому ключу:

Там вы увидите три строки, отвечающие за появление функций в окне безопасности.

Откройте необходимую строку и поменяйте значение на «1», чтобы активировать параметр.

После сохранения изменений деактивированные параметры больше не будут отображаться в окне безопасности Windows 7.

Изменения панели мест

Многие используют диалоговые окна «Сохранить как» или «Открыть как». Слева отображается навигационная панель, включая раздел «Избранное». Данный раздел настраивается стандартными средствами Windows, однако это долго и неудобно. Поэтому лучше воспользоваться групповыми политиками для редактирования отображения значков в данном меню. Редактирование происходит следующим образом:

  1. Перейдите в редактор, выберите «Конфигурация пользователя», перейдите к «Административные шаблоны», «Компоненты Windows», «Проводник» и конечной папкой будет «Общее диалоговое окно открытия файлов».

Здесь вас интересует «Элементы, отображаемые в панели мест».

Поставьте точку напротив «Включить» и добавьте до пяти различных путей сохранения в соответствующие строки. Справа от них отображается инструкция правильного указания путей к локальным или сетевым папкам.

Теперь рассмотрим добавление элементов через реестр для пользователей, у которых отсутствует редактор.

  1. Перейдите по пути:

Выберите папку «Policies» и сделайте в ней раздел comdlg32.

Перейдите в созданный раздел и сделайте внутри него папку Placesbar.

В этом разделе потребуется создать до пяти строковых параметров и назвать их от «Place0» до «Place4».

После создания откройте каждый из них и в строку введите необходимый путь к папке.

Слежение за завершением работы компьютера

Когда вы завершаете работу за компьютером, выключение системы происходит без показа дополнительных окон, что позволяет не быстрее выключить ПК. Но иногда требуется узнать почему происходит выключение или перезапуск системы. В этом поможет включение специального диалогового окна. Включается оно с помощью редактора или путем изменения реестра.

  1. Откройте редактор и перейдите к «Конфигурация компьютера», «Административные шаблоны», после чего выберите папку «Система».

В ней нужно выбрать параметр «Отображать диалог слежения за завершением работы».

Откроется простое окно настройки, где необходимо поставить точку напротив «Включить», при этом в разделе параметры во всплывающем меню необходимо указать «Всегда». После не забудьте применить изменения.

Данная функция включается и через реестр. Вам нужно совершить несколько простых действий:

  1. Запустите реестр и перейдите по пути:

Найдите в разделе две строки: «ShutdownReasonOn» и «ShutdownReasonUI».
Введите в строку с состоянием «1».

В этой статье мы разобрали основные принципы использования групповых политик Виндовс 7, объяснили значимость редактора и сравнили его с реестром. Ряд параметров предоставляет пользователям несколько тысяч различных настроек, позволяющие редактировать некоторые функции пользователей или системы. Работа с параметрами осуществляется по аналогии с приведенными выше примерами.

Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.

Как на практике применить групповые политики в Windows 10

Здравствуйте, уважаемые читатели моего блога. В некоторых статьях я неоднократно использовал возможности системной утилиты gpedit, которая позволяет управлять запуском и установкой приложений, контролировать поведение пользователей, ограничивать некоторые возможности ОС

Сегодня я хотел бы подробно рассказать о такой важной вещи, как настройка групповых политик в Windows 10. Будет рассмотрено несколько полезных примеров, которые могут Вам пригодиться

Сразу же подчеркну, что подобный функционал доступен только в «Профессиональной» и «Корпоративной» версиях операционной системы Microsoft. Но есть способ установить утилиту и для «Домашней» (Home) версии. Если этого не делать, то вносить изменения в некоторые аспекты ОС придется через редактирование реестра, что менее безопасно и не так удобно, чем с помощью графического интерфейса.

Добавление утилиты для версий «Домашняя» и «Стартер»

Нам понадобится скачать вот этот архив с патчем:

Групповые политики для Windows Home Скачано: 1642, размер: 855 Кб, дата: 08.Авг.2016

Распаковываем в любую папку и запускаем установщик setup.exe с правами администратора.

Когда появится последнее окно с кнопкой «Закончить установку» (Finish), не спешите её нажимать. Если используете систему 64 bit, то следует зайти в каталог, где расположены системные файлы (Windows) и скопировать из временной папки Temp/gpedit следующие dll-файлы:

  1. gpedit
  2. appmgr
  3. fde
  4. gptext
  5. fdeploy
  6. gpedit.msc
  • Вставляем их в директорию %WinDir%\System32
  • Теперь заходим в каталог SysWOW64 и с него копируем папки:
  1. GroupPolicy
  2. GroupPolicyUsers
  3. GPBAK
  4. И один файл gpedit.msc
  • Вставляем их System32 и перезапускаем ПК.
  • После запуска пробуем войти в консоль «Выполнить» (Win + R) и вбиваем в поле ввода следующую команду:

В случае возникновения ошибки (если не удается войти) следует пройти по пути: Windows\ Temp\ gpedit и там в ручном режиме запустить файл, соответствующий разрядности Вашей ОС – xbat или x86.bat.

Вот и всё. Теперь Ваша «Домашняя» версия поддерживает возможность настройки групповых политик.

Примеры работы групповых политик на практике

О том, как запустить утилиту было сказано выше. Не буду повторяться. Когда откроется окно редактора локальной групповой политики, слева отобразится перечень элементов для конфигурации ПК и пользователя, а справа – более конкретные параметры, а также подробная информация о выбранном пункте.

Уверен, Вы хотите поскорее перейти от сухой теории к рассмотрению живых примеров.

Установка запрета на запуск приложений

  • Переходим по следующему пути: «Конфигурация пользователя», затем «Административные шаблоны», выбираем подпапку «Система».
  • Справа отобразится перечень возможностей.
  • Допустим, мы не хотим запускать определенные приложения из соображений безопасности. Для этого открываем настройки пункта «Не запускать указанные приложения Windows».
  • В открывшемся окне выделяем отметку «Включить», а после этого кликаем по кнопке «Показать» (которая откроет перечень запрещенных программ).
  • Теперь осталось только прописать имена .exe файлов в данном списке, и сохранить изменения, нажав на «ОК».
  • После попытки запуска указанного софта будет появляться следующая ошибка:

Чтобы отключить запрет, нужно просто удалить нужный файл из «черного списка».

Внесение изменений в UAC

Если Вам надоело всплывающее окно, которое появляется каждый раз, когда Вы пытаетесь запустить стороннее приложение, значит необходимо изменить некоторые параметры управления учетными записями. Для этого:

  • Переходим к папке «Конфигурация ПК», затем – «Конфигурирование Windows». После этого открываем директорию «Параметры безопасности», переходим в «Локальные политики».
  • Справа отобразится перечень настроек. Нас интересует следующая опция: «Запрос согласия для исполняемых файлов не из Windows».
  • Чтобы полностью отказаться от появления уведомлений, выбираем из списка вариант «Повышение без запроса».

Это лишь парочка простейших примеров, которые могут помочь в решении некоторых проблем. Я рекомендую более подробно изучить работу данного системного клиента, чтобы научиться управлять большинством возможностей Windows 10.

C уважением, Виктор

Вместо итога

Вот вкратце и все, что касается предпочтений. Конечно, рядовому пользователю понимание сути всего, что было приведено выше, может показаться несколько усложненным. Однако, если хотите до тонкостей разобраться в таких настройках (особенно это касается начинающих системных администраторов), придется изучить абсолютно все. И, как утверждают настоящие специалисты в этой области, работать с политиками нужно на практике, а не познавать вопрос на уровне теоретических данных и статей. Как говорится, было бы желание. А начать освоение применяемых опций можно с того же редактора, где выбираются административные шаблоны, в которых и обозначены главные правила и для локальных, и для групповых настроек. Остальное же – дело техники. Понимание придет со временем, если действительно начать этим заниматься.

Если подвести небольшой итог, остается добавить только то, что предпочтения на то и созданы, чтобы выбирать требуемые опции и настройки, а не ограничиваться исключительно запретами и разрешениями. А это, в свою очередь, позволяет управлять любой системой очень гибко. Конечно же, отдельно стоит заметить, что обычному пользователю такие расширенные настройки не нужны абсолютно, но при условии того, что на одном терминале может быть зарегистрировано несколько пользователей, иногда установка соответствующих предпочитаемых опций может пригодиться. А ведь достаточно часто приходится даже устанавливать тот же родительский контроль, если на компьютере, кроме взрослых родителей, может работать еще и ребенок. И все это совершенно элементарно регулируется в Windows-системах.

Заключение

Корпорация Майкрософт разработала новую технологию Windows с именем KIR для Windows Server 2019 и Windows 10 версии 1809 и более поздних версий. Для поддерживаемых версий Windows кира откатит определенное изменение, которое было применено в рамках выпуска обновления Windows безопасности. Все остальные изменения, внесенные в рамках этого выпуска, остаются нетронутыми. С помощью этой технологии, если обновление Windows вызывает регрессию или другие проблемы, вам не придется удалить все обновление и вернуть систему в последнюю хорошую конфигурацию. Вы откатываем только изменения, которые привели к проблеме. Этот откат является временным. После того как Корпорация Майкрософт выпустит новое обновление, которое устраняет проблему, откат больше не требуется.

Важно!

KiRs применяются только к обновлениям без безопасности. Это потому, что откат исправления для обновления без безопасности не создает потенциальной уязвимости безопасности.

Корпорация Майкрософт управляет процессом развертывания KIR для непредприятных устройств. Для корпоративных устройств Корпорация Майкрософт предоставляет MSI-файлы определения политики KIR. Затем предприятия могут использовать групповую политику для развертывания KIRs в гибридных Azure Active Directory доменах (Azure AD) или Active Directory Domain Services (AD DS).

Примечание

Чтобы применить это изменение групповой политики, необходимо перезапустить затронутые компьютеры.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector