Group Policy (GPO)

Материал из RSU WiKi
Перейти к: навигация, поиск
Pen.pngЭта статья находится в процессе написания.
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Групповая политика — это набор правил или настроек, в соответствии с которыми производится настройка рабочей среды Windows. Групповые политики создаются в домене и реплицируются в рамках домена. Объект групповой политики (Group Policy Object, GPO) состоит из двух физически раздельных составляющих: контейнера групповой политики (Group Policy Container, GPC) и шаблона групповой политики (Group Policy Template, GPT). Эти два компонента содержат в себе всю информацию о параметрах рабочей среды, которая включается в состав объекта групповой политики. Продуманное применение объектов GPO к объектам каталога Active Directory позволяет создавать эффективную и легко управляемую компьютерную рабочую среду на базе ОС Windows. Политики применяются сверху вниз по иерархии каталога Active Directory [1].

Содержание

Необходимая база

Необходимые инструменты

Windows Server 2008 и Windows Server 2008 R2 включают консоль управления групповыми политиками при выполнении роли доменных служб Active Directory. В противном случае можно установить консоль управления групповыми политиками на Windows Server 2008, Windows Server 2008 R2, Windows 7 и пр.

Средство создания и управления точками соединения NTFS: Linkd.exe

Частота обновления групповой политики

Следующие события вызывают применение обьектов групповой политики:

  • перезапуск компьютера
  • в любой момент можно обновить групповую политику вручную с помощью команды:
gpupdate
  • групповая политика также регулярно применяет новые и измененные объекты групповой политики в течение 90 минут (по умолчанию) с небольшим фактором случайности
  • вход пользователя в систему;
  • запрос от приложения на обновление функцией API RefreshPolicy();
  • включен и задан один из интервалов обновления групповой политики;
  • политика не применяется контроллером домена, а запрашивается компьютером-клиентом.

Статья "Настройка частоты обновления групповой политики для компьютеров" http://technet.microsoft.com/ru-ru/library/cc758634%28WS.10%29.aspx ...При минимальном значении параметра "Интервал обновления групповой политики" (ноль минут) фактическое время между запросом и обновлением составит около семи секунд...

Резервное копирование групповой политики

Архивирование

  1. В консоли управления групповыми политиками щелкните папку Объекты групповой политики.
  2. Щелкните правой кнопкой мыши объект групповой политики, для которого нужно создать резервную копию, и выберите команду Резервное копирование.
  3. В поле Расположение диалогового окна Резервное копирование объекта групповой политики введите путь к папке, в которой нужно создать резервную копию объекта групповой политики. Можно также нажать кнопку Обзор и выбрать папку. Затем введите краткое описание объекта групповой политики в поле Описание и щелкните Резервное копирование.
  4. Ок.

Восстановление

  1. В консоли управления групповыми политиками щелкните папку Объекты групповой политики, чтобы увидеть объекты групповой политики домена.
  2. Щелкните правой кнопкой мыши папку Объекты групповой политики и выберите команду Управление резервными копиями.
  3. Выберите ранее использованное расположение резервной копии в списке Расположение резервной копии диалогового окна Управление резервными копиями. Можно также нажать кнопку Обзор и выбрать папку, содержащую резервные копии объектов групповой политики.
  4. В списке Резервные копии объектов групповой политики выберите один или несколько объектов групповой политики, которые требуется восстановить, и нажмите кнопку Восстановить. Если имеется несколько версий каждого объекта групповой политики, а требуются только самые последние версии резервных копий каждого объекта, установите флажок Показывать только последнюю версию каждого объекта групповой политики.
  5. Ок.

Политики приложений

С помощью Group Policy можно реализовать два варианта развертывания приложений:

  • Публикация - приложение появляется в оснастке Add or Remove Programs панели управления, так что вопрос о том, следует ли устанавливать данное приложение, решает сам пользователь.
  • Назначение - приложение появляется в меню Start на рабочем столе пользователя, как если бы оно уже было установлено. Затем, когда пользователь запускает приложение в первый раз, программа установки выполняет процедуру оперативной инсталляции (just-in-time — JIT- installation) программы из сетевой общедоступной дистрибутивной папки.

Создание GPO

Требуется открыть окно оснастки Active Directory Users and Computers консоли Microsoft Management Console (MMC), щелкнуть правой кнопкой мыши на домене или на организационной единице, к которой нужно применить избранную политику, и далее щелкнуть на пункте Properties. Перейдя на закладку Group Policy, следует создать новый объект GPO или выбрать один из существующих и щелкнуть на кнопке Edit.

Создавать пакеты для развертывания приложений нужно на ветви политики Software Settings\Software Installation, расположенной под ветвями Computer Configuration и User Configuration.

  • Computer Configuration для развертывания приложений на компьютерах. Можно только назначать приложения.
  • User Configuration для развертывания приложений по учетным записям пользователей. Можно назначать и опубликовать приложение.

Чтобы создать политику пакета, правой клавишей мыши требуется щелкнуть на ветви Software Installation под ветвью Computer Configuration или User Configuration и выбрать элементы New и Package. В диалоговом окне Open нужно указать путь к файлу пакета (.msi) в общей папке.

Attention.pngВНИМАНИЕ!
Хотя добавленные групповые политику пакетов отображаются в алфавитном порядке, применяются они в порядке добавления.

Закладка Deployment

Импорт групповой политики

В последнее время программное обеспечение поставляется с инструментами управления через GPO. С помощью этого инструментария, например для браузеров, можно настраивать прокси-сервер, стартовую страницу и др. Комлекты поставок бывают в 2 форматах: adm и admx. Способ их установки описан далее.

Импорт .adm

Позволяет использовать параметры шаблона для отдельно взятой групповой политики:

  1. Перейдите к оснастке Управление групповой политикой
  2. Выберите уже существующую групповую политику или создайте новую.
  3. В окне редактирования паарметров политики перейдите к узлу Конфигурация компьютера > Административные шаблоны.
  4. Нажмите правой кнопкой мыши Административные шаблоны и выберите Добавление и удаление шаблонов.
  5. В открывшемся диалоговом окне добавьте имеющийся шаблон.

Импорт .admx

Во-первых надо скопировать файлы ADMX и ADML в папку %systemroot%\PolicyDefinitions, расположенную на компютере, где выполняется редактирование групповой политики. Либо, если операция выполняется на центральном хранилище GPO, а папку SYSVOL\<domain>\policies\PolicyDefinitions\<language> (Вместо <language> надо использовать соответствующую требуемому языку папку, например EN-US). Таким образом параметры установленного шаблона будут доступны для вновь созданных групповых политик и уже имеющихся.

Установка ПО

Сатья "Использование установки программного обеспечения групповой политики для развертывания выпуска 2007 системы Microsoft Office" http://technet.microsoft.com/ru-ru/library/cc179214%28office.12%29.aspx

JRE 1.6

  1. Загрузить и запустить установочный файл JRE,
  2. Перейти к C:\Documents and Settings\<пользователь>\Local Settings\ApplicationData\Sun\Java\jre1.6.0_05\ (для Windows XP), C:\Users\<пользователь>\AppData\LocalLow\Sun\Java\jre1.6.0_05\jre1.6.0_05.msi (для Windows 7)
  3. Скопировать папку с .msi, .cab и др. в общую папку,
  4. В качестве файла политики приложения использовать .msi.

OpenOffice & LibreOffice

Основная статья: LibreOffice
  1. Загрузить Дистрибутив LO, распаковать установочный MSI-файл во временную папку:
    1. msiexec /a LibreOffice.msi TARGETDIR=C:\Temp\LibreOffice
  2. Скачиваем программу для редактирования MSI-архивов Orca: http://ftp.rsu.edu.ru/pub/windows/orca.msi
    1. Редактором Orca открыть msi пакет, который лежит внутри директории. Нажать View - Summary Information и в поле Languages удалить все языки кроме 1033, 1049 (английский и русский);
    2. File -> Save;
  3. перейти к папке с содержимым архива;
  4. скопировать установочные файлы в общую папку (или DFS шару) на сервере;
  5. В качестве файла политики приложения использовать .msi внутри каталога.

Adobe Reader

Скачиваем с сайта Adobe msi-дистрибутив по ссылке: ftp://ftp.adobe.com/pub/adobe/reader/win/

Adobe Flash Plugin

Скачиваем с сайта Adobe msi-дистрибутивы плагинов по ссылке:

Mozilla Firefox и настройка его параметров средствами GPO

Основная статья: Mozilla Firefox
  • Идем на сайт Frontmotion в раздел с патченной версией FF: http://frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
  • Берем с него актуальные версии MSI-установщика Firefox Community Edition и административного шаблона firefox.adm
  • Внимательно смотрим на то, что скачали с сайта и убеждаемся, что огнелис все-таки с суффиксом "CE", это важно.
  • Деплоим FF средствами домена.
  • Создаем соответствующую политику, добавляем в нее шаблон firefox.adm.
  • Правим административный шаблон по своему желанию.
  • Применяем политику (gpupdate /force).

Kaspersky Antivirus 6.0

Основная статья: Антивирус Касперского

Распаковываем дистрибутив в общую папку, в нее же (рядом с msi-файлом) кладем лицензионный ключ и конфигурационный файл с именем Install.cfg (имя важно!).

Установка касперского без GPO со всем настройками:

Google Chrome

Основная статья: Google Chrome#Настройка параметров браузера через Group Policy (GPO)

Как отключить скринсейвера

(How to disable screensaver)

Go to GPO linked to your Terminal Server > User Configuration > Policies > Administrative Tempaltes > Cocntrol Panel > Display > you need a setting called "Screen Saver" set Disabled

Как запретить выключение компьютера с Windows XP

Источник: http://www.online-tech-tips.com/windows-xp/xp-prevent-shutdown/

  1. Чтобы заблокировать кнопку Завершение работы в меню Пуск и в меню, вызываемом мажатием комбинации клавиш Ctrl + Alt + Del, следует в разделе групповой политики Конфигурация пользователя > Административные шаблоны > Меню Пуск и Панель задач разблокировать пункт Remove and prevent access to Shut Down command.
  2. При этом пользователь может завершить сеанс и выключить компьютер из меню входа в Windows. Запретить выключение компьютера из меню входа можно в разделе групповой политики Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Параметры безопасности и выключить пункт Shutdown: Allow the system to be shutdown without having to log on.
  3. После этого у пользователя все еще остается возможность выключить компьютер из командной строки, так что остается только запретить её запуск. При этом в предыдущих пунктах были заблокированы способы машинального выключения компьютера, такие как Пуск > Завершение работы > Ок или Ctrl + Alt + Del > Завершение работы > Ок, а что бы завершить работу через командную строку пользователю потребуется как минимум вспомнить ключи команды shutdown.

Следует обратить внимание, на то, что первый пункт это политика пользователя, по этому в ней должны присутствовать пользоватли или их группы, которым запрещено выключать компьютер из сеанса. Второй пункт - это политика компьютера, и в ней должен присутствовать компьютер или их группа, на котором запрещено выключение компьютера из меню входа в Windows.

Фильтры WMI

Как применить групповую политику к пользователям на определенном компьютере

Чтобы решить эту задачу следует воспользоваться фильтрами WMI. Они позволяют динамически определять область действия объектов групповой политики (GPO) при помощи атрибутов заданного компьютера, таких как, например, имя.

Создать новый фильтр можно в оснастке Управление групповой политикой в контейнере Фильтры WMI вашего домена воспользовавшись через контекстное меню пунктом Создать. В появившемся диалоговом окне:

  1. Cледует указать имя, по которому можно определить, что делает этот фильтр.
  2. Добавить новый запрос. Из возможных пространств имен был выбран выриант по умолчанию. Код запроса в простейшем случае для одного ПК приведен ниже.
select * from win32_computerSystem where name='<имя_пк>' (OR name='<имя_пк>')
select * from win32_computerSystem where name like "%<вхождение>%"

Применить созданный фильтр можно выбрав групповую политику, применяющуюся по нему, и в окне ее свойств в разделе Фильтр WMI выбрать его название.

Запрет применения политики для определнной группы безопасности

Для этого перейдите в Управление групповой политикой, выберите необходимую политику и на закладке Делегирование нажмите кнопку Дополнительно. В появившемся окне добавьте требуемую группу и отметьте пункт Применять политику как Запретить .

Задать пароль встроенной учетной записи локального администратора через GPO

Для сети, где рабочие станции работают под управлениес нескольких поколений ОС Windows (XP, Vista и 7), данная операция требует 2 шагов:

  1. В соответствующем объекте групповой политики в разделе Конфигурация компьютера > Настройка > Параметры панели управления > Локальные пользователи можно добавить добавить нового локального пользователя. В качестве действия выбираем Создать. В поле Пользователь выбираем уже существующий пункт Администратор (встроенная учетная запись). Указываем пароль и запрещаем его смену на неограниченный срок.

GpoCreateUser.jpg

  1. Т. к. в ОС семества Windows поколений Vista и 7 учетная запись локального администратора по умолчанию выключена, то в соответсвующем объекте групповой политики в разделе Конфигурация компьютера > Политики > Конфигурация Windows > Локальные политики > Параметры безопасности параметр Учетные записи: Состояние учетной записи "Администратор" следует установить в состояние Включен.
Attention.pngВНИМАНИЕ!
При несоответствии пароля текущего администратора требованиям к паролю повторно включить учетную запись администратора, если ранее она была отключена, будет нельзя. Если вручную локальному администратору задать пароль как в предыдущем шаге, то на Windows Vista и 7 политика будет применяться корректно.

Подключение сетевого диска средствами GPO

Создаем на сетевом хранилище папку, назначаем ей соотв. права доступа. Подключаем сетевой диск для группы пользователей:

  • Конф. пользователя -> Настройка -> Конф. Windows -> Сопоставления дисков

Как отключить "Предупреждение системы безопасности" при открытии файла с сетевого хранилища?

Добавьте файловый сервер или NAS, с которого вы запускаете файл, в зону безопасности Internet Explorer "Местная интрасеть (Intranet Zonе)". Для этого на сервере необходимо отключить "конфигурацию усиленной безопасности Internet Explorer", внести все необходимые узлы и в редакторе Групповой политики импортировать данные безопасности текущей машины. Затем "конфигурацию усиленной безопасности Internet Explorer" можно включать обратно.

Custom Shell

Gpo customshell.PNG

Автоматизация входа в систему на компьютере под управлением Windows XP

  1. Необходимо скачать файл AutoLogon.adm [2] по следующей ссылке: ftp://ftp.rsu.edu.ru/pub/windows/autologon.adm
  2. Зайти на контроллер домена и запустить оснастку Администрирование\Управление групповой политикой.
  3. Создать в разделе "Имя леса"\"Домены"\"Имя домена"\"Объекты групповой политики" новый объект групповой политики.
  4. На созданном объекте группвой политики кликнуть правой кнопкой мыши и выбрать "Изменить". Запустится "Редактор управления групповыми политиками".
  5. В разделе "Конфигурация компьютера" необходимо кликнуть правой кнопкой мыши по пункту "Административные шаблоны" и выбрать "Добавление и удаление шаблонов...". Добавить шаблон, скачанный в пункте 1).
  6. Перейти к разделу "Конфигурация компьютера"\"Политики"\"Административные шаблоны"\"Классические административные шаблоны (ADM)"\"System"\"Logon" и изменить параметры добавленного шаблона. Чтобы групповая политика сработала, необходимо в параметрах "AutoAdminLogon" и "ForceAutoLogon" поставить "1". Остальные параметры выставляются для конкретного ПК.
  7. В оснастке Администрирование\Управление групповой политикой в разделе "Имя леса"\"Домены"\"Имя домена"\"Фильтры WMI" создать новый фильтр WMI. При создании в поле "Запросы" добавить следующий запрос "select * from win32_computerSystem where name like "%имя компьютера%"".
  8. После создания фильтра WMI необходимо указать объект групповой политики, который этот фильтр будет использовать. Для этого в поле "Объекты GPO, использующие фильтр WMI" указываем созданный в пунктах 1)-5) объект. Пункты 6)-7) необходимы для назначения групповой политики для конкретных ПК.
  9. После принятия всех описанных выше изменений запустить командную строку и выполнить команду "gpupdate /force".

Запрет выполнения определенных программ

Возможно линия партии перестала быть благосклонной к использованию пиратского и другого неправославного ПО или оснастка kaspersky administration kit честно указывает на 3 пиратских фотошопа/корела/файнридера разных версий на каждом ПК и разнообразие ни каким боком не относящихся к работе игр. В том или ином случае возникают ситуации, когда определенное ПО необходимо запретить к использованию. Лучшим решением этой проблемы предоставляются групповые политики (Group Policy) домена AD. Запрет реализуется следующим образом:

В интересующем нас контейнере создаем новый объект GPO и редактируем его. Идем в

Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

В новой политике правой кнопкой мышки по пункту Политики ограниченного использования программ -> Создать политику ограниченного использования программ.

В полученной политике перейдите в Дополнительные правила.

Хотя оснастка предоставляет различные варианты правил запрета, наш выбор создания правила по хешу приложения обусловлен тем, что на компьютерах, попадающих под данную Group Policy, выполнение указанных программ будет более невозможно безотносительно того, где они расположены. Это удобно при необходимости запретить ПО, не требующее установки, например portable-софт и некотороые виды игр.

Создаем новое правило по хешу, нажимаем "Обзор" и выбираем исполняемый файл программы, который хотим запретить для выполнения. Удобно что при обзоре исполняемый файл можно указать по сети.

Сервер автоматически применяет политику в течение часа. Также ее можно принудительно применить с помошью команды:

gpupdate /force

Распространение самоподписного SSL-сертификата средствами AD

Управление системными службами с помощью GPO

Управление системными службами с помощью GPO: Конфигурация Компьютера -> Конфигурация Windows -> Параметры безопасности -> Системные службы.

В случае, если на многих ПК в сети отключена служба обновления, можно настроить ее автозапуск средствами GPO: Конфигурация Компьютера -> Конфигурация Windows -> Параметры безопасности -> Системные службы ->Центр обновления Windows. Режим запуска службы - Автоматический.

Основные проблемы

Как пересобрать каталог SYSVOL и восстановить реплекацию

  1. Остановите Службу репликации файлов (FRS) на всех контроллерах домена.
  2. Скопируйте все файлы и папки из каталога SYSVOL во временную папку на эталонном контроллере домена. Временная папка должна быть на том же разделе, что и каталог SYSVOL.
  3. Сверьте точки соединения NTFS на каждом контроллере домена.
  4. Перезапустите FRS на эталонном контроллере домена с параметром D4 в реестре.
  5. Перезапустите FRS на всех остальных контроллерах домена с параметром D2 в реестре.
  6. На эталонном контроллере домена переместите все папки и файлы в корневую папку реплекации. По умолчанию это папка C:\Windows\Sysvol\Domain.
  7. Проверьте согласованность файлов и папок на всех контроллерах домена.

Остановка FRS

На всех контроллерах домена в разделе Администрирование > Службы остановите Службу репликации файлов.

Проверка точкек соединения NTFS

На всех контроллерах домена проверьте состав дерева в SYSVOL: Verify that the following folders exist in the SYSVOL tree : \SYSVOL \SYSVOL\domain \SYSVOL\staging\domain \SYSVOL\staging areas \SYSVOL\domain\Policies \SYSVOL\domain\scripts \SYSVOL\SYSVOL Проверьте, существуют ли точки соединения NTFS:

\SYSVOL\SYSVOL\<dns_domain_name> > \SYSVOL\domain
\SYSVOL\staging areas\<dns_domain_name> > \SYSVOL\staging\domain

командой:

linkd "%systemroot%\SYSVOL\SYSVOL\<dns_domain_name>"
linkd "%systemroot%\SYSVOL\staging areas\<dns_domain_name>"

Задать перенаправление можно той же командой:

linkd "%systemroot%\SYSVOL\SYSVOL\<dns_domain_name>" "%systemroot%\SYSVOL\domain"
linkd "%systemroot%\SYSVOL\staging areas\<dns_domain_name>" "%systemroot%\SYSVOL\staging\domain"

Утилита linkd.exe находится в пакете Windows Server 2003 Resource Kit Tools.

Эталонный контроллер домена

Attention.pngВНИМАНИЕ!
Перед этим шагом выполните архивацию объектов групповой политики без относительно того, что мы с вами об этом думаем.

На эталонном контроллере домена должен быть собран актуальный набор объектов групповой политики. Для этого откройте Active Directory - Пользователи и компьютеры. Включите Дополнительные параметры в меню Вид. В домене найдите контейнер System, а в нем Policies.

С правой стороны представлены объекты групповой политики, которые должны один в один соответсвовать обьектам в дереве SYSVOL.

Для этого:

  • Если в дереве SYSVOL встречается папка с именем GUID, который не встречается в Active Directory, вы можете безопасно ее удалить из папки.
  • Если в Active Directory встречается обьект групповой политики с GUID не отраженный в SYSVOL\domain\policies, то вы можете безопасно удалить ее из Active Directory.

На эталонном контроллере домена удалите любые файлы и папки из корня SYSVOL. По умолчанию нужно очистить следующие папки:

C:\WINDOWS\SYSVOL\domain 
C:\WINDOWS\SYSVOL\staging\domain

В редакторе реестра найдите следующие ключи:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID

Где GUID is the GUID of the domain system volume replica set that is shown in the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID

Задайте значение параметра BurFlags D4 (HexaDecimal).

Остальные контроллеры домена

Удалите все файлы и папки из дерева SYSVOL, очистив его таким образом от мусора.

В редакторе реестра найдите следующие ключи:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID

Где GUID is the GUID of the domain system volume replica set that is shown in the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID

Задайте значение параметра BurFlags D2 (HexaDecimal).

Запуск FRS

На всех контроллерах домена в разделе Администрирование > Службы запустите Службу репликации файлов.

Проверка

Для получения списка общих ресурсов на каждом контроллере выполните команду:

netshare

В логе событий системы будет получено сообщение о восстановлении репликации. На всех контроллерах домена, кроме эталонного, это займет некоторое время.

Не подключается сетевой диск

Если групповая политика сопоставления диска применяется, но на клиентском ПК диск не подключается, проблема может быть в следующем. Вероятнее всего, на компьютере под управлением Windows XP отключена служба автоматического обновления. Включите службу и обновите ОС до актуального состояния. Критическое обновление, отвечающее за подключение сетевых дисков KB943729.

Что делать, если программам пользователей надо писать данные в Programm Files, но пользоватлям нельзя давать права Администратора?

Необходимо назначить пользователям права на доступ к соответствующей папке, полностью решение представлено здесь:http://social.technet.microsoft.com/Forums/ru-RU/xpru/thread/25add7fd-2a2e-4e2d-8dc1-57999bfc6c0c/

Logon-скрипты

Как сменить адреса dns?

I have used a script to update some of my machines on login. You will need to change the alias to matche the adapter you want to update. The first command sets primary, the second the secondary DNS server.

@echo off
interface ip set dns “Wireless Network Connection” static 192.168.8.5
interface ip set dns “Wireless Network Connection” static 192.168.0.5 index=2

Примечания

  1. Групповая политика. Материал из Википедии — свободной энциклопедии
  2. walt@truman blog: Group Policy Auto Logon Administrative Template

См. также

Ссылки

Личные инструменты
Пространства имён

Варианты
Действия
Навигация
Инструменты