Групповая политика не применяется на клиентском компьютере

Обновлено: 21.11.2024

У меня есть тестовая сеть с контроллером домена под управлением Server 2012 r2 и 4 ноутбуками в качестве клиентских машин. Я учу себя групповой политике. У меня настроено несколько объектов групповой политики. Объекты групповой политики — это пользовательские конфигурации. На одном из клиентских компьютеров объекты групповой политики, кажется, применяются правильно. На двух других клиентских машинах объекты групповой политики не применяются. У меня есть четыре организационных единицы в Active Directory. OU содержат пользователей. Объекты групповой политики связаны с OU с пользователями в нем. Каждая OU имеет разные обои GPO. На одном из ноутбуков, когда я захожу в активную директорию, под любой учетной записью пользователя, он отображает те же обои, причем неправильно. У меня есть обои, чтобы заполнить. Он не применяется ни к одному из других объектов групповой политики. Когда я запускаю gpresult /r, он даже не выводит раздел «Непримененные объекты групповой политики».

На другом ноутбуке не применяются никакие объекты групповой политики. Когда я запускаю gpresult /r, в разделе объектов групповой политики, которые не применяются, потому что они были отфильтрованы, он выводит фильтрацию локальной групповой политики: не применяется.

Я дважды менял ноутбуки на рабочую группу и обратно на домен. Я могу пропинговать контроллер домена с именем компьютера и IP-адресом. Ничего не работает. Нужно ли очищать или сбрасывать что-то на ноутбуках? Может ли кто-нибудь помочь мне решить эту проблему. Предоставим любую дополнительную информацию.

Угрозы кибербезопасности и потребность в надежном резервном копировании

2022-03-29 18:00:00 UTC Вебинар Вебинар: Spanning — угрозы кибербезопасности и потребность в надежном резервном копировании Сведения о событии Просмотреть все события

46 ответов

Кетцинг

  • отметить 54 лучших ответа
  • thumb_up – 214 благодарных отзывов

Обратите внимание, но реклама собственного домена в сообщении может привести к предупреждению — оставьте это в своем профиле.

  • отметить 54 лучших ответа
  • thumb_up – 214 благодарных отзывов

Если объект групповой политики фильтруется, он не соответствует указанным вами критериям при срабатывании.

Точка с запятой

  • отметить 411 лучших ответов
  • thumb_up: 735 благодарностей

Вы используете пользовательские конфигурации в своих объектах групповой политики и связываете объекты групповой политики с организационными единицами, содержащими пользователей, — вам не требуется обработка политик замыкания на себя. Вышеупомянутая ссылка предназначена только для обучения, но я бы не стал вдаваться в подробности, пока вы не сможете заставить ее работать, не переключая переключатель обратной связи.

"Я дважды менял ноутбуки на рабочую группу и обратно на домен" -- я бы прекратил это делать. Настоящего вреда нет, но с таким же успехом можно научиться решать проблемы; в реальном мире вы не всегда сможете отсоединиться или снова присоединиться к машинам, чтобы заставить что-то работать.

«Фильтрация локальной групповой политики: не применяется». — это означает, что на компьютере, вероятно, не настроена локальная групповая политика — это нормально. Если вы не открыли редактор локальной групповой политики (что маловероятно), он должен быть пустым.

«Обои GPO» — я ненавижу обои GPO. Честно говоря, я думал о том, чтобы не отвечать только потому, что не хотел быть втянутым в обсуждение устранения неполадок GPO с обоями. Извините, это довольно незрело с моей стороны. Я не знаю, может быть, я был обожжен переходом с XP на Vista/7/8/10 - и, честно говоря, к тому времени, когда 10 пришла, я уже даже не заботился об обоях.Создайте папку с предпочтениями, опубликуйте приложение, добавьте пользователя в группу, запустите сценарий входа в систему, который обновляет файл журнала в профиле пользователя с текущим временем — чтобы вы могли легко увидеть, когда оно было применено — что-нибудь. Я имею в виду, что вы, очевидно, можете делать то, что хотите, и у обоев, безусловно, есть свои преимущества, а именно простота идентификации сработавшего объекта групповой политики.

В этой статье представлено решение проблемы, из-за которой клиенты Windows 7 периодически не могут применить групповую политику при запуске.

Применимо к: Windows 7 с пакетом обновления 1
Исходный номер базы знаний: 2421599

Симптомы

Клиенты Windows 7 периодически не обрабатывают групповую политику при запуске или перезагрузке. В журнал системных событий заносятся следующие события:

Ошибка 09.09.2010 14:43:29 NETLOGON 5719 Ошибка 09.09.2010 14:43:31 GroupPolicy 1055

Причина

Это поведение вызвано состоянием гонки между инициализацией сети, поиском контроллера домена и обработкой групповой политики. Если сеть недоступна, контроллер домена не будет обнаружен, и обработка групповой политики завершится ошибкой. После загрузки операционной системы, согласования и установления сетевого соединения фоновое обновление групповой политики будет выполнено успешно.

Следующая последовательность событий отражает состояние:

Информация EventLog 6006 указывает на завершение работы системы
Информация e1kexpress 33 указывает на то, что сетевое соединение установлено с
Информация EventLog 6005 указывает на то, что служба журнала событий запущена
Информация Dhcp-Client 50036 указывает, что служба клиента dhcp запущена.
Ошибка NETLOGON 5719 указывает, что сетевой вход не может получить доступ ни к одному из контроллеров домена.
Ошибка GroupPolicy 1055 указывает на сбой обработки групповой политики. р>

Это также можно подтвердить с помощью журналов входа в сеть:

Разрешение

Чтобы обойти эту проблему, вы можете установить значение реестра для задержки применения групповой политики:

Откройте редактор реестра.

Разверните следующий подраздел: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Щелкните правой кнопкой мыши Winlogon , выберите «Создать» и выберите «Параметр DWORD».

Чтобы назвать новую запись, введите GpNetworkStartTimeoutPolicyValue и нажмите клавишу ВВОД.

Щелкните правой кнопкой мыши GpNetworkStartTimeoutPolicyValue и выберите Изменить.

В разделе "Основа" выберите "Десятичный".

В поле "Значение" введите 60 и нажмите кнопку "ОК".

Закройте редактор реестра и перезагрузите компьютер.

Если сценарий запуска групповой политики не запускается, увеличьте значение записи реестра GpNetworkStartTimeoutPolicyValue.

Подробнее

Указанное значение должно быть достаточно длинным, чтобы гарантировать установление соединения. В течение периода ожидания Windows будет проверять состояние соединения каждые две секунды и продолжит запуск системы, как только соединение будет подтверждено. Поэтому рекомендуется ошибаться в большую сторону. Если система законно отключена (например, отключен сетевой кабель, автономный сервер и т. д.), Windows зависнет на весь период ожидания.

Его также можно определить с помощью групповой политики:

Расположение политики: Конфигурация компьютера > Политики > Шаблоны администрирования > Система > Имя параметра групповой политики: Время ожидания обработки политики запуска Раздел реестра: HKLM\Software\Policies\Microsoft\Windows\System!GpNetworkStartTimeoutPolicyValue

Если вы определите параметр групповой политики, он переопределит установленный вручную параметр. Если параметры ручной настройки и групповой политики не определены, значение выбирается из следующего раздела реестра:

Поскольку период тайм-аута не определен, система использует собственный алгоритм для расчета и получения среднего периода тайм-аута. Это значение хранится в указанном выше разделе реестра. Это может варьироваться от системы к системе и зависит от различных факторов, таких как предыдущие попытки входа в систему.

Описание групповой политики для параметра «Время ожидания обработки политики запуска» не является подробным и не охватывает все сценарии. Тот факт, что в настоящее время политика не настроена, не означает, что мы собираемся использовать значение времени ожидания по умолчанию, равное 30 секундам.

В этом руководстве по устранению неполадок GPO я попытаюсь рассказать вам о типичных причинах, по которым определенный объект групповой политики (GPO) может не применяться к организационному подразделению (OU) или определенному компьютеру/пользователю домена. Я думаю, что эта статья будет полезна как новичкам, так и опытным администраторам групповых политик AD, чтобы понять, как работают групповые политики и архитектуру GPO. В статье описаны возможные проблемы с применением объектов групповой политики, связанные с параметрами политики на уровне домена, а также устранение неполадок с объектами групповой политики на клиентах Windows. Почти все параметры, описанные в статье, настраиваются с помощью Консоли управления групповыми политиками (GPMC.msc).

Прежде чем устранять неполадки, из-за которых групповая политика не применяется должным образом, убедитесь, что ваша инфраструктура AD работает правильно. Объекты групповой политики в домене зависят от правильного функционирования контроллеров домена и репликации между ними. Мы рекомендуем вам периодически проверять работоспособность ваших контроллеров домена AD с помощью dcdiag и состояние репликации с помощью PowerShell и инструмента repadmin.

Управление областью GPO

Если определенный параметр политики не применяется к клиенту, проверьте область действия объекта групповой политики. Если вы настраиваете параметр в разделе «Конфигурация компьютера», ваша групповая политика должна быть связана с OU с объектами-компьютерами. То же самое верно, если вы устанавливаете свои параметры в разделе «Конфигурация пользователя».

Чтобы применить пользовательские настройки к компьютерам, необходимо включить режим обработки обратной связи GPO (подробнее об этом ниже).

Также убедитесь, что объект, к которому вы пытаетесь применить объект групповой политики, находится в нужном компьютере или пользовательском контейнере AD (OU). Вы можете выполнять поиск по домену с помощью консоли ADUC ( dsa.msc ). Подразделение, в котором находится объект, указывается на вкладке Объект.

Это означает, что целевой объект должен находиться в подразделении, с которым связана политика (или во вложенном контейнере AD).

Как использовать фильтрацию безопасности групповой политики для применения объектов групповой политики к выбранным группам?

Проверьте параметры фильтрации безопасности в своей политике. По умолчанию все новые объекты GPO в домене имеют разрешения для группы «Прошедшие проверку». В эту группу входят все пользователи и компьютеры домена. Это означает, что политика будет применяться ко всем пользователям и компьютерам в пределах ее области действия.

В некоторых случаях вы хотите, чтобы конкретный объект групповой политики применялся только к членам определенной группы безопасности домена (или к определенным пользователям/компьютерам). Для этого необходимо удалить группу «Прошедшие проверку» из фильтра безопасности и добавить в фильтр целевую группу или учетные записи.

Если вы назначили группе фильтр безопасности, убедитесь, что нужный объект является членом этой группы AD.

Кроме того, убедитесь, что группа, которую вы добавили в фильтрацию безопасности, имеет разрешения на чтение и применение групповой политики с установленным флажком параметра Разрешить на вкладке GPO -> Делегирование -> Дополнительно.

Если вы используете нестандартные фильтры безопасности GPO, убедитесь, что нет явного запрета на использование GPO для целевых групп (Запретить).

Фильтрация групповой политики WMI

В GPO можно использовать специальные фильтры WMI. Это позволяет применить политику к вашим компьютерам на основе некоторого запроса WMI. Например, вы можете создать фильтр GPO WMI, чтобы применить политику только к компьютерам с определенной версией Windows, к компьютерам в определенной IP-подсети, только к ноутбукам и т. д.

При использовании фильтрации WMI групповой политики убедитесь, что ваш запрос WMI правильный. Он должен выбирать только те устройства, которые вам нужны, и ваши целевые компьютеры не исключаются. Вы можете протестировать фильтр WMI на любом компьютере с помощью PowerShell:

gwmi -Query 'выбрать * из Win32_OperatingSystem, где версия вроде "10.%" и ProductType="1"

Если запрос возвращает какие-либо данные, к этому компьютеру будет применен фильтр WMI.

Отключить настройки пользователя или компьютера в объекте групповой политики

Как мы уже упоминали, каждый объект групповой политики состоит из двух независимых разделов:

  • Конфигурация компьютера — настройки, применяемые к компьютеру;
  • Конфигурация пользователя — настройки пользователя.

Если ваш объект групповой политики настраивает только параметры пользователя или только параметры компьютера, вы можете отключить неиспользуемый раздел политики. Это уменьшит трафик объекта групповой политики и позволит сократить время обработки объектов групповой политики на клиентах.

Проверьте состояние объекта групповой политики на вкладке "Сведения" свойств политики в GPMC.msc. Обратите внимание на значение в раскрывающемся списке Статус объекта групповой политики.

Как видите, доступно 4 варианта:

  • Все настройки отключены — все настройки политики отключены (объект групповой политики не применяется);
  • Параметры конфигурации компьютера отключены — параметры только из конфигурации компьютера вашего объекта групповой политики не применяются;
  • Настройки конфигурации пользователя отключены — настройки из раздела конфигурации пользователя не применяются;
  • Включено — все настройки GPO применяются к целевым объектам AD (значение по умолчанию).

Делегирование групповой политики

Разрешения, настроенные для политики, отображаются на вкладке "Делегирование" объекта групповой политики. Здесь вы можете увидеть, какие группы могут изменять настройки GPO и применяется ли к ним политика. Вы можете предоставить права на управление объектами групповой политики из этой консоли или использовать мастер делегирования Active Directory в ADUC. Если есть разрешение на доступ «Контроллеры домена предприятия», эта политика может быть реплицирована между контроллерами домена Active Directory (обратите внимание, если у вас есть проблемы с репликацией объектов групповой политики между контроллерами домена). Разрешения на вкладке "Делегирование" соответствуют разрешениям NTFS, назначенным для каталога политик в папке SYSVOL.

Блокировка наследования и принудительного применения в ссылке групповой политики

Наследование — это одна из основных концепций групповой политики. По умолчанию политики высокого уровня применяются ко всем вложенным объектам в иерархии домена. Однако администратор может заблокировать применение всех унаследованных политик к конкретному подразделению. Для этого щелкните правой кнопкой мыши подразделение в консоли управления групповыми политиками и выберите «Блокировать наследование».

Организационные подразделения с включенным параметром блокировки наследования отмечены синим восклицательным знаком в консоли.

Если групповая политика не применяется к клиенту, проверьте, находится ли он в организационной единице с заблокированным параметром наследования.

Обратите внимание, что доменные политики с включенным свойством Enforced применяются даже к OU с заблокированным параметром наследования (вы можете увидеть унаследованные политики, примененные к контейнеру, на вкладке Group Policy Inheritance).

Области GPO и порядок обработки политик (LSDOU)

Чтобы запомнить порядок применения групповых политик в домене, запомните аббревиатуру LSDOU. Объекты групповой политики применяются к клиентам в следующем порядке:

  1. Локальные политики компьютера (Local), настроенные в консоли редактора Local GPO gpedit.msc (если они настроены неправильно, их можно сбросить);
  2. Объект групповой политики на уровне сайта (Сайт);
  3. Объект групповой политики на уровне домена (домен).
  4. Объекты групповой политики на уровне организационного подразделения (Organizational Unit).

Последняя политика имеет наивысший приоритет. Это означает, что если вы включите какой-то параметр Windows на уровне домена, он может быть отключен другой политикой на уровне OU (победит самая близкая к объекту политика в иерархии AD).

При использовании параметра «Принудительно» побеждает политика, стоящая выше в иерархии домена (например, если в политике домена по умолчанию включен параметр «Принудительно», он будет иметь более высокий приоритет, чем любой другой объект групповой политики).

Администратор также может изменить порядок обработки политик с помощью консоли GPMC. Для этого выберите OU и перейдите на вкладку Linked Group Policy Objects. Существует список объектов групповой политики, применяемых к этому подразделению с указанным приоритетом. Политики обрабатываются в обратном порядке (снизу вверх). Это означает, что политика с Link Order 1 будет применяться последней. Вы можете изменить приоритет объекта групповой политики с помощью стрелок в левом столбце и переместить политику вверх или вниз в списке.

Управление включенными ссылками GPO

Для любого объекта GPO, связанного с подразделением AD, можно включить или отключить параметр Link Enabled. Если ссылка отключена, ее значок становится серым. Когда ссылка отключена, политика не применяется к клиентам, но ссылка на объект GPO не удаляется из иерархии домена. Вы можете включить ссылку GPO в любое время.

Объяснение режима обработки Loopback групповой политики

Например, если вы примените политику, параметры которой настроены в разделе «Конфигурация пользователя», к организационной единице с компьютерами, эти параметры не будут применяться к пользователю без использования замыкания на себя. Режим обратной связи включен в разделе «Конфигурация компьютера» -> «Административные шаблоны» -> «Система» -> «Групповая политика» -> «Настроить режим обратной обработки групповой политики пользователя».

Эта политика обработки замыкания на себя имеет два возможных режима:

    Объединение — объекты групповой политики на основе местоположения пользователя применяются к компьютеру, а затем применяются объекты групповой политики, связанные с компьютером. В случае конфликта между политиками организационной единицы пользователя и организационной единицы компьютера приоритет имеют политики уровня конфигурации компьютера.

Обратите внимание, что при использовании обработки Loopback в режиме слияния политика фактически выполняется дважды. Учитывайте это при использовании сценариев входа в систему.

Использовать мастер моделирования групповой политики

Вы можете использовать функцию моделирования GPO в консоли управления политикой домена ( gpmc.msc ). Моделирование GPO позволяет администратору получить результирующие политики, которые будут применяться к определенному объекту Active Directory.

Перейдите в раздел "Моделирование групповой политики" и запустите мастер моделирования групповой политики.

Выберите подразделение или конкретного пользователя/компьютер, для которого вы хотите получить результирующий отчет о политике.

Затем ответьте на вопросы мастера моделирования GPO. В результате вы получите отчет (см. вкладку Details), в котором показано, какие политики применяются к объекту AD, а какие нет. Если политика применена или отклонена из-за фильтра GPO, это будет видно в отчете.

Включить ведение журнала отладки предпочтений групповой политики

В современных версиях Active Directory есть дополнительное расширение групповой политики — настройки групповой политики (GPP). GPP позволяет применять дополнительные настройки с помощью клиентских расширений GP. Например, с помощью GPP вы можете:

Для устранения неполадок с предпочтениями групповой политики можно использовать специальный режим ведения журнала — отслеживание предпочтений групповой политики.

Включить этот режим можно через параметр в разделе Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Групповая политика -> Ведение журнала и трассировка. Существуют отдельные параметры регистрации для разных параметров GPP.

Например, я хочу проверить, как параметр реестра с настройками прокси-сервера применяется через объект групповой политики. Для этого я включаю параметр «Настроить ведение журнала и отслеживание предпочтений реестра». Здесь вы можете настроить параметры ведения журнала и отладки, а также размер журнала.

После применения политики к клиенту откройте файл C:\ProgramData\GroupPolicy\Preference\Trace\Computer.log, чтобы получить подробный статус GPP.

Отключите этот параметр GPO после завершения отладки GPP.

Кроме того, имейте в виду, что GPP имеет дополнительные параметры таргетинга на уровне элементов для фильтрации при применении политики.

Устранение неполадок с прикладными объектами групповой политики в клиентах Windows

gpresult, rsop.msc и средство просмотра событий Windows используются для устранения неполадок и отладки групповой политики на стороне клиента. Первые два инструмента предоставляют результирующий набор политик, которые были применены к устройству Windows.

Чтобы получить простой отчет об объектах групповой политики, примененных на компьютере, выполните команду:

Команда вернет список примененных объектов групповой политики и объектов групповой политики, которые не применялись. Список отфильтрованных объектов групповой политики может содержать следующие элементы:

  • Не применено (пусто) — политика назначена, но не содержит настроек;
  • Отказано (фильтр WMI) — политика не была применена, так как фильтр WMI не соответствует этому компьютеру;
  • Отказано (безопасность) — ACL групповой политики не имеет разрешений на применение объекта групповой политики к этому объекту;
  • Отключено (GPO) — раздел «Конфигурации компьютера или пользователя» отключен в настройках GPO.

Чтобы получить HTML-отчет с результирующим объектом групповой политики, используйте команду:

gpresult /h c:\reports\gpreport.html /f

HTMP-отчет gpresult RSoP содержит ошибки GPO, время обработки определенных политик и CSE, а также другую полезную информацию. Это поможет вам понять, почему некоторые объекты групповой политики обрабатываются слишком долго. В этом отчете показано, какие параметры политики были применены и какими конкретными объектами групповой политики.

Для обработки объектов групповой политики в Windows должна быть запущена служба клиента групповой политики ( gpsvc ). Убедитесь, что служба запущена с помощью PowerShell:

Также необходимо помнить, как обновляется групповая политика в Windows. По умолчанию объекты групповой политики обновляются в фоновом режиме каждые 90 минут + случайное смещение по времени от 0 до 30 минут. Однако администратор может изменить этот интервал с помощью параметра «Установить интервал обновления групповой политики для компьютеров» в разделе «Конфигурация компьютера» -> «Административные шаблоны» -> «Система» -> «Групповая политика» в объекте групповой политики.

Вы можете использовать Event Viewer для поиска событий обработки GPO. Отфильтруйте системный журнал по источнику групповой политики (Microsoft-Windows-GroupPolicy). Кроме того, внимательно просмотрите события в журналах приложений и служб -> Microsoft -> Windows -> Групповая политика -> Операционная.

Несколько дополнительных советов по отладке объектов групповой политики:

  • При анализе политик паролей домена имейте в виду, что с помощью консоли управления групповыми политиками можно настроить только одну политику паролей домена (обычно в политике домена по умолчанию). Используйте подробные политики паролей, если вам нужно использовать отдельные политики блокировки паролей и учетных записей для определенных пользователей или групп;
  • Я также рекомендую использовать инструмент Microsoft AGPM (расширенное управление групповыми политиками), который позволяет поддерживать версии для объектов групповой политики и правила их утверждения;
  • Используйте центральное хранилище групповой политики для шаблонов ADMX. В этом случае вам не нужно вручную развертывать файлы admx групповой политики на всех компьютерах.

В заключение я рекомендую максимально упростить структуру объекта групповой политики и не создавать ненужных политик. Используйте прозрачную схему именования политик. Имя объекта групповой политики должно четко указывать, для чего он предназначен.

Если ваша настроенная групповая политика не применяется к одному пользователю или конкретному компьютеру, в этой статье показано, как решить эту проблему.

Все мы знаем, что групповая политика — это надежный инструмент для управления пользователями и компьютерами в организации. Если вы применили объект групповой политики к определенному количеству пользователей или ко всем пользователям, но он не применяется к одному конкретному пользователю, эта статья для вас.

Может быть несколько факторов, которые могут повлиять на создание этой проблемы. Однако здесь учитываются наиболее распространенные причины. Вы можете попробовать приведенные ниже рекомендации и посмотреть, помогут ли они вам.

ИСПРАВЛЕНИЕ: групповая политика не применяется к одному пользователю/компьютеру

ИСПРАВЛЕНИЕ 1. Общие предложения

<р>1. Убедитесь, что пользователь является членом группы, к которой вы применяете GPO. Проверьте вкладку Scope для GPO. Для настройки политики на основе компьютера объект групповой политики должен быть связан с подразделением, в котором находится компьютер. Хотя, если это параметр политики на основе пользователя, необходимо связать правильное пользовательское подразделение.

<р>2. Убедитесь, что группа, к которой вы применяете объект групповой политики, является глобальной.

<р>3. Проверьте, правильно ли вы настроили параметр GPO. Некоторые заголовки GPO могут быть очень легко поняты неправильно, и, следовательно, они не настроены должным образом. Например, «Отключить UDP на клиенте».

<р>4. Проверьте состояние фильтрации WMI.

ИСПРАВЛЕНИЕ 2 – Проверить действующий доступ

Ниже шаги показаны для пользователя, но аналогичные шаги можно использовать и для компьютера.

<р>1. Откройте Управление групповыми политиками и нажмите на подразделение. На соответствующей правой панели на вкладке «Делегирование» выделите пользователя, к которому групповая политика не применяется. Нажмите кнопку «Дополнительно».

<р>2. В открывшемся окне выберите затронутого пользователя и нажмите «Дополнительно».

<р>3. В разделе Дополнительные параметры безопасности переключитесь на Эффективный доступ и нажмите Выбрать пользователя. В следующем окне найдите пользователя и вернитесь в это окно.

<р>4. Найдя пользователя, нажмите «Просмотреть действующие права доступа».

<р>5. Теперь должен отображаться эффективный доступ для выбранного пользователя. Вы должны убедиться, что у пользователя есть доступ к Применению групповой политики. Вы также можете повторно обеспечить другие разрешения. Если какое-то разрешение не соответствует требованиям, перейдите на вкладку Разрешения, выберите пользователя и нажмите Изменить и, наконец, настройте необходимые разрешения.

После того, как пользователь получит соответствующие разрешения, проблема исчезнет.

Надеюсь, это поможет!

Об авторе

Это сообщение написано Капилом Арья, Microsoft MVP.

О Капил Арье

В настоящее время Капил является Microsoft MVP в области Windows IT Pro. Он также является MVP Windows Insider и автором книги «Устранение неполадок групповой политики Windows». В 2015 году Microsoft India удостоила его звания «чемпиона Windows 10». Будучи страстным блогером Windows, он любит помогать другим в устранении их системных проблем. Капил работал с официальной группой Microsoft Community Engagement Team (CET) над несколькими общественными проектами. Вы можете следить за новостями/обновлениями и исправлениями для Windows.

Оставить ответ Отменить ответ

Что нового

    5 часов назад
    17 часов назад
    24 часа назад
    2 дня назад
    2 дня назад

Последние комментарии

Kapil Arya : ^^ Проверьте с помощью диспетчера устройств, работает ли драйвер клавиатуры. 23 часа назад

D Perkins : Здравствуйте, я ищу решение для моей беспроводной клавиатуры Microsoft. 1 день назад

Капил Арья : ^^ Рад помочь Дэвиду 😎. 1 день назад

Дэвид Истман: Я МЕСЯЦ боролся с этой проблемой! Я искал Еву. 1 день назад

Рекомендации по разработке групповой политики

Групповая политика — это набор параметров в реестре Windows, которые управляют безопасностью, аудитом и другими операционными режимами. Например, групповая политика позволяет запретить пользователям доступ к определенным файлам или параметрам в системе, запускать определенные сценарии при запуске или завершении работы системы или принудительно открывать определенную домашнюю страницу для каждого пользователя в сети. Ниже приведены рекомендации по групповой политике Active Directory, которые помогут вам защитить ваши системы и оптимизировать производительность групповой политики.

Не изменять политику домена по умолчанию и политику контроллера домена по умолчанию

Использовать политику домена по умолчанию только для учетной записи, блокировки учетной записи, пароля и параметров политики Kerberos; поместите другие настройки в другие объекты групповой политики. Политика домена по умолчанию применяется на уровне домена, поэтому она влияет на всех пользователей и компьютеры в домене.

Использовать политику контроллера домена по умолчанию только для политики назначения прав пользователя и политики аудита; поместите другие настройки в отдельные объекты групповой политики.

Однако даже для перечисленных выше политик лучше использовать отдельные объекты групповой политики.

Создайте продуманную структуру организационного подразделения (OU) в Active Directory

Наличие хорошей структуры подразделения упрощает применение и устранение неполадок групповой политики. Не смешивайте разные типы объектов AD в одних и тех же OU; вместо этого разделите пользователей и компьютеры на их собственные подразделения, а затем создайте вложенные подразделения для каждого отдела или бизнес-функции. Размещение пользователей и компьютеров в отдельных подразделениях упрощает применение компьютерных политик ко всем компьютерам и пользовательских политик только к пользователям. Легче создать объект групповой политики и связать его со многими OU, чем связать его с одним OU и иметь дело с компьютерами или пользователями, на которых политика не должна влиять. Однако не планируйте архитектуру вашей организационной единицы исключительно на основе того, как вы будете связывать с ней групповые политики.

Дайте объектам групповой политики описательные имена

Возможность быстро определить, что делает объект групповой политики, просто взглянув на имя, значительно упростит администрирование групповой политики. Присвоение объекту групповой политики общего имени, такого как «настройки компьютера», может запутать системных администраторов. Например, вы можете использовать следующие шаблоны именования:

  • Политики для учетных записей пользователей: U_
  • Политики для учетных записей компьютеров: C_
  • Политики для компьютеров и учетных записей пользователей: CU_

Вот несколько примеров использования этих правил именования:

  • U_SoftwareRestrictionPolicy
  • U_Установка программного обеспечения
  • C_DesktopSettings
  • CU_AuditSettings

Создавайте каждый объект групповой политики в соответствии с его назначением, а не местом, с которым вы его связываете.Например, если вы хотите, чтобы объект групповой политики содержал параметры защиты сервера, поместите в него только параметры защиты сервера и пометьте его соответствующим образом.

Добавьте комментарии к своим объектам групповой политики

Помимо создания хороших имен, вы должны добавить комментарии к каждому объекту групповой политики, объясняющие, почему он был создан, его цель и какие параметры он содержит. Эта информация может оказаться бесценной годы спустя.

Не устанавливать объекты групповой политики на уровне домена

Каждый объект групповой политики, установленный на уровне домена, будет применяться ко всем объектам пользователей и компьютеров. Это может привести к тому, что некоторые параметры будут применены к объектам, которые вам не нужны. Таким образом, единственным объектом групповой политики, который должен быть установлен на уровне домена, является политика домена по умолчанию. Другие правила лучше применять на более детальном уровне.

Применить объекты групповой политики на корневом уровне подразделения

Применение объектов групповой политики на уровне подразделения позволит подчиненным подразделениям наследовать эти политики; вам не нужно связывать политику с каждой дочерней организационной единицей. Если у вас есть пользователи или компьютеры, которым вы не хотите наследовать параметр, вы можете поместить их в их собственное подразделение и применить политику непосредственно к этому подразделению.

Не используйте корневые папки «Пользователи» или «Компьютеры» в Active Directory

Эти папки не являются организационными единицами, поэтому с ними не могут быть связаны объекты групповой политики. Единственный способ применить политики к этим папкам — связать их с уровнем домена, но, как указано выше, этого следует избегать. Поэтому, как только в этих папках появится новый пользователь или объект компьютера, немедленно переместите его в соответствующую OU.

Не отключайте объекты групповой политики

Если объект групповой политики связан с подразделением и вы не хотите, чтобы он применялся, удалите ссылку вместо отключения объекта групповой политики. Удаление ссылки из OU не удалит GPO; он просто удаляет ссылку из OU и его настройки не применяются. Отключение объекта групповой политики предотвратит его полное применение в домене, что может вызвать проблемы, поскольку если вы используете эту групповую политику в другом подразделении, она больше не будет там работать.

Внедрить управление изменениями для групповой политики

Групповая политика может выйти из-под контроля, если вы позволите всем своим администраторам вносить необходимые изменения. Но отследить изменения в групповой политике может быть сложно, потому что журналы безопасности не могут дать вам полной картины того, какие именно параметры были изменены и как. Вы можете узнать, как отслеживать изменения в групповой политике, в Кратком справочном руководстве по аудиту групповой политики.

Наиболее важные изменения GPO должны обсуждаться с руководством и полностью документироваться. Кроме того, вы должны настроить оповещения по электронной почте об изменениях в критических объектах групповой политики, потому что вам нужно знать об этих изменениях как можно скорее, чтобы избежать простоя системы. Вы можете сделать это с помощью сценариев PowerShell или, что более удобно, с помощью программного обеспечения для ИТ-аудита, такого как Netwrix Auditor for Active Directory.

Избегайте использования блокирующего наследования политики и принудительного применения политики

Если у вас хорошая структура OU, вы, скорее всего, сможете избежать использования блокирующего наследования политик и принудительного применения политик. Эти параметры могут затруднить устранение неполадок и управление объектами групповой политики. Блокировка наследования политики и принудительное применение политики никогда не требуются, если структура подразделения спроектирована правильно.

Используйте небольшие объекты групповой политики для упрощения администрирования

Наличие небольших объектов групповой политики упрощает устранение неполадок, управление, разработку и внедрение. Вот несколько способов разбить объекты групповой политики на более мелкие политики:

  • Настройки браузера
  • Настройки безопасности
  • Настройки установки программного обеспечения
  • Настройки AppLocker
  • Настройки сети
  • Сопоставления дисков

Однако имейте в виду, что более крупные объекты групповой политики с большим количеством настроек потребуют меньше обработки при входе в систему (поскольку системам приходится делать меньше запросов на информацию об объектах групповой политики); загрузка многих небольших объектов групповой политики может занять больше времени. Однако большие объекты групповой политики могут иметь конфликты настроек объектов групповой политики, которые необходимо устранять, и вам придется уделять больше внимания наследованию объектов групповой политики.

Ускорение обработки GPO за счет отключения неиспользуемых компьютеров и пользовательских конфигураций

Если у вас есть объект групповой политики с настройками компьютера, но без пользовательских настроек, вам следует отключить конфигурацию пользователя для этого объекта групповой политики, чтобы повысить производительность обработки групповой политики при входе в систему. Вот некоторые другие факторы, которые могут вызвать медленное время запуска и входа в систему:

  • Сценарии входа, загружающие большие файлы
  • Сценарии запуска, загружающие большие файлы
  • Сопоставление удаленных домашних дисков
  • Развертывание огромных драйверов принтеров в настройках групповой политики
  • Злоупотребление фильтрацией групповой политики по членству в группе AD
  • Использование чрезмерных фильтров инструментария управления Windows (WMI) (дополнительную информацию см. в следующем разделе)
  • Личные папки пользователей применяются через объект групповой политики.

Избегайте использования большого количества фильтров WMI

WMI содержит огромное количество классов, с помощью которых можно описать практически любые настройки пользователя и компьютера.Однако использование многих фильтров WMI замедлит вход пользователей в систему и приведет к ухудшению работы пользователей. По возможности старайтесь использовать фильтры безопасности поверх WMI, так как они требуют меньше ресурсов.

Используйте циклическую обработку в определенных случаях

Обработка замыкания на себя ограничивает пользовательские настройки компьютером, к которому применяется объект групповой политики. Обработка замыкания на себя обычно используется на терминальных серверах: пользователи входят на сервер, и вам необходимо применять определенные пользовательские настройки, когда они входят только на эти серверы. Вам необходимо создать объект групповой политики, включить циклическую обработку и применить объект групповой политики к организационной единице, в которой есть серверы.

Используйте «gpresult» для устранения проблем с GPO

Команда gpresult отображает информацию о групповой политике для удаленного пользователя и компьютера. Кроме того, он показывает, сколько времени требуется для обработки объекта групповой политики. Эта команда доступна только в Windows 10 и Windows Server 2016. У утилиты gpresult много настроек; вы можете просмотреть их, введя команду «gpresult /?».

Использовать расширенное управление групповыми политиками (AGPM)

Создайте резервную копию групповых политик

Настройте ежедневное или еженедельное резервное копирование политик с помощью сценариев Power Shell или стороннего решения, чтобы в случае ошибок конфигурации вы всегда могли восстановить свои настройки.

Рекомендации по настройке GPO

Ограничение доступа к панели управления в Windows

Важно ограничить доступ к панели управления, даже если пользователь не является администратором на компьютере с Windows. Вы можете полностью заблокировать доступ к панели управления или разрешить ограниченный доступ определенным пользователям с помощью следующих политик:

  • Скрыть указанные элементы панели управления
  • Запретить доступ к панели управления и настройкам ПК
  • Показать только указанные элементы панели управления

Не разрешать съемные носители

Съемные носители могут быть опасны. Если кто-то подключает зараженный диск к вашей системе, это распространяет вредоносное ПО по всей сети. В офисной среде лучше всего полностью отключить съемные диски с помощью политики «Запретить установку съемных устройств». Вы также можете отключить DVD-диски, компакт-диски и даже дисководы для гибких дисков, если хотите, но в первую очередь это касается съемных дисков.

Отключение автоматического обновления драйверов в вашей системе

Обновления драйверов могут вызвать серьезные проблемы у пользователей Windows: они могут вызвать ошибки Windows, падение производительности или даже ужасный синий экран смерти (BSOD). Обычные пользователи не могут отключить обновления, поскольку это автоматизированная функция. Параметры групповой политики Windows можно изменить, чтобы отключить автоматическое обновление драйверов, с помощью политики «Отключить поиск драйверов устройств в Центре обновления Windows». Однако вы должны указать идентификаторы оборудования устройств, на которых вы хотите остановить обновления. Вы можете найти эту информацию в диспетчере устройств.

Убедитесь, что доступ к командной строке ограничен

Командная строка очень полезна для системных администраторов, но в неумелых руках она может превратиться в кошмар, поскольку дает пользователям возможность запускать команды, которые могут нанести вред вашей сети. Поэтому лучше отключить его для обычных пользователей. Это можно сделать с помощью политики «Запретить доступ к командной строке».

Отключите принудительную перезагрузку на своих серверах

Если у вас включен Центр обновления Windows, вы, вероятно, знаете, что Windows вынуждает вас перезагрузить систему после обновления. Но некоторые пользователи не выключают свои компьютеры, уходя с работы, поэтому, если их рабочие столы будут принудительно перезагружены Центром обновления Windows, они могут потерять несохраненные файлы. Вы можете использовать параметры групповой политики, чтобы навсегда отключить эти принудительные перезапуски.

Отключить установку программного обеспечения с помощью AppLocker и политики ограниченного использования программ

Существует множество способов запретить пользователям устанавливать новое программное обеспечение в их системе. Это сокращает объем работ по техническому обслуживанию и помогает избежать очистки, необходимой при установке чего-либо некачественного. Вы можете предотвратить установку программного обеспечения, изменив настройки AppLocker и групповой политики ограничения программ и отключив запуск определенных расширений (например, «.exe»).

Отключите NTLM в вашей сетевой инфраструктуре

NTLM используется для компьютеров, входящих в рабочую группу, и для локальной проверки подлинности. В среде Active Directory необходимо использовать проверку подлинности Kerberos вместо NTLM, поскольку это более надежный протокол проверки подлинности, использующий взаимную проверку подлинности, а не метод запроса/ответа NTLM. NTLM имеет множество известных уязвимостей и использует более слабую криптографию, поэтому он очень уязвим для атак методом грубой силы. Вы должны отключить аутентификацию NTLM в своей сети с помощью групповой политики, чтобы разрешить только аутентификацию Kerberos, но сначала убедитесь, что и Microsoft, и сторонние приложения в вашей сети не требуют аутентификации NTLM.

Читайте также: