Сколько политик одновременно может быть назначено группе сотрудников или группе компьютеров

Обновлено: 04.05.2024

Отличный способ получить больше контроля над вашим компьютером — это использование групповой политики. Существует множество полезных параметров групповой политики, которые домашние пользователи могут использовать для настройки работы Windows 10. Давайте рассмотрим некоторые из лучших параметров групповой политики для улучшения вашей системы.

Что такое групповая политика Windows?

Групповая политика обеспечивает централизованный способ настройки и применения всех видов параметров на компьютерах в сети Active Directory. Эти параметры поддерживаются контроллером домена, и отдельные компьютеры не могут их переопределить.

Таким образом, групповая политика наиболее распространена на доменах Windows в бизнес-настройках.

, Однако компьютеры, которые не находятся в сети Active Directory (имеется в виду большинство домашних компьютеров), могут по-прежнему настраивать свои параметры локально с помощью редактора локальной групповой политики.

Думайте об этом как о панели управления, кроме гораздо более мощных. С помощью групповой политики вы можете ограничить доступ к частям системы, назначить определенную домашнюю страницу для всех пользователей и даже запускать определенные сценарии всякий раз, когда компьютер запускается или выключается.

За кулисами большинство параметров в редакторе групповой политики просто вносят изменения в реестр Windows. Редактор групповой политики предоставляет гораздо более дружественный интерфейс для управления этими параметрами без необходимости вручную просматривать реестр.

Единственным недостатком является то, что по умолчанию групповая политика доступна только для компьютеров, работающих под управлением Professional или более поздних версий Windows. Если вы работаете в Windows Home, это упущение может убедить вас перейти на Windows 10 Pro

— хотя есть обходной путь, который мы упомянем ниже.

Доступ к редактору групповой политики

Доступ к редактору групповой политики проще, чем вы думаете, особенно в Windows 10. Как и в большинстве утилит в Windows, есть несколько способов получить к нему доступ.

Вот один надежный метод:

Хотя мы упоминали, что групповая политика обычно недоступна в домашних выпусках Windows, есть обходной путь, который вы можете попробовать. Он включает в себя некоторые базовые настройки системы и установку стороннего редактора групповой политики.

Если вы заинтересованы, ознакомьтесь с нашим пошаговым руководством по установке редактора групповой политики в Windows Home.

Применение обновлений групповой политики

Для некоторых параметров групповой политики вам необходимо перезагрузить компьютер, чтобы они вступили в силу. В противном случае, как только вы закончите вносить изменения, запустите командную строку с повышенными правами и выполните следующую команду:

Это заставляет любые обновления, внесенные вами в групповую политику, вступать в силу немедленно.

Что делать с групповой политикой

Редактор групповой политики позволяет изменять сотни различных параметров, предпочтений и параметров, поэтому здесь невозможно охватить все.

Вы можете свободно смотреть по сторонам, но если вы не уверены, возможно, стоит избегать экспериментов со случайными политиками. Один плохой твик может вызвать проблемы или нежелательное поведение. Ознакомьтесь с нашим введением в групповую политику

чтобы стать более знакомым в первую очередь.

Теперь рассмотрим некоторые рекомендуемые параметры групповой политики, чтобы вы могли начать работу.

1. Ограничить доступ к панели управления и настройкам

Ограничения панели управления жизненно важны для деловых сетей и школьной среды. Тем не менее, они также могут быть полезны дома для компьютеров, используемых несколькими пользователями. Если вы хотите запретить детям изменять настройки, это хороший шаг.

Чтобы полностью заблокировать панель управления, включите этот объект:

Если вы хотите вместо этого предоставить доступ только к определенным частям панели управления, вы можете настроить это, используя один из двух следующих пунктов:

Включите их, и вы сможете указать, какие апплеты панели управления вы хотите показать или скрыть. использование Канонические названия элементов панели управления Microsoft перечислить их.

2. Заблокируйте командную строку

Несмотря на то, насколько полезной может быть командная строка, она может стать неприятностью в чужих руках. Позволять пользователям запускать нежелательные команды и обходить другие ограничения, которые у вас могут быть, не очень хорошая идея. Таким образом, вы можете отключить его.

Чтобы отключить командную строку, перейдите к этому значению:

Обратите внимание, что включение этого ограничения означает, что cmd.exe не может работать вообще. Таким образом, он также предотвращает выполнение командных файлов в форматах CMD или BAT.

3. Запретить установку программного обеспечения

У вас есть много способов заблокировать пользователям установку нового программного обеспечения. Это может помочь сократить объем технического обслуживания, которое необходимо выполнять, когда люди небрежно устанавливают мусор. Это также снижает вероятность проникновения вредоносных программ в вашу систему.

Чтобы предотвратить установку программного обеспечения с использованием групповой политики, посетите:

Обратите внимание, что это блокирует только установщик Windows, поэтому пользователи могут устанавливать приложения с помощью Магазина Windows.

4. Отключить принудительный перезапуск

Несмотря на то, что вы можете включить некоторые параметры, чтобы отложить его, Windows 10 в конечном итоге перезагрузит компьютер самостоятельно, если у вас есть ожидающие обновления. Вы можете вернуть контроль, включив элемент групповой политики. После этого Windows будет применять только ожидающие обновления, когда вы перезапустите их самостоятельно.

Вы найдете это здесь:

5. Отключите автоматическое обновление драйверов

Знаете ли вы, что Windows 10 также обновляет драйверы устройств без вашего явного разрешения? Во многих случаях это полезно, поскольку оно направлено на то, чтобы поддерживать вашу систему как можно более актуальной.

Но что, если вы используете собственный драйвер? Или, возможно, последняя версия драйвера для определенного аппаратного компонента содержит ошибку, которая приводит к сбою системы. Это времена, когда автоматические обновления драйверов более вредны, чем полезны.

Включите это, чтобы отключить автоматическое обновление драйверов:

После включения вы должны будете предоставить идентификаторы оборудования для устройств, для которых не требуется автоматическое обновление драйверов. Вам нужно будет получить их через диспетчер устройств, который занимает несколько шагов. Следуйте нашему руководству по управлению обновлениями драйверов в Windows 10

для полных инструкций.

6. Отключите съемные носители

Съемные носители, такие как USB-накопители, могут пригодиться. Но неизвестные USB-устройства также могут представлять опасность. Кто-то, имеющий доступ к вашему компьютеру, может загрузить вредоносное ПО на флэш-диск и попытаться его запустить.

Хотя в большинстве случаев это не является необходимым, вы можете запретить Windows полностью читать съемные диски для защиты вашей системы. Это особенно важно в деловых условиях.

Чтобы отключить съемные носители, включите это значение:

В этой папке вы также увидите опции для других видов носителей, таких как CD и DVD. Не стесняйтесь отключить все это, но USB-накопители являются главной проблемой.

7. Скрыть уведомления о воздушных шарах и тостах

Уведомления на рабочем столе могут быть полезны, но только когда им есть что сказать. Большинство уведомлений, которые вы видите, не стоит читать, что часто приводит к тому, что они отвлекают вас и нарушают вашу концентрацию.

Включите это значение, чтобы отключить всплывающие уведомления в Windows:

Начиная с Windows 8, большинство системных уведомлений переключаются на всплывающие уведомления. Таким образом, вы также должны отключить их:

Это простой способ заблокировать множество всплывающих окон.

8. Удалить OneDrive

OneDrive встроен в Windows 10. Несмотря на то, что вы можете удалить его, как и любое другое приложение, его также можно запретить запускать с помощью элемента групповой политики.

Отключите OneDrive, включив это:

Это исключит возможность доступа к OneDrive из любой точки системы. Он также стирает ярлык OneDrive на боковой панели Проводника.

9. Отключите Защитник Windows

Защитник Windows управляет собой, поэтому он перестанет работать, если вы установите стороннее антивирусное приложение. Если по какой-то причине это не работает должным образом или вы хотите полностью отключить его, вы можете включить этот элемент групповой политики:

Хотя Защитник Windows легко отключить, он является достаточно хорошим решением безопасности для большинства людей. Обязательно замените его другой доверенной антивирусной программой Windows

если вы удалите его.

10. Запустите сценарии при входе в систему / запуске / завершении работы

Наш последний совет немного более сложный, поэтому он, вероятно, не будет вам полезен, если вы не знакомы с пакетными файлами и / или не пишете сценарии PowerShell. Но если да, то вы можете автоматически запускать указанные сценарии с помощью групповой политики.

Чтобы настроить скрипт запуска / завершения работы, посетите:

Чтобы настроить сценарий входа или выхода, перейдите по ссылке:

Это позволяет вам выбирать фактические файлы сценариев и предоставлять параметры для этих сценариев, что делает его довольно гибким. Вы также можете назначить несколько сценариев каждому событию триггера.

Обратите внимание, что это не то же самое, что запуск конкретной программы при запуске. Для этого посмотрите, как использовать папку автозагрузки Windows.

Самые полезные параметры групповой политики для вас

Групповая политика предоставляет вам большой контроль над тем, как работает Windows 10. Мы только рассмотрели несколько примеров здесь; есть намного больше функциональных возможностей, если вы знаете, где искать. Однако, как вы можете видеть, большинство опций вращаются вокруг удаления или блокировки функциональности, а не добавления новых инструментов.

У вас нет доступа к групповой политике или вы хотите настроить Windows? Посмотрите наше введение в реестр Windows

Управление рабочими станциями, серверами, пользователями в большой организации — очень трудоемкая задача. Механизм Групповых политик ( Group Policy ) позволяет автоматизировать данный процесс управления. С помощью групповых политик ( ГП ) можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD, домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров — сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управления учетными записями, аудита доступа к сетевым ресурсам, управления сертификатами и т.д.), развертывания приложений и управления их жизненным циклом.

Каждый объект групповых политик ( GPO, Group Policy Object ) состоит из двух частей: контейнера групповых политик (GPC, Group Policy Container ) хранящегося в БД Active Directory, и шаблона групповых политик ( GPT, Group Policy Template ), хранящегося в файловой системе контроллера домена, в подпапках папки SYSVOL. Место, в котором хранятся шаблоны политик, — это папка %systemroot%\SYSVOL\sysvol\ \Policies , и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика .

Каждый объект политик содержит два раздела: конфигурация компьютера и конфигурация пользователя. Параметры этих разделов применяются соответственно либо к настройкам компьютера, либо к настройкам среды пользователя.

Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD.

Каждый объект политик может быть привязан к тому или иному объекту AD — сайту, домену или организационному подразделению (а также к нескольким объектам одновременно).

• кнопка " Создать " — создать новый объект ГП;
• кнопка " Добавить " — привязать к данному объекту AD существующий объект ГП;
• кнопка " Изменить " — открыть редактор групповых политик для выбранного объекта ГП;
• кнопка " Параметры " — запретить перекрывание (поле " Не перекрывать ") параметров данной объекта ГП другими политиками или блокировку на более низком уровне иерархии AD или отключить (поле " Отключить ") данный объект ГП;
• кнопка " Удалить " — удалить совсем выбранный объект ГП или удалить привязку объекта ГП к данному уровню AD;
• кнопка " Свойства " — отключить компьютерный или пользовательский разделы политики или настроить разрешения на использование данного объекта ГП;
• поле " Блокировать наследование политики " — запретить применение политик, привязанных к более высоким уровням иерархии AD;
• кнопки " Вверх " и " Вниз " — управление порядком применения политик на данном уровне AD (политики, расположенные в списке выше, имеют более высокий приоритет).

При загрузке компьютера и аутентификации в домене к нему применяются компьютерные разделы всех привязанных политик. При входе пользователя в систему к пользователю применяется пользовательский раздел всех групповых политик. Политики, привязанные к некоторому уровню иерархии объектов AD (сайта, домена, подразделения) наследуются всеми объектами AD, находящимися на более низких уровнях. Порядок применения политик:

• локальная политика;
• политики сайта Active Directory;
• политики домена;
• политики организационных подразделений.

Если в процессе применения политик какие-либо параметры определяются в различных политиках, то действующими значениями параметров будут значения, определенные позднее.

Имеются следующие методы управления применением групповых политик (см. рис. 6.47):

• блокировка наследования политик на каком либо уровне иерархии AD;
• запрет блокировки конкретного объекта групповых политик;
• управление приоритетом применения политик на конкретном уровне AD (кнопками " Вверх " и " Вниз ");
• разрешение на применение политик (чтобы политики какого-либо объекта ГП применялись к пользователю или компьютеру, данный пользователь или компьютер должен иметь разрешения на этот объект ГП " Чтение " и " Применение групповой политики ").

Кроме применения политик в момент загрузки компьютера или входа пользователя в систему, каждый компьютер постоянно запрашивает обновленные политики на контроллерах домена, загружает их и применяет обновленные параметры (и к пользователю, и к компьютеру). Рабочие станции домена и простые серверы запрашивают обновления каждые 90 ± 30 минут, контроллеры домена обновляют свои политики каждые 5 минут. Обновить набор политик на компьютере можно принудительно из командной строки командой gpupdate (на компьютерах с системами Windows XP/2003) или командами " secedit /refreshpolicy machine_policy " и " secedit /refreshpolicy user_policy " (на компьютерах с системой Windows 2000).

На практических занятиях необходимо изучить работу редактора групповых политик, ознакомиться с набором параметров стандартных политик домена и выполнить задания по настройке рабочей среды пользователей с помощью групповых политик.

Управление приложениями

Рассмотрим немного подробнее использование групповых политик для развертывания приложений в сетях под управлением Active Directory.

Групповые политики могут использоваться для установки прикладных программ в масштабах всего домена или отдельного организационного подразделения.

Групповые политики — это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.

Изменять групповые политики можно с помощью Редактора локальной групповой политики.

В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.

Групповые политики в Windows 10 позволяют управлять различными штатными средствами системы:

1. Политики для настройки встроенного брандмауэра Windows;
2. Политики для управления электропитанием;
3. Политики для настройки панели управления, панели задач и др.
4. Политики для настройки антивирусной защиты;
5. Политики для управления подключаемых устройств;
6. Политики для настройки штатных средств шифрования
7. Политики для настройки штатного браузера;
8. Политики для настройки беспроводных сетей и многое многое другое.

Для настройки параметров в операционной системе MS Windows 10 используется оснастка Редактор локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.

Оснастку Редактор объектов групповой политики можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc.

Рис.1 Окно Выполнить

Оснастка Локальная политика безопасности входит в состав оснастки Редактор

Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики

Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.

Содержание

Структура редактора групповой политики

Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.

В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.

Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.

Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.

Рис.3 Редактор локальной групповой политики

Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.

Рис.4 Настройка частоты обновления политик

Рис.5 Настройка частоты обновления политик

Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:

• осуществить перезагрузку операционной системы
• использовать утилиту gpupdate.exe для принудительного обновления групповой политики. Для этого необходимо либо в окне Выполнить, либо в командной строке ввести gpupdate /force и нажать ОК.

Рис.6 Обновление политик в командной строке

С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.

Например, для выполнения обновления политик для пользователя, необходимо ввести gpupdate /target:user .

Рис.7 Обновление политик для пользователя в командной строке

Пример последовательности действий при редактировании определенной политики

Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:

• Войти в систему под учетной записью администратора.
• Запустить Редактор локальной групповой политики
  • Открыть окно Выполнить,
  • Ввести gpedit.msc,
  • Нажать Enter.

  
  

  Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления

  • Дважды щелкнуть ЛКМ по параметру политики Отображать только указанные объекты панели управления.
  • Выбрать значение Включено.

  
  

  Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления

  • Нажать кнопку Показать, чтобы вызвать диалоговое окно Вывод содержания.
  • Ввести имя апплета или апплетов, которые необходимо показывать в Панели управления, и нажать Enter.

  
  

  Рис.10 Список разрешенных элементов панели управления

  • Нажать OK.
  • Закрыть редактор локальной групповой политики
  • Проверить результат

  Для некоторых политик, чтобы изменения вступили в силу сразу, необходимо в окне Выполнить ввести gpupdate /force .

  
  

  Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики

  
  

  Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики

  Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:

  • стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки, которые будут применены для всех пользователей операционной системы;
  • групповая политика для администраторов и не администраторов. Эта групповая политика содержит только конфигурационные параметры пользователя и применяется в зависимости от того, является ли используемая учетная запись пользователя членом локальной группы Администраторы или нет;
  • групповая политика для конкретного пользователя. Эта групповая политика содержит только конфигурационные параметры конкретного пользователя

  Последовательность действий при добавлении объектов групповой политики через консоль управления (Microsoft Management Console, MMC)

  Добавление объекта групповой политики первого уровня

  • В окне Выполнить ввести MMC и нажать Enter
  • Открыть меню Файл и выбрать опцию Добавить или удалить оснастку

  
  

  Рис.13 Добавление оснастки через консоль управления

  • Найти и выделить Редактор объектов групповой политики и нажать кнопку Добавить

  
  

  Рис.14 Диалоговое окно Добавление и удаление оснасток

  • В открывшемся мастере групповой политики в поле Объект групповой политики оставить по умолчанию Локальный компьютер (первый уровень, стандартная локальная политика) и нажать кнопку Готово.

  
  

  Рис.15 Диалоговое окно выбора объекта групповой политики

  Добавление объекта групповой политики второго уровня

  • В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
  • В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
  • На вкладке Пользователи выбрать Администраторы и нажать кнопку ОК и Готово

  
  

  Рис.16 Настройка объекта групповой политики второго уровня

  Добавление объекта групповой политики третьего уровня

  • В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
  • В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
  • На вкладке Пользователи выбрать нужную учетную запись.
  • Нажать ОК, чтобы закрыть диалоговое окно Добавление и удаление оснасток.

  
  

  Рис.17 Консоль управления

  • Для удобства, используя команды в главном меню Файл >Сохранить как, сохранить файл консоли управления на рабочем столе для последующего редактирования политик.

  Теперь, используя данную консоль, можно настраивать политики для определенных пользователей.

  
  

  Из предыдущих статей данного цикла вы уже многое узнали о том, как следует правильно планировать инфраструктуру Active Directory в организации. По теме планирования логической структуры доменных служб уже было рассмотрено планирование внедрения служб Active Directory, где вы узнали об определении требований доменных служб в организации. Во второй статье текущего цикла я описал определение моделей лесов, которые вы можете применять на стадии проектирования структуры организации. В третьей статье данного цикла было рассказано о моделях доменов, а также о том, как определить необходимое количество доменов, которые будут развертываться в вашей организации. В следующей статье текущего цикла вы узнали о правильном размещении пяти ролей мастеров операций. Затем, в статье, связанной с планированием подразделений на предприятии, был рассмотрен процесс проектирования подразделений, согласно пяти известных моделей. Далее была рассмотрена концепция серверов глобального каталога, а также взаимодействие серверов глобального каталога с другими серверными технологиями корпорации Microsoft. В предпоследней статье данного цикла была описана процедура планирования инфраструктуры DNS для домена Active Directory, а именно были рассмотрены проектирование нового именного пространства, а также интеграция доменных служб с существующей инфраструктурой DNS. Последней статьей из цикла по планированию развертывания логической структуры доменных служб Active Directory будет текущая статья, из которой вы узнаете о планировании развертывания групповых политик. Так как большинство моих статей написаны непосредственно по функционалу групповых политик, эта тема для меня является самой интересной из всех этапов планирования логической структуры доменных служб Active Directory.

  Как я уже не раз говорил в своих статьях, посвященных функционалу групповых политик, групповые политики предназначены для управления конфигурацией групп и пользователей вашей организации со структурой доменных служб Active Directory и все установленные вами параметры групповых политик располагаются в объектах групповой политики. Эти параметры групповой политики распространяются на ваших пользователей путем привязки объекта GPO к сайту, домену или подразделению, в котором находится учетная запись пользователя или компьютера. Также как и во всех случаях, которые рассматривались в предыдущих статьях этого цикла, процесс внедрения групповых политик состоит из пяти основных этапов: планирования, проектирования, развертывания, тестирования и обслуживания. К сожалению, при планировании внедрения групповых политик в организации не существует определенного набора правил, которыми следует руководствоваться для разработки стабильной структуры данного компонента, поэтому в данной статье будут рассмотрены общие рекомендации, которые следует принять во внимание на этапе внедрения групповых политик.

  Процесс планирования развертывания групповой политики

  Перед тем как начать выполнять задачи стадии планирования внедрения групповой политики, вам стоит обратить свое внимание на несколько важных моментов. Прежде всего, как уже упоминалось в первой статье данного цикла, для соблюдения тщательного планирования и последующего тестирования вашей инфраструктуры доменных служб Active Directory в большинстве организаций, предоставляющих свои услуги по выполнению такого рода работ, желательно использовать соглашение об уровне обслуживания, которое является регламентирующим документом, определяющим ожидаемый уровень быстродействия, категории ожидаемой производительности, бюджет и начальную стоимость проекта. При помощи такого соглашения вы можете установить некоторые стандарты, предназначенные для службы реагирования, например, максимальный период времени, требуемый для загрузки операционной системы и выполнения пользователем входа, позиционирование контроллеров домена в самом домене, размещение администраторов групповой политики и многое другое. Помимо этого стоит обратить свое внимание на тот момент, что при реализации каждого индивидуального случая внедрения групповой политики, сами цели объекта GPO могут существенно изменяться в зависимости от компетентности пользователей, корпоративных требований безопасности, местоположения самого пользователя, а также от многих других факторов и форс-мажорных обстоятельств. Самое главное, что от вас требуется на данном этапе – полностью удостовериться в том, что разработанная вами структура групповой политики, которая отчасти основывается на продуманной вами ранее структуре подразделений Active Directory существенно упростит как управление самой групповой политикой, так и управление компьютерами и пользователями организации, в которой внедряется данное решение. На этом этапе лучше всего еще раз убедиться, что подразделения спланированы так, чтобы групповые политики могли распространяться на все ваши отделы наиболее рациональным образом. Стоит всегда помнить о том, что непосредственно на уровне домена развертывается минимальное количество параметров групповой политики, а на уровне сайта параметры политики практически не задаются во всех случаях. Если вы изначально халатно отнеслись к планированию подразделений в своей организации, то в будущем у вас могут дублироваться объекты групповых политик, что повлечет за собой значительные задержки в производительности, а то и более существенные проблемы. При планировании структуры подразделений нужно группировать объекты, для которых будут применяться одни и те же параметры групповой политики. Так как все параметры групповой политики наследуются от родительских подразделений, чаще всего самые низкие уровни подразделений предназначаются исключительно для применения объектов GPO. Общепринятым методом создания подразделений в организации считается разделение подразделений с учетными записями пользователей и учетными записями компьютеров. Это делается с той целью, чтобы можно было разделять объекты GPO, которые будут распространяться только на пользователей определенного отдела или на все компьютеры в конкретном здании одновременно. Если компьютеры и пользователи вашей организации разбросаны по нескольким зданиям или даже городам, то, возможно, во избежание создания множества сайтов, что повлечет за собой репликацию и соответственно проблемы с пропускной способности сети, вам придется распределять все подразделения по так называемому географическому принципу, включая дочерние подразделения. Вы можете задаться следующим вопросом: что же плохого в том, что у вас будет несколько сайтов? Ответ достаточно простой: если во время процесса обновления групповой политики скорость сетевого подключения между клиентским компьютером и контроллером домена, размещенного в другом сайте упадет ниже порогового значения, то на клиентский компьютер будут применены только лишь административные шаблоны, политики безопасности и политики беспроводных подключений, а такие политики, как политика установки программного обеспечения будут игнорироваться. Всегда стоит учитывать то, что основной задачей проектирования инфраструктуры доменных служб Active Directory особо значимой задачей является обеспечение простоты администрирования и делегирования. Пример структуры подразделений в организации отображен на следующей иллюстрации:

  
  

  Рис. 1. Структура подразделений, предназначенных для развертывания групповых политик

  Помимо структуры подразделений вам всегда следует помнить об обеспечении безопасности, так как вопрос безопасности для любой организации можно отнести к самым актуальным задачам на сегодняшний день. В этот момент вам следует продумать, как будут изменяться настройки брандмауэра Windows в режиме повышенной безопасности на клиентских компьютерах, будут ли шифроваться диски ваших мобильных пользователей при помощи технологии BitLocker, будет ли использоваться функционал защиты доступа сети и многое другое.

  Если вы имеете четкое представление о среде организации, в которой планируете внедрять групповые политики, в таком случае можно начинать разрабатывать сам план, который будет наиболее полным образом соответствовать всем требованиям организации. На этапе планирования следует обратить свое внимание на определение области применения групповой политики и определение параметров политики, применяемых ко всем пользователям, что подробно описано в следующих подразделах.

  Определение области применения групповой политики и количества объектов GPO

  Уже не раз было указано, что конфигурация, применяемая к пользователям и их компьютерам, определяется в объектах GPO, причем, изменения в конфигурации GPO не влияют на компьютеры или пользователей, если к ним не применяется сам объект групповой политики. Такая концепция называется областью действия объекта групповой политики, иными словами, это коллекция пользователей или компьютеров к которым будут применяться параметры объекта GPO. Методов применения области действия групповой политики не много. Основным методом считается связывание объектов групповой политики с сайтами, доменами или подразделениями, после чего этот сайт, домен или подразделение будут определять пределы области действия объекта GPO. Соответственно, параметры групповой политики будут распространяться еще и на всех пользователей и компьютеры, расположенные в дочерних подразделениях. Помимо связывания объектов групповой политики, вы можете ограничивать область действия объектов GPO при помощи фильтров безопасности, определяющих глобальные группы безопасности, на которые будут распространяться или не распространяться объекты групповой политики. При указании фильтров групп безопасности, определяется, будет ли применяться объект групповой политики к группам, пользователям или компьютерам целиком. Еще для указания области действия объектов групповой политики важным методом является фильтрация инструментария управления Windows, которая позволяет указать область действия при помощи таких характеристик операционной системы, как номер версии, конфигурация оборудования и прочее.

  Если же вам нужно для конкретного подразделения запретить наследование параметров политики, то вы можете воспользоваться возможностью блокирования наследования. Блокирование наследования считается свойством домена или подразделения и позволяет заблокировать абсолютно все параметры групповой политики из объектов GPO, которые связаны с родительскими объектами в иерархии групповой политики. Данное свойство рекомендуется использовать только в самых крайних случаях, поскольку оно существенно ухудшает оценку приоритетов. Также в функционале групповой политики есть зеркальное свойство по отношению к блокированию наследования, которое называется принудительным включением связи GPO. Данная возможность позволяет назначить определенному объекту GPO наивысший приоритет по отношению ко всем остальным объектам групповой политики, причем, принудительная связь будет применяться ко всем дочерним подразделениям даже в том случае, если для них применяется блокирование наследования.

  Важным этапом планирования считается определение количества объектов групповой политики, распространяемых на клиентские компьютеры и пользователей вашей организации. В этот момент необходимо иметь четкое представление обо всех подразделениях в вашей организации, так как если в доменной среде вашей организации несколько лесов или доменов, то, вполне очевидно, что для каждого домена будет разное количество объектов GPO и чем сложнее построена бизнес-среда домена, тем большее количество объектов GPO будет в таком домене распространяться. Важно обращать внимание на то, что работа администраторов групповой политики прямо пропорциональна количеству поддерживаемых в вашей инфраструктуре объектов GPO. Другими словами, чем больше вы внедрите объектов групповой политики, тем существеннее возрастёт объем работ этого персонала. Поэтому, если возможно каким-то образом сгруппировать несколько объектов GPO, которые будут применяться к одному и тому же набору пользователей или компьютеров в один, не упускайте такую возможность, так как это значительно упростит вам обслуживание GPO в ближайшем будущем. Другими словами, старайтесь назначать максимальное количество настроек родительским подразделениям, а исключения из таких ситуаций при добавлении параметров политики в дочерние подразделения лучше сразу документировать. На одного пользователя или компьютер может распространяться одновременно не более 999 объектов групповой политики, но если на такого пользователя будет распространяться даже 100 объектов GPO, проследить за всеми настройками, применяемыми для этого пользователя, будет очень сложно. Последнее, что, по моему мнению, нужно помнить на этом этапе планирования – это то, что количество объектов групповой политики, которое применяется к объекту пользователя или компьютера, существенно влияет на время запуска и входа в сеть и чем большее количество объектов GPO связано с пользователем или компьютером, тем больше времени потребуется на их обработку для окончания выполнения входа в систему.

  Определение параметров политики, применяемых ко всем пользователям

  Несмотря на параметры групповой политики, которые должны применяться непосредственно на определенное подразделение, вам следует определить параметры политики, принудительно распространяемые на всех пользователей или компьютеры организации. К таким параметрам можно отнести политики паролей и блокировки учетных записей пользователей. Такие параметры следует связывать с соответствующими подразделениями в Active Directory, например, подразделением, содержащим всю иерархию учетных записей пользователей. Соответственно, вам нужно четко понимать всю структуру ваших приоритетов объектов GPO, то есть учесть все принудительные связи и блокировку наследования для того, чтобы у вас не возникало проблем при устранении неполадок, которые могут быть у пользователей из-за того, что определенные параметры применяются не там, где нужно или не применяются вообще. Возможно, некоторые параметры следует даже привязывать не к родительским подразделениям, а непосредственно к самому домену. Обязательно обратите на это внимание и хорошо продумайте всю структуру GPO. Компьютеры и сервера вашей организации лучше всего группировать в подразделения с расчетом того, что сотрудники, которые будут за ними работать должны выполнять схожие должностные обязательства, а на серверах развертываются смежные роли. Перед тем как запускать все развернутые вами объекты GPO в производственную сеть их нужно тщательно протестировать. Тестировать их вы можете как в лабораторной среде, так и, попросив нескольких сотрудников из различных отделов посмотреть какие параметры политики применяются, проследить за задержкой перед выполнением входа в систему. Помимо среды тестирования также можно отметить и промежуточную среду, так называемая среда предварительной обработки, которая наиболее приближенная к рабочей среде. В большинстве случаев тестовая и промежуточная среды ничем не отличаются и применяются совместно. Но, тем не менее, так как параметры групповой политики изменяют параметры системного реестра, многие параметры безопасности, а также предназначены для развертывания программного обеспечения, желательно при создании промежуточной среды наиболее четко определить имеющееся оборудование, которое можно использовать для создания архитектуры, аналогичной рабочей среде. О создании промежуточной среды мы еще подробно поговорим в одной из следующих статей по функционалу групповой политики. После того как все тесты будут успешно пройдены и вы будете более чем уверены, что при развертывании в производственной среде не произойдет каких-либо инцидентов, вам следует воспользоваться средствами оснастки управления групповыми политиками и выполнить последнюю миграцию измененных или новых параметров групповой политики в рабочую среду.

  После того как вы полностью спланировали инфраструктуру групповой политики, внедрили все параметры GPO в рабочую среду, вам следует разработать расписание резервирования всех настроек объектов GPO для того, чтобы можно было использовать их для восстановления отдельных объектов групповой политики в свое первоначальное состояние.

  
  

  18.10.2021

  
  

  itpro

  
  

  Active Directory, PowerShell, Windows Server 2019, Групповые политики

  
  

  Комментариев пока нет

  Основной классический инструмент для управления групповыми политиками (GPO) в домене Active Directory — графическая консоль Group Policy Management Console (gpmc.msc). Однако для автоматизации и повышения эффективности некоторых задач управления GPO в Active Directory, вы можно использовать PowerShell, который предоставляет широкие возможности по администрированию групповых политик.

  Установка PowerShell модуля управления групповыми политиками

  Для управления доменными групповыми политиками на вашем компьютере должен быть установлен модуль GroupPolicy. Данный модуль доступен в Windows Server после установки компонента Group Policy Management. Данную опцию можно установить из консоли Server Manager или с помощью PowerShell:

  Install-WindowsFeature GPMC -IncludeManagementTools

  
  

  Если вы хотите администрировать GPO с рабочей станции с десктопной редакцией Windows 10 или 11, модуль групповых политик устанавливается через RSAT:

  Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0

  Полный список PowerShell командлетов в модуле GroupPolicy можно вывести с помощью команды:

  Get-Command –Module GroupPolicy

  
  

  С помощью PowerShell модуля GroupPolicy вы можете:

  Создать или удалить GPO

  Управление GPO с помощью PowerShell

  Рассмотрим несколько типовых задач администратора, в которых можно использовать PowerShell для управления групповыми политиками.

  Чтобы создать новую пустую политику, воспользуйтесь командой:

  New-GPO -Name spbTestGPO -Comment "Testing GPO PowerShell"

  Если у вас в домене созданы стартовые групповые политики (Starter GPO), вы можете создать новую политику на основе такого шаблона (например, с определенными настройками Security Baseline):

  New-GPO -Name spbTestGPO2 -StarterGPOName "Windows 10 Security Baseline"

  Чтобы назначить политику на определенную OU, используйте командлет New-GPLink:

  Get-GPO spbTestGPO | New-GPLink -Target "ou=test,ou=spb,ou=ru,dc=winitpro,dc=loc"

  
  

  Чтобы отлинковать GPO от OU:

  Remove-GPLink -Name spbTestGPO -Target "ou=test,ou=spb,ou=ru,dc=winitpro,dc=loc"

  Если нужно отключить применение GPO, но не удалять связь, используется командлет Set-GPLink:

  Set-GPLink -name spbTestGPO -Target "ou=test,ou=spb,ou=ru, dc=winitpro,dc=loc" -linkenabled no

  GPO перестала применяться к OU, но осталась слинкованной.

  Если нужно применить GPO в принудительном режиме, добавьте параметр -Enforced Yes.

  
  

  Следующая однострочная команда PowerShell создаст новую GPO, которая меняет настройки одного параметра реестра (отключает автообновление драйверов), ограничит применение политики определенной группой безопасности, и прилинкует к определенному OU:

  $key = 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching'
  New-GPO 'spbDisableDriverUpdate' | Set-GPRegistryValue -Key $key `
  -ValueName 'SearchOrderConfig' -Type DWORD -Value 0 | Set-GPPermissions -Replace `
  -PermissionLevel None -TargetName 'Authenticated Users' -TargetType group | `
  Set-GPPermissions -PermissionLevel gpoapply -TargetName 'spb_admins' `
  -TargetType group | New-GPLink -Target "ou=test,ou=spb,ou=ru,dc=winitpro,dc=loc" –Order 1

  Модуль PowerShell не позволяет изменить значение произвольного параметра GPO из административных admx шаблонов. Для редактирования доступны только параметры реестра, распространяющиеся через Group Policy Preferences.

  С помощью командлета Get-GPO можно вывести информацию о конкретном объекте GPO или о всех политиках в домене. Данный командлет возвращает GUID политики (часто нужен при диагностике применения GPO на компьютерах или решения проблем с репликацией объектов политик при проверке состояния AD), время создания, модификации политики, примененные WMI фильтры GPO.

  
  

  Можно вывести настройки WMI фильтра, привязанного к GPO (но изменить настройки фильтра не получится):(Get-GPO spbWin10Settings).WmiFilter

  PowerShell: применение GPO, результирующие политики

  Для обновления групповых политик на удаленных компьютерах используется командлет Invoke-GPUpdate. Можно обновить настройки GPO на конкретном компьютере:

  Invoke-GPUpdate -Computer "corp\pc0200" -Target "User"

  Или на всех компьютерах в указанной OU:

  Get-ADComputer –filter * -Searchbase "ou=Computes,OU=SPB,dc=winitpro,dc=com" | foreach

  Командлет Get-GPOReport используется для построения HTML/XML отчетов с настройками указанной политики:

  Get-GPOReport -name spb-BitlockerEncryption -ReportType HTML -Path "C:\ps\bitlockerpolicy.html"

  
  

  Командлет Get-GPResultantSetofPolicy позволяет построить результирующий отчет (RSoP — Resultant Set of Policy) по примененным групповым политикам к указанному пользователю и (или) компьютеру. Этот отчет выглядит аналогично HTML отчету о примененных политиках к компьютеру, который генерируется с помощью утилиты gpresult ( GPResult /h c:\ps\gp-report.html /f ). Командлет позволяет получить отчет по результирующим групповым политикам с удаленного компьютера:
  Get-GPResultantSetOfPolicy -user kbuldogov -computer corp\pc0200 -reporttype html -path c:\ps\gp_rsop_report.html

  Резервное копирование и восстановление GPO

  С помощью PowerShell вы можете создавать резервные копии объектов групповых политик в домене и восстанавливать их.

  Можно создать резервную копию всех GPO:

  Backup-GPO -All -Path C:\Backup\GPOs\

  Или только одной политики:
  Backup-GPO -Name spbWin10Settings -Path C:\Backup\GPOs -Comment ″Test GPO Backup PowerShell″

  Для восстановления GPO используется:

  Restore-GPO -Name spbWin10Settings -Path C:\Backup\GPOs\

  Вы можете хранить несколько версий резервных копий GPO в одной папке. Чтобы восстановить определенную версию GPO, нужно указать ее ID резервной копии (32 разрядный идентификатор):

  Restore-GPO -Path ″C:\GPO Backups″ -BackupID 1235469-1234-5432-AAAA-8987778333

  Читайте также:

    
  • Что такое медиативные технологии в работе с несовершеннолетними
    
  • Механизм напоминания сотрудникам про их обязанности это задачи бизнес процесс карта маршрута
    
  • Кто чебурашка по профессии
    
  • Как работает паспортный стол в майском кбр
    
  • Какие нужны профессии для холдинга