Используйте групповую политику параметры приложения в windows 10

Содержание:

Feature description

Group Policy is an infrastructure that allows you to specify managed configurations for users and computers through Group Policy settings and Group Policy Preferences. To configure Group Policy settings that affect only a local computer or user, you can use the Local Group Policy Editor. You can manage Group Policy settings and Group Policy Preferences in an Active Directory Domain Services (AD DS) environment through the Group Policy Management Console (GPMC). Group Policy management tools also are included in the Remote Server Administration Tools pack to provide a way for you to administer Group Policy settings from your desktop.

Windows PowerShell When the GPMC is installed on servers or client computers, the Windows PowerShell module is also installed. You have full Windows PowerShell functionality. If you install the Remote Server Administration Tools pack, the latest Windows PowerShell cmdlets for Group Policy are also installed. For more information about Windows PowerShell cmdlets and scripts that you can use to manage Group Policy, see Group Policy Cmdlets.

You can configure the Group Policy feature by using Windows PowerShell cmdlets. For more information about using Server Manager cmdlets to install the Group Policy Management Console, see Install or Uninstall Roles, Role Services, or Features and Server Manager deployment cmdlet module.

Создание GPO

Как открыть параметры папок в windows: 10 способов

Требуется открыть окно оснастки Active Directory Users and Computers консоли Microsoft Management Console (MMC), щелкнуть правой кнопкой мыши на домене или на организационной единице, к которой нужно применить избранную политику, и далее щелкнуть на пункте Properties. Перейдя на закладку Group Policy, следует создать новый объект GPO или выбрать один из существующих и щелкнуть на кнопке Edit.

Создавать пакеты для развертывания приложений нужно на ветви политики Software Settings\Software Installation, расположенной под ветвями Computer Configuration и User Configuration.

Computer Configuration для развертывания приложений на компьютерах. Можно только назначать приложения.
User Configuration для развертывания приложений по учетным записям пользователей. Можно назначать и опубликовать приложение.

Чтобы создать политику пакета, правой клавишей мыши требуется щелкнуть на ветви Software Installation под ветвью Computer Configuration или User Configuration и выбрать элементы New и Package. В диалоговом окне Open нужно указать путь к файлу пакета (.msi) в общей папке.

ВНИМАНИЕ!Хотя добавленные групповые политику пакетов отображаются в алфавитном порядке, применяются они в порядке добавления.

Результирующий набор инструментов политики

Что делать, если не открываются «параметры» windows 10

Самый простой способ увидеть все параметры групповой политики, которые вы применили к компьютеру или учетной записи пользователя, – использовать инструмент «Результирующий набор политик».

Он не покажет последнюю политику, примененную к вашему компьютеру, – для этого вам нужно будет использовать командную строку, как мы опишем в следующем разделе. Тем не менее, он показывает практически все политики, которые вы настроили для регулярного использования. И предоставляет простой графический интерфейс для просмотра параметров групповой политики, действующих на вашем ПК, независимо от того, входят ли эти параметры в групповую политику или локальную групповую политику.

Чтобы открыть инструмент, нажмите «Поиск», введите «rsop.msc» → нажмите на предложенный вариант.

Инструмент «Результирующий набор политик» начнёт сканирование вашей системы на примененные параметры групповой политики.

После того, как сканирование будет выполнено, инструмент покажет вам консоль управления, которая очень похожа на редактор локальной групповой политики, за исключением того, что она отображает только использованные параметры и несколько неустановленных настроек безопасности.

Это позволяет легко просматривать и видеть, какие политики действуют. Обратите внимание, что вы не можете использовать инструмент «Результирующая политика» для изменения этих параметров. Вы можете дважды щелкнуть параметр, чтобы просмотреть детали, но если вы хотите отключить или внести изменения в параметр, вам придется использовать редактор локальных групповых политик

Использование утилиты GPResult.exe

Как удалить или заново установить встроенные приложения windows 10

Команда GPResult выполняется на компьютере, на котором нужно проверить применение групповых политик. Команда GPResult имеет следующий синтаксис:

Чтобы получить подробную информацию о групповых политиках, которые применяются к данном объекту AD (пользователю и компьютеру), и других параметрах, относящихся к инфраструктуре GPO (т.е. результирующие настройки политик GPO – RsoP), выполните команду:

Результаты выполнения команды разделены на 2 секции:

COMPUTER SETTINGS (Конфигурация компьютера) – раздел содержит информацию об объектах GPO, действующих на компьютер (как объект Active Directory);
USER SETTINGS – пользовательский раздел политик (политики, действующие на учетную запись пользователя в AD).

Вкратце пробежимся по основным параметрам/разделам, которые нас могут заинтересовать в выводе GPResult:

Site Name (Имя сайта:)– имя сайта AD , в котором находится компьютер;
CN – полное каноническое пользователя/ компьютера, для которого были сгенерированы данные RSoP;
Last time Group Policy was applied (Последнее применение групповой политики)– время, когда последний раз применялись групповые политики;
Group Policy was applied from (Групповая политика была применена с)– контроллер домена, с которого была загружена последняя версия GPO;
Domain Name и Domain Type (Имя домена, тип домена)– имя и версия схемы домена Active Directory;
Applied Group Policy Objects (Примененные объекты групповой политики) – списки действующих объектов групповой политики;
The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы)— не примененные (отфильтрованные) GPO;
The user/computer is a part of the following security groups (Пользователь/компьютер является членом следующих групп безопасности) – доменные группы, в которых состоит пользователь.

В нашем примере видно, что на объект пользователя действуют 4 групповые политики.

Default Domain Policy;
Enable Windows Firewall;
DNS Suffix Search List;
Disable Cached Credentials.

Если вы не хотите, чтобы в консоль одновременно выводилась информация и о политиках пользователя и о политиках компьютера, вы можете с помощью опции /scope вывести только интересующий вас раздел. Только результирующие политики пользователя:

или только примененные политики компьютера:

Т.к. утилита Gpresult выводит свои данные непосредственно в консоль командной строки, что бывает не всегда удобно для последующего анализа, ее вывод можно перенаправить в буфер обмена:

или текстовый файл:

Чтобы вывести сверхподробную информацию RSOP, нужно добавить ключ /z.

Ссылки

Сеть

Оборудование	СХД • Cisco • 3G модем • Vyatta
Active Directory	Group Policy (GPO) • LOCAL.RSU.EDU.RU • MSI • Windows Server 2008 • Миграция учетных записей
Службы	MnoGoSearch • Установка Netatalk (AFP) на OpenSUSE • Сервер точного времени ntp.rsu.edu.ru • Резервное копирование • Обновление Консультант+ через интернет • Pdns • Nslookup • IIS • Group Policy (GPO) • DNS & DHCP • BGP • OSPF
Программное обеспечение	Консоль управления PERCo-S-20 • Антивирус Касперского • Windows XP • Windows Server 2008 • Vyatta • Google Chrome • Communigate Pro • Bacula • Ulteo Open Virtual Desktop • 1C
Настройка	Типичная настройка сети университета • Подключение к сети университета через VPN • Публичная Wi-Fi сеть РГУ • Настройка сетевого оборудования • Настройка сервера DNS • Настройка web-сервера • Настройка proxy-сервера • Автоматическая настройка прокси • Внедрение IPv6

Windows

Операционная система	Windows XP • Windows 7 (Seven) • Windows 8 • Windows Server 2008 • Windows Azure
Настройка	Windows Update • Система точного времени NTP • Автоматическая настройка прокси • Принтеры • IIS • Внедрение IPv6
Программное обеспечение	Office 365 • LibreOffice • Google Chrome • Mozilla Firefox • Internet Explorer • Антивирус Касперского • Tesseract • OpenOCR (CuneiForm) • Ulteo • 1C • MarcSQL
Active Directory	Group Policy (GPO) • Active Directory
Советы	Windows tips. Be more friendly to Linuxoids. • How to Autostart a CD with an HTML-document • Документы в формате ODT / ODF / DOCX • Автономные файлы Windows (CSC) • Создание скриншота ошибки

Специальные предпочтения

Что касается расширенных параметров, которые предусматривает клиент групповой политики, они состоят в том, чтобы настроить опции, Windows-системами прямо не предусмотренные. Считается, что именно эти ОС заранее не предопределяют разрешения и запрещения, посему можно добиться того, что установки будут соответствовать именно пользовательскому режиму, причем выборочно для каждой Windows-системы.

Добиться этого можно использованием так называемых правил CRUD, которые и устанавливают дополнительные предпочтения. Иными словами, администратор может получить расширенный интерфейс операционной системы, который особо не будет отличаться от стандартного, за исключением обозначений применяемых иконок в настройках зеленого и красного цвета. Зеленый соответствует активации установленного параметра при обработке его клиентом, красный означает его отключение или неподдерживаемое изменение.

Таким образом задаются настройки для каждой отдельно взятой системы, где можно редактировать опции меню «Пуск» (стандартный вид, количество отображаемых программ, размер плиток и т. д.), схем электропитания, пользовательского входа в систему и еще много всего. Но не все параметры можно поменять. Так, например, отображение содержимого панелей и настроек установленного по умолчанию обозревателя Internet Explorer зависит исключительно от инсталлированной версии. Редактирование параметров плиток в меню «Пуск» недоступно в модификациях системы ниже восьмой.

А вообще, такие настройки позволяют добиться более гибкого управления системой, при котором производится установка персонализированных опций.

Для быстрого управления настройками можно использовать функциональные клавиши F5-F8:

F5 – включение всех параметров.
F6 – включение только выбранного параметра.
F7 – деактивация выбранного параметра.
F8 – деактивация всех параметров.

Удаляем лишние команды из Проводника

Откройте редактор групповой политики (команда gpedit.msc) и перейдите в раздел Конфигурация пользователя, Административные шаблоны, Компоненты Windows, Проводник (рис. 1.).

Рис. 1. Параметры Проводника

Как видите, есть много полезных и не очень групповых политик в Windows Server 2016. Рассмотрим несколько полезных. Так, Скрыть выбранные диски из окна Мой компьютер (рис. 2) позволяет удалить значки выбранных дисков из окна Этот компьютер (в последних версиях Windows это окно называется именно так).

Рис. 2. Ограничиваем доступ пользователей в Windows Server 2016 к определенным дискам

Впрочем, если пользователь окажется умным и введет путь диска (например, D:\) в окне Проводника, он сможет получить доступ к нему. Для таких умных пользователей предназначена групповая политика Запретить доступ к дискам через «Мой компьютер» (рис. 3).

Рис. 3. Запретить доступ к дискам

Неплохо было бы еще и запретить пользователю использовать окно Выполнить (открывается при нажатии Win + R). Для этого нужно включить групповую политику Отключить сочетания клавиш Windows + X. Правда, такая настройка «убьет» все сочетания, в том числе и Win + R, но отдельной групповой политики, которая бы отключала отдельные команды, в современных версиях Windows Server нет (хотя раньше была опция, скрывающая команду Выполнить)

Открытие оснастки и изменение пользовательского интерфейса

Также есть альтернативный способ установки данного компонента – использование командной строки и утилиты управления конфигурацией сервера. В командной строке, запущенной с правами администратора введите ServerManagerCmd -install gpmc. При желании вы можете вывести результат установки в xml файл, используя параметр –resultPath.

Для того чтобы открыть оснастку «Управление групповой политикой», выполните любое из следующих действий:

Нажмите на кнопку «Пуск», выберите меню «Администрирование», а затем откройте «Управление групповой политикой»;
Воспользуйтесь комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите gpmc.msc и нажмите на кнопку «ОК»;
Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Управление групповой политикой и откройте приложение в найденных результатах;
Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Управление групповой политикой» и нажмите на кнопку «Добавить», а затем нажмите на кнопку «ОК».

На следующей иллюстрации изображена оснастка «Управление групповой политикой»:

Рис. 1. Оснастка «Управление групповой политикой»

Содержимое оснастки «Управление групповой политикой» предоставляет множество средств, предназначенных для обеспечения централизованного управления инфраструктурой организации. Но если вас не устраивает интерфейс данной оснастки, вы можете его изменить, используя функционал редактирования параметров пользовательского интерфейса. Для того чтобы изменить отображение некоторых элементов оснастки, откройте меню «Вид» и выберите команду «Параметры». В диалоговом окне «Параметры» вы можете настроить элементы, параметры которых располагаются в следующих вкладках:

Вкладка «Столбцы». На этой вкладке вы можете изменить отображение и порядок столбцов для основных таблиц текущей оснастки, а именно: «Наследование групповой политики», «Начальные объекты групповой политики», «Объекты групповой политики», «Связанные объекты групповой политики» и «Фильтры WMI». Вам достаточно просто выбрать из раскрывающегося списка редактируемую таблицу, в поле «Столбцы отображаются в следующем порядке» снять флажки с наименований лишних столбцов и установить их порядок, используя кнопки «Вверх» или «Вниз». Также вы можете изменять порядок столбцов непосредственно из таблицы, меняя их местами так, как вам удобно. Для того чтобы ваши изменения были сохранены при повторном открытии оснастки, в окне параметров установите флажок «Сохранять порядок и размеры изменяемых столбцов», как показано на следующей иллюстрации:Рис. 2. Вкладка «Столбцы» параметров оснастки
Вкладка «Отчет». Используя эту вкладку, вы можете изменить папку, которая используется по умолчанию для расположения ADM-файлов. Следует помнить, что изменения, которые проводятся на данной вкладке, будут распространяться только на устаревшие ADM-файлы, а расположение файлов ADMX, которые используются в операционных системах Windows Vista и Windows 7 останется без изменений. Если переключатель будет установлен на параметре «По умолчанию», то поиск файлов ADM изначально будет проводиться в папке Windows и в том случае, если файл не будет найден, консоль GPMC будет просматривать папку объектов групповой политики (GPO), находящуюся в папке Sysvol. Если установить переключатель на параметр «настраиваемое», то консоль GPMC изначально будет искать файлы adm в той папке, которая будет указана вами, а затем в расположениях по умолчанию. Настройки данной вкладки изображены ниже:Рис. 3. Вкладка «Отчет» параметров оснастки
Вкладка «Общие». На вкладке «Общие» настраиваются параметры, которые распространяются на отображение лесов и доменов только с двухсторонними отношениями доверия, отображения имени контроллеров домена, а также для отображения диалогового окна подтверждения для различия между объектами групповой политики и связи этих объектов. Эта вкладка отображена на следующей иллюстрации:Рис. 4. Вкладка «Общие» параметров оснастки

Отключение объектов групповых политик

При необходимости, для определенного объекта групповой политики вы можете запретить изменение параметров политик для узлов «Конфигурация компьютера» или «Конфигурация пользователя» средствами изменения состояния объекта GPO. Для этого выберите объект групповой политики, перейдите на вкладку «Таблица» и из раскрывающегося списка «Состояние GPO» выберите один из следующих параметров:

Рис. 8. Выбор состояния объекта групповой политики

Включено. При указании данного параметра при обновлении политик GPO обрабатываются как конфигурация компьютера, так и конфигурация пользователя. Данный параметр установлен для всех объектов групповых политик по умолчанию;
Все параметры отключены. При выборе данного параметра, объект групповой политики не будет обрабатываться;
Параметры конфигурации компьютера отключены. В этом случае, во время обновления политик GPO, будут обрабатываться только политики конфигурации пользователя. В свою очередь, параметры конфигурации компьютера будут отключены;
Параметры конфигурации пользователя отключены. В этом случае, во время обновления политик GPO, будут обрабатываться только политики конфигурации компьютера. В свою очередь, параметры конфигурации пользователя будут отключены;

Установить состояние объектов групповых политик вы можете и другим методом. Для этого разверните контейнер «Объекты групповой политики», выберите объект и нажмите на нем правой кнопкой мыши. В контекстном меню выберите команду «Состояние объекта групповой политики» и установите требуемое состояние. Но в этом случае состояние объектов групповой политики будет установлено для всех подразделений, для которых в дальнейшем будет создана связь с данным объектом GPO.

Оптимизация

По мере увеличения количества управляемых объектов групповой политики, производительность влияет на машины в сети. Совет: при снижении производительности ограничьте сетевые параметры объекта. Время обработки увеличивается прямо пропорционально количеству индивидуальных настроек. Относительно простые конфигурации, такие как настройки рабочего стола или политики Internet Explorer, могут не занять много времени, в то время как переадресация папок программного обеспечения, может серьезно нагрузить сеть, особенно в пиковые периоды.

Разделите пользовательские объекты групповой политики, а затем отключите неиспользуемую часть. Одна из лучших практик как для повышения производительности, так и для снижения управленческой путаницы заключается в создании отдельных объектов для параметров, которые будут применяться к компьютерам и отдельных для пользователей.

Аналог входа в систему

Если говорить в общем смысле, такие настройки действительно можно интерпретировать как средство управления правами пользователя при входе в систему. При подключении собственной учетной записи зарегистрированный юзер получает какие-то права на внесение изменений в системную конфигурацию (или не получает их вовсе, если такие настройки заданы на административном уровне).

Клиент групповой политики попросту регулирует все эти действия. Вот только пользователь вошел в систему под собственной регистрацией, а в настройках сразу же фиксируется, что он может делать, что нет. На уровне обычного юзера, не обладающего правами администратора, изменить параметры не получится. Даже некоторые администраторские «учетки» могут блокироваться. Это есть настройка политики, но не предпочтения.

Создание и редактирование объектов групповой политики

Используя оснастку «Управление групповой политикой» вы можете создавать и редактировать объекты групповой политики, а также комментарии к ним для упрощения их мониторинга, удалять объекты групповых политик и проводить поиск среди существующих объектов. Рассмотрим подробно каждое из вышеперечисленных действий:

Создание объекта групповой политики с комментарием

Один или несколько параметров групповой политики, который применяется к одному или нескольким пользователям или компьютерам, обеспечивая конкретную конфигурацию, называется объектом групповой политики. Для того чтобы создать новый объект групповой политики, выполните следующие действия:

В оснастке «Управление групповой политикой» разверните узел лес, домен, название вашего домена и выберите контейнер «Объекты групповой политики». Именно в этом контейнере будут храниться все объекты групповой политики, которые вы будете создавать;
Щелкните правой кнопкой мыши на данном контейнере и из контекстного меню выберите команду «Создать», как изображено ниже:Рис. 5. Создание объекта групповой политики
В диалоговом окне «Новый объект групповой политики» введите название объекта в поле «Имя», например, «Корпоративные требования» и нажмите на кнопку «ОК».Рис. 6. Диалоговое окно «Новый объект групповой политики»

Редактирование объекта групповой политики

После того как объект групповой политики будет создан, для того чтобы настроить определенную конфигурацию данного объекта, вам нужно указать параметры групповой политики при помощи оснастки «Редактор управления групповыми политиками». Допустим, нужно отключить Windows Media Center, средство звукозаписи, а также ссылку «Игры» в меню «Пуск». Для этого выполните следующие действия:

Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
Разверните узел Конфигурация пользователя/Политики/Административные шаблоны/Компоненты Windows/Windows Media Center;
Откройте свойства параметра политики «Не запускать Windows Media Center» и установите переключатель на опцию «Включить». В поле комментарий введите свой комментарий, например, «В связи с корпоративными требованиями не разрешается данным пользователям использовать текущее приложение» и нажмите на кнопку «ОК».Рис. 7. Изменение групповых политик для созданного объекта
Повторите аналогичные действия для параметров политик «Запретить выполнение программы «Звукозапись»» и «Удалить ссылку «Игры» из меню «Пуск»» из узла Конфигурация пользователя/Политики/Административные шаблоны/Меню «Пуск» и панель задач.
Закройте редактор управления групповыми политиками.

Также, если вы создаете много объектов групповых политик, для вас окажется удобной возможность добавления комментариев к самим объектам групповых политик. Для добавления комментария к GPO, выполните следующие действия:

Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
В дереве консоли оснастки «Редактор управления групповыми политиками» нажмите правой кнопкой мыши на корневом узле и из контекстного меню выберите команду «Свойства»;
В диалоговом окне «Свойства: имя объекта групповой политики» перейдите на вкладку «Комментарий» и введите примечание для вашего GPO, например, «Этот объект групповой политики запрещает указанным пользователям использовать мультимедийные приложения, а также игры в организации»;Рис. 8. Добавление комментария для объекта групповой политики
Нажмите на кнопку «ОК», а затем закройте оснастку «Редактор управления групповыми политиками».

Контроллеры домена

В Windows NT базовым контроллером домена (PDC) и контроллером домена резервного копирования (BDC) были роли, которые могут быть назначены серверу в сети компьютеров, использующих операционную систему Windows. Windows использовала идею домена для управления доступом к набору сетевых ресурсов (приложений, принтеров и т. д.) для группы пользователей. Пользователю необходимо только войти в домен, чтобы получить доступ к ресурсам, которые могут быть расположены на нескольких разных серверах в сети.

Один сервер, известный как основной контроллер домена, управлял основной пользовательской базой данных для домена. Один или несколько серверов были определены как резервные контроллеры домена. Первичный контроллер периодически отправлял копии базы данных контроллерам резервных доменов. Резервный контроллер домена может войти как основной контроллера домена, в случае, когда PDC-сервер потерпел неудачу, а также может помочь сбалансировать рабочую нагрузку, если сеть достаточно занята.

GPO Security Filtering and Delegation

Group Policy Objects are securable objects just like files and folders, Active Directory objects, registry keys, etc. The security settings of a GPO affects how it’s applied to users and computers.

To receive the settings from a GPO a computer or user must have Read and Apply rights on the GPO. If they don’t have both Read and Apply rights the GPO will not be applied.

This might not be something you notice initially as Authenticated Users are assigned Read and Apply by default. As both domain users and domain computers belong to this group the GPO is applied indiscriminately to all of them.

But sometimes you may want to restrict the GPO appliance to a single user or computer, e.g. during testing of a new GPO.

Оргструктура

Организационные подразделения намного гибче и проще в управлении, чем в доменах. Оргединицы предоставляют вам почти неограниченную гибкость, поскольку вы можете перемещать их, удалять и создавать новые подразделения по мере необходимости. Однако домены гораздо более жесткие в своих настройках структуры. Домены могут удаляться и создаваться заново, но этот процесс дестабилизирует среду и его следует избегать, когда это возможно.

Сайты представляют собой коллекции IP-подсетей, которые имеют быструю и надежную связь между всеми хостами. Другим способом создания сайта является подключение к локальной сети, но не соединение WAN, так как соединения WAN значительно медленнее и менее надежны, чем соединения LAN. Используя сайты, вы можете контролировать и уменьшать объем трафика, который проходит по вашим медленным каналам глобальной сети. Это может привести к более эффективному потоку трафика для задач производительности. Он также может снизить затраты на WAN-связь для услуг с оплатой за бит.