Групповые политики Active Directory

Групповые политики Windows являются неотъемлемой частью администрирования Windows-систем. Рассмотрим примеры работы с этим инструментом на VDS под управлением ОС семейства Windows Server.

Что такое групповые политики и как ими пользоваться

• Для чего необходимы групповые политики
• Клиентский и серверный компоненты групповых политик
• Настройка управления групповыми политиками
• Как создать новый объект групповой политики
• Как настроить управление групповыми политиками
• Как найти нужный объект групповой политики
• Как удалить объект групповой политики

Для чего используются групповые политики

Говоря простым языком, групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.

Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.

Настроить рабочие места (компьютеров и пользователей) проще и эффективнее, потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.

Клиентский и серверный компоненты групповых политик

Выделяют два компонента групповых политик: клиентский и серверный, т.е. формируется структура “клиент-сервер”.

Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей” называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.

Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.

Для администрирования GPO используют оснастки MMC – Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

• Централизованная настройка пакета программ Microsoft Office;
• Централизованная настройка управлением питанием компьютеров;
• Настройка веб-браузеров и принтеров;
• Установка и обновление ПО;
• Применение определенных правил в зависимости от местоположения пользователя;
• Централизованные настройки безопасности;
• Перенаправление каталогов в пределах домена;
• Настройка прав доступа к приложениям и системным программам.

Как настроить управление групповыми политиками

Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:

И нажимаем “OK”.

Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.

Открываем диспетчер серверов и выбираем установку ролей и компонентов.

На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.

Так как установка выполняется для текущего сервера – нажимаем “Далее”.

Установку серверных ролей пропускаем нажатием на кнопку “Далее”.

На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.

Завершаем установку компонентов как обычно.

Окно оснастки управления групповой политикой выглядит так:

Как создать новый объект групповой политики

Добавим новый объект групповой политики. В левой части, проследуем по пути: Лес → Домены → → Объекты групповой политики.

В правой части окна, кликаем правой кнопкой мыши в свободном месте. В открывшемся контекстном меню, выбираем “Создать”.

В открывшемся окне, вводим имя новой политики. Нажимаем “OK”.

Добавленный объект появится в общем списке:

Настройка созданного объекта групповой политики

Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контекстном меню выбираем “Изменить”.

Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом – удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.

В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.

Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.

В открывшемся окне изменим состояние на “Включено”. В поле комментария рекомендуем не игнорировать. Для завершения настройки нажимаем “OK”.

Создание объектов можно считать оконченным.

Как найти нужный объект групповой политики

В корпоративных средах, как правило, создается большое количество объектов GPO. Хорошо было бы уметь находить нужный объект. У консоли есть данный функционал. Для этого, в левой части окна кликаем правой кнопкой мыши по лесу. В открывшемся меню выбираем “Найти…”

В открывшемся окне выбираем в каком домене выполнять поиск. Можно выполнить поиск и по всем доменам, но это может занять продолжительное время.

Попробуем найти созданный ранее объект.

В поле “Элемент поиска” из выпадающего списка выбираем “Имя объекта групповой политики”. В условии оставляем вариант “Содержит”. В “Значение“ указываем имя созданной ранее политики. Именно по этой причине следует создавать понятные имена политик. Нажимаем кнопку “Добавить”.

Критерии поиска заданы. нажимаем кнопку “Найти” и просматриваем результаты поиска.

Как удалить объект групповой политики

Если в объекте GPO пропадает необходимость, будет лучше его удалить. Кликаем по созданному объекту правой кнопкой мыши, в контекстном меню выбираем “Удалить”. Если уверены в своем решении, на вопрос подтверждения отвечаем “Да”.

Policy Plus — редактор локальной групповой политики для любой версии Windows 11 и Windows 10

Возможное решение — использование сторонней программы Policy Plus, представляющей собой альтернативный редактор локальной групповой политики, который подойдет и для Домашней редакции системы.

Использование Policy Plus для редактирования локальной групповой политики в Windows 11/10 Домашняя

Далее в статье акцент будет сделан на использовании Policy Plus именно в Домашней редакции системы, поскольку в Pro и Enterprise мы можем обойтись системным gpedit.msc.

В общем случае достаточно просто запустить программу, но лучше учесть некоторые нюансы, а потому по порядку:

1. Скачайте последнюю версию Policy Plus с сайта разработчика https://github.com/Fleex255/PolicyPlus/releases (раскрываем Assets, файл для загрузки будет там) и запустите её.
2. Поскольку в файле политик домашней версии Windows 11 и Windows 10 хранятся не все доступные административные параметры, в главном меню программы откройте Help — Acquire ADMX Files и загрузите недостающие элементы, загрузка производится с сайта Майкрософт.
3. В случае, если все параметры отображаются на английском языке (внимание: для отдельных параметров это — нормальное явление), в меню программы откройте File — Set ADML Language и установите значение ru-RU
4. Готово, можно использовать редактор локальной групповой политики независимо от того, какая редакция системы у вас установлена. Большинство параметров имеют русское описание и настраиваются так же, как и в «родном» gpedit.
5. По завершении настройки политик используйте меню File — Save Policies для сохранения настроенных параметров и принудительного обновления политик.

Помимо прочего, Policy Plus позволяет загружать сторонние файлы параметров ADMX и открывать дополнительные расположения политик (например, для другого пользователя).

А вдруг и это будет интересно:

• Лучшие бесплатные программы для Windows
• Ноутбук разряжается в выключенном состоянии — причины и варианты решения
• Выберите операционную систему при загрузке Windows — как убрать меню
• Ошибка 0xc000000e при загрузке Windows — как исправить?
• Диск отключен из-за конфликта подписей с другим диском — как исправить?
• Ошибка при запуске приложения 0xc0000005 — как исправить?

• Windows 11
• Windows 10
• Android
• Загрузочная флешка
• Лечение вирусов
• Восстановление данных
• Установка с флешки
• Настройка роутера
• Всё про Windows
• В контакте
• Одноклассники

Андрей 05.12.2021 в 12:17

При подготовке материала использовались источники:
https://serverspace.ru/support/help/active-directory-group-policies/
https://remontka.pro/policy-plus-gpedit-software/