Чтобы управлять групповой политикой, вы должны войти в систему под учетной записью домена

Обновлено: 21.11.2024

Групповая политика — это технология управления Active Directory для Windows, обеспечивающая централизованное управление параметрами конфигурации. Хотя это не единственное доступное решение для управления — можно также использовать PowerShell Desired State Configuration (DSC) и Mobile Device Management (MDM) — групповая политика является рекомендуемой технологией для клиентских устройств, присоединенных к домену, поскольку она обеспечивает более детальный контроль, чем другие решения.

Консоль управления групповыми политиками

Параметры групповой политики настраиваются в объектах групповой политики (GPO). Вы можете связать объекты групповой политики с доменами, сайтами и организационными подразделениями (OU). Для еще большего контроля можно применять объекты групповой политики в соответствии с результатами фильтров инструментария управления Windows (WMI), хотя фильтры WMI следует использовать с осторожностью, поскольку они могут значительно увеличить время обработки политик.

Консоль управления групповыми политиками (GPMC) — это встроенный инструмент администрирования Windows, который позволяет администраторам управлять групповой политикой в ​​лесу Active Directory и получать данные для устранения неполадок групповой политики. Консоль управления групповыми политиками находится в меню «Инструменты» Microsoft Windows Server Manager. Не рекомендуется использовать контроллеры домена для повседневных задач управления, поэтому вам следует установить средства удаленного администрирования сервера (RSAT) для вашей версии Windows.

Установка консоли управления групповыми политиками

Если вы используете Windows 10 версии 1809 или более поздней, вы можете установить GPMC с помощью приложения "Настройки":

  1. Откройте приложение "Настройки", нажав WIN+I.
  2. Нажмите "Приложения" в разделе "Параметры Windows".
  3. Нажмите "Управление дополнительными функциями".
  4. Нажмите + Добавить функцию.
  5. Нажмите "RSAT: инструменты управления групповыми политиками", а затем нажмите "Установить".

Рис. 1. Установка консоли управления групповыми политиками с помощью интерфейса приложения Настройка

Если вы используете более старую версию Windows, вам необходимо загрузить правильную версию RSAT с веб-сайта Microsoft.

Для удобства вы также можете установить Диспетчер серверов. Но если вы решите этого не делать, вы можете добавить консоль управления групповыми политиками в консоль управления Microsoft (MMC) и сохранить консоль.

Использование консоли управления групповыми политиками

Каждый домен AD имеет два объекта групповой политики по умолчанию:

  • Политика домена по умолчанию, связанная с доменом
  • Политика контроллеров домена по умолчанию, связанная с подразделением контроллера домена

Вы можете просмотреть все объекты групповой политики в домене, щелкнув контейнер "Объекты групповой политики" на левой панели консоли управления групповыми политиками.

Рис. 2. Интерфейс консоли управления групповыми политиками

Создать новый объект групповой политики

Не изменяйте ни политику контроллеров домена по умолчанию, ни политику домена по умолчанию. Лучший способ добавить собственные настройки — создать новый объект групповой политики. Существует два способа создания нового объекта групповой политики:

  • Щелкните правой кнопкой мыши домен, сайт или подразделение, с которым вы хотите связать новый объект групповой политики, и выберите «Создать объект групповой политики в этом домене и связать его здесь». Когда вы сохраните новый объект групповой политики, он будет немедленно связан и активирован.
  • Щелкните правой кнопкой мыши контейнер "Объекты групповой политики" и выберите "Создать" в меню. Вам нужно будет вручную связать новый объект групповой политики, щелкнув правой кнопкой мыши домен, сайт или подразделение и выбрав «Связать существующий объект групповой политики». Вы можете сделать это в любое время.

Независимо от того, как вы создаете новый объект групповой политики, в диалоговом окне «Новый объект групповой политики» вы должны дать объекту групповую политику имя, и вы можете создать его на основе существующего объекта групповой политики. Информацию о других параметрах см. в следующем разделе.

Редактировать объект групповой политики

Чтобы изменить объект групповой политики, щелкните его правой кнопкой мыши в консоли управления групповыми политиками и выберите в меню пункт "Редактировать". Редактор управления групповыми политиками Active Directory откроется в отдельном окне.

Рис. 3. Интерфейс редактора управления групповыми политиками

Объекты групповой политики делятся на параметры компьютера и пользователя.Параметры компьютера применяются при запуске Windows, а пользовательские параметры применяются при входе пользователя в систему. Фоновая обработка групповой политики периодически применяет параметры, если в объекте групповой политики обнаружено изменение.

Политики и настройки

Настройки пользователя и компьютера далее делятся на Политики и Настройки:

  • Политики не вносят изменения в реестр — когда параметр в объекте групповой политики изменяется или объект групповой политики выходит из области действия, параметр политики удаляется и вместо него используется исходное значение. Параметры политики всегда имеют приоритет над параметрами конфигурации приложения и будут выделены серым цветом, чтобы пользователи не могли их изменить.
  • Предпочтения заносятся в реестр по умолчанию, но это поведение можно настроить для каждого параметра предпочтения. Настройки перезаписывают параметры конфигурации приложения, но всегда позволяют пользователям изменять элементы конфигурации. Многие из настраиваемых элементов в настройках групповой политики — это те, которые могли быть ранее настроены с помощью сценария входа, например сопоставление дисков и конфигурация принтера.

Вы можете развернуть Политики или Настройки, чтобы настроить их параметры. Затем эти настройки будут применяться к объектам компьютеров и пользователей, попадающим в область действия объекта групповой политики. Например, если вы свяжете новый объект групповой политики с ОП контроллера домена, настройки будут применены к объектам компьютеров и пользователей, расположенным в этой ОП и любых дочерних ОП. Вы можете использовать параметр «Блокировать наследование» на сайте, домене или организационной единице, чтобы предотвратить применение объектов групповой политики, связанных с родительскими объектами, к дочерним объектам. Вы также можете установить флаг «Принудительно» для отдельных объектов групповой политики, который переопределяет параметр «Блокировать наследование» и любые элементы конфигурации в объектах групповой политики с более высоким приоритетом.

Приоритет объекта групповой политики

Несколько объектов групповой политики могут быть связаны с доменами, сайтами и подразделениями. Если щелкнуть один из этих объектов в консоли управления групповыми политиками, справа на вкладке «Связанные объекты групповой политики» появится список связанных объектов групповой политики. Если имеется более одного связанного объекта групповой политики, объекты групповой политики с более высоким порядковым номером имеют приоритет над настройками, настроенными в объектах групповой политики с меньшим номером.

Вы можете изменить порядковый номер ссылки, щелкнув объект групповой политики и используя стрелки слева, чтобы переместить его вверх или вниз. На вкладке «Наследование групповой политики» будут показаны все примененные объекты групповой политики, в том числе унаследованные от родительских объектов.

Рис. 4. Информация обо всех примененных объектах групповой политики в консоли управления групповыми политиками

Расширенное управление групповыми политиками

Расширенное управление групповыми политиками (AGPM) доступно в составе пакета Microsoft Desktop Optimization Pack (MDOP) для клиентов Software Assurance. В отличие от GPMC, AGPM — это клиент-серверное приложение, в котором серверный компонент хранит объекты групповой политики в автономном режиме, включая историю для каждого объекта групповой политики. Объекты групповой политики, управляемые AGPM, называются управляемыми объектами групповой политики, поскольку они управляются службой AGPM, и администраторы могут возвращать и извлекать их точно так же, как вы можете возвращать и извлекать файлы или код из GitHub или системы управления документами.

AGPM обеспечивает больший контроль над объектами групповой политики, чем это возможно с помощью GPMC. Помимо обеспечения контроля версий, он позволяет назначать такие роли, как рецензент, редактор и утверждающий, администраторам групповой политики, что помогает реализовать строгий контроль изменений на протяжении всего жизненного цикла объекта групповой политики. Аудит AGPM также дает более полное представление об изменениях групповой политики.

ИТ-консультант и автор, специализирующийся на технологиях управления и безопасности. Рассел имеет более чем 15-летний опыт работы в сфере ИТ, он написал книгу по безопасности Windows и является соавтором текста для серии официальных академических курсов Microsoft (MOAC).

мваленхтц

Угрозы кибербезопасности и потребность в надежном резервном копировании

2022-03-29 18:00:00 UTC Вебинар Вебинар: Spanning — угрозы кибербезопасности и потребность в надежном резервном копировании Сведения о событии Просмотреть все события

Рокн

Никогда не пробовал, но думаю, что тоже нет. Есть ли причина, по которой вы хотите это сделать?

6 ответов

Рокн

Никогда не пробовал, но думаю, что тоже нет. Есть ли причина, по которой вы хотите это сделать?

OP mwhalenhtc

Я стараюсь не приносить рабочую станцию ​​Windows 10 на сайт, чтобы присоединить ее к домену, чтобы увидеть, не отображается ли обновленные параметры групповой политики по той причине, что я пытаюсь получить к ним доступ на система, на которой не установлена ​​Windows 10.

Рокн

Похоже, можно

OP mwhalenhtc

К сожалению, это одна из найденных мною статей, которая должна позволить вам это сделать. Однако, если вы добавите групповую политику, вы получите ту же ошибку «необходимо войти в систему». Другие инструменты RSAT работают, но не GPMC.

Я думаю, вы можете. рабочая станция в VLAN добавлена ​​в сайты и сервисы, чтобы она могла найти соответствующие сервисы домена? затем щелкните правой кнопкой мыши и войдите в систему как домен\пользователь или пользователь@домен.локальный

OP mwhalenhtc

Насколько я могу судить, это конкретное ограничение. Ну что ж.

Эта тема заблокирована администратором и больше не открыта для комментариев.

Чтобы продолжить это обсуждение, задайте новый вопрос.

Искра! Серия Pro — 28 марта 2022 г.

Прекрасный понедельник! С возвращением на работу и с возвращением в Spark! Я надеюсь, что ваш день превратится во все, что может быть! В любом случае, сделайте селфи и опубликуйте его ниже. Просто напоминание, если вы читаете.

Странные маршруты в таблице маршрутизации

Привет, ребята! Итак, у меня есть вопрос относительно некоторых действительно странных маршрутов в моей таблице маршрутизации. Недавно я перевел свой маршрутизатор Huawei B818 4G в режим моста за pfSense, который теперь является моим основным маршрутизатором. При этом я замечаю эти статические записи, которые появляются и.

Сколько ИБП у вас дома?

Я просто осматривал аккумуляторы (на вздутие и уменьшение времени автономной работы) и решил, что пришло время спросить: Сколько у вас дома? Я запускаю (все APC, потому что это просто «случилось»), лол): 1500 ВА в подвале 2. - разместить стойку Chatsworth 650 в моем домашнем офисе 600 в офисе жены.

Что бы вы сделали?

Итак, я работаю в MSP, который работает круглосуточно и без выходных. Старший инженер в нежелательную смену с 23:00 до 8:00 уходит. Теперь у меня есть возможность перейти на эту должность, насколько больше это потребует компенсации в процентах от того, что я зарабатываю сейчас? и я скажу это.

Очень необычный спам. Ответить на темы + ссылка OneDrive + файл PWD

Поэтому я недавно заметил резкое увеличение входящего спама и заметил очень необычный новый спам. Он имеет несколько очень специфических характеристик, которые отличают его от обычных спам-сообщений: 1 – он содержит настоящие цепочки ответов по электронной почте2 – он содержит настоящие имена.

Здравствуйте, подскажите пожалуйста, не могу открыть группу на win Server 2008 управление политиками, пишет
"Для управления групповой политикой необходимо войти на компьютер с учетной записью доменного пользователя.

Привет, Куку КурниаПутра,

Спасибо, что задали этот вопрос сообществу Microsoft!

Проблема возникает в сети Windows Server 2008. Чтобы получить помощь, разместите запрос на форумах Microsoft TechNet.

Это будет полезно. Для любой другой соответствующей помощи Windows, не стесняйтесь обращаться к нам, и мы будем рады помочь вам.

Похожие вопросы

Раньше я помогал своей семье защититься от непреднамеренного вредоносного ПО, создав две учетные записи на их компьютерах. Один из них — обычный пользователь, которого они используют для выполнения всех обычных действий, включая серфинг в Интернете. Вторая — это учетная запись администратора, поэтому они очень внимательно относятся к установке программы или изменению реестра. Это помогло избежать установки нежелательных вредоносных программ.

У меня есть вопрос о Windows 8/8.1. Могу ли я создать локальную учетную запись администратора и изменить обычную учетную запись Microsoft, связанную с их электронной почтой, в качестве обычного пользователя?

С какими проблемами они столкнутся, если учетная запись администратора будет локальной? Мне не нравится, что им приходится настраивать другой адрес электронной почты только для того, чтобы получить другую учетную запись Microsoft, так что это может быть администратор.

В Windows 8/8.1 все работает так же, как и раньше? То есть, когда они хотят сделать что-то, что требует прав администратора, им будет предложено ввести пароль администратора?

Надеюсь, я смог понять ваш вопрос.

В вашей семье не бывает проблем. Вы можете изменить их стандартную учетную запись для повседневного использования в качестве учетной записи Microsoft, чтобы их личные данные можно было синхронизировать/резервировать с помощью облачного проигрывателя Microsoft. Вам уже не нужно помещать их учетную запись администратора в качестве учетной записи Microsoft. Все то же самое с Вистой и 7.

Я имею в виду их личные данные:

2.) запись C:\Users\Alice'sFamilyDailyAccount (их история веб-браузера, избранное, тема рабочего стола, обои, документы, фотографии, музыка) эта папка может быть синхронизирована через Интернет, если изменить вас как Учетная запись Майкрософт.

Windows XP при отправке фотографий из фотогалереи Windows Live по электронной почте получатель не может их открыть

человек, который получает мою электронную почту windows live photos jpeg, не может их открыть. Спасибо БЛ

Лучше всего задать вопрос о Windows Live на справочных форумах Windows Live. Эксперты специализируются на всех вещах, Windows Live, и будут рады помочь вам с вашими вопросами. Пожалуйста, выберите продукт ниже, чтобы быть перенаправленным в соответствующее сообщество:

пытался поставить пароль на сообщения Windows и теперь не могу открыть почту

Пробовались ставить пароль?

Не могли бы вы уточнить, что вы делали.

Точка восстановления:

Выполнить восстановление системы в безопасном режиме, если это невозможно сделать в обычном режиме.

Попробуйте ввести F8 при запуске и в списке вариантов загрузки выберите безопасный режим с помощью стрелки вверху, чтобы перейти туда>, а затем нажмите ENTER.

Попробуйте восстановить систему один раз, чтобы выбрать точку восстановления до возникновения проблемы.

Нажмите «Пуск» > «Программы» > «Стандартные» > «Системные инструменты» > «Восстановление системы» > выберите другое время > «Далее» > и т. д.

Ознакомьтесь с приведенным выше очень хорошим графиком, показывающим, как прошло более 5 дней в точках восстановления системы, установив правильный флажок.

Мик Мерфи, партнер Microsoft

Я использую Windows Vista на своем компьютере. Когда вы загружаете файл, я нажал «всегда открывать этот тип файла». Теперь каждый раз, когда я загружаю файл, компьютер сначала открывает файл. Как я могу отменить это?

Если вы имеете в виду, что вы нажимаете всегда спрашивать перед открытием этого типа файла, который отключен, ознакомьтесь с этой статьей, если это может помочь восстановить функцию:

Прокрутите вниз до Windows 7 и Vista

Важно! В статье содержатся инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы действуете с осторожностью. Для дополнительной защиты создайте резервную копию реестра перед его редактированием. Затем вы можете восстановить реестр, если возникнет проблема. Для получения дополнительных сведений о резервном копировании и восстановлении реестра щелкните номер ниже, чтобы просмотреть статью в базе знаний Майкрософт:

Я не могу создать ярлык для сайта на своем рабочем столе, когда я нажимаю на адресную строку, я могу перетащить браузер, чтобы открыть новый, но когда я перетаскиваю его на свой рабочий стол, я получаю кружок с линией через него, тот, который выглядит как знак «Въезд запрещен». Справка

Попробуйте перетащить изображение на идентификатор веб-сайта (favicon) в левой части адресной строки вместо URL-адреса.

Как переустановить Windows XP? У меня нет записей OEM для Windows ME. У меня нет Windows XP для обновления дисков, которые я получил OEM. Это было бесплатное обновление до Windows XP при покупке компьютера с Windows Millennium Edition.

Извините, но вам понадобится диск Windows 9 x/ME, чтобы обеспечить во время установки XP с диска XP обновление версии. Обойти это невозможно. Посмотрите, сможете ли вы найти друга с диском старой операционной системы (не диском восстановления), чтобы поддержать квалификацию. В противном случае вам нужно будет купить полную версию (не обновление) XP для установки на компьютер. MS - MVP - Компьютеры Elephant Boy - без паники!

Когда я пытаюсь включить компьютер, он выдает сообщение о восстановлении при загрузке. Есть несколько сигнатур проблем, которые читаются так

Проблема с названием события StartupRepairOffline

1 вы пробовали запустить средство восстановления при загрузке?

<р>2. когда проблема началась?

<р>3. у вас были последние изменения на компьютере?

<р>4. Вы можете загрузиться в безопасном режиме?

Шаг 1. Вы можете проверить, можете ли вы загрузиться в безопасном режиме.

Если вы можете без проблем загрузиться в безопасном режиме, вы можете попробовать выполнить восстановление системы до точки восстановления до того, как вы столкнулись с проблемой, и проверить.

Примечание. Когда вы выполняете восстановление системы, чтобы вернуть компьютер в предыдущее состояние, установленные программы и обновления удаляются.

Чтобы запустить восстановление системы, перейдите по следующей ссылке:

Кроме того, вы можете попробовать использовать последнюю удачную конфигурацию и проверить. Это вариант запуска Windows, в котором используются самые последние системные настройки, которые работали правильно.

Дополнительную информацию можно найти в следующей статье:

Надеюсь, эта информация окажется полезной.

"Не удается открыть AsIO.sys (2)" Я получаю это сообщение при входе в систему после перезагрузки. У меня есть поиск файла, но я не могу найти его с помощью исследования или командной строки. Что делать в этом файле и можно ли его создать и положить в соответствующую папку?

Этот драйвер принадлежит AsIO.sys Asus Probe. Попробуйте удалить Asus Probe и, если нужно, установите заново. Если это не поможет, удалите Asus Probe и другие инструменты контроля, такие как Speedfan. Откройте редактор реестра (regedit.exe), найдите AsIO.sys и удалите все записи, которые сможете найти.

Я не могу открыть свое приложение. Мое интернет-соединение в порядке. Так в чем проблема?

Я несколько раз пытаюсь перезагрузить приложение, но ничего не помогает? Что мне тогда делать?

Привет, Ханна,

Я думаю, что вы обнаружили "ошибку загрузки" на панели приложений.

Пожалуйста, ознакомьтесь со справочным документом ниже:

Вы также можете просмотреть темы ниже:

С уважением

Шина

Как обновить Adobe Acrobat 9 Pro? Получил это сообщение в документе Adobe: этот файл, похоже, использует новый формат, который не поддерживается этой версией Acrobat. Он не может открыть или отобразить правильно. Adobe рекомендует вам установить последнюю версию наших продуктов Acrobat.

По сути, вы тратите деньги и покупаете последнюю версию, которую я считаю облачным продуктом. Acrobat cc - Планы и цены | Adobe Acrobat DC

OT: Без прав администратора.

У меня нет активной учетной записи администратора.

У меня была учетная запись пользователя, которую я удалил из группы администраторов.

Теперь я не могу ничего делать.

Я не могу назначить себя в группу администраторов, я не могу разрешить пользователю быть администратором, я не могу редактировать некоторые файлы или удалять некоторые программы.

Я попробовал cmd, но получил отказ в доступе при попытке активировать учетную запись администратора. Если я открою CMD или что-то еще с правами администратора, это не поможет.

Не могу открыть режим восстановления, пытался запустить в безопасном режиме и все остальное.

Как я могу получить права администратора в своей учетной записи пользователя?

У меня была учетная запись пользователя, которую я сам удалил из группы администраторов.

-> Это называется "загнать себя в угол".

Я попробовал cmd, но получил отказ в доступе при попытке активировать учетную запись администратора. Если я открою CMD или что-то еще с правами администратора, это не поможет.

-> Нормально. Либо вы администратор, либо нет.

Как я могу получить права администратора в своей учетной записи пользователя?

-> Попросите друга записать для вас систему восстановления компакт-диска (Панель управления / резервное копирование и восстановление). Теперь, чтобы использовать этот компакт-диск для запуска машины в режиме восстановления, а затем использовать восстановление системы, чтобы настроить Windows до точки, прежде чем вы понизите свою единственную учетную запись администратора.

Когда вы закончите, спланируйте заранее и создайте, протестируйте и задокументируйте запасную учетную запись, даже администратора, что у вас есть запасной ключ Дома. Это избавит вас от многих проблем.

Я перестал получать почту после 31 декабря.Это указывает на то, что компьютер не может подключиться к моей учетной записи, но когда я вхожу в систему со своим паролем, я получаю сообщение «эта учетная запись уже существует». Как я могу снова заставить свою учетную запись электронной почты работать?

MacBook Air, OS X El Capitan

Прежде всего убедитесь, что у вас нет двух аккаунтов с одним и тем же адресом. Что произойдет, если один из них является учетной записью iCloud.

В строке меню Mail выберите

▹ Окно Connection Doctor

В открывшемся окне найдите учетную запись SMTP (исходящая почта) с именем, соответствующим учетной записи, которую вы пытаетесь добавить. Дважды щелкните его. Откроется другое окно, отображающее список всех учетных записей исходящей почты. Нажмите кнопку подписи меньше, чтобы удалить соответствующую, а затем нажмите кнопку ОК.

Попробуйте добавить учетную запись электронной почты еще раз. Если вы все еще не можете, выйдите из системы или перезагрузите компьютер, а затем откройте окно настроек учетных записей Интернет и проверьте, отображается ли учетная запись.

Я добавил имя пользователя для входа в компьютер в активном каталоге после добавления, я не могу подключиться к внутреннему приложению, используя имя пользователя и пароль.

Пожалуйста, дайте решение

Что происходит, когда вы пытаетесь подключиться?

Если вы можете подключиться, используя другую учетную запись, попробуйте запустить gpupdate/force.

Если проблема не устранена, вы можете открыть обсуждение на:

За что отвечает форум по техническим вопросам.

Как отключить автоматическую блокировку экрана компьютера с Windows XP? так много людей ответили на Windows 7, но НИ ОДИН не говорил о XP. У меня есть эта проблема. экран переходит в спящий режим, и мне приходится просыпаться, даже если выбрано НЕТ ПАРОЛЯ. Я изменил НАСТРОЙКИ ПИТАНИЯ. Ничего не помогает. НУЖНА ПОМОЩЬ. Спасибо

Ну так как он уже назначен, и мод не переместил это как-то уже в раздел ХР:

На рабочем столе щелкните правой кнопкой мыши правой кнопкой мыши свойства, под заставкой, конечно, "Возобновить, отображать экран входа в систему", НЕ отмечено. Вы также можете отключить хранитель экрана.

Возможно, вы ищете

В любое время ничего больше, что он гаснет на секунду. Это происходит в окне браузера. Строка состояния, текстовые поля, кнопка обновления, кнопка «Избранное» и т. д. Моя видеокарта обновлена, и я не изменил ни один из других параметров просмотра. Гугл Хром

Здравствуйте. Может ли кто-нибудь помочь мне понять, как получить доступ к ячейкам в таблице (что делать)? У меня есть отчет с таблицей, заполненной каналом. В столбце отображается список имен (которые исходят от канала). У меня есть другая строка со списком цветов

Теперь на моем ноутбуке загружены версии LV7.1, LV8.0, LV 2009. Однако, когда я пытаюсь открыть VI в LV7.1, который имеет много функций DAQMX, я полностью застрял. Когда я загрузил LV2009, ответственная версия DAQMX была 8.9, а LV7.1 теперь считает, что это невозможно

Когда у меня произошел сбой жесткого диска, я установил предоставленный Dell диск с установленной Win 8. Сразу перепрошил тп 8.1 Win и установил MS Office 2013. Принтер вроде работает до сегодняшнего дня. Когда я пытался печатать конверты, он настраивал стрим-ману

Я давно скачивал Microsoft Security Essentials; но я продолжаю получать всплывающие окна, говорящие мне, что они не могут обеспечить защиту от вирусов, потому что у них не было вируса сегодня что-то - или - другие. Появляются два окна, одно после

Групповая политика (GP) — это функция управления Windows, позволяющая контролировать конфигурации нескольких пользователей и компьютеров в среде Active Directory.

С помощью GP все организационные подразделения, сайты или домены можно настроить из единого и централизованного места.

Эта функция помогает сетевым администраторам в больших средах Windows экономить время, поскольку им не нужно проверять каждый компьютер для установки новой конфигурации.

Несмотря на то, что существуют и другие способы управления активами Windows, такие как Desired State Configuration (DSC), System Center Configuration Manager (SCCM) и Mobile Device Management (MDM), ни один из них не позволяет осуществлять детальный контроль, который предоставляет GP.

Что такое консоль управления групповыми политиками?

Набор параметров групповой политики (GP), называемый объектом групповой политики (GPO), определяет, как должна вести себя группа пользователей или компьютеров.

Объекты групповой политики связаны с контейнерами AD, включая локальный компьютер, сайт, домен и организационную единицу (OU).

Групповыми политиками в пределах всего леса AD можно управлять с помощью консоли управления групповыми политиками (GPMC) — встроенного в Windows Server 2008 (и более поздних версий) инструмента администрирования.

GPMC работает через оснастку консоли управления Microsoft (MMC).

Он объединяет функциональные возможности многих инструментов (встраиваемых модулей) в один, включая пользователей и компьютеры AD, результирующий набор политик, редактор ACL и мастер делегирования GMPC.

В целом, GPMC предоставляет интерфейс для централизованного просмотра, управления и устранения неполадок с GP.

Но вы также можете точно контролировать создание объектов групповой политики, которые определяют политики, параметры безопасности, обновления программного обеспечения, установку, параметры обслуживания, сценарии, перенаправления папок и многое другое.

Кроме того, вы также можете создавать резервные копии, восстанавливать и импортировать объекты групповой политики.

Чтобы открыть GPMC, перейдите в Диспетчер Windows Server > Откройте «Меню инструментов» > «Управление групповыми политиками»

Как установить консоль управления групповыми политиками?

Как упоминалось ранее, GMPC встроен в Windows Server (начиная с 2008 года), поэтому его установка – очень простой процесс.

В этом руководстве мы установим консоль управления групповыми политиками на Windows Server 2012 R2.

  1. Откройте диспетчер серверов. По умолчанию приложение диспетчера серверов закреплено на панели задач. Но если вы не можете найти его там, вы можете зажать комбинацию клавиш Win + R, чтобы открыть окно «Выполнить». Затем введите «Диспетчер серверов» и нажмите «ОК».
  2. На панели управления диспетчера серверов нажмите "Добавить роли и компоненты".
  3. Откроется мастер добавления компонентов и ролей.
    Оставьте для параметра «Тип установки» значения по умолчанию: «Установка на основе ролей или компонентов».
  4. Выберите сервер из пула серверов.
    Найдите сервер под управлением Windows, на котором вы хотите установить консоль управления групповыми политиками. Нажмите кнопку "Далее."
  5. Пропустить роли сервера и перейти к разделу «Функции». В разделе «Возможности» вы должны найти инструмент «Управление групповыми политиками». Поставьте галочку, нажмите "Далее" и нажмите "Установить".
  6. Процесс установки займет несколько минут.

    7. Как использовать консоль управления групповыми политиками?

    Чтобы открыть GPMC, снова перейдите в Инструменты администратора (Win + R и введите "Инструменты администратора"), найдите и дважды щелкните Консоль управления групповыми политиками.

    Как упоминалось ранее, консоль управления групповыми политиками позволяет управлять всем лесом AD, включая его сайты, домены и организационные подразделения.

    • Чтобы просмотреть перечень всех объектов групповой политики, настроенных в домене, перейдите на левую панель консоли управления групповыми политиками.
    • В разделе «Лес» выберите «Домен» > и перейдите к «Объекты групповой политики».
    • Здесь вы увидите два типа объектов групповой политики по умолчанию: политика домена по умолчанию и политика контроллеров домена по умолчанию. Один связан с доменом, а другой с контроллером домена.

    В этой структуре, включая контроллеры домена и политики доменов, вы можете увидеть статус их объектов групповой политики, связанных объектов групповой политики, наследования групповых политик и их делегирования.

    Как создать новый объект групповой политики (GPO)?

    Рекомендуется избегать изменения политики домена по умолчанию и политики контроллеров домена по умолчанию, так как вы всегда можете вернуть GPO к исходной конфигурации.

    Есть несколько вещей, которые необходимо учитывать при создании нового объекта групповой политики.

    1. Дайте вашему новому объекту групповой политики имя (вы можете использовать имя другого объекта групповой политики в качестве источника).
    2. Определите, куда связать новый объект групповой политики, будь то подразделение, домен или сайт.

    Чтобы создать новый объект групповой политики:

    • Щелкните правой кнопкой мыши подразделение и выберите параметр «Создать объект групповой политики в этом домене и связать его здесь…»
    • Укажите имя нового объекта групповой политики и нажмите «ОК».
    • Когда вы сохраните его, ваш новый объект групповой политики будет немедленно включен и связан с указанным подразделением.

    Второй способ создать новый объект групповой политики — щелкнуть правой кнопкой мыши контейнер объекта групповой политики и выбрать «Создать». Ваш новый объект групповой политики создан, но не связан!

    При использовании второго метода вам придется вручную связать новый объект групповой политики с доменом, сайтом или подразделением. Щелкните правой кнопкой мыши место, которое вы хотите связать, и выберите «Связать существующий объект групповой политики».

    После того как вы создадите новый объект групповой политики, он будет немедленно связан, включен и сохранен в реестре объектов групповой политики.

    Как изменить объект групповой политики?

    После создания нового объекта групповой политики для любого домена, сайта или организационной единицы он будет автоматически создан со значениями конфигурации по умолчанию.Эти значения не имеют никакой конфигурации, поэтому вам нужно будет открыть объект групповой политики и отредактировать его конфигурацию «по умолчанию».

    Чтобы изменить объект групповой политики, перейдите в список объектов групповой политики и найдите объект групповой политики, который вы хотите изменить, щелкните его правой кнопкой мыши и выберите «Изменить».

    Управление групповыми политиками автоматически откроется в редакторе в новом окне.

    Редактор управления групповыми политиками также является важным инструментом администрирования Windows, который позволяет пользователям изменять политики конфигурации на компьютерах и пользователях.

    Структура редактора разделена на два типа конфигурации GPO: «Пользователь» и «Компьютер».

    Конфигурация пользователя задается при входе пользователя в систему, тогда как конфигурация компьютера применяется к ОС Windows при ее запуске.

    Конфигурация GPO: политики и настройки

    Структура редактора GPM далее делится на политики и настройки, независимо от того, находитесь ли вы в конфигурации пользователя или компьютера.

    В чем их отличия?

    • Политики:
      Начато с Windows Server 2000. Политики были первоначальным методом глобальной настройки параметров. Когда политика применяется к компьютеру или пользователю, конфигурации могут быть изменены или удалены, но они вернутся к своим значениям, определенным в групповой политике. Эти параметры имеют более высокий приоритет, чем параметры конфигурации приложения, и иногда они даже «неактивны». В политиках вы найдете параметры программного обеспечения (применение конфигурации программного обеспечения к компьютерам/пользователям), параметры Windows (для параметров безопасности или учета Windows) и административные шаблоны (управление ОС и пользователем).

    Политики проверяются и применяются каждые 90 минут с помощью процесса, который называется "Фоновое обновление"

    • Настройки:
      Этот параметр был включен в Windows 2008 с целью замены пользовательских сценариев входа, которые использовались для добавления функциональности. Эти параметры можно применять только при желании, и они не «регулируются» фоновым обновлением (как это делают политики). Предпочтения устанавливаются только при запуске компьютера или при первом входе пользователя в систему, но предоставляют пользователю больше возможностей для их изменения и удаления.

    В настройках вы можете настроить параметры Windows и параметры панели управления. Предпочтения можно настраивать только в объектах групповой политики домена, тогда как политики можно устанавливать как для доменных, так и для локальных объектов групповой политики.

    Приоритет и наследование объектов групповой политики

    Как упоминалось ранее, когда вы создаете новый объект групповой политики, вам также необходимо связать его где-то, например с доменом, сайтом или подразделением.

    Но вы также можете иметь несколько объектов групповой политики, связанных с разными доменами, сайтами или подразделениями. Но для этого вам необходимо установить приоритеты.

    Приоритет GPO позволяет настраивать объекты GPO с разными уровнями приоритета.

    По умолчанию GPO с наибольшим приоритетом связаны с OU. Меньший приоритет отдается тем, которые связаны с доменом, а затем с сайтом.

    Наименьший приоритет отдается локальным групповым политикам. Это означает, что объекты групповой политики, связанные с OU на самом высоком уровне AD, будут обрабатываться в первую очередь.

    Если имеется один связанный объект групповой политики, вы должны увидеть его на этой вкладке. Если их больше, вы увидите все объекты групповой политики с соответствующим номером заказа ссылки.

    Самый высокий номер ссылки, который имеет объект групповой политики, имеет наименьший приоритет.

    Например, объект групповой политики с порядком связывания № 1 всегда будет иметь приоритет над объектом групповой политики с порядком связывания № 2.

    Чтобы настроить приоритет объекта групповой политики, вы можете изменить номер порядка ссылок, переместив объект групповой политики вверх или вниз.

    По умолчанию все параметры групповой политики, связанные с родительским объектом (т. е. сайтом, доменом или подразделением), наследуются дочерними объектами (доменами, подразделениями или дочерними подразделениями) в иерархии AD.

    Все унаследованные объекты групповой политики можно просмотреть на вкладке "Наследование групповой политики".

    Заключительные слова

    При настройке групповых политик обязательна консоль управления групповыми политиками Microsoft (GPMC)!

    Хотя другие сторонние инструменты управления групповыми политиками также могут помочь вам контролировать групповые политики, обладая исключительными возможностями, ничто не сравнится с GPMC.

    Консоль управления групповыми политиками — это готовый инструмент Windows Server.

    Его легко установить и использовать. GPMC предназначен не только для создания и редактирования объектов групповой политики; вы можете иметь исключительный точный контроль и даже автоматизировать вещи.

    Например, если вам нужна автоматизация, оставаясь в среде Windows, GPMC также включает модуль PowerShell.

    Этот модуль поможет вам автоматизировать задачи управления групповыми политиками.

    Информация о том, кто, где и когда очень важна для администратора, поскольку он должен иметь полную информацию обо всех действиях, происходящих в его Active Directory.Это помогает им определить любое желаемое/нежелательное действие. ADAudit Plus помогает администратору с этой информацией в виде отчетов. В режиме реального времени обеспечьте аудит, мониторинг и отчетность критически важных ресурсов в сети, таких как контроллеры домена, со всей информацией об объектах AD — пользователях, группах, объектах групповой политики, компьютерах, подразделениях, DNS, схеме AD и изменениях конфигурации с более чем 200 подробными сведениями. отчеты о событиях с графическим интерфейсом и оповещения по электронной почте.

    Отслеживание всех изменений GPO в объектах групповой политики, таких как создание, удаление, изменение
    и изменения ссылок GPO

    Как изменить настройки групповой политики?

    Групповая политика — это простой способ настроить параметры компьютера и пользователя на компьютерах, входящих в домен. Windows предлагает консоль управления групповой политикой (GPMC) для управления и настройки параметров групповой политики.

    Шаг 1. Войдите в контроллер домена как администратор

    Стандартная учетная запись пользователя домена не входит в локальную группу администраторов и не имеет необходимых разрешений для настройки групповых политик.

    Действуйте следующим образом:

    Шаг 2. Запустите средство управления групповыми политиками

    Выберите «Пуск» → «Все программы» → «Администрирование» → «Управление групповой политикой».

    Шаг 3. Перейдите к нужному организационному подразделению

    Групповая политика может применяться на уровне домена, подразделения или сайта. Перейдите в лес к политикам домена по умолчанию.

    Шаг 4. Измените групповую политику

    Щелкните правой кнопкой мыши нужный объект групповой политики, чтобы изменить параметры групповой политики. Откроется консоль управления групповыми политиками. Каждый объект групповой политики имеет две основные конфигурации:

    1. Конфигурация компьютера (применимо к компьютерам)
    2. Конфигурация пользователя (применяется к учетным записям пользователей)

    Выберите конфигурации, которые вы хотите изменить, и сохраните их.

    Наконец, свяжите объект групповой политики с организационной единицей. Настроенные вами параметры групповой политики вступят в силу, только если вы свяжете их с соответствующим контейнером. Это может быть домен, сайт или организационное подразделение.

    Читайте также: