Редактор локальной групповой политики Windows для начинающих

Редактор локальной групповой политики Windows для начинающих

В этой статье поговорим о еще одном инструменте администрирования Windows — редакторе локальной групповой политики. С его помощью вы можете настроить и определить значительное количество параметров своего компьютера, установить ограничения пользователей, запретить запускать или устанавливать программы, включить или отключить функции ОС и многое другое.

Отмечу, что редактор локальной групповой политики недоступен в Windows 7 Домашняя и Windows 8 (8.1) SL, которые предустановлены на многие компьютеры и ноутбуки (однако, можно установить Редактор локальной групповой политики и в домашней версии Windows). Вам потребуется версия начиная с Профессиональной.

Дополнительно на тему администрирования Windows

  • Администрирование Windows для начинающих
  • Редактор реестра
  • Редактор локальной групповой политики (эта статья)
  • Работа со службами Windows
  • Управление дисками
  • Диспетчер задач
  • Просмотр событий
  • Планировщик заданий
  • Монитор стабильности системы
  • Системный монитор
  • Монитор ресурсов
  • Брандмауэр Windows в режиме повышенной безопасности

Как запустить редактор локальной групповой политики

Первый и один из самых быстрых способов запуска редактора локальной групповой политики — нажать клавиши Win + R на клавиатуре и ввести gpedit.msc — этот способ будет работать в Windows 8.1 и в Windows 7.

Также можно воспользоваться поиском — на начальном экране Windows 8 или в меню пуск, если вы используете предыдущую версию ОС.

Где и что находится в редакторе

Интерфейс редактора локальной групповой политики напоминает другие инструменты администрирования — та же структура папок в левой панели и основная часть программы, в которой можно получить информацию по выбранному разделу.

Слева настройки разделены на две части: Конфигурация компьютера (те параметры, которые задаются для системы в целом, вне зависимости от того, под каким пользователем был совершен вход) и Конфигурация пользователя (настройки, относящиеся к конкретным пользователям ОС).

Каждая из этих частей содержит следующие три раздела:

  • Конфигурация программ — параметры, касающиеся приложений на компьютере.
  • Конфигурация Windows — настройки системы и безопасности, другие параметры Windows.
  • Административные шаблоны — содержит конфигурацию из реестра Windows, то есть эти же параметры вы можете изменить с помощью редактора реестра, но использование редактора локальной групповой политики может быть более удобным.

Примеры использования

Перейдем к использованию редактора локальной групповой политики. Я покажу несколько примеров, которые позволят увидеть, как именно производятся настройки.

Разрешение и запрет запуска программ

Если вы пройдете в раздел Конфигурация пользователя — Административные шаблоны — Система, то там вы обнаружите следующие интересные пункты:

  • Запретить доступ к средствам редактирования реестра
  • Запретить использование командной строки
  • Не запускать указанные приложения Windows
  • Выполнять только указанные приложения Windows

Два последних параметра могут быть полезными даже обычному пользователю, далекому от системного администрирования. Кликните дважды по одному из них.

В появившемся окне установите «Включено» и нажмите по кнопке «Показать» около надписи «Список запрещенных приложений» или «Список разрешенных приложений», в зависимости от того, какой из параметров меняется.

Укажите в строчках имена исполняемых файлов программ, запуск которых нужно разрешить или запретить и примените настройки. Теперь, при запуске программы, которая не разрешена, пользователь будет видеть следующее сообщение об ошибке «Операция отменена из-за ограничений, действующих на этом компьютере».

Изменение параметров контроля учетных записей UAC

В разделе Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности имеется несколько полезных настроек, одну из которых можно и рассмотреть.

Выберите параметр «Контроль учетных записей: поведение запроса на повышение прав для администратора» и дважды кликните по нему. Откроется окно с параметрами этой опции, где по умолчанию стоит «Запрос согласия для исполняемых файлов не из Windows» (Как раз поэтому, всякий раз, при запуске программы, которая хочет изменить что-то на компьютере, у вас запрашивают согласие).

Вы можете вообще убрать подобные запросы, выбрав параметр «Повышение без запроса» (только этого лучше не делать, это опасно) или же, напротив, установить параметр «Запрос учетных данных на безопасном рабочем столе». В этом случае, при запуске программы, которая может внести изменения в системе (а также для установки программ) каждый раз потребуется вводить пароль учетной записи.

Сценарии загрузки, входа в систему и завершения работы

Еще одна вещь, которая может оказать полезной — скрипты загрузки и выключения, которые вы можете заставить выполняться с помощью редактора локальной групповой политики.

Это может пригодиться, например, для запуска раздачи Wi-Fi с ноутбука при включении компьютера (если вы реализовывали ее без сторонних программ, а создав Wi-Fi сеть Ad-Hoc) или выполнения операций резервного копирования при выключении компьютера.

В качестве скриптов можно использовать командные файлы .bat или же файлы сценариев PowerShell.

Сценарии загрузки и выключения находятся в Конфигурация компьютера — Конфигурация Windows — Сценарии.

Сценарии входа в систему и выхода — в аналогичном разделе в папке «Конфигурация пользователя».

Например, мне нужно создать сценарий, выполняемый при загрузке: я дважды кликаю по «Автозагрузка» в сценариях конфигурации компьютера, нажимаю «Добавить» и указываю имя файла .bat, который следует выполнить. Сам файл должен находится в папке C:WINDOWSSystem32GroupPolicyMachineScriptsStartup (этот путь можно увидеть по нажатию кнопки «Показать файлы»).

В случае, если сценарий требует ввода каких-то данных пользователем, то на время его исполнения дальнейшая загрузка Windows будет приостановлена, до завершения работы скрипта.

Читайте также:
Как отключить UAC в Windows

В заключение

Это лишь несколько простых примеров использования редактора локальной групповой политики, для того, чтобы показать, что такое вообще присутствует на вашем компьютере. Если вдруг захочется разобраться подробнее — в сети есть масса документации на тему.

А вдруг и это будет интересно:

  • Windows 11
  • Windows 10
  • Android
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Установка с флешки
  • Настройка роутера
  • Всё про Windows
  • В контакте
  • Одноклассники

03.03.2015 в 20:30

привет всем! у меня вопрос. а что если включил Выполнять только указанные приложения Windows? как его отключить если не заходит в gpedit или mmc или подобные команды? можно как то из livecd запускать какие-нибудь программки и отключить? спасибо!

04.03.2015 в 10:57

Здравствуйте. Да, можно. С LiveCD вы можете открыть файлы реестра установленной на компьютере Windows и убрать ограничения в нем. Инструкция ищется в Google по запросу Run Only Specified Programs in Windows using registry (будет инструкция по включению ограничения, но из нее легко понять, как его выключить).

25.05.2016 в 15:27

А как использовать «Редактор локальной групповой политики » применимо к конкретному пользователю? К примеру, я не хочу, чтоб ребенок из своего профиля мог зайти в «Панель управления».

26.05.2016 в 09:47

Конфигурация пользователя — Административные шаблоны — Панель управления — Запретить доступ к панели управления (включено).
Или HKEY_CURRENT_USER Software Microsoft Windows Current Version Policies Explorer, создаем значение DWORD32 с именем NoControlPanel и ставим значение 1.
Это для текущего пользователя.
Про gpedit для другого пользователя (на англ): goo.gl/QjDUkM

05.03.2017 в 21:06

Здравствуйте. У меня такая проблема — винда русская, а все настройки локальной политики безопасности на английском, немного не удобно как для меня. Существует ли какой то русик или просто где то надо поменять значение в реестре?

06.03.2017 в 09:35

Здравствуйте. По описанию похоже, что у вас либо нелицензионная система, сделанная автором сборки «русской», либо отдельно установленный языковой пакет. В данной ситуации сделать локальные политики на русском языке не получится (во всяком случае, мне способ не известен).

29.07.2017 в 08:36

Не может найти gpedit.msc нет такого файла в Windows 8.1….

30.07.2017 в 12:29

Его нет в версии «Домашняя» и «Для одного языка».

18.07.2018 в 13:33

И что теперь делать?

18.07.2018 в 13:43

можно установить, вот так: https://remontka.pro/cannot-find-gpedit-msc/ а можно не пользоваться редактором локальной групповой политики.

26.09.2018 в 13:19

Здравствуйте!
Есть ли такая возможность в вин7 проф.: с помощью административных шаблонов запретил запуск некоторых приложений виндовс. Есть ли возможность поставить пароль на изменение этих шаблонов? Чтоб другие не смогли снят запрет.

26.09.2018 в 13:36

Здравствуйте.
Да: Конфигурация пользователя — Административные шаблоны — Система — Не запускать указанные приложения Windows. Там устанавливаем «включено» и указываем конкретные приложения.
А пароль он по идее и так стоит — это пароль администратора. Т.е. если вам нужно, чтобы пользователь не менял, он не должен быть администратором (создать отдельного пользователя для работы).

21.01.2019 в 14:41

Такой вопрос: можно-ли с помощью Редактора локальной групповой политики ограничить видимость определенных файлов в локальной сети? Т.е. на фирме есть несколько компьютеров которые подключены по локальной сети. Есть мой ПК, назовем ПК Р, на моем ПК Р открыто доступ к некоторым папкам в которых много разных под папок с файлами разных расширений. Можно как-то или какой-то программой ограничить доступ к определенным типам файлов в этих папках?. Т. е. чтобы во всех папках, которые открыты для общего доступа, отображались только файлы с расширением *.jpeg и *.pdf ?

23.01.2019 в 13:09

Здравствуйте.
Мне неизвестен такой способ. Гугл тоже как-то ничего не подсказывает.

07.06.2019 в 23:11

Здравствуйте. Скажите пожалуйста, знаете ли вы как найти ключ реестра конкретной групповой политики? Да, можно гуглить его, но это далеко не всегда помогает. Нужно через powershell применить некоторую гпо, а ее путь в реестре неизвестен. Буду безумно благодарен за ответ, спасибо.

Как открыть редактор локальной групповой политики — 7 способов

В процессе использования компьютера, для изменения настроек операционной системы многим пользователям в инструкциях, размещенных в Интернете, рекомендуют изменить параметры локальной групповой политики. В связи с этим, возникает вопрос, как открыть редактор локальной групповой политики в Windows 10, Windows 8.1, Windows 8, Windows 7.

Редактор локальной групповой политики — встроенный инструмент операционной системы Windows, предназначенный для управления групповой политикой компьютеров, не входящих в домен. С помощью этого средства можно настроить работу большого количества параметров операционной системы: включение или отключение функций Windows, запрет запуска определенных программ, применение ограничений для пользователей и т. д.

  1. Как открыть редактор локальных групповых политик командой из окна «Выполнить» — 1 способ
  2. Как открыть редактор локальной групповой политики из поиска Windows — 2 способ
  3. Как запустить редактор локальной групповой политики из Проводника Windows — 3 способ
  4. Открытие редактора групповой политики из консоли управления — 4 способ
  5. Запуск редактора локальной групповой политики в командной строке — 5 способ
  6. Открытие редактора локальной политики в Windows PwerShell — 6 способ
  7. Запуск файла gpedit— 7 способ
  8. Выводы статьи
  9. Как открыть Редактор локальной групповой политики Windows (видео)
Читайте также:
Ошибка 1068 — не удалось запустить дочернюю службу или группу

Системное средство — Редактор локальной групповой политики (gpedit.msc) работает только в старших версиях Windows:

  • в Windows 10 Professional (Профессиональная), Education (для образовательных учреждений), Enterprise (Корпоративная);
  • в Windows 8.1 Professional (Профессиональная), Enterprise (Корпоративная);
  • в Windows 8 Professional (Профессиональная), Enterprise (Корпоративная);
  • в Windows 7 Professional (Профессиональная), Ultimate (Максимальная), Enterprise (Корпоративная).

Пользователям домашних версий Windows не повезло из-за того, что Майкрософт решила не предоставлять этот инструмент, как они считают менее неопытным юзерам. Поэтому, в этой статье находятся инструкции, подходящие для владельцев старших версий Windows.

В этом руководстве мы разберем много способов запуска Редактора локальной групповой политики, работающих в операционных системах Windows 10, Windows 8.1, Windows 8, Windows 7.

Как открыть редактор локальных групповых политик командой из окна «Выполнить» — 1 способ

Для запуска редактора групповой политики можно воспользоваться командой, запускаемой из окна «Выполнить». Из этого окна запускаются различные инструменты, средства или приложения Windows.

Выполните следующие действия:

  1. Нажмите на клавиши «Win» + «R».
  2. В диалоговом окне «Выполнить», в поле «Открыть:» введите выражение: «gpedit.msc» (без кавычек), а затем нажмите на кнопку «ОК».
  3. На Рабочем столе компьютера откроется окно «Редактор локальной групповой политики».

Как открыть редактор локальной групповой политики из поиска Windows — 2 способ

Вторым способом мы откроем редактор, воспользовавшись встроенным поиском Windows. Для этого, мы применим идентичную команду.

  1. Перейдите к поисковой строке Windows (способ открытия поиска отличаются в разных версиях операционной системы).
  2. В поле поиска введите выражение: «gpedit.msc» (без кавычек)
  3. Поисковая система Windows покажет результат вашего запроса. Вам нужно будет открыть приложение.

Как запустить редактор локальной групповой политики из Проводника Windows — 3 способ

В операционную систему Windows встроен штатный файловый менеджер — Проводник. С помощью Проводника Windows можно открыть редактор групповой политики.

Пройдите следующие шаги:

  1. Запустите Проводник из Панели задач.
  2. В открытом окне Проводника, в поле «Расположение» введите «gpedit.msc» (без кавычек).

  1. Нажмите на клавишу «Enter».
  2. На компьютере откроется отдельное окно редактора локальной групповой политики.

Открытие редактора групповой политики из консоли управления — 4 способ

Еще один способ: использование консоли управления Microsoft — MMC (Microsoft Management Console). Мы запустим политику локального компьютера в качестве оснастки консоли.

Выполните последовательные шаги:

  1. Нажмите на клавиши клавиатуры «Win» + «R».
  2. В окне «Выполнить» введите «mmc» (без кавычек).
  3. Нажмите на клавишу «Enter».
  4. В открывшемся окне «Консоль 1 – [Корень консоли]» войдите в меню «Файл», выберите пункт «Добавить или удалить оснастку…».
  5. В окне «Добавление и удаление оснасток», в области «Доступные оснастки» выберите «Редактор объектов групповой политики», а затем нажмите на кнопку «Добавить».

  1. В окне «Выбор объекта групповой политики» нажмите на кнопку «Готово».

  1. В окне «Добавление и удаление оснасток» нажмите на кнопку «ОК».
  2. В окне «Консоль 1 – [Корень консоли]» щелкните по оснастке «Политика “Локальный компьютер”» для открытия редактора локальной групповой политики в окне консоли управления.

Запуск редактора локальной групповой политики в командной строке — 5 способ

Встроенный инструмент операционной системы — командная строка Windows поможет нам открыть редактор групповой политики.

Потребуется выполнить соответствующую команду:

  1. Запустите командную строку от имени администратора.
  2. В окне интерпретатора командной строки введите команду «gpedit.msc» (без кавычек), а после этого нажмите на клавишу «Enter».

На Рабочем столе откроется Редактор локальной групповой политики.

Открытие редактора локальной политики в Windows PwerShell — 6 способ

Данный способ аналогичен предыдущему, с той лишь разницей, что вместо командной строки используется другое встроенное средство — Windows PowerShell.

  1. Запустите Windows PowerShell от имени администратора.
  2. В окне «Администратор: Windows PowerShell» выполните команду: «gpedit.msc» (без кавычек).

Запуск файла gpedit— 7 способ

Этот способ предполагает запуск редактора локальной групповой политики непосредственно с файла инструмента, находящегося в системной папке «Windows».

  • Оптимизация Windows 10 для ускорения работы ПК
  • Как удалить ненужные приложения Windows 10: 3 способа

Необходимы выполнить следующие действия:

  1. Откройте Проводник Windows, а затем пройдите по пути:
  1. В папке «System32» найдите файл «gpedit».

  1. Щелкните два раза по файлу левой кнопкой мыши для запуска редактора групповой политики.

Для облегчения доступа к gpedit.msc создайте ярлык файла, с которого потом можно будет запускать редактор локальной групповой политики:

  1. Щелкните по файлу «gpedit», находящемуся в папке «System32», правой кнопкой мыши.
  2. В открывшемся контекстном меню сначала выберите пункт «Отправить», а потом «Рабочий стол (создать ярлык).

На Рабочем столе вашего компьютера появится ярлык для запуска системного инструмента. Для большего удобства, ярлык приложения можно закрепить на Панели управления или в меню «Пуск».

Выводы статьи

При работе на компьютере, некоторым пользователям необходимо воспользоваться услугами системного средства — Редактора локальной групповой политики, для настройки параметров операционной системы Windows. Открыть редактор локальной групповой политики можно с помощью нескольких способов: из диалогового окна «Выполнить», с помощью поиска Windows, из Проводника, из консоли управления (MMC), из командной строки или Windows PowerShell, запуском с файла «gpedit» из системной папки.

Как открыть редактор локальной групповой политики в Windows 10

Публикация: 16 September 2018 Обновлено: 8 July 2021

Читайте также:
Нет звука по HDMI при подключении ноутбука или ПК к телевизору

Групповая политика – это способ настройки параметров компьютера и пользователя для устройств, которые присоединены к доменным службам Active Directory (AD), а также к учетным записям локальных пользователей. Она контролирует широкий спектр параметров и может использоваться для принудительного применения и изменения настроек по умолчанию для соответствующих пользователей. Локальная групповая политика – это базовая версия групповой политики для компьютеров, не входящих в домен. Параметры локальной групповой политики хранятся в следующих папках:

  • C:WindowsSystem32GroupPolicy
  • C:WindowsSystem32GroupPolicyUsers.

Когда в Windows 10 вам необходимо открыть редактор локальной групповой политики, для этого вы можете использовать командную строку, команду выполнить, поиск на панели задач, меню Пуск или с помощью консоли управления (MMC).

Рассмотрим самые простые варианты:

  1. C помощью меню Пуск.
  2. C помощью команды Выполнить.
  3. C помощью Проводника Windows.
  4. С помощью командной строки или PowerShell
  5. Открыть редактор локальной групповой политики в качестве оснастки консоли управления.
  6. Открыть редактор локальной групповой политики в Windows 10 Home.

Открыть редактор локальной групповой политики с помощью меню «Пуск».

  1. Откройте меню «Пуск» и введите gpedit.msc в верхней части меню появится значок, при клике, на котором, откроется редактор политики.

Чтобы просмотреть все применяемые политики в разделе «Конфигурация компьютера», перейдите в раздел «Конфигурация компьютера Административные шаблоны Все параметры»

Чтобы просмотреть все применяемые политики пользовательской настройки, перейдите в раздел «Конфигурация пользователя Административные шаблоны Все параметры».

Примечание: вы можете использовать поиск на панели задач.

Открыть редактор локальной групповой политики с помощью команды «Выполнить».

  1. Нажмите сочетание клавиш Win + X или кликните правой кнопкой мыши на меню «Пуск».
  1. В открывшемся меню выберите Выполнить.
  1. В строке «Открыть» введите – gpedit.msc и нажмите кнопку «ОК».

Открыть редактор локальной групповой политики с помощью Проводника Windows.

  1. Откройте Проводник с помощью ярлыка на панели задач или просто нажав сочетание клавиш Win + E
  2. В адресную строку проводника введите или скопируйте и вставьте:
  1. Нажмите Enter

Открыть редактор локальной групповой политики из командной строки или PowerShell

  1. Откройте Командную строку или вы можете открыть новый экземпляр PowerShell.
  1. Введите: gpedit.msc и нажмите клавишу Enter .

Открыть редактор локальной групповой политики в качестве оснастки консоли управления.

  1. Откройте консоль управления MMC. (Нажмите кнопку «Пуск», введите mmc и нажмите клавишу Enter ).

  1. В меню Файл выберите пункт Добавить или удалить оснастку.

  1. В открывшимся диалоговом окне, дважды кликните «Редактор объектов групповой политики» и нажмите кнопку «Готово» и «ОК».

Открыть редактор локальной групповой политики в Windows 10 Home.

Как вы уже знаете, приложение Редактора локальной групповой политики доступно в Windows 10 Pro, Enterprise или Education. Пользователи Windows 10 Home не имеют доступа к gpedit.msc из-за ограничений ОС. Вот простое и элегантное решение, которое позволяет разблокировать его без установки сторонних приложений.

Существует простой способ включить Редактор локальных групповых политик в Windows 10 Home запустив всего лишь один пакетный файл.

Чтобы включить Gpedit.msc (групповая политика) в Windows 10 Home

  1. Загрузите следующий ZIP-архив: Скачать ZIP-архив.
  2. Распакуйте его содержимое в любую папку. Он содержит только один файл, gpedit_home.cmd
  3. Кликните правой кнопкой мыши по файлу.
  4. Выберите в контекстном меню «Запуск от имени администратора».

Все!

Пакетный файл вызовет DISM для активации редактора локальной групповой политики. Подождите, пока командный файл не завершит свою работу.

Помните, что некоторые политики не будут работать в Windows Home. Некоторые политики жестко заданы для версий Windows Pro. Кроме того, если вы активируете gpedit.msc с помощью предоставленного пакетного файла, изменение политик для отдельных пользователей не вступит в силу. Они по-прежнему требуют настройки реестра.

Вы можете самостоятельно создать пакетный файл. Прежде чем начать, рекомендуем создать точку восстановления системы, и вы могли в любой момент отменить произведенные изменения в системе.

  1. Откройте текстовый редактор, например «Блокнот».
  1. Скопируйте и вставьте следующие строки:

  1. В меню «Файл» текстового редактора выберите «Сохранить как» в диалоговом окне в строке «Имя файла» введите – gpedit.bat и нажмите кнопку «Сохранить».

  1. Запустите от имени Администратора полученный пакетный файл gpedit.bat
  1. При запросе фильтра Windows SmartScreen, нажмите «Подробнее», затем нажмите кнопку «Выполнить в любом случае».

  1. В окне Контроля учетных записей, нажмите кнопку «Да».
  1. Дождитесь пока утилита DISM внесет изменения и закройте окно.

Все! Редактор локальных групповых политик (gpedit.msc) включен и теперь Вы можете его запустить любым из описанных выше способов.

Policy Plus

Существует хорошая альтернатива встроенному приложению gpedit.msc, которое называется Policy Plus. Это стороннее приложение с открытым исходным кодом: PolicyPlus

Policy Plus предназначен для того, чтобы сделать параметры групповой политики доступными для всех.

  • Редактор работает на всех выпусках Windows, не только на Pro и Enterprise
  • Полностью соблюдает условия лицензирования

Просмотр и редактирование политик на основе реестра в локальных объектах групповой политики, объектах групповой политики для отдельных пользователей, отдельных файлах POL, автономных кустах пользователей реестра и действующем реестре

  • Переход к политикам по идентификатору, тексту или отдельным записям реестра.
  • Просмотр дополнительной технической информации об объектах (политики, категории, продукты)
  • Удобные способы изменить и импортировать настройки политики
  • Основы работы с редактором локальной групповой политики в ОС Windows 10

    Групповые политики — это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.

    Читайте также:
    Что за папка FOUND.000 и FILE0000.CHK на флешке или диске

    Изменять групповые политики можно с помощью Редактора локальной групповой политики.

    В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.

    Групповые политики в Windows 10 позволяют управлять различными штатными средствами системы:

    1. Политики для настройки встроенного брандмауэра Windows;
    2. Политики для управления электропитанием;
    3. Политики для настройки панели управления, панели задач и др.
    4. Политики для настройки антивирусной защиты;
    5. Политики для управления подключаемых устройств;
    6. Политики для настройки штатных средств шифрования
    7. Политики для настройки штатного браузера;
    8. Политики для настройки беспроводных сетей и многое многое другое.

    Для настройки параметров в операционной системе MS Windows 10 используется оснастка Редактор локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.

    Оснастку Редактор объектов групповой политики можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc.

    Рис.1 Окно Выполнить

    Оснастка Локальная политика безопасности входит в состав оснастки Редактор

    Для удобства можно добавить ярлык оснастки на рабочий стол. Для этого необходимо открыть C:WindowsSystem32 , выбрать правой клавишей мыши gpedit и отправить ярлык на рабочий стол.

    Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики

    Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.

    Содержание

    • Структура редактора групповой политики
    • Пример последовательности действий при редактировании определенной политики
    • Последовательность действий при добавлении объектов групповой политики через консоль управления (Microsoft Management Console, MMC)

    Структура редактора групповой политики

    Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.

    В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.

    Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.

    Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.

    Рис.3 Редактор локальной групповой политики

    Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.

    Рис.4 Настройка частоты обновления политик

    Рис.5 Настройка частоты обновления политик

    Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:

    • осуществить перезагрузку операционной системы
    • использовать утилиту gpupdate.exe для принудительного обновления групповой политики. Для этого необходимо либо в окне Выполнить, либо в командной строке ввести gpupdate /force и нажать ОК.

    Рис.6 Обновление политик в командной строке

    С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.

    Например, для выполнения обновления политик для пользователя, необходимо ввести gpupdate /target:user .

    Рис.7 Обновление политик для пользователя в командной строке

    Пример последовательности действий при редактировании определенной политики

    Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:

    • Войти в систему под учетной записью администратора.
    • Запустить Редактор локальной групповой политики
      • Открыть окно Выполнить,
      • Ввести gpedit.msc,
      • Нажать Enter.
    • Последовательно развернуть элементы Конфигурация пользователя >Административные шаблоны >Панель управления в окне Редактора локальной групповой политики.

    Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления

    • Дважды щелкнуть ЛКМ по параметру политики Отображать только указанные объекты панели управления.
    • Выбрать значение Включено.

    Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления

    • Нажать кнопку Показать, чтобы вызвать диалоговое окно Вывод содержания.
    • Ввести имя апплета или апплетов, которые необходимо показывать в Панели управления, и нажать Enter.

    Рис.10 Список разрешенных элементов панели управления

    • Нажать OK.
    • Закрыть редактор локальной групповой политики
    • Проверить результат

    Для некоторых политик, чтобы изменения вступили в силу сразу, необходимо в окне Выполнить ввести gpupdate /force .

    Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики

    Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики

    Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.

    Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:

    • стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки, которые будут применены для всех пользователей операционной системы;
    • групповая политика для администраторов и не администраторов. Эта групповая политика содержит только конфигурационные параметры пользователя и применяется в зависимости от того, является ли используемая учетная запись пользователя членом локальной группы Администраторы или нет;
    • групповая политика для конкретного пользователя. Эта групповая политика содержит только конфигурационные параметры конкретного пользователя
    Читайте также:
    Шипит и хрипит звук в Windows 10 — как исправить

    Последовательность действий при добавлении объектов групповой политики через консоль управления (Microsoft Management Console, MMC)

    Добавление объекта групповой политики первого уровня

    • В окне Выполнить ввести MMC и нажать Enter
    • Открыть меню Файл и выбрать опцию Добавить или удалить оснастку

    Рис.13 Добавление оснастки через консоль управления

    • Найти и выделить Редактор объектов групповой политики и нажать кнопку Добавить

    Рис.14 Диалоговое окно Добавление и удаление оснасток

    • В открывшемся мастере групповой политики в поле Объект групповой политики оставить по умолчанию Локальный компьютер (первый уровень, стандартная локальная политика) и нажать кнопку Готово.

    Рис.15 Диалоговое окно выбора объекта групповой политики

    Добавление объекта групповой политики второго уровня

    • В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
    • В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
    • На вкладке Пользователи выбрать Администраторы и нажать кнопку ОК и Готово

    Рис.16 Настройка объекта групповой политики второго уровня

    Добавление объекта групповой политики третьего уровня

    • В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
    • В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
    • На вкладке Пользователи выбрать нужную учетную запись.
    • Нажать ОК, чтобы закрыть диалоговое окно Добавление и удаление оснасток.

    Рис.17 Консоль управления

    • Для удобства, используя команды в главном меню Файл >Сохранить как, сохранить файл консоли управления на рабочем столе для последующего редактирования политик.

    Теперь, используя данную консоль, можно настраивать политики для определенных пользователей.

    Оснастка «Редактор локальной групповой политики». Часть 1

    • Введение
    • Управление локальными объектами групповых политик
      • Открытие оснастки «Редактор локальных групповых политик»
    • Узлы оснастки
      • Конфигурация программ
      • Конфигурация Windows
    • Заключение

    Введение

    Эта статья является базисом и введением в изучение групповых политик операционных систем Windows, от знания которой зависит работа со всем последующим материалом. Как уже говорилось в предыдущей статье по основам групповых политик: «Введение в изучение групповых политик», групповая политика – это компонент серверных и клиентских операционных систем Windows, начиная с Windows 2000, позволяющий централизовано управлять конфигурацией пользователей и компьютеров. Групповые политики основываются на многих параметров политик, которые в свою очередь указывают на применение определенной настройки для выбранного компьютера или пользователя. В операционных системах Windows Server 2008 R2 и Windows 7 насчитывается более 3200 политик, при помощи которых можно оградить локальных пользователей и пользователей, расположенных в вашем домене или лесу от действий, которые они не должны выполнять. Методы создания собственных политик будут рассказаны в одной из последующих статей. Все параметры политик располагаются в объекте групповых политик GPO (Group Policy Object).

    Объекты групповых политик делятся на две категории:

    • Доменные объекты групповых политик, которые используются для централизованного управления конфигурацией компьютеров и пользователей, входящих в состав домена Active Directory. Эти объекты хранятся только на контроллере домена;
    • Локальные объекты групповых политик, которые позволяют настраивать конфигурацию локального компьютера, а также всех пользователей, созданных на этом компьютере. Эти объекты хранятся только в локальной системе. Локальные объекты групповых политик могут применяться, даже если компьютер входит в состав домена.

    В этой статье речь пойдет об управлении локальными объектами групповых политик.

    Управление локальными объектами групповых политик

    Для управления локальными объектами групповых политик в операционных системах Windows используется оснастка консоли управления «Редактор локальной групповой политики». При помощи данной оснастки вы можете настраивать большинство системных компонентов и приложений. Рассмотрим подробно методы управления компьютером и пользователями при помощи данной оснастки:

    Открытие оснастки «Редактор локальных групповых политик»

    Вы можете открыть данную оснастку несколькими способами:

    1. Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Редактор локальной групповой политики и откройте приложение в найденных результатах;
    2. Воспользуйтесь комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите gpedit.msc и нажмите на кнопку «ОК»;
    3. Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Редактор объектов групповой политики» и нажмите на кнопку «Добавить». В появившемся диалоге «Выбор объекта групповой политики» нажмите на кнопку «Обзор» для выбора компьютера или нажмите на кнопку «Готово» (по умолчанию установлен объект «Локальный компьютер»). В диалоге «Добавление или удаление оснасток» нажмите на кнопку «ОК»;

    На следующем скриншоте отображена оснастка «Редактор объектов групповой политики»:

    Узлы оснастки

    В оснастке редактора локальных объектов групповой политики присутствуют два основных узла:

    • Конфигурация компьютера, который предназначен для настройки параметров компьютера. В этом узле расположены параметры, которые применяются к компьютеру, невзирая на то, под какой учетной записью пользователь вошел в систему. Эти параметры применяются при запуске операционной системы и обновляются в фоновом режиме каждые 90-120 минут.
    • Конфигурация пользователя, который предназначен для настроек параметров пользователей. Параметры, которые находятся в этом узле, применяются при входе конкретного пользователя в систему. Так же, как и параметры, расположенные в узле конфигурации компьютера, параметры, расположенные в узле конфигурации пользователя обновляются в фоновом режиме каждые 90-120 минут.
    Читайте также:
    Как сделать, чтобы клавиша F8 работала в Windows 8 и запускала безопасный режим

    В этих основных узлах вы можете найти по три дочерних узла, при помощи которых настраиваются все параметры локальных объектов групповых политик.

    Конфигурация программ

    В узле конфигурации программ расположено только одно расширение клиентской стороны «Установка программ», благодаря которому, вы можете указать определенную процедуру установки программного обеспечения. Расширения клиентской стороны (Client-Side-Extension CSE) преобразовывает указанные параметры в объект групповой политики и вносит изменения в конфигурацию пользователя или компьютера. Создавать объекты GPO для развертывания программного обеспечения можно только в операционной системе Windows Server 2008/2008R2. Процесс создания GPO для установки программ будет подробно рассмотрен в одной из последующих статей.

    Конфигурация Windows

    Узел «Конфигурация Windows» в основном предназначен для обеспечения безопасности компьютера и учетной записи, для которой применяются данные политики. В конфигурации Windows вы можете найти несколько узлов:

    Политика разрешения имен

    Этот узел предоставляет возможность управлением расширением таблицы политик разрешения имен (NRTP), которая хранит параметры конфигурации для безопасности DNS (DNSSEC). Политика разрешения имен – это объект групповой политики, в котором указаны сведения о политике, которые отображаются в NRTP. Это расширение стоит настраивать только в том случае, если ваш компьютер входит в состав домена Active Directory. Эта политика расположена только в узле «Конфигурация компьютера».

    При создании правила вам следует обратить внимание на следующие моменты:

    Правила можно создавать для следующих частей пространства DNS:

    • Суффикс – это зона пространства имен DNS, к которой применяется данное правило. Суффикс является частью полного доменного имени;
    • Префикс – это первая часть полного доменного имени, к которому применяется правило;
    • Полное доменное имя – состоит из узла и имени домена, включая домен верхнего уровня;
    • Подсеть (IPv4) – это адрес подсети в формате IPv4 для зоны, к которой в случае обратного просмотра будет применено правило;
    • Подсеть (IPv6) – это адрес подсети в формате IPv6 для зоны, к которой в случае обратного просмотра будет применено правило;
    • Любой – применяется для всех найденных пространств имен DNS.

    В поле «Центр сертификации» вы можете указать ЦС, который используется для создания цифровых подписей. Можно вводить ЦС вручную или выбрать нужный, воспользовавшись кнопкой «Обзор».

    На вкладке «DNSSEC» вы можете включить DNSSEC для создаваемого правила и указать принудительную проверку конфигурации для безопасности DNS, а также выбрать тип шифрования, который будет использоваться для данного правила. Доступные значения: «Без шифрования (только целостность)», «Тройной DES (3DES)», «Advanced Encryption Standard (AES)» с длиной ключа 128, 192 или 256 бит, или AES с длиной ключа 192 и 256 бит.

    На вкладке «Параметры DNS для прямого доступа» вы можете указать серверы, которые клиент DNS будет использовать при соответствии указанного имени; прокси-сервер, который будет использоваться для подключения к Интернету; и можете указать тип шифрования для использования IPSec при взаимодействии между клиентом и сервером DNS.

    Если вы нажмете на кнопку «Дополнительные параметры глобальной политики», то сможете настроить параметры роуминга, параметры ошибки запроса и разрешения запроса.

    После того как все параметры будут указаны, нажмите на кнопку «Создать». После чего созданное правило отобразится в таблице политик разрешения имен. Изменения политики не будут сохранены, пока вы не нажмете на кнопку «Применить».

    Сценарии

    При помощи этого CSE-расширения вы можете указывать по два типа сценариев автозапуска или завершения работы для узлов конфигурации компьютера и пользователя соответственно. В том случае, если вы укажете более одного сценария, то они будут выполняться согласно перечню в списке. Время ожидания обработки сценариев – 10 минут. В операционных системах, предшествующих Windows Server 2008 R2 и Windows 7, можно было использовать только языки сценариев ActiveX (Microsoft Visual Basic, Jscript, VBScript, Perl) и пакетные файлы (*.bat, *.cmd). Теперь появилась возможность использовать сценарии PowerShell:

    Для того чтобы назначить сценарий для автозагрузки или завершения работы, выполните следующие действия:

    1. Откройте редактор локальной групповой политики;
    2. Выберите «Сценарий запуск/завершение» из конфигурации Windows узла «Конфигурация компьютера» или «Конфигурация пользователя»;
    3. Дважды щелкните левой кнопкой мыши на политике «Автозагрузка» или «Завершение работы»;
    4. В диалоговом окне свойств политики нажмите на кнопку «Добавить»;
    5. В диалоговом окне «Добавление сценария», в поле «Имя сценария» введите путь к сценарию или нажмите на кнопку «Обзор» для поиска файла, а в поле «Параметры сценария» введите необходимые параметры аналогично вводу этих параметров в командной строке;

    При назначении нескольких сценариев они будут применяться в заданном порядке. Чтобы переместить сценарий в списке вверх, выберите его и нажмите на кнопку «Вверх». Для того чтобы переместить сценарий в списке вниз, выберите его и нажмите на кнопку «Вниз». Для того чтобы изменить сценарий, нажмите на кнопку «Изменить». Кнопка «Удалить» предназначена для удаления сценария из списка.

    Читайте также:
    Как восстановить данные с внешнего жесткого диска

    На вкладке «Сценарий PowerShell» вы можете добавить сценарии с расширением *.ps1. Также, вы можете выбрать порядок выполнения обычных сценариев и сценариев PowerShell из раскрывающегося списка.

    Политика безопасности

    Этот узел позволяет настраивать безопасность средствами GPO. В этом узле для конфигурации компьютера доступны следующие настройки:

    Политики учетных записей, которые позволяют устанавливать политику паролей и блокировки учетных записей. Этот функционал будет рассматриваться в одной из следующих статей.

    Локальные политики, отвечающие за политику аудита, параметры безопасности и назначения прав пользователя. Этот функционал будет рассматриваться в одной из следующих статей.

    Брандмауэр Windows в режиме повышенной безопасности, при помощи которых вы можете создавать правила входящих и исходящих подключений, а также правила безопасности подключений так же, как и в одноименной оснастке. Разница лишь в том, что после создания правила, его настройки нельзя будет изменить, а также в оснастке «Брандмауэр Windows в режиме повышенной безопасности» у вас не будет прав для удаления текущего правила. На следующем скриншоте вы увидите правило безопасности подключения туннельного режима, созданного средствами групповых политик и открытого в оснастке «Брандмауэр Windows в режиме повышенной безопасности»:

    Политики диспетчера списка сетей, позволяющие управлять всеми вашими сетевыми профилями.

    Политики открытого ключа, которые позволяют:

    • настраивать компьютеры на автоматическую отправку запросов в центр сертификации предприятия и установку выдаваемых сертификатов;
    • создавать и распространять список доверия сертификатов (CTL);
    • добавлять агенты восстановления шифрованных данных и изменение параметров политики восстановления шифрованных данных;
    • добавлять агенты восстановления данных шифрования диска BitLocker.

    О политиках открытого ключа будет подробно рассказано в статье о локальных политиках безопасности.

    Политики ограниченного использования программ, позволяющие осуществлять идентификацию программ и управлять возможностью их выполнения на локальном компьютере, в подразделении, домене и узле.

    Политики управления приложениями, отвечающие за создание и управления правилами и свойствами функционала AppLocker, который позволяет управлять установкой приложений и сценариев.

    Политики IP-безопасности на «Локальный компьютер», которые позволяют создавать политику IP-безопасности локального компьютера и управлять списками IP-фильтров. Более подробно будет рассказано в статье о локальных политиках безопасности.

    Конфигурация расширенного аудита, который предоставляет дополняющие локальные политики, отвечающие за аудит. Об этих параметрах речь пойдет в статье, связанной с политиками аудита.

    В дополнение ко всем этим параметрам безопасности Windows 7, в операционной системе Windows Server 2008 R2 доступны еще следующие параметры:

    Журнал событий, который позволяет настраивать параметры журналов событий приложений, системных событий и событий безопасности.

    Группы с ограниченным доступом, которые позволяют включать пользователей в отдельные группы. Об этих параметрах будет подробно рассказываться в статье о делегировании прав групповых политик.

    Системные службы, определяющие типы запуска и разрешения доступа для системных служб.

    Реестр, который задает разрешения контроля доступа к отдельным разделам системного реестра.

    Файловая система, определяющие разрешения контроля доступа для файлов и папок NTFS.

    Политики проводной сети (IEEE 802.3), которые управляют настройками проводных сетей.

    Политики беспроводной сети (IEEE 802.11), которые управляют настройками беспроводных сетей.

    Network Access Protection, которые позволяют создавать политики защиты сетевого доступа.

    QoS на основе политики

    Этот узел определяет политики, управляющих сетевым трафиком, которые позволяют настраивать проводные сети. Параметры QoS на основе политик позволяют настраивать приоритеты и управлять скоростью передачи для исходящего трафика на основе следующих факторов:

    • Отправляющее приложение;
    • URL-адрес;
    • Исходные или конечные адреса или префиксы адресов IPv4 и IPv6;
    • Исходные или конечные порты или диапазоны портов протоколов TCP и UDP;
    • Протоколы TCP или UDP.

    Создание политик QoS будет подробно рассмотрено в одной из следующих статей.

    Развернутые принтеры

    Эта функция полезна, когда принтер используется совместно в закрытой среде, такой как школа, где все компьютеры в аудитории или офисе должны иметь доступ к одному принтеру или когда пользователю при перемещении в другое местоположение необходимо автоматическое подключение принтера.

    Настройки Internet Explorer

    Чаще всего эти параметры используются для настройки внешнего вида браузера и его функций для применения стандартов организации, связанных с Интернетом, а также, чтобы предоставить пользователям общий интерфейс браузера. При помощи этого функционала вы можете настраивать заголовки браузера, панели инструментов, строки User-Agent, зон безопасности, оценки содержимого и многое другое. Подробно эти параметры будут рассматриваться в одной из последующих статей.

    В узле «Конфигурация Windows» операционной системы Windows Server 2008R2 вы также можете найти узел «Перенаправленные папки», которые позволяют менять местоположение специальных папок внутри профиля пользователя на новое, например, на место в общем сетевом ресурсе.

    Заключение

    На этом заканчивается первая часть статьи, посвященной оснастке «Редактор локальной групповой политики». При помощи текущей оснастки вы можете проводить разнообразные действия для настройки компьютера и повышения его безопасности. В этой статье был проведен краткий обзор функционала узлов «Конфигурация программ» и «Конфигурация Windows», используя которые вы можете управлять установкой программ, аудитом пользователей, изменять запуска служб, сценарии автозапуска и завершения, правил брандмауэра Windows в режиме повышенной безопасности и многое другое. В следующей части статьи я расскажу о принципах работы с узлом «Административные шаблоны», а также о фильтрации параметров политик данной оснастки.

    Читайте также:
    Как открыть диспетчер устройств Windows 10

    Погружение в шаблоны и приручение GPO Windows

    В очередной статье из цикла «конспект админа» мне хотелось бы освежить в памяти несколько нюансов использования групповых политик. Заодно поразвлекаемся с созданием своих шаблонов и с автоматизацией работы с этими самыми политиками.

    Освежаем память

    Я не буду рассказывать, что такое групповые политики, и остановлюсь лишь на основных моментах, которые стоит иметь в виду при работе с ними.

    В системах Windows помимо доменных существуют и локальные групповые политики ― управлять ими можно при помощи оснастки gpedit.msc на системах редакции Professional и выше. Часто считается, что без домена можно настраивать локальные групповые политики только для всех пользователей на компьютере. Это не совсем верно ― с выходом Windows Vista появилась возможность использовать множественную локальную групповую политику или MLGPO. Этот механизм позволяет настраивать отдельные политики для разных пользователей.

    Добраться до него можно через вызов консоли mmc: при добавлении оснастки «Управление объектами групповой политики» нажать кнопку «Обзор». Далее на вкладке «Пользователи» уже можно выбрать конкретного пользователя или группу «Администраторы» и «Не администраторы». К сожалению, управление для группы пользователей не реализовано.


    Управление групповой политикой для отдельных пользователей.

    Бывало и так, что на отдельностоящем терминальном сервере разворачивали Active Directory только для того, чтобы отдельному пользователю настроить поведение драйвера для EasyPrint. Не надо так.

    При добавлении доменных групповых политик стоит помнить про порядок их применения ― политика, примененная последней, будет обладать наивысшим приоритетом (да и на собеседованиях часто спрашивают).

    Итак, предположим, что у нас есть компьютер в домене и четыре групповые политики: локальная на этом компьютере; политика на подразделение, в котором находится компьютер; политика на домен и политика на лес. Порядок их применения будет следующим:

    1. Локальная групповая политика.
    2. Групповая политика сайта.
    3. Групповая политика домена.
    4. Групповая политика верхнего подразделения.
    5. Групповая политика дочернего подразделения.

    То есть чем ближе к объекту, тем приоритетнее, за исключением локальной групповой политики. Если надо отключить применение вышестоящих политик, то ставьте блокировку наследования.


    Блокировка наследования.

    Любую групповую политику можно условно разделить на две конфигурации ― пользователя и компьютера. Обычно политики с настройками компьютеров назначаются на подразделение, в котором находятся компьютеры. А политики с настройками пользователей ― на пользователей.

    Если надо применить настройки компьютера к подразделению с пользователями и наоборот, используют так называемое замыкание групповой политики. Например, такая настройка пригодится, когда нужно применить специфические политики к пользователям для работы на терминальных серверах.

    Работа замыкания настраивается непосредственно в политике ― «Настройка компьютера ― Административные шаблоны ― Система ― Режим обработки замыкания пользовательской групповой политики». Подробнее про механизм уже писали в статье про использование MergeReplace в GPO. Я лишь добавлю, что режим замыкания групповой политики ― тоже частый вопрос на собеседовании.


    Настройка замыкания групповой политики.

    Физически доменные групповые политики находятся в папке SYSVOL на контроллерах домена. Папка реплицируется между контроллерами. Каждая групповая политика выглядит как папка с именем в виде GUID.


    Групповые политики домена.

    Правила фильтрации, настраиваемые через редактор групповой политики, соответствуют настройкам прав NTFS на соответствующую подпапку.

    Говоря о правилах фильтрации, нельзя не упомянуть обновление MS16-072, которое «сломало» групповые политики. Теперь для того чтобы работали правила фильтрации, надо добавлять к каждому фильтру правило «на чтение», но не «на применение» группе Domain Computers.

    В каждой папке с групповой политикой существуют подпапки Machine и User, соответствующие настройкам пользователя и компьютера. Если углубиться в подпапки, можно легко понять структуру групповой политики:

    • В корне папки находится файл GPT.ini с настройками групповой политики, такими как ее название.
    • В подпапках Machine и User сидят файлы registry.pol с настройками соответствующих веток реестра.
    • По пути MicrosoftWindows NTSecEdit можно найти шаблон настроек безопасности ― GptTmpl.inf.
    • В подпапке Preferences находятся предпочтения групповых политик, представляющие из себя подпапки с файлами xml.
    • В подпапке Applications сидят дистрибутивы для развертывания через групповые политики.
    • В папке Scripts находятся скрипты на logonlogoff для пользователя и startupshutdown для компьютера.
    • В папке Documents and Settings есть настройки перенаправления пользовательских папок.
    • Наконец, в папке Adm находятся устаревшие шаблоны групповой политики.

    Подробнее про структуру можно почитать в материале Group Policy Basics, поэтому перейдем сразу к шаблонам.

    Административные шаблоны

    По сути своей административные шаблоны ― это специальные файлы с инструкциями по изменению клиентского реестра (ветки HKCU или HKLM) и настройками отображения изменяемых параметров через «Управление групповой политикой». В принципе, реестр можно менять и через «Предпочтения групповых политик». Но разница здесь не только в красивом интерфейсе.

    Способ изменения реестра Как ведет себя при удалении политики со стандартными настройками Можно ли изменить параметр вручную Можно ли изменить параметр через приложение
    Шаблоны Параметр реестра восстанавливается на значение «по умолчанию», если настройки по умолчанию есть в шаблоне
    Предпочтения политик Параметр реестра не изменяется + +

    Сравнение предпочтения групповых политик и административных шаблонов.

    Другими словами, настройка реестра через шаблоны групповых политик более строгая. Тогда как настройка через предпочтения групповых политик напоминает периодическое применение reg-файла. Конечно, предпочтения позволяют не только менять параметры реестра, но и довольно гибко настраиваются. Тем и ценны.

    Это актуально при изменении ветки Policies, и настраиваемое приложение должно хранить свои настройки в реестре. Простое изменение параметров через Предпочтения и Шаблоны будет работать схожим образом, только шаблоны могут оказаться удобнее.

    До появления Windows Vista2008 в качестве шаблона групповых политик брали исключительно стандарт .adm. Будучи с простой структурой, которую было легко редактировать вручную, этот стандарт обладал и рядом недостатков:

    • Для каждого языка приходилось создавать отдельный файл шаблона.
    • Файл шаблона физически находился в папке с групповой политикой. При использовании одного и того же шаблона он сохранялся в каждую папку, что увеличивало занимаемое место и время репликации.
    • Не поддерживались мультистроковые параметры и параметры QWORD.
    Читайте также:
    Как отключить UAC в Windows

    На замену устаревшему стандарту появился новый. Новые шаблоны представляют собой два файла: сам шаблон, не зависимый от языка ― .admx и языковой «пакет» к нему ― файл .adml. Теперь шаблоны можно «положить» в центральное хранилище, и обращаться к нему, не плодя одинаковые файлы в папке SYSVOL.

    Не обошлось без ложки дегтя ― теперь содержимое файла представляет собой популярный в индустрии формат XML. И создавать новые шаблоны в блокноте стало уже не так удобно.

    Под большинство параметров, которые могут понадобиться, шаблоны уже существуют. Кроме того, многие производители приложений выпускают свои административные шаблоны. Вот несколько примеров:

    Если возникает необходимость разработать и внедрить свой административный шаблон, то самый простой вариант ― это создать старый файл .adm и сконвертировать его в admx специальной утилитой. Вариант посложнее ― начинать сразу с .admx.

    Создаем свой шаблон

    Для начала разберем простой пример. Создадим шаблон групповой политики, который позволит нам включать и выключать отображение скрытых и системных файлов, а заодно и отображение расширений.

    Сразу скажу, что это можно провернуть через «Предпочтения групповых политик» ― в параметрах панели управления ― опции папки. Но мы легких путей не ищем и заодно не хотим, чтобы параметры отображения можно было менять вручную.

    За необходимые нам параметры отвечают три ключа в реестре:

    • SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden.
    • SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt.
    • SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden.

    Разберем подробнее синтаксис файла.

    • CLASS. Может принимать значение USER или MACHINE ― в зависимости от класса будет изменятся ветка реестра HKCU или HKLM соответственно.
    • CATEGORY. Строка, в которой задается имя «папки» политики.
    • POLICY. В строке задается название конкретной политики ― у нас таких будет три.
    • KEYNAME. Путь в реестре к изменяемым параметрам.
    • EXPLAIN. Отсылка к «переменной» с объяснением настройки.
    • VALUENAME. Название изменяемого параметра в реестре.
    • VALUEON**VALUEOFF**. Значение, которое будет принимать параметр при включении и выключении его в политике.
    • [strings]. Секция со значениями переменных, которые я использовал для текстовых строк. Можно их не использовать, но тогда могут быть проблемы из-за русского языка.

    Помимо задействованных опций есть и другие, например:

    • EDITTEXT. Текстовое поле для ввода.
    • NUMERIC. Поле для ввода цифр.
    • CHECKBOX. Список, где можно отмечать параметры «галочками».
    • COMBOBOX. Список с «переключателем»
    • DROPDOWNLIST. Выпадающий список.
    • LISTBOX. Список для ввода нескольких элементов.

    Подробнее со всеми параметрами можно ознакомится в разделе MSDN ADM Format.

    Установить новый шаблон не просто, а очень просто ― достаточно щелкнуть правой кнопкой мыши по пункту «Административные шаблоны», выбрать «Добавление и удаление шаблонов» и добавить наш свежесозданный шаблон.


    Добавленный шаблон.

    После установки шаблона он отобразится в ветке «Классические административные шаблоны».

    Теперь можно сконвертировать наш шаблон в .admx с помощью утилиты faAdmxConv из ADMX Migrator.


    Конвертируем шаблон.

    После конвертации получившийся шаблон .admx и папку Ru-ru с файлом локализации .adml нужно скопировать в папку %Systemroot%PolicyDefinitions для локальной политики или в папку SysvolPolicyDefinitions на контроллере домена.


    Установленный шаблон .admx.

    Действительно, xml в новом формате читается чуть хуже, чем старый .adm. Для облегчения работы с новым форматом в поставке ADMX Migrator есть утилита faAdmxEditor.msc. Помимо этой утилиты есть и скрипты для конвертации reg-файлов в шаблоны, и сторонние платные утилиты.

    Конечно же, можно обойтись без вот-этого-всего и разобраться самостоятельно ― оставлю это в качестве домашнего задания. Благо на портале MSDN есть подробное описание XML-схемы, и есть неплохие материалы с примерами в сети. Например, «Административные шаблоны групповой политики».

    Теперь перейдем к автоматизации.

    Автоматическое управление

    Работать с групповыми политиками из командной строки довольно тоскливо. Основных инструментов можно выделить три.

    PowerShell. Есть набор командлетов для резервного копирования, восстановления и управления групповыми политиками. Создание новых политик ограничено ― можно лишь изменять реестр. Впрочем, в большинстве случаев и этого достаточно. В качестве примера создадим групповую политику, которая отключит автоматическое обновление Adobe Reader DC.

    За отключение автоматического обновления отвечает ключ реестра bUpdater в ветке [HKEY_LOCAL_MACHINESOFTWAREPoliciesAdobeAcrobat ReaderDCFeatureLockDown]. Установив параметр в 0, мы отключим опцию.

    Создание групповой политики на PowerShell будет выглядеть так:

    Свежесозданная групповая политика.

    Полный список и описание командлетов доступны в материале Technet Group Policy Cmdlets in Windows PowerShell.

    Интерфейс COM к GPMC (консоли управления групповой политикой). Способ позволяет сделать с политиками многое, на любом языке программирования, поддерживающим COM-интерфейсы. К сожалению, популярность он не приобрел и примеров в сети довольно мало, несмотря на богатое описание методов интерфейса на портале MSDN. Немногочисленные примеры использования доступны для загрузки в галерее Technet.

    Читайте также:
    Что за папка FOUND.000 и FILE0000.CHK на флешке или диске

    LGPO.exe. Не так давно Microsoft заменил набор утилит для работы с локальными групповыми политиками на единую утилиту. Скачать ее можно на официальном сайте. Утилита удобна для копирования и развертывания локальных групповых политик. Заявлена и поддержка MLGPO. Создавать свои политики тоже можно. Также программа удобна для создания и изменения файлов реестра registry.pol. Для примера изменим локальную групповую политику, добавив в нее отключение обновления несчастного Acrobat Reader DC.

    Сделаем бэкап локальной групповой политики командой

    В папке C:Temp появится подпапка с GUID по структуре схожая с доменными групповыми политиками:

    Теперь развернем registry.pol в текстовый файл:

    Синтаксис текстового файла очевиден. Добавим в него значения реестра для отключения автоматического обновления «Акробата»:


    Добавленный в файл параметр реестра.

    Теперь останется завернуть наш reg.txt обратно в registry.pol и импортировать изменившийся файл обратно в локальную групповую политику:

    Все эти махинации, конечно же, можно завернуть в один скрипт и использовать для массового изменения локальной групповой политики привычным инструментом для запуска команд на удаленных компьютерах. Подробнее про методы запуска команд можно почитать в нашей статье «1000++ способ запуска команд на удаленном компьютере».

    Конечно же, зная структуру доменной групповой политики, ничто не мешает сделать удобный именно вам инструмент для создания и управления политиками. Поделитесь в комментариях, есть ли у вас свои способы настройки реестров пользовательских машин?

    Редактор локальной групповой политики. Оснастка gpedit.msc

    Групповая политика – это набор правил, применение которых может облегчить управление пользователями и компьютерами.

    Параметры групповой политики применяются для управления конфигурацией операционной системы, а также для отключения опций и элементов управления пользовательского интерфейса для параметров, управляемых групповой политикой. Большинство параметров групповой политики хранятся в разделах реестра, связанных с групповыми политиками.

    Существуют два типа групповых политик: локальные групповые политики и групповые политики службы каталогов Active Directory. Локальная групповая политика используется для управления параметрами локальной машины, а групповая политика службы каталогов Active Directory – для управления параметрами компьютеров сайтов, доменов и организационных единиц.

    Локальные групповые политики применяются ко всем пользователям и администраторам, входящим в систему на компьютере. Управление локальной групповой политикой осуществляется посредством объекта групповой политики ( ОГП – GPO , Group Policy Object). Объект локальной групповой политики хранится на каждом компьютере в скрытой папке %SystemRoot%\System32\GroupPolicy.

    Дополнительные пользовательские и групповые объекты локальной групповой политики хранятся в папке %SystemRoot%\System32\GroupPolicyUsers.

    Локальные политики (локальный GPO) можно редактировать с помощью оснастки gpedit.msc – редактора локальной групповой политики. Чтобы запустить редактор политики нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите команду gpedit.msc и нажмите клавишу Enter ↵.

    В открывшемся окне Редактор локальной групповой политики Вы можете редактировать конфигурацию компьютера и конфигурацию пользователя. В первом разделе (конфигурация компьютера) находятся общесистемные настройки, а во втором – пользовательские настройки.

    Рассмотрим небольшой пример использования редактора политик. Допустим мы хотим отключить Диспетчер задач для пользователя. Когда пользователь нажимает Ctrl + Alt + Del , выводится меню, позволяющее запустить окно Диспетчера задач.

    Зачем нужно запрещать Диспетчер задач? Пользователь может закрыть процесс, что приведет к потере данных (особенно когда человек не понимает, что делает). А потом будет надоедать с просьбой восстановить эти данные, что, далеко не всегда возможно. Поэтому проще запретить возможность завершать процессы, чем разбираться с потерями данных и их восстановлением.

    Для отключения Диспетчера задач запустите редактор политик и выберите Конфигурация пользователя ► Административные шаблоны ► Система ► Варианты действий после нажатия CTRL+ALT+DEL. На правой панели вы увидите варианты действий после нажатия Ctrl + Alt + Del. Дважды щелкните на политике Удалить диспетчер задач.

    По умолчанию политика не задана. Для отключения Диспетчера задач выберите значение Включить и нажмите кнопку OK .

    После этого запуск Диспетчера задач будет невозможен.

    Вы также не сможете запустить Диспетчер задач нажимая сочетание клавиш Ctrl + Shift + Esc , а также путем ввода команды taskmgr в окне Выполнить , в этом случае вы получите сообщение о том что Диспетчер задач отключен администратором.

    При желании отключить Диспетчер задач можно и через реестр. По сути, политики – это надстройки реестра. Чем различается настройка системы через политики и через реестр? Да ничем, по большому счету. Политики созданы для более удобного редактирования реестра. Так, при отключении Диспетчера задач через редактор политик будет создан раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, а в него добавлен параметр DisableTaskMgr типа DWORD со значением 1 .

    Для включения Диспетчера задач нужно в разделе реестра
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System для параметра DisableTaskMgr установить значение 0 или использовать редактор политик для установки значения Отключить .

    Чтобы отключить Диспетчер задач не для конкретного пользователя, а в масштабах всей системы, нужно создать DWORD -параметр DisableTaskMgr со значением 1 в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

    Рейтинг
    ( Пока оценок нет )
    Понравилась статья? Поделиться с друзьями:
    Добавить комментарий

    ;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: