Gpo что это такое

Управление групповыми политиками Active Directory (AD GPO)

Gpo что это такое

В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.

Что такое групповые политики и зачем они нужны?

Групповая политика – это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.

Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.

Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу.

Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды.

С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.

Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.

Компоненты GPO

Существует два компонента групповых политик – серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.

Серверный компонент – оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики.

MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее).

Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.

Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения – это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.

Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

  • Централизованная настройка пакета программ Microsoft Office.
  • Централизованная настройка управлением питанием компьютеров.
  • Настройка веб-браузеров и принтеров.
  • Установка и обновление ПО.
  • Применение определенных правил в зависимости от местоположения пользователя.
  • Централизованные настройки безопасности.
  • Перенаправление каталогов в пределах домена.
  • Настройка прав доступа к приложениям и системным программам.

Оснастка Управление групповыми политиками

После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:

gpmc.msc

Нажмите OK.

Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.

Оснастка выглядит следующим образом:

Создание объектов групповой политики

Для создания объекта групповой политики перейдите во вкладку Forest ->Domains -> ->Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.

В открывшемся окне в поле Name введите удобное для вас имя групповой политики.

После этого вы увидите созданный объект в списке.

Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.

В редакторе групповых политик перейдите по иерархии User Configuration ->Policies ->Administrative Templates ->Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.

В открывшемся окне отметьте Enable

Источник: https://1cloud.ru/help/windows/gruppovye-politiki-active-directory

Групповые Политики

Gpo что это такое

   Локальные политики – те что располагаются на конечном рабочем месте или сервере. Применяются тут же.

   GPO – Group Policy Object – собственно и есть групповая политика, точнее объект групповой политики, что включает в себя кучу параметров. Данный объект можно применить на уровне Сайта (Site), Домена (Domain) или Организационной Иденицы (OU).

   GPC – Group Policy Container – контейнер для набора групповых политик. К объектам в сети применяется политика если он находится в данном контейнере.

Как себя ведут групповые политики
   Порядок их применения следующий :

Local Policy > Site GPO > Domain GPO > OU GPO > Child OU GPO >…

   То есть сперва применяется локальная политика. После политики Сайта, тем самым перезаписывая политики локальные. Далее Доменные, перезаписывая Локальные и Сайта. Политики Контейнера переписывают все предыдущие. И так далее с дочерними контейнерами.

   Таким образом чем ближе к объекту, тем политика сильнее. То есть если на уровне Сайта что-то разрешалось, на уровне Домена запрещалось, а в Контейнере разрешалось, то результатом будет Разрешено.

   Каждый объект групповой политики состоит из 2-х секций:
– Настройки Компьютера – применяются при загрузке компьютера, до входа пользователя в систему;
– Настройки Пользователя – применяются при входе пользователя в систему, настройки применяются ко всем пользователям;

   В каждой секции подгруппы:
Software settings and Windows settings – настройки DLL на машине;
Administrative templates – настройки реестра на машине. Сюда можно загрузить новые шаблоны. Например с официального сайта Microsoft.

   После создания GPO, она сохраняется в контейнере что вы выбрали. Также она будет находится в Group Policy Objects (отсюда её можно прикрепить к различным объектам):

Прикрепление GPO

Правый клик по GPO, Link/Unlink a GPO, и выбрать объект, к которому прикрепить.

Включение/Отключение настроек компьютера или пользователя

   У GPO есть две секции – компьютера и пользователя. Бывает, что настроена только одна из них. Потому целесообразно вторую отключить. Это уменьшит объём данных передаваемый на машину. Это можно сделать на вкладке Details:

Как узнать какие настройки сделаны в той или иной GPO

   Переходите на вкладку Settings. Тут в виде древа будут лишь те настройки, что были выставлены:

Block/Enforce наследование

   Если вы не хотите, чтобы политики “свыше” переписывали настройки в GPO конкретного контейнера, тогда нужно выделить контейнер и выбрать Block Inheritence.

   Если вы хотите чтобы одна из “вышестоящих” GPO настраивала объекты в “нижестоящих” контейнерах и игнорировала Block Inheritace, то выберите Enfoce. Этим параметром нужно крайне осторожно пользоваться.

   Тут видно, что 3 различные GPO наследованы:

   Тут видно, что блокировка исключить все вышестоящие потилики в наследовании:

   Если включить Enforce на Default Domain Policy, то эта политика будет иметь большую силу нежели Block Inheritance:

Link Order

   Очерёдность. Когда более одной GPO привязано к одному OU, то приоритет будет иметь последняя в очереди.

Security Filtering

   Фильтр позволяет выбирать пользователей, группы, компьютеры к которым будет применяться GPO. Просто создайте группу, добавьте в неё пользователей, группы или компьютеры, а после к этой группе привяжите GPO

Если нужна большая точность фильтрации, то перейдите на вкладку Delegation, Advanced:

Каким образом обновляются GPO на компьютере:

Политики, наследуемые от Active Directory, обновляются несколькими способами:

1. При Входе в Систему (Если сделаны настройки в части User Settings);

2. При Перезагрузке Компьютера (Если сделаны настройки в части Computer Settings);

3. Каждые 60-90 минут, компьютеры запрашивают их Домен Котроллер об обновлениях;

4. Вручную, используя команду gpupdate. Используя ключ /force обновятся все настройки, а не только разница.

Как проверить, какие политики применимы к данной машине и пользователю:

   RSoP – Resultant Sets of Policies – как раз это нам и нужно. То есть Результирующий Набор применяемых Политик.

1. Используйте gpresult в командной строке. Также вы можете вывести Результирующие Политики и по другим пользователям и компьютерам. Более подробную информацию получить можно используя ключи /v и /z

Вы получите информацию какие политики применились  какие – нет, и по какой причине были отфильтрованы.

RSoP в ММС

Есть два режима:
Logging Mode – какие в действительности политики применили на этой машине:
Planning Mode – какой будет результат в случае применения тех или иных настроек:http://www.petri.co.il/working_with_group_policy.htm
(как добавить оснастку)

Не является удобным средством, так как нужно будет спускаться в нужные рубрики.

Group Policy Results в GPMC

Более удобное средства для выявления применяемых политик на удалённых машинах используя централизованную консоль.

На вкладке Settings будут видны применённые настройки:

Источник: http://www.petri.co.il

“,”author”:”Автор: Stanislav”,”date_published”:”2021-01-08T23:54:00.000Z”,”lead_image_url”:”http://1.bp.blogspot.com/-yP26LrHke_4/UPZUvsA4FSI/AAAAAAAAHQM/xTbjVj6KY6I/w1200-h630-p-k-no-nu/apply-gpo2.jpg”,”dek”:null,”next_page_url”:null,”url”:”http://it.kuchuk.net/2013/01/gpo-group-policy-basis.html”,”domain”:”it.kuchuk.net”,”excerpt”:”Локальные политики – те что располагаются на конечном рабочем месте или сервере. Применяются тут же. GPO – Group Policy Obje…”,”word_count”:681,”direction”:”ltr”,”total_pages”:1,”rendered_pages”:1}

Источник: http://it.kuchuk.net/2013/01/gpo-group-policy-basis.html

Инструкция по групповым политикам Active Drirectory

Gpo что это такое

Групповые политики Windows являются неотъемлемой частью администрирования Windows-систем. Рассмотрим примеры работы с этим инструментом на VDS под управлением ОС семейства Windows Server.

Для чего необходимы групповые политики

Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно.

Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.

Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования.

Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене.

При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.

Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.

Оснастка управления групповыми политиками

Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:

gpmc.msc

И нажимаем “OK”.

Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.

Открываем диспетчер серверов и выбираем установку ролей и компонентов.

На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.

Так как установка выполняется для текущего сервера — нажимаем “Далее”.

Установку серверных ролей пропускаем нажатием на кнопку “Далее”.

На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.

Завершаем установку компонентов как обычно.

Окно оснастки управления групповой политикой выглядит так:

Настроим созданный объект

Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контектстном меню выбираем “Изменить”.

Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом — удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.

В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.

Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.

В открывшемся окне изменим состояние на “Включено

Источник: https://serverspace.by/support/help/active-directory-group-policies/

Локальная групповая политика Windows

Gpo что это такое

Написал admin. в рубрике Локальные сети

Групповая политика – это мощнейший инструмент администрирования Windows-компьютеров. С помощью этого инструмента системные администраторы с компьютеров на базе серверных редакций Windows могут централизовано управлять параметрами клиентских Windows-устройств сети.

Локальная же групповая политика позволяет контролировать параметры, соответственно, текущих устройств – определять поведение операционной системы для всех пользователей и вносить отдельные настройки для каждой из учётных записей.

В этой статье рассмотрим основы локальной групповой политики – что это за инструмент, в каких случаях может быть полезен, и как им пользоваться.

1. О локальной групповой политике

С помощью настроек локальной групповой политики можно расширить предустановленные возможности Windows, отключить ненужные или проблемные функции, а также ограничить других пользователей компьютера в определённых действиях.

Что касается ограничивающего аспекта, безусловно, такой инструмент больше подходит для корпоративной среды.

С его помощью сотрудников организаций можно ограничить во многом – от банального запрета изменения корпоративных обоев рабочего стола до блокировки подключаемых устройств и запускаемых программ.

На домашних компьютерах столь широкого размаха контроля, как правило, не требуется. Для защиты личного виртуального пространства каждого из членов семьи обычно хватает запароленной учётной записи, а контролировать детей вполне себе можно с помощью ПО типа родительского контроля.

Но сколь бы ни было продвинуто такого рода ПО, у локальной групповой политики всё равно будут преимущества:• Бесплатное использование, если мы сравниваем не со штатным функционалом родительского контроля Windows и бесплатными сторонними продуктами, а с платными мощными решениями;

• Огромное множество настраиваемых параметров.

2. Редактор gpedit.msc

Управление локальной групповой политикой осуществляется посредством штатного редактора gpedit.msc. Он может быть запущен только в учётной записи администратора. И только в редакциях Windows, начиная с Pro.

Потенциально его можно запустить и в редакции Windows Home, но для этого в систему потребуется внедрить специальный патч от сторонних разработчиков. Запустить редактор можно, введя его название gpedit.msc в поле поиска по системе или в окно команды «Выполнить».

Хейтеры ввода данных на латинице могут ввести в поисковик запрос «групповой».

В левой части окна редактора в древовидной структуре отображаются два равнозначных родительских каталога:• «Конфигурация компьютера» – каталог, который содержит параметры, определяющие работу компьютера вне зависимости от того, кто из пользователей на нём работает;

• «Конфигурация пользователя» – каталог, предусматривающий параметры, которые могут быть применены как для всех, так и для отдельных учётных записей компьютера.

Оба родительских каталога предусматривают одинаковые подкаталоги:• «Конфигурация программ» – ветка настройки параметров сторонних программ;• «Конфигурация Windows» – ветка настройки сценариев, параметров безопасности и прочих моментов;

• «Административные шаблоны» – ветка настройки параметров штатного функционала системы. Именно здесь содержится большая часть возможностей по тонкой настройке Windows.

У родительских каталогов есть отличные параметры, но большая часть из них идентичны. Для конфликтующих настроек идентичных параметров высший приоритет будет иметь «Конфигурация компьютера».

3. Параметры

Параметры групповой политики каталогизированы по папкам компонентов системы, к которым они относятся, и отображаются в правой части окна редактора.

Их представление можно отсортировать по двум критериям – комментарию, если он задан, и состоянию активности.

Последний удобен при активной работе с групповой политикой: таким образом можно быстро выявить внесённые ранее изменения в случае необходимости отменить их.

Параметры запускаются двойным кликом. Непосредственно в окошке каждого из них можем почитать справку, детально разъясняющую специфику их применения, и с помощью опций «Включено» или «Отключено» (в зависимости от настраиваемой функции) активировать. А затем – настроить, если выбранный параметр предусматривает варианты выбора или какие-то дополнительные опции.

Вот перечень лишь части возможностей локальной групповой политики – самых востребованных параметров, к задействованию которых прибегают пользователи Windows:• Отключение системных обновлений;

• Отключение Защитника Windows;

• Отключение проверки подписи драйверов;• Запрет автоматической установки драйверов;• Блокировка доступа к съёмным носителям;• Блокировка доступа к магазину Windows Store;• Блокировка запуска десктопного ПО и процессов его установки;• Блокировка доступа к панели управления, приложению «Параметры», прочим системным службам и компонентам;• Блокировка сетевых подключений;• Отключение принтеров;• Ограничения профилей пользователей;

• И т.п.

Не все изменения, внесённые в редактор, вступают в силу немедленно, для некоторых нужен перезаход в систему или перезагрузка компьютера.

4. Настройка параметров для отдельных учётных записей

Параметры, настройка которых произведена непосредственно в окне редактора gpedit.msc, будут применены для всех пользователей компьютера – и для администраторов, и для стандартных учётных записей.

Если нужно настроить поведение Windows только для отдельных пользователей, редактор нужно добавить в консоль mmc.exe, а в качестве объекта группой политики указать учётные записи этих самых отдельных людей.

Как это сделать?

Запускаем с помощью команды «Выполнить» или системного поисковика консоль mmc.exe. В её окне жмём Ctrl+M. Добавляем оснастку редактора.

В окне выбора объектов кликаем кнопку обзора.

Переключаемся на вкладку «Пользователи» и указываем те учётные записи, для которых будет настраивается групповая политика. Можно указать как конкретных пользователей, так и выбрать категорию «Не администраторы». В последнем случае параметры будут применяться для всех стандартных учётных записей, которые имеются на компьютере.

Жмём «Готово».

Затем – «Ок».

Сохраняем файл консоли в удобном месте и с удобным названием.

Каждый раз запуская этот файл консоли, будем иметь доступ к редактору gpedit.msc, ограниченному в части предоставления возможности настройки параметров для выбранных пользователей.

При этом поведение Windows внутри учётной записи администратора не изменится.

5. Бэкап

Обычно перед различными экспериментами с настройками Windows рекомендуется обеспечивать возможность отката операционной системы. Это, конечно, никогда не будет лишним, но в плане сохранения настроек групповой политики можно обойтись обычным копированием папки в системном каталоге. Жмём Win+R и вводим:
C:\Windows\System32

В «System32» ищем папку «GroupPolicy» и копируем её куда-нибудь на несистемный раздел. А если создавалась консоль с оснасткой редактора для отдельных пользователей, то также копируем папку «GroupPolicyUsers». Копии этих папок и будут бэкапом.

При необходимости возврата в исходное состояние настроек групповой политики просто заменяем ранее скопированными папками их более поздние редакции по указанному выше пути. Если нужно вернуть исходные настройки для всего компьютера, заменяем бэкапом папку «GroupPolicy». А если необходимо откатить только настройки отдельных пользователей, подменяем папку «GroupPolicyUsers».

Кстати, по этому же принципу можем сохранять текущие настройки групповой политики перед переустановкой Windows. И путём замены папок внедрять сохранённые настройки в новую систему.

Подписывайся на канал MyFirstComp на !

Источник: https://myfirstcomp.ru/network/lokalnaya-gruppovaya-politika-windows/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.