Group Policy Preferences: дополнительное средство управления

Здравствуйте, уважаемые читатели моего блога. В некоторых статьях я неоднократно использовал возможности системной утилиты gpedit, которая позволяет управлять запуском и установкой приложений, контролировать поведение пользователей, ограничивать некоторые возможности ОС. Сегодня я хотел бы подробно рассказать о такой важной вещи, как настройка групповых политик в Windows 10. Будет рассмотрено несколько полезных примеров, которые могут Вам пригодиться.

Настройка браузера средствами GPO

Проверим, применились ли настроенные параметры. Выполните вход на компьютер с установленным браузером Google Chrome под учетной записью пользователя Михаил Талогаев, учетная запись которого расположена в подразделении «Продажи», а также является членом глобальной группы безопасности «Продажи». При открытии браузера сразу открылись 3 вкладки с указанными в одном из параметров групповой политики сайтами. Также сразу можно заметить, что на панели инструментов появилась кнопка «Главная страница». Открыв параметры браузера, сразу в глаза бросается строка с текстом «Некоторые параметры отключены администратором» и заметно, что для некоторых параметров установлены значения, указанные в объекте GPO. Окно браузера отображено на следующей иллюстрации:

Рис. 8. Окно браузера Google Chrome

Добавление утилиты для версий «Домашняя» и «Стартер»

Нам понадобится скачать вот этот архив с патчем:

Добавление утилиты для версий «Домашняя» и «Стартер»

Скачать

Добавление утилиты для версий «Домашняя» и «Стартер»

Распаковываем в любую папку и запускаем установщик с правами администратора.

Добавление утилиты для версий «Домашняя» и «Стартер»

Когда появится последнее окно с кнопкой «Закончить установку» (Finish), не спешите её нажимать. Если используете систему 64 bit, то следует зайти в каталог, где расположены системные файлы (Windows) и скопировать из временной папки Temp/gpedit следующие dll-файлы:

Добавление утилиты для версий «Домашняя» и «Стартер»
  1. gpedit
  2. appmgr
  3. fde
  4. gptext
  5. fdeploy

Добавление утилиты для версий «Домашняя» и «Стартер»
  • Вставляем их в директорию %WinDir%\System32
  • Теперь заходим в каталог SysWOW64 и с него копируем папки:
Добавление утилиты для версий «Домашняя» и «Стартер»

  1. GroupPolicy
  2. GroupPolicyUsers
  3. GPBAK
  4. И один файл

Добавление утилиты для версий «Домашняя» и «Стартер»
  • Вставляем их System32 и перезапускаем ПК.
  • После запуска пробуем войти в консоль «Выполнить» (Win + R) и вбиваем в поле ввода следующую команду:
  • В случае возникновения ошибки (если не удается войти) следует пройти по пути: Windows\ Temp\ gpedit и там в ручном режиме запустить файл, соответствующий разрядности Вашей ОС – xbat или

Вот и всё. Теперь Ваша «Домашняя» версия поддерживает возможность настройки групповых политик.

Административные шаблоны групповой политики

Настройка административных шаблонов групповой политики в Windows – это не что иное, как администраторы контролируют рабочую среду учетных записей пользователей и компьютеров. Эта функция видна на каждом ПК из семейства ОС Windows NT. Начиная с Windows Vista и Windows Server 2008, групповая политика получила новый формат, и это были параметры политики на основе реестра.

Параметры политики на основе реестра находятся в категории «Административные шаблоны» в редакторе объектов групповой политики. Они определяются с использованием стандартного формата файлов XML, известного как файлы ADMX. Таким образом, администратор групповой политики должен создавать шаблоны групповой политики с использованием файлов ADMX. Новый формат файлов заменил файлы ADM, которые использовали собственный язык разметки. Однако в повседневных задачах администрирования групповой политики администраторов присутствие файлов ADMX незначительно.

Инструменты, используемые для создания административных шаблонов групповой политики в Windows

Для создания административных шаблонов групповой политики в Windows 10/8/7 администраторы могут использовать следующие инструменты:

  • Редактор объектов групповой политики
  • Консоль управления групповой политикой
Читайте также:  Включение проверки подписи драйверов Windows 10

Оба эти инструмента существуют уже довольно давно и остаются в основном неизменными.

Как управлять центральным хранилищем для административных шаблонов групповой политики

Windows использует центральное хранилище для хранения файлов административных шаблонов. Если вы хотите загрузить административные шаблоны, основанные на вашей операционной системе, вот список загружаемых ссылок:

  • Административные шаблоны (.admx) для Windows 10 Creators Update
  • Административные шаблоны (.admx) для Windows 10 версии 1607 и Windows Server 2016
  • Административные шаблоны (.admx) для Windows 10 и Windows 10 версии 1511
  • Административные шаблоны (.admx) для обновления Windows 8.1 и Windows Server 2012 R2 Update
  • Административные шаблоны (.admx) для Windows 8.1 и Windows Server 2012 R2
  • Административные шаблоны (.admx) для Windows 7 и Windows Server 2008 R2

Прежде чем начать использовать административные шаблоны групповой политики в Windows в виде ADMX-файлов, необходимо создать центральное хранилище. Центральное хранилище создается в папке SYSVOL на контроллере домена Windows. Центральное хранилище – это не что иное, как местоположение файла, которое проверяется средствами групповой политики Кроме того, инструменты групповой политики также используют любые файлы .admx, которые находятся в центральном хранилище. Файлы, находящиеся в центральном хранилище, впоследствии реплицируются на все контроллеры домена в домене.

Административные шаблоны групповой политики

Как создать центральный магазин

Чтобы создать центральное хранилище для файлов .admx и .adml, создайте папку с именем PolicyDefinitions в следующем расположении (например) на контроллере домена:

  • \\ \ SYSVOL \ \ политики

Затем скопируйте все файлы из папки PolicyDefinitions на исходном компьютере в папку PolicyDefinitions на контроллере домена. Местоположение источника может быть одним из следующих:

  • Папка C: \ Windows на клиентском компьютере под управлением Windows 8.1 или Windows 10
  • Папка C: \ Program Files (x86) \ Microsoft Group Policy \ client, если вы скачали какой-либо из административных шаблонов отдельно

В папке PolicyDefinitions на контроллере домена Windows хранятся все файлы .admx и .adml для всех языков, которые включены на клиентском компьютере.

Таким образом, вы можете создавать и управлять центральным хранилищем для административных шаблонов групповой политики в Windows.

Поскольку создание и управление центральным хранилищем для административных шаблонов групповой политики в Windows является важной и критической задачей для администраторов, необходимо знать все шаги для этого.

Для получения дополнительной информации прочтите полное руководство по управлению центральным хранилищем административных шаблонов групповой политики в Windows на . Также узнайте, как управлять групповой политикой ADMX на MSDN .

Как работать с редактором групповой политики?

В левой части отобразившегося окна вы можете видеть два основных раздела: конфигурация компьютера (заданные настройки для всего компьютера в целом независимо от того, под какой учетной записью вход в Windows был выполнен), а также конфигурация пользователя (пользовательские настройки).

Как работать с редактором групповой политики?
Как работать с редактором групповой политики?

Каждый из данных разделов содержит по три раздела: конфигурация программ (параметры, относящиеся к программам, установленным на компьютере), конфигурация Windows (системные параметры), административные шаблоны (содержит конфигурации из реестра Windows. Применяется в том случае, когда редактирование реестра через редактор групповой политики исполняется удобнее).

Как работать с редактором групповой политики?
Как работать с редактором групповой политики?

Основы групповой политики

Чтобы лучше понять, как технология Group Policy функционирует в среде Active Directory, необходимо разобраться с тем, каким образом она работает «за кулисами». Если вы только начали знакомство с групповой политикой, то довольно быстро увидите, что многие премагаемые ею средства обладают преимуществами по срав­ нению со старыми технологиями, такими как системные политики.

Репликация групповой политики является встроенной

Объекты GPO реплицируют себя автоматически, не требуя какой-либо работы с вашей стороны. Среда Active Directory реплицируется с использованием репликаuии АО Rep\ication (управляемой средством проверки целостности знаний (Knowledge Consistency Checker) и генератором межсайтовой топологии (lntersite Topology Generator)) и управляется службой репликации файлов (File Replication Service) или службой распределенной репликации файлов (Distributed File Replication Service).

Объекты GPO самостоятельно выполняют очистку при удалении

Все настройки административных шаблонов G PO записывают свою информа­ цию в определенные части реестра и самостоятельно производят очистку, когда на­стройка политики или объект GPO удаляется. Это исправляет давнюю проблему, присущую технологии управления политика­ ми при первом ее появлении. Например, предположим, что вы создали в унасле­ дованной системе системную политику, которая устанавливает для всех пользова­телей цвет фона в какой-то раздражающий оттенок и также настроили политику,препятствующую им изменять этот uвет. Такие настройки записываются в реестр. Ранее после удаления политики записи в реестре не уничтожались, следовательно, раздражающий цвет фона оставался в системе. Часто это называли «татуировкой». Вам пришлось бы настроить вторую политику, чтобы исправить настройки в реест­ре. В случае объектов GPO в этом нет необходимости. Удаление политики устраняет все ее влияние.

Читайте также:  Как загрузить и установить в Windows 8 новый язык

для применения настроек СРО вход не требуется

Реальную славу групповой политике приносит фоновое обновление. Поскольку все компьютеры в домене проверяют наличие изменений каждые 90 минут или около того, настройки политики применяются непрерывно. Это означает, что на­ стройка, которую вы сделали в понедельник в 6:00, предназначенная для управле­ния какой-то настройкой безопасности на каждом рабочем столе, не требует, чтобы все компьютеры находились в функционирующем состоянии. Взамен к компьютеру будет применено фоновое обновление, когда пользователь в 8:00 прибудет на свое рабочее место. Машины Windows 2000 Server и более поздних версий с Active Directory получают свои настройки политики из домена, членами которого являются, после включения электропитания (вспомните, что машины также входят в домен), а пользователи по­лучают политики из своего домена, когда входят в него.

Настраиваем автозапуск скрипта при входе.

Конфигурация компьютера (или Конфигурация пользователя) \ Политики \ Конфигурация Windows \ Сценарии (Computer Configuration или User Configuration \ Policies \ Windows Settings \ Scripts)

В данной ветке мы увидим параметры для настройки сценария при входе или выходе из системы (включении или выключении компьютера). Дважды кликаем по нужному параметру и переходим на вкладку Сценарии Powershell (Powershell Scripts).

Нажимаем по Добавить и выбираем заранее написанный скрипт.

Если необходимо задать приоритет сценариям перед обычными сценариями, в выпадающем списке «Для этого объекта групповой политики выполните сценарии в следующем порядке» выбираем нужный пункт.

Как открыть редактор локальных групповых политик в Windows Home

Как известно, в профессиональных выпусках Windows 10/8(8.1)/7 есть редактор локальных групповых политик , позволяющий сисадминам и опытным пользователям с помощью гибкого интерфейса конфигурировать и отслеживать работу системы. Однако попытка его запустить в домашних сборках ОС приводит к появлению окна «Не удается найти «». Проверьте, правильно ли указано имя и повторите попытку«. Что делать?

Редактор групповых политик – это отдельная MMC (с англ. «консоль управления Microsoft») оснастка в виде графической оболочки для быстрого управления параметрами Windows. При изменении настроек какой-либо политики редактор мгновенно вносит изменения в связанный раздел реестра. Вместо того, чтобы вручную искать и править соответствующий реестровый ключ, гораздо проще отредактировать настройку в . Редактор хранит более двух тысяч параметров «операционки», которые расположены в логической иерархии, имеют подробное описание и различные настроечные опции.

Все примененные настройки локальных политик находятся в папках C:WindowsSystem32GroupPolicy и C:WindowsSystem32GroupPolicyUsers. Если вы удалите файлы из этих директорий, настройки сбросятся до первоначальных.

Как запустить редактор групповых политик в Windows 10 Домашняя

Есть два несложных способа сие сделать. Оба многократно испытаны пользователями из разных стран, что следует, например, из статьи с «How to enable (Group Policy) on Windows 10 Home devices«. Первый – с помощью консольной утилиты DISM, другой – задействовав альтернативный редактор групповых политик Policy Plus. На всякий случай перед выполнением дальнейших действий создайте точку восстановления системы!

  • Скачайте и распакуйте в любую папку архив gpedit_windows10_home.
  • Через правую клавишу мыши откройте bat-файл с правами администратора.
  • Подождите, пока DISM произведет установку пакетов из внутреннего хранилища компонентов Windows 10.
  • При запросе фильтра Windows SmartScreen нажмите кнопки «Подробнее» и «Выполнить в любом случае«.
  • Дабы зайти в редактор групповых политик, наберите в поисковой строке и кликните по появившемуся значку. Редактор должен содержать все необходимые разделы политик, доступные в старших выпусках «десятки».

Утилита Policy Plus – универсальный редактор групповых политик

Системным администраторам и опытным юзерам рекомендую опробовать популярный сторонний редактор групповых политик, работающий во всех версиях Windows 10.

  • Скачайте по ссылке в конце обзора и запустите Policy Plus с админскими правами (программа портабельная, установки не требует).
  • Интерфейс аналогичен , но функционал ощутимо богаче возможностей штатного редактора.
  • Позволяет загружать и подключать файлы административных шаблонов AMDX (см. меню «Help» → «Acquire AMDX Files«), имеется удобный поиск политик (по тексту / описанию / связанным веткам реестра).
  • Вызвав правой клавишей мыши Element Inspector, можно увидеть какие ключи реестра включает заинтересовавшая политика.
  • После изменения и импортирования локальных политик перезагрузите Windows 10 Home (в редакциях Pro и Enterprise все изменения немедленно вступают в силу).

Бесплатно скачать Policy Plus с официального сайта здесь .

Дмитрий dmitry_spb Евдокимов

Обслуживание реестра

Установка одного значения реестра для всех целевых систем сети может быть делом весьма хлопотным. Для выполнения этой задачи многие администраторы используют сценарии регистрации и другие квазиавтоматические методы.

Система групповых политик всегда обеспечивала перенос конкретных значений реестра на клиенты с помощью встроенных шаблонов ADM и ADMX. Вы всегда видите результаты этих шаблонов при просмотре раздела \Computer Configuration\Policies\Administrative Templates or\User Configuration\Policies\Administrative Templates. Эти настройки групповых политик просто присваивают желаемые значения параметрам реестра на целевых системах.

Файлы ADM и ADMX могут быть модифицированы таким образом, чтобы доставлять установки реестра для ваших приложений. Однако эти параметры могут быть доставлены только в ветви HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER; доставка их в другие разделы невозможна. Кроме того, надо отметить, что файлы ADM и ADMX не могут доставлять параметры, имеющие популярный тип данных REG_BINARY. Наряду с этим хорошо известно, что файлы ADM и ADMX оставляют после себя нежелательные настройки, если соответствующее приложение не следует строгим требованиям Microsoft. Так, если пользователь исключается из группы или объект GPO удаляется или отсоединяется, параметр сохраняется.

Элемент Group Policy Preferences Registry открывает перед администратором новые возможности. Эти настройки размещаются в разделах \User Configuration\Preferences\Windows Settings\Registry и \Computer Configuration\Preferences\Windows Settings\Registry. Данный элемент конфигурации позволяет размещать параметры реестра практически в любой его области.

Возможно, вы захотите и дальше использовать файлы ADM и ADMX, если нужно, чтобы администраторы могли выбирать из целого диапазона значений. Допустим, у вас имеется прикладная программа, в которой применяются задаваемые пользователем значения. Вы можете создать файл ADM или ADMX, чтобы администраторы на выбор задавали цвет фона как зеленый, красный или персиковый. Эти цвета могут соответствовать значениям 1, 2 и Администраторы могут выбирать цвет по его названию в простом раскрывающемся меню — так им не нужно будет запоминать цифровые значения цветов.

Настройки Group Policy Preferences Registry не позволяют задействовать диапазон параметров. С помощью настроек Group Policy Preferences Registry можно присваивать значения только конкретным параметрам реестра; если файлы ADM и ADMX позволяют описывать пользовательский интерфейс для целевого приложения, то настройки Group Policy Preferences Registry не дают такой возможности.