Group policy management

Редактор локальной групповой политики. оснастка gpedit.msc

Групповая политика – это набор правил, применение которых может облегчить управление пользователями и компьютерами.

Параметры групповой политики применяются для управления конфигурацией операционной системы, а также для отключения опций и элементов управления пользовательского интерфейса для параметров, управляемых групповой политикой. Большинство параметров групповой политики хранятся в разделах реестра, связанных с групповыми политиками.

Существуют два типа групповых политик: локальные групповые политики и групповые политики службы каталогов Active Directory. Локальная групповая политика используется для управления параметрами локальной машины, а групповая политика службы каталогов Active Directory – для управления параметрами компьютеров сайтов, доменов и организационных единиц.

Локальные групповые политики применяются ко всем пользователям и администраторам, входящим в систему на компьютере. Управление локальной групповой политикой осуществляется посредством объекта групповой политики (ОГП – GPO, Group Policy Object). Объект локальной групповой политики хранится на каждом компьютере в скрытой папке %SystemRoot%\System32\GroupPolicy.

Дополнительные пользовательские и групповые объекты локальной групповой политики хранятся в папке %SystemRoot%\System32\GroupPolicyUsers.

Локальные политики (локальный GPO) можно редактировать с помощью оснастки gpedit.msc – редактора локальной групповой политики. Чтобы запустить редактор политики нажмите сочетание клавиш

R, в открывшемся окне Выполнить введите команду gpedit.msc и нажмите клавишу Enter ↵.

В открывшемся окне Редактор локальной групповой политики Вы можете редактировать конфигурацию компьютера и конфигурацию пользователя. В первом разделе (конфигурация компьютера) находятся общесистемные настройки, а во втором – пользовательские настройки.

Рассмотрим небольшой пример использования редактора политик. Допустим мы хотим отключить Диспетчер задач для пользователя. Когда пользователь нажимает Ctrl Alt Del, выводится меню, позволяющее запустить окно Диспетчера задач.

Зачем нужно запрещать Диспетчер задач? Пользователь может закрыть процесс, что приведет к потере данных (особенно когда человек не понимает, что делает). А потом будет надоедать с просьбой восстановить эти данные, что, далеко не всегда возможно. Поэтому проще запретить возможность завершать процессы, чем разбираться с потерями данных и их восстановлением.

Для отключения Диспетчера задач запустите редактор политик и выберите Конфигурация пользователя ► Административные шаблоны ► Система ► Варианты действий после нажатия CTRL ALT DEL. На правой панели вы увидите варианты действий после нажатия Ctrl Alt Del. Дважды щелкните на политике Удалить диспетчер задач.

По умолчанию политика не задана. Для отключения Диспетчера задач выберите значение Включить и нажмите кнопку OK.

После этого запуск Диспетчера задач будет невозможен.

Вы также не сможете запустить Диспетчер задач нажимая сочетание клавиш Ctrl Shift Esc, а также путем ввода команды taskmgr в окне Выполнить, в этом случае вы получите сообщение о том что Диспетчер задач отключен администратором.

При желании отключить Диспетчер задач можно и через реестр. По сути, политики – это надстройки реестра. Чем различается настройка системы через политики и через реестр? Да ничем, по большому счету. Политики созданы для более удобного редактирования реестра. Так, при отключении Диспетчера задач через редактор политик будет создан раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, а в него добавлен параметр DisableTaskMgr типа DWORD со значением 1.

Для включения Диспетчера задач нужно в разделе реестраHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System для параметра DisableTaskMgr установить значение или использовать редактор политик для установки значения Отключить.

Чтобы отключить Диспетчер задач не для конкретного пользователя, а в масштабах всей системы, нужно создать DWORD-параметр DisableTaskMgr со значением 1 в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Предпочтения групповой политики

Предпочтения групповой политики — это способ, с помощью которого администратор может устанавливать политики, которые не являются обязательными, но необязательными для пользователя или компьютера. Существует набор расширений параметров групповой политики, которые ранее назывались PolicyMaker. Microsoft купила PolicyMaker, а затем интегрировала их с Windows Server 2008 . С тех пор Microsoft выпустила инструмент миграции, который позволяет пользователям переносить элементы PolicyMaker в настройки групповой политики.

В настройках групповой политики добавлен ряд новых элементов конфигурации. Эти элементы также имеют ряд дополнительных параметров таргетинга, которые можно использовать для детального управления применением этих элементов настройки.

Предпочтения групповой политики совместимы с версиями x86 и x64 Windows XP, Windows Server 2003 и Windows Vista с добавлением клиентских расширений (также известных как CSE).

Клиентские расширения теперь включены в Windows Server 2008 , Windows 7 и Windows Server 2008 R2 .

Управление областью действия GPO

Если параметр политики не применяется к клиенту, проверьте область действия GPO. Если вы настраиваете параметр в разделе Computer Configuration («Конфигурация компьютера»), ваша групповая политика должна быть сопряжена с организационным подразделением (OU) объектов компьютеров. То же самое верно, если вы установите свои параметры в разделе User configuration («Конфигурации пользователя»).

Также убедитесь, что объект, к которому вы пытаетесь применить свой GPO, находится в правильном контейнере AD (OU) компьютеров или пользователей. Если у вас много объектов и вы не можете вспомнить, в каком организационном подразделении находится нужный вам пользователь или компьютер, то вы можете выполнить поиск по объектам в своём домене. После выполнения поиска, чтобы узнать, в какое организационное подразделение (OU) помещён найденный объект, дважды кликните на него, перейдите на вкладку Object («Объект»), где в поле «Каноническое имя объекта» вы увидите полный путь, включающий имя организационного подразделения.

Связанная статья: Поиск по Active Director групп и пользователей с использованием подстановочных знаков

Это означает, что целевой объект должен находиться в подразделении, с которым связана политика (или во вложенном контейнере AD).

Как на практике применить групповые политики в Windows 10

Здравствуйте, уважаемые читатели моего блога. В некоторых статьях я неоднократно использовал возможности системной утилиты gpedit, которая позволяет управлять запуском и установкой приложений, контролировать поведение пользователей, ограничивать некоторые возможности ОС

Сегодня я хотел бы подробно рассказать о такой важной вещи, как настройка групповых политик в Windows 10. Будет рассмотрено несколько полезных примеров, которые могут Вам пригодиться

Сразу же подчеркну, что подобный функционал доступен только в «Профессиональной» и «Корпоративной» версиях операционной системы Microsoft. Но есть способ установить утилиту и для «Домашней» (Home) версии. Если этого не делать, то вносить изменения в некоторые аспекты ОС придется через редактирование реестра, что менее безопасно и не так удобно, чем с помощью графического интерфейса.

Добавление утилиты для версий «Домашняя» и «Стартер»

Нам понадобится скачать вот этот архив с патчем:

Групповые политики для Windows Home Скачано: 1642, размер: 855 Кб, дата: 08.Авг.2016

Распаковываем в любую папку и запускаем установщик setup.exe с правами администратора.

Когда появится последнее окно с кнопкой «Закончить установку» (Finish), не спешите её нажимать. Если используете систему 64 bit, то следует зайти в каталог, где расположены системные файлы (Windows) и скопировать из временной папки Temp/gpedit следующие dll-файлы:

  1. gpedit
  2. appmgr
  3. fde
  4. gptext
  5. fdeploy
  6. gpedit.msc
  • Вставляем их в директорию %WinDir%\System32
  • Теперь заходим в каталог SysWOW64 и с него копируем папки:
  1. GroupPolicy
  2. GroupPolicyUsers
  3. GPBAK
  4. И один файл gpedit.msc
  • Вставляем их System32 и перезапускаем ПК.
  • После запуска пробуем войти в консоль «Выполнить» (Win + R) и вбиваем в поле ввода следующую команду:

В случае возникновения ошибки (если не удается войти) следует пройти по пути: Windows\ Temp\ gpedit и там в ручном режиме запустить файл, соответствующий разрядности Вашей ОС – xbat или x86.bat.

Вот и всё. Теперь Ваша «Домашняя» версия поддерживает возможность настройки групповых политик.

Примеры работы групповых политик на практике

О том, как запустить утилиту было сказано выше. Не буду повторяться. Когда откроется окно редактора локальной групповой политики, слева отобразится перечень элементов для конфигурации ПК и пользователя, а справа – более конкретные параметры, а также подробная информация о выбранном пункте.

Уверен, Вы хотите поскорее перейти от сухой теории к рассмотрению живых примеров.

Установка запрета на запуск приложений

  • Переходим по следующему пути: «Конфигурация пользователя», затем «Административные шаблоны», выбираем подпапку «Система».
  • Справа отобразится перечень возможностей.
  • Допустим, мы не хотим запускать определенные приложения из соображений безопасности. Для этого открываем настройки пункта «Не запускать указанные приложения Windows».
  • В открывшемся окне выделяем отметку «Включить», а после этого кликаем по кнопке «Показать» (которая откроет перечень запрещенных программ).
  • Теперь осталось только прописать имена .exe файлов в данном списке, и сохранить изменения, нажав на «ОК».
  • После попытки запуска указанного софта будет появляться следующая ошибка:

Чтобы отключить запрет, нужно просто удалить нужный файл из «черного списка».

Внесение изменений в UAC

Если Вам надоело всплывающее окно, которое появляется каждый раз, когда Вы пытаетесь запустить стороннее приложение, значит необходимо изменить некоторые параметры управления учетными записями. Для этого:

  • Переходим к папке «Конфигурация ПК», затем – «Конфигурирование Windows». После этого открываем директорию «Параметры безопасности», переходим в «Локальные политики».
  • Справа отобразится перечень настроек. Нас интересует следующая опция: «Запрос согласия для исполняемых файлов не из Windows».
  • Чтобы полностью отказаться от появления уведомлений, выбираем из списка вариант «Повышение без запроса».

Это лишь парочка простейших примеров, которые могут помочь в решении некоторых проблем. Я рекомендую более подробно изучить работу данного системного клиента, чтобы научиться управлять большинством возможностей Windows 10.

C уважением, Виктор

Локальная групповая политика

Локальная групповая политика (LGP или LocalGPO) — это более базовая версия групповой политики для автономных и недоменных компьютеров, которая существует по крайней мере с Windows XP и может применяться к компьютерам домена. До Windows Vista LGP ​​могла принудительно применять объект групповой политики для одного локального компьютера, но не могла создавать политики для отдельных пользователей или групп. Начиная с Windows Vista, LGP позволяет управлять локальной групповой политикой для отдельных пользователей и групп, а также позволяет выполнять резервное копирование, импорт и экспорт политик между автономными компьютерами с помощью «пакетов групповой политики» — контейнеров групповой политики, которые включают файлы, необходимые для импорта политики. на машину назначения.

Как работает применение групповой политики

Применение групповой политики

Вкратце, собственно сам механизм применения групповой политики выглядит следующим образом. Вначале администратор создает объект групповой политики (GPO), содержащий определенный набор параметров рабочей среды. Этот объект может содержать настройки, применяемые как компьютеру, так и к пользователю. Далее, с помощью связывания (или привязки, linking) этот объект ассоциируется с одним или несколькими элементами дерева Active Directory. При загрузке компьютера, входящего в домен, выполняется запрос списков групповой политики у контроллера домена. Контроллер пересылает необходимые списки в том порядке, в котором они должны применяться на компьютере. Когда пользователь осуществляет вход в систему, выполняется еще один запрос о необходимых объектах групповой политики, которые затем применяются к пользователю, выполнившему вход в систему.

Фильтрация GPO WMI

В объекте групповой политики можно использовать специальные фильтры WMI. Таким образом, вы можете применить политику к своим компьютерам на основе некоторого запроса WMI. Например, вы можете создать фильтр WMI GPO для применения политики только к компьютерам с определённой версией Windows, к компьютерам в определённой IP-подсети, только к ноутбукам и так далее.

При использовании фильтрации WMI групповой политики убедитесь, что ваш запрос WMI верен. Он должен выбирать только те системы, которые вам нужны, и ни один целевой компьютер не исключается. Вы можете протестировать свой WMI-фильтр на компьютерах с помощью PowerShell:

gwmi -Query 'select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"'

Если запрос возвращает какие-либо данные, то к этому компьютеру будет применён фильтр WMI.

New and changed functionality

Group Policy designs can become very complex. Various factors, such as the large number of policy settings and preference items available, the interaction between multiple policies, and inheritance options, can make it difficult to determine if Group Policy is functioning correctly on each computer.

In Windows Server 2012, Group Policy focused on improving the Group Policy troubleshooting experience. Windows Server 2012 R2 expands the support for IPv6 networking, adds policy caching to reduce sign-in times in synchronous mode, and provides more detailed event logging. For more details about these changes and more information about the additional changes in functionality that are not listed here, see What’s New in Group Policy in Windows Server 2012 and What’s New in Group Policy in Windows Server.

Групповая политика Windows: что это?

Для начала ознакомимся с самим термином. Что такое групповая политика «Виндовс»? Это некий набор правил, применяемых к настройкам самой операционной системы или к установленным опциям для каждого конкретного пользователя, которые, грубо говоря, предопределяют его статус в плане изменения тех или иных параметров.

Таким образом, настройка групповой политики позволяет установить для каждого юзера свои приоритеты доступа к конфигурации системы, вызову определенных программ, маневрированию на уровне включения или отключения элементов управления системой или ее компонентами. Но! Не стоит путать сами политики и задаваемые предпочтения. Они были изначально разработаны как некое дополнение к опциям самих политик. В некоторых случаях они даже не зависят от политик, поскольку применяются в системах Windows с включенным доменом доступа Active Directory.

Аналог входа в систему

Если говорить в общем смысле, такие настройки действительно можно интерпретировать как средство управления правами пользователя при входе в систему. При подключении собственной учетной записи зарегистрированный юзер получает какие-то права на внесение изменений в системную конфигурацию (или не получает их вовсе, если такие настройки заданы на административном уровне).

Клиент групповой политики попросту регулирует все эти действия. Вот только пользователь вошел в систему под собственной регистрацией, а в настройках сразу же фиксируется, что он может делать, что нет. На уровне обычного юзера, не обладающего правами администратора, изменить параметры не получится. Даже некоторые администраторские «учетки» могут блокироваться. Это есть настройка политики, но не предпочтения.

Installing the Group Policy Management Console

If you are using Windows 10 version 1809 or later, you can install GPMC using the Settings app:

  1. Open the Settings app by pressing WIN+I.
  2. Click Apps under Windows Settings.
  3. Click Manage optional features.
  4. Click + Add a feature.
  5. Click RSAT: Group Policy Management Tools and then click Install.

Figure 1. Installing the Group Policy Management Console using the Setting app interface

If you are using an older version of Windows, you’ll need to download the right version of RSAT from Microsoft’s website.

For convenience, you might want to also install Server Manager. But if you choose not to, you can add GPMC to a Microsoft Management Console (MMC) and save the console.

Параметры Windows

Configuration Manager устанавливает политики Windows в одном или обоих из следующих разделов реестра:

  • Объект групповой политики (GPO):

  • Предпочтение локальной политики:

Policy (Политика) Путь Область применения Значение
CommercialId Локальная Все версии Windows Чтобы устройство отображалось в Аналитике компьютеров, настройте его с помощью коммерческого идентификатора вашей организации.
AllowTelemetry GPO быть под управлением ОС Windows 10; Установлено для базовых (обязательно), для расширенных или для полных (необязательно) диагностических данных. Для Аналитики компьютеров требуются как минимум базовые диагностические данные. Корпорация Майкрософт рекомендует использовать уровень Необязательно (ограниченный) («Расширенный (ограниченный)») с Аналитикой компьютеров. Дополнительные сведения см. в статье Настройка диагностических сведений Windows в вашей организации.
LimitEnhancedDiagnosticDataWindowsAnalytics GPO Windows 10 версии 1803 и более поздних версий Этот параметр применяется, только если для параметра AllowTelemetry установлено значение . Он ограничивает события расширенных диагностических данных, отправляемых в Майкрософт, только теми событиями, которые необходимы для Аналитики компьютеров. Дополнительные сведения см. в статье Расширенные события и поля диагностических данных Windows 10, используемые Windows Analytics.
AllowDeviceNameInTelemetry GPO Windows 10 версии 1803 и более поздних версий Разрешите устройствам передавать имя устройства. Имя устройства не отправляется в корпорацию Майкрософт по умолчанию. Если вы не отправите имя устройства, оно отобразится в Аналитике компьютеров как «Неизвестно». Дополнительные сведения см. в разделе .
CommercialDataOptIn Локальная Windows 8.1 и более ранние версии Для Аналитики компьютеров требуется значение . Дополнительные сведения см. в статье Windows Customer Experience Improvement Program, Commercial Data Opt-in and Resulting Internet Communication in Windows 7 and Windows Server 2008 R2 (Программа улучшения качества ПО Windows, согласие на сбор коммерческих данных Windows и выход в Интернет в Windows 7 и Windows Server 2008 R2).
RequestAllAppraiserVersions Оба варианта Windows 8.1 и более ранние версии Для правильной работы сбора данных Аналитики компьютеров требуется значение .
DisableEnterpriseAuthProxy GPO Все версии Windows Если в вашей среде для доступа к Интернету требуется прокси-сервер с встроенной проверкой подлинности пользователей Windows, то для правильной работы сбора данных Аналитики компьютеров требуется значение . Дополнительные сведения см. в разделе .

Важно!

При настройке уровня диагностических данных вы устанавливаете верхнюю границу для устройства. По умолчанию в Windows 10 версии 1803 и выше пользователи могут назначить более низкий уровень. Это поведение можно контролировать, используя параметр групповой политики (Настройка пользовательского интерфейса параметра соглашения телеметрии).

Начиная с версии 2006 Configuration Manager задает следующие политики Windows для .

Policy (Политика) Путь Область применения Значение
AllowDesktopAnalyticsProcessing GPO Windows 10 версии 1809 и более поздних Для правильной работы сбора данных Аналитики компьютеров требуется значение .

Начиная с версии 2010 Configuration Manager можете настроить уровень Optional (limited) (Необязательные (с ограничениями)) на устройствах под управлением Windows 10, сборка 19577 или более поздней версии. Дополнительные сведения см. в разделе . Для этого уровня сбора диагностических данных Configuration Manager задает следующие параметры:

Политика Значение
AllowTelemetry для Optional (limited) (Необязательные (с ограничениями))
LimitDumpCollection
LimitDiagnosticLogCollection
LimitEnhancedDiagnosticDataWindowsAnalytics

Важно!

В большинстве случаев используйте Configuration Manager только для настройки этих параметров. Не применяйте также эти параметры в объектах групповой политики домена. Дополнительные сведения см. в разделе .

Параметры Проверки готовности к обновлению

Windows Analytics также настраивает следующие политики с помощью скрипта Проверки готовности к обновлению:

  • CommercialId
  • AllowDeviceNameInTelemetry
  • CommercialDataOptIn
  • RequestAllAppraiserVersions

Если вы запускали скрипт подключения Проверка готовности к обновлению на устройстве, эти параметры политики могут все еще существовать. Не используйте устаревший скрипт. Перед регистрацией устройства в Аналитике компьютеров удалите предыдущие параметры политики.

Using the Group Policy Management Console

Every AD domain has two default GPOs:

  • Default Domain Policy, which is linked to the domain
  • Default Domain Controllers Policy, which is linked to the domain controller’s OU

You can see all the GPOs in a domain by clicking the Group Policy Objects container in the left pane of GPMC.

Figure 2. Interface of the Group Policy Management Console

Create a New Group Policy Object

Don’t change either the Default Domain Controllers Policy or the Default Domain Policy. The best way to add your own settings is to create a new GPO. There are two ways to create a new GPO:

  • Right-click the domain, site or OU to which you want to link the new GPO and select Create a GPO in this domain, and Link it here… When you save the new GPO, it will be linked and enabled immediately.
  • Right-click the Group Policy Objects container and select New from the menu. You will need to manually link the new GPO by right-click a domain, site or OU and selecting Link an Existing GPO. You can do this at any time.

Regardless of how you create a new GPO, in the New GPO dialog you must give the GPO a name, and you can choose to base it on an existing GPO. See the next section for information about the other options.

Edit a Group Policy Object

To edit a GPO, right click it in GPMC and select Edit from the menu. The Active Directory Group Policy Management Editor will open in a separate window.

Figure 3. Interface of the Group Policy Management Editor

GPOs are divided into computer and user settings. Computer settings are applied when Windows starts, and user settings are applied when a user logs in. Group Policy background processing applies settings periodically if a change is detected in a GPO.

Policies vs Preferences

User and computer settings are further divided into Policies and Preferences:

  • Policies do not tattoo the registry — when a setting in a GPO is changed or the GPO falls out of scope, the policy setting is removed and the original value is used instead. Policy settings always supersede an application’s configuration settings and will be greyed out so that users cannot modify them.
  • Preferences tattoo the registry by default, but this behavior is configurable for each preference setting. Preferences overwrite an application’s configuration settings but always allow users to change the configuration items. Many of the configurable items in Group Policy Preferences are those that might have been previously configured using a login script, such as drive mappings and printer configuration.

You can expand Policies or Preferences to configure their settings. These settings will then be applied to computer and user objects that fall into the GPO’s scope. For example, if you link your new GPO to the domain controller’s OU, the settings will be applied to computer and user objects located in that OU and any child OUs. You can use the Block Inheritance setting on a site, domain or OU to stop GPOs that are linked to parent objects from being applied to child objects. You can also set the Enforced flag on individual GPOs, which overrides the Block Inheritance setting and any configuration items in GPOs that have higher precedence.

GPO Precedence

Multiple GPOs can be linked to domains, sites and OUs. When you click on one of these objects in GPMC, a list of linked GPOs will appear on the right on the Linked Group Policy Objects tab. If there is more than one linked GPO, GPOs with a higher link order number take priority over settings configured in GPOs with a lower number.

You can change the link order number by clicking on a GPO and using the arrows on the left to move it up or down. The Group Policy Inheritance tab will show all applied GPOs, including those inherited from parent objects.

Figure 4. Information about all applied GPOs in GPMC

О приложении gpedit.msc

Через утилиту можно расширить базовые надстройки операционки, отключить ненужные или поврежденные функции. Инструмент позволяет ограничить других пользователей гаджета в определенных действиях, начиная от простых манипуляций до блокировки подключения устройств, запуска приложений.

В основном, сервис используется в корпоративной среде, в Домашней версии такого контроля не требуется. Обычно на домашнем устройстве достаточно создать учетку, защищенную паролем.

Управление политикой выполняется с помощью встроенного Редактора gpedit.msc. Его можно запустить только через административный профиль. Поиск осуществляется через соответствующую строку, где требуется набрать запрос: gpedit.msc.

В меню Редактора отображаются два подраздела:

  1. конфигурация компьютера – необходим для изменения параметров работы ПК;
  2. конфигурация пользователя – работа с личными профилями на ПК.

В этих подразделах присутствуют параграфы, где происходят изменения настроек функционала «десятки». В этой части находится большинство возможностей изменения конфигурации Винды.