8 параметров групповой политики windows, которые должен знать каждый администратор

Введение

 Из предыдущих статей данного цикла вы уже многое узнали о том, как следует правильно планировать инфраструктуру Active Directory в организации. По теме планирования логической структуры доменных служб уже было рассмотрено планирование внедрения служб Active Directory, где вы узнали об определении требований доменных служб в организации. Во второй статье текущего цикла я описал определение моделей лесов, которые вы можете применять на стадии проектирования структуры организации. В третьей статье данного цикла было рассказано о моделях доменов, а также о том, как определить необходимое количество доменов, которые будут развертываться в вашей организации. В следующей статье текущего цикла вы узнали о правильном размещении пяти ролей мастеров операций. Затем, в статье, связанной с планированием подразделений на предприятии, был рассмотрен процесс проектирования подразделений, согласно пяти известных моделей. Далее была рассмотрена концепция серверов глобального каталога, а также взаимодействие серверов глобального каталога с другими серверными технологиями корпорации Microsoft. В предпоследней статье данного цикла была описана процедура планирования инфраструктуры DNS для домена Active Directory, а именно были рассмотрены проектирование нового именного пространства, а также интеграция доменных служб с существующей инфраструктурой DNS. Последней статьей из цикла по планированию развертывания логической структуры доменных служб Active Directory будет текущая статья, из которой вы узнаете о планировании развертывания групповых политик. Так как большинство моих статей написаны непосредственно по функционалу групповых политик, эта тема для меня является самой интересной из всех этапов планирования логической структуры доменных служб Active Directory.

Как я уже не раз говорил в своих статьях, посвященных функционалу групповых политик, групповые политики предназначены для управления конфигурацией групп и пользователей вашей организации со структурой доменных служб Active Directory и все установленные вами параметры групповых политик располагаются в объектах групповой политики. Эти параметры групповой политики распространяются на ваших пользователей путем привязки объекта GPO к сайту, домену или подразделению, в котором находится учетная запись пользователя или компьютера. Также как и во всех случаях, которые рассматривались в предыдущих статьях этого цикла, процесс внедрения групповых политик состоит из пяти основных этапов: планирования, проектирования, развертывания, тестирования и обслуживания

К сожалению, при планировании внедрения групповых политик в организации не существует определенного набора правил, которыми следует руководствоваться для разработки стабильной структуры данного компонента, поэтому в данной статье будут рассмотрены общие рекомендации, которые следует принять во внимание на этапе внедрения групповых политик

Применение групповых политик[править | править код]

Работая с групповыми политиками, следует учитывать, что:

  • объекты GPO применяются в отношении контейнеров, а не замыкающих объектов;
  • один контейнер может быть связан с несколькими объектами GPO;
  • объекты GPO, связанные с одним и тем же контейнером, применяются в отношении этого контейнера в том порядке, в котором они были назначены;
  • объект GPO включает в себя две составляющие: параметры, относящиеся к компьютеру, и параметры, относящиеся к пользователю;
  • обработку любой из этих составляющих можно отключить;
  • наследование объектов GPO можно блокировать;
  • наследование объектов GPO можно форсировать;

Создание групповых политик

По умолчанию в иерархии каталога Active Directory создаются две групповые политики: Default Domain Policy (политика домена по умолчанию) и Default Domain Controller’s Policy (политика контроллера домена по умолчанию). Первая из них назначается домену, а вторая — контейнеру, в состав которого входит контроллер домена. Если вы хотите создать свой собственный объект GPO, вы должны обладать необходимыми полномочиями. По умолчанию правом создания новых GPO обладают группы Enterprise Administrators (Администратор предприятия) и Domain Administrators (Администраторы домена).

Оснастка управления групповыми политиками

Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:

И нажимаем “OK”.

Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.

Открываем диспетчер серверов и выбираем установку ролей и компонентов.

На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.

Так как установка выполняется для текущего сервера — нажимаем “Далее”.

Установку серверных ролей пропускаем нажатием на кнопку “Далее”.

На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.

Завершаем установку компонентов как обычно.

Окно оснастки управления групповой политикой выглядит так:

Настройки для меню «Пуск» и панели задач

Групповая политика предлагает множество настроек для меню «Пуск» и панели задач, чтобы настроить их по своему усмотрению. Настройки идеально подходят как администраторам, так и обычным пользователям, которые хотят настроить меню «Пуск» и панель задач Windows.

Перейдите в указанное ниже место в редакторе групповой политики, и вы найдёте все настройки с объяснением того, что они делают.

Конфигурация пользователя → Административные шаблоны → Меню «Пуск» и панель задач

Настройки действительно просты для понимания, поэтому я не думаю, что мне придется объяснять каждую из них. Кроме того, Windows предлагает подробное описание для каждой настройки. Некоторые из вещей, которые вы можете сделать, включают: изменение функции кнопки питания в меню «Пуск», запрет пользователям закреплять программы на панели задач, ограничение возможностей поиска, скрытие области уведомлений, скрытие значка батареи, предотвращение изменений в настройках панели задач и меню «Пуск», запрещение пользователям использовать любые параметры питания (выключение, переход в спящий режим и т.д.), удаление параметра «Выполнить» из меню «Пуск» и множество других настроек.

О приложении gpedit.msc

Через утилиту можно расширить базовые надстройки операционки, отключить ненужные или поврежденные функции. Инструмент позволяет ограничить других пользователей гаджета в определенных действиях, начиная от простых манипуляций до блокировки подключения устройств, запуска приложений.

В основном, сервис используется в корпоративной среде, в Домашней версии такого контроля не требуется. Обычно на домашнем устройстве достаточно создать учетку, защищенную паролем.

Управление политикой выполняется с помощью встроенного Редактора gpedit.msc. Его можно запустить только через административный профиль. Поиск осуществляется через соответствующую строку, где требуется набрать запрос: gpedit.msc.

В меню Редактора отображаются два подраздела:

  1. конфигурация компьютера – необходим для изменения параметров работы ПК;
  2. конфигурация пользователя – работа с личными профилями на ПК.

В этих подразделах присутствуют параграфы, где происходят изменения настроек функционала «десятки». В этой части находится большинство возможностей изменения конфигурации Винды.

Category Archives: Групповые политики

August 30, 2010 – 2:17 pm

В данной статье мы рассмотрим процесс подключения сетевых дисков к пользователям, причем к пользователям, которые входят в определенную группу безопасности. Этого можно достичь используя скрипты, однако мы рассмотрим более простой метод – использование GPP. Давайте рассмотрим простой сценарий. У нас есть группа студентов, которым нужен доступ к личным папкам на определенном сервере. Я поместил всех

|

August 25, 2010 – 11:35 am

Если вам приходится постоянно работать с какой то определенной групповой политикой и вы хотите облегчить себе путь доступа к ней, то эта статья специально для вас. В ней я опишу как создать ссылку на объект групповой политики. Перед созданием ярлыка сначала пройдемся по основам. Необходимо понимать, что для каждого объекта в Active Directory существует глобальный

|

July 19, 2010 – 1:11 pm

В этой статье мы рассмотрим метод настройки групповой политики, в которой пользователю, у которого не выбран никакой скринсейвер, будет установлен скринсейвер Blank (чистый лист). Данный метод не мешает пользователю выставить любой из доступных скринсейверов, однако если попытается убрать скринсейвер, после обновления групповой политики он будет выставлен опять. Данный пример хорош ещё и по той причине,

|

March 15, 2010 – 1:16 pm

Первостепенной задачей, выполняемой любым системным администратором, работающим с групповыми политиками, является скачивание и установка консоли Group Policy Management Console (GPMC). По умолчанию данная консоль не установлена в Windows Server 2008 R2 или Windows 7. Ниже я покажу как установить консоль в Windows 7 а затем и в Windows Server 2008 R2… Windows 7 Установка под

|

|

February 19, 2010 – 6:37 pm

В данной статье я хотел бы рассказать о такой замечательной опции групповых политик, как loopback processing – замыкание на себя. Иногда сталкиваюсь с тем, что администраторы просто не знают про такую возможность и усложняют организационную структуру AD. Проще всего описать поведение данной политики на живом примере. Итак, предположим в глобальной групповой политике Default Domain Policy

|

February 17, 2010 – 7:06 pm

В предыдущей статье “Использование групповых политик для запрета записи на USB диски в Windows XP” я показал как вы можете настроить компьютеры под управлением Windows XP для запрета записи на USB диски. Однако для некоторых организаций недостаточно и этого, необходимо полностью ограничить пользователей от возможности использования подключаемых USB девайсов. К счастью, в Windows XP существуют

|

February 17, 2010 – 1:05 pm

Одной из новых функций в Windows 7 является функция “Bitlocker to Go”, которая позволяет администраторам гарантировать что все данные записываемые на USB диски будут зашифрованы. В дополнение к этой функции в групповых политиках существует опция под названием “Deny write access to removable drives not protected by BitLocker”, которая позволяет пользователям иметь доступ на чтение к

|

February 9, 2010 – 7:25 pm

Часть 1, часть 2  Этап 6. Изменяем GPO Сейчас пользователь John отредактирует GPO и после этого Alan просмотрит и одобрит сделанные изменения. Шаг 1. Залогиньтесь под аккаунтом John на компьютер с установленным GPMC и AGPM клиентом Шаг 2. Откройте GPMC, перейдите в Change Control и выберите там вкладку Controlled. Далее нажмите правой кнопкой на нужной групповой политике,

|

February 7, 2010 – 8:23 pm

Первая часть данной статьи тут. Этап 4. Делегируем пользователю John права на просмотр и редактирование групповых политик. Шаг 1. Откройте GPMC на компьютере где вы установили клиент AGPM. Шаг 2. Перейдите в раздел Change Control, далее выберите вкладку Domain Delegation и нажмите Add Шаг 3. Выберите пользователя John и в выпадающем меню выберите роль Editor. Нажмите OK

|

February 7, 2010 – 1:14 pm

Advanced Group Policy Management позволяет организациям внедрять контроль изменений и версий для групповых политик Active Directory. Это позволяет различных администраторам редактировать групповые политики и легко отслеживать данные изменения в дальнейшем. Данное руководство основано на файле AGPM_40_Шаг-by-Шаг_Guide.pdf который поставляется вместе с инсталляционными файлами ADPM v4, однако данная версия улучшена, потому что я добавил почти на каждый

|

Делегирование прав на администрирование групповых политик

Возможность управления объектами GPO можно делегировать другим ответственным лицам. Делегирование осуществляется при помощи списков ACL. Списки ACL объекта GPO позволяют назначить в отношении этого объекта разрешения на модификацию этого GPO или на назначение GPO в отношении некоторого контейнера. Таким образом, можно запретить создание неавторизированных объектов GPO. Например, создание и модификацию GPO можно доверить группе администраторов домена, в то время как назначение этих GPO могут осуществлять администраторы отдельных контейнеров OU. Администратор контейнера OU может выбрать наиболее подходящий объект GPO и применить этот GPO в отношении любого из подконтрольных ему OU. Однако при этом он не сможет изменить содержимое этого GPO или создать новый GPO.

Дополнительные сведения

События предпочтений групповой политики регистрются в журнале приложений. Информационные события регистрируются, только если включены соответствующие параметры групповой политики. Путь к настройкам для области предпочтения:

Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика\Ведение журнала и трассировка

Возможные источники событий:

  • Среда групповой политики
  • Локальные пользователи и группы групповой политики
  • Параметры устройства групповой политики
  • Параметры сети групповой политики
  • Карты диска групповой политики
  • Папки групповой политики
  • Сетевые пакеты групповой политики
  • Файлы групповой политики
  • Источники данных групповой политики
  • Ini-файлы групповой политики
  • Службы групповой политики
  • Параметры папки групповой политики
  • Запланированные задачи групповой политики
  • Реестр групповой политики
  • Приложения групповой политики
  • Принтеры групповой политики
  • Ярлыки групповой политики
  • Параметры интернета для групповой политики
  • Параметры меню «Пуск» групповой политики
  • Региональные параметры групповой политики
  • Параметры питания групповой политики

События предпочтения групповой политики

События Severity Сообщение
MessageId=0x1000 (4096) Успешно Элемент предпочтения %1 «%2» в объекте групповой политики «%3» успешно применен.
MessageId=0x1002 (4098) Предупреждение Элемент предпочтения %1 «%2» в объекте групповой политики «%3» не применяется, так как сбой с кодом ошибки «%4’%%100790273
MessageId=0x1003 (4099) Предупреждение Расширение на стороне клиента не может занося в журнал данные RSoP, так как сбой с кодом ошибки «%1».
MessageId=0x1004 (4100) Успешно Служба остановлена.
MessageId=0x1005 (4101) Успешно Элемент предпочтения %1 «%2» в объекте групповой политики «%3» был успешно удален.
MessageId=0x1006 (4102) Предупреждение Диагностика ODBC (%1), %2
MessageId=0x1007 (4103) Предупреждение Расширение на стороне клиента не может быть %1 %2 элементов предпочтения для объекта групповой политики «%3», так как Windows закрывается или пользователь выходит из системы.
MessageId=0x1009 (4105) Предупреждение Элемент предпочтения %1 ‘%2’ в объекте групповой политики «%3» не применяется, так как целевой элемент не сбой с кодом ошибки «%4’%%100790273.
MessageId=0x100A (4106) Предупреждение Элемент предпочтения %1 ‘%2’ в объекте групповой политики «%3» не применяется, так как его целевой элемент не сбой с кодом ошибки «%4’%%100790273.
MessageId=0x1013 (4115) Успешно Служба запущена.
MessageId=0x2000 (8192) Предупреждение Элемент предпочтения %1 ‘%2’ в объекте групповой политики «%3» не применяется, так как он не сбой с кодом ошибки «%4’%%100790275.
MessageId=0x2001 (8193) Предупреждение Элемент предпочтения %1 ‘%2’ в объекте групповой политики «%3» не применяется, так как его целевой элемент не сбой с кодом ошибки «%4’%%100790275.
MessageId=0x2002 (8194) Предупреждение Клиентский расширение не может %1 %2 параметры политики для ‘%3’, так как он не удалось с кодом ошибки «%4’%%100790275 .В Windows XP и Windows Server 2003 в настройках групповой политики для события СД 8194 вместо предупреждения задается степень серьезности ошибки.
MessageId=0x2004 (8196) Предупреждение Расширение на стороне клиента перехвачено необязваемого исключения «%1» внутри: ‘%2’%%100790275 .
MessageId=0x2006 (8198) Предупреждение Элемент предпочтения %1 ‘%2’ в объекте групповой политики «%3» не был удален, так как он не удалялся с кодом ошибки «%4’%%100790275 .
MessageId=0x2014 (8212) Предупреждение Элемент предпочтения %1 ‘%2’ в объекте групповой политики «%3» не применяется, так как целевой элемент не сбой с кодом ошибки «%4’%%100790275 .
MessageId=0x201D (8221) Предупреждение При записи в файл трассировки произошла ошибка. Ошибка %1.
MessageId=0x2023 (8227) Предупреждение Процесс выкинул исключение %1 внутри %2.
MessageId=0x2024 (8228) Предупреждение Ошибка %1 при получении диагностического сообщения ODBC.
MessageId=0x2025 (8229) Предупреждение Ошибка ODBC %1, %2.
MessageId=0x1A00 (6656) Успешно Скрытый фильтр не прошел.
MessageId=0xF001 (61441) Успешно Эта ошибка была подавлена.%0
MessageId=0xF003 (61441) Успешно Дополнительные сведения см. в файле трассировки.%0

Отключите командную строку и редактор реестра

Когда Панель управления попадает в «плохие руки» – это плохо, но ещё хуже – если это будут командная строка и редактор реестра. Оба этих инструмента могут легко вывести Windows из строя, особенно редактор реестра, который может повредить Windows без возможности восстановления.

Вы должны отключить и командную строку, и редактор реестра Windows, если вас беспокоит безопасность (и состояние) компьютера.

Переместитесь в указанное ниже место:

Конфигурация пользователя → Административные шаблоны → Система

Здесь включите параметры Запретить использование командной строки и Запретить доступ к средствам редактирования реестра, чтобы пользователи не могли получить доступ к командной строке и редактору реестра.

Локальные групповые политики

Групповые политики полезны не только для управления компьютерами в сетях предприятий. Если у вас профессиональная или выше версия Windows, вы также можете использовать групповые политики — для этого в Windows есть программа Редактор локальной групповой политики.

Используя групповые политики, вы можете изменить настройки системы, которые нельязя настроить через графический интерфейс системы Windows. Например, если вы хотите установить свой экран входа в систему Windows 7, вы можете это сделать как в редакторе групповых политик, так в редакторе реестра Windows, но в первом случае процесс настройки удобней и более нагляден. Помимо настроек экрана входа в систему, имеется множество других параметров, где может пригодиться применение групповых политик, например вы можете скрыть облсть уведомлений (чаще его называют системный трей).

Редактор локальной групповой политики может быть также полезен для ограничения доступа к компьютеру, аналогично тому, как ограничивают доступ к компьютеру, находящемуся в сети предприятия. Данная возможность может пригодиться, если вашим компьютером пользуются дети. Например, вы можете разрешить пользователям запуск только определенных программ, ограничить доступ пользователя, только к определенным дискам, или установить политику паролей пользователей, включая минимальную дляину пароля и его сложность.

Редактор локальной групповой политики. оснастка gpedit.msc

Групповая политика — это набор правил, применение которых может облегчить управление пользователями и компьютерами.

Параметры групповой политики применяются для управления конфигурацией операционной системы, а также для отключения опций и элементов управления пользовательского интерфейса для параметров, управляемых групповой политикой. Большинство параметров групповой политики хранятся в разделах реестра, связанных с групповыми политиками.

Существуют два типа групповых политик: локальные групповые политики и групповые политики службы каталогов Active Directory. Локальная групповая политика используется для управления параметрами локальной машины, а групповая политика службы каталогов Active Directory — для управления параметрами компьютеров сайтов, доменов и организационных единиц.

Локальные групповые политики применяются ко всем пользователям и администраторам, входящим в систему на компьютере. Управление локальной групповой политикой осуществляется посредством объекта групповой политики (ОГП — GPO, Group Policy Object). Объект локальной групповой политики хранится на каждом компьютере в скрытой папке %SystemRoot%\System32\GroupPolicy.

Дополнительные пользовательские и групповые объекты локальной групповой политики хранятся в папке %SystemRoot%\System32\GroupPolicyUsers.

Локальные политики (локальный GPO) можно редактировать с помощью оснастки gpedit.msc — редактора локальной групповой политики. Чтобы запустить редактор политики нажмите сочетание клавиш

R, в открывшемся окне Выполнить введите команду gpedit.msc и нажмите клавишу Enter ↵.

В открывшемся окне Редактор локальной групповой политики Вы можете редактировать конфигурацию компьютера и конфигурацию пользователя. В первом разделе (конфигурация компьютера) находятся общесистемные настройки, а во втором — пользовательские настройки.

Рассмотрим небольшой пример использования редактора политик. Допустим мы хотим отключить Диспетчер задач для пользователя. Когда пользователь нажимает Ctrl Alt Del, выводится меню, позволяющее запустить окно Диспетчера задач.

Зачем нужно запрещать Диспетчер задач? Пользователь может закрыть процесс, что приведет к потере данных (особенно когда человек не понимает, что делает). А потом будет надоедать с просьбой восстановить эти данные, что, далеко не всегда возможно. Поэтому проще запретить возможность завершать процессы, чем разбираться с потерями данных и их восстановлением.

Для отключения Диспетчера задач запустите редактор политик и выберите Конфигурация пользователя ► Административные шаблоны ► Система ► Варианты действий после нажатия CTRL ALT DEL. На правой панели вы увидите варианты действий после нажатия Ctrl Alt Del. Дважды щелкните на политике Удалить диспетчер задач.

По умолчанию политика не задана. Для отключения Диспетчера задач выберите значение Включить и нажмите кнопку OK.

После этого запуск Диспетчера задач будет невозможен.

Вы также не сможете запустить Диспетчер задач нажимая сочетание клавиш Ctrl Shift Esc, а также путем ввода команды taskmgr в окне Выполнить, в этом случае вы получите сообщение о том что Диспетчер задач отключен администратором.

При желании отключить Диспетчер задач можно и через реестр. По сути, политики — это надстройки реестра. Чем различается настройка системы через политики и через реестр? Да ничем, по большому счету. Политики созданы для более удобного редактирования реестра. Так, при отключении Диспетчера задач через редактор политик будет создан раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, а в него добавлен параметр DisableTaskMgr типа DWORD со значением 1.

Для включения Диспетчера задач нужно в разделе реестраHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System для параметра DisableTaskMgr установить значение или использовать редактор политик для установки значения Отключить.

Чтобы отключить Диспетчер задач не для конкретного пользователя, а в масштабах всей системы, нужно создать DWORD-параметр DisableTaskMgr со значением 1 в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Теневое копирование или Первый после Бога

И напоследок: не забудь включить теневое копирование диска, если хочешь, чтобы пользователи молились на тебя как на шамана.

Разъясню суть теневого копирования. При его включении и при настройках по умолчанию состояние всего диска сбрасывается в теневую копию два раза в сутки (рекомендую настроить утром и вечером), постоянно будет храниться откат предыдущего дня в его двух состояниях: на конец рабочего времени и на начало нового дня конторы.

Если пользователь снес на сетевом диске годовой отчет и уже начал прилаживать к потолку намыленную веревку, ты подходишь к нему и, придерживая стул под ним, чтобы он (стул) не упал раньше времени, восстанавливаешь удаленный файл.

Теневое копирование позволяет «откатиться» назад на какое-то время. Глубина отката задается при теневом копировании указанием размера, отведенного под теневое копирование. Естественно, чем больше места, тем больше откатов возможно.

Восстановление происходит через «Проводник»: правая кнопка мыши на сетевой папке, в контекстном меню выбрать Previous Versions.

Далее в открывшемся окне выбираешь действие: View, Copy или Restore. Для корректности отката спроси у пользователя, что именно он потерял, и мастерским кликом мыши ввергни его в эйфорию.

Скрыть диски с разделами

Если на компьютере имеется диск с конфиденциальными данными, вы можете скрыть его из раздела «Этот компьютер», чтобы пользователи не могли его найти. Это хорошая мера, чтобы ввести пользователей в заблуждение, но её не следует использовать как метод защиты данных от посторонних глаз.

Перейдите в указанное ниже место и включите параметр Скрыть выбранные диски из окна «Мой компьютер».

Конфигурация пользователя → Административные шаблоны → Компоненты Windows → Проводник

После включения щелкните раскрывающееся меню на панели «Параметры» и выберите, какие диски вы хотите скрыть.

Диски будут скрыты, когда вы нажмете ОК.

Старая версия редактора gpedit.msc от Windows 7

Чтобы запустить редактор групповых политик в Windows 10 Home, можно воспользоваться неофициальным патчем от энтузиастов, который включает в себя все необходимые библиотеки и файлы для работы редактора локальных групповых политик.

  1. Скачать архив с установочным файлом можно здесь: add_gpedit_msc.zip;
  2. Распакуйте архив и запустите с правами администратора мастер установки setup.exe;
  3. Если у вас 64-битная версия Windows 10, то не закрывая окно установщика (не нажимая кнопку Finish), перейдите в каталог %WinDir%Temp и скопируйте файлы gpedit.dll,fde.dll, gptext.dll, appmgr.dll, fdeploy.dll и  gpedit.msc в папку %WinDir%System32;
  4. Затем скопируйте папки GroupPolicy, GroupPolicyUsers, GPBAK и файл gpedit.msc из каталога %WinDir%SysWOW64 в папку %WinDir%System32;
  5. Перезагрузите компьютер и попробуйте запустить консоль редактора, выполнив команду gpedit.msc .

Если при запуске gpedit.msc появляется ошибка “MMC could not create the snap-in”, вручную запустите из папки %WinDir%Tempgpedit файл x86.bat или x64.bat (в зависимости от разрядности системы). Также может помочь ручное копирование файлов архива в папку %SystemRoot%System32.

Совет. В установленной версии редактора будет отсутствовать ряд политик, появившихся в Windows 8 и Windows 10, т.к. данная версия редактора GPO разрабатывалась еще под Windows 7. Т.е. могут отсутствовать новые параметры политик, которые появились после Windows 7, например политика, связанная с недавней проблемой с credssp. Кроме того, имеется только английская версия редактора GPO.

Блокирование наследования политики[править | править код]

Windows 2000 позволяет блокировать наследование политики от родительского объекта. Например, если вы хотите, чтобы в отношении контейнера IT и всех его подконтейнеров действовали только политики, определенные на уровне IT, на странице Group Policy (Групповая политика) свойств объекта IT установите флажок Block Policy Inheritance (блокировать наследование политики). При этом политики Р1 и Р3 не будут применяться в отношении контейнеров IT Workstations и IT Servers. Блокирование наследования политик нельзя отключить для какой-либо одной политики. Если для какого-либо контейнера включено блокирование наследования политик, в отношении этого контейнера и всех его подконтейнеров перестают действовать абсолютно все политики, назначенные на более высоких уровнях иерархии каталога Active Directory.
Этот параметр может быть настроен отдельно для конкретного объекта GPO и действует в отношении всех контейнеров, для которых назначен этот GPO. Если для объекта GPO установлен флажок No Override (не отменять), значения параметров из соответствующей политики всегда будут обладать большим приоритетом при возникновении конфликтов политик вне зависимости от того, на каком уровне иерархии расположены контейнеры, к которым применяется данный GPO. Например, если вы откроете окно свойств домена shinyapple.msft и установите флажок No Override (не отменять) для политики Р1, объекты, расположенные ниже по иерархии Active Directory, всегда будут настроены в соответствии со значениями, заданными в политике Р1. При возникновении конфликта политик значениям из Р1 будет отдано предпочтение. Хорошим примером ситуации, в которой может потребоваться использование данной возможности, является применение параметров безопасности. Если для какого-либо контейнера включено блокирование наследования политик, политика, обладающая свойством No Override (не отменять), все равно будет применена, так как параметр No Override (не отменять) обладает большим приоритетом.

Создание ярлыка для быстрого запуска

Если пользователю понадобится часто обращаться к системной оснастке, он может создать значок в главном меню. Это упростит запуск инструмента, при этом не нужно запоминать соответствующие команды.

Для создания ярлыка потребуется:

  • Щелкнуть ПКМ по Рабочему столу.
  • Во всплывшем окне выбрать «Создать», затем «Ярлык».
  • Указать путь: C:\Windows\System32\gpedit.msc.
  • Нажать «Далее».
  • Указать название.
  • Нажать «Готово».

На Рабочем столе появится значок, который можно открыть двойным нажатием ЛКМ. Пользователь сразу попадет в меню Редактора.

Инструмент владельцы гаджетов нередко используют для настроек операционки. Предпочтительный способ открытия Редактора каждый пользователь выбирает для себя сам. Несмотря на то, что утилита представлена в двух версиях, настройки дают возможность использовать ее и в Домашней версии, если это необходимо автору.

Как восстановить объекты групповой политики по умолчанию в Windows Server 2008R2

Как восстановить объекты групповой политики по умолчанию в Windows Server 2008R2

Всем привет сегодня расскажу как восстановить объекты групповой политики по умолчанию в Windows Server 2008R2.

Случается, возникает необходимость восстановить исходное состояние политик для домена и для контроллеров домена (например, настроить все заново проще, чем перестроить после предыдущего системного администратора; либо возникают ошибки при применении GPO, а RSoP не выявляет ошибочно настроенную политику). Для этого существует программа dcgpofix.

При ее запуске, будут утеряны все изменения объектов групповой политики Default Domain Policy и Default Domain Controllers Policy (даже в том случае, если они были переименованы).

Как восстановить объекты групповой политики по умолчанию в Windows Server 2008R2-02

Отдельно восстановить политики по умолчанию для домена или для контроллеров домена можно, используя ключ /target с указанием параметра dc или domain. Для использования dcgpofix в среде с различными версиями Active Directory, следует использовать ключ /ignoreschema.

Перейдем к примерам. Восстановим исходное состояние политики контроллеров домена в среде с разными версиями AD:

Microsoft(R) Windows(R) Operating System Default Group Policy Restore Utility v5.1

Copyright (C) Microsoft Corporation. 1981-2003

Description: Recreates the Default Group Policy Objects (GPOs) for a domain

Syntax: DcGPOFix

This utility can restore either or both the Default Domain Policy or the Default Domain Controllers Policy to the state that exists immediately after a clean install. You must be a domain administrator to perform this operation.

WARNING: YOU WILL LOSE ANY CHANGES YOU HAVE MADE TO THESE GPOs. THIS UTILITY IS INTENDED ONLY FOR DISASTER RECOVERY PURPOSES.

You are about to restore Default Domain controller policy for the following domain lab.local Do you want to continue: ? y WARNING: This operation will replace all ‘User Rights Assignments’ made in the chosen GPOs. This may render some server applications to fail. Do you want to continue: ? y The Default Domain Controller Policy was restored successfully Note: Only the contents of the Default Domain Controller Policy was restored. Group Policy links to this Group Policy Object were not altered. By default, The Default Domain Controller Policy is linked to the Domain Controllers OU.

Результат выполнения команды можно увидеть, запустив редактор объектов групповых политик и проверив «Начальные настройки» Default Domain Controllers Policy.

Вот так вот просто восстановить объекты групповой политики по умолчанию в Windows Server 2008R2.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector