Настройка групповой политики Windows Server 2012 r2

Обновлено: 21.11.2024

В этой статье объясняется, что такое групповые политики, и показано, как настроить групповые политики Windows Server 2012 Active Directory. В нашей следующей статье мы расскажем, как правильно применять групповые политики (принудительное применение групповых политик, наследование и блокирование наследования) на компьютерах и пользователях, которые являются частью Active Directory компании.

БЕСПЛАТНОЕ резервное копирование Hyper-V и VMware: Простота использования - Мощные функции - Просто работает, никаких проблем: это БЕСПЛАТНО для читателей Firewall.cx! Скачать сейчас!

Прежде чем мы углубимся в настройку групповой политики, давайте объясним, что такое групповые политики и как они могут помочь администратору контролировать своих пользователей и компьютеры.

Групповая политика — это параметр компьютера или пользователя, который может быть настроен администратором для применения различных параметров реестра, характерных для компьютера или пользователя, к компьютерам, присоединившимся к домену (активному каталогу). Простым примером групповой политики является политика истечения срока действия пароля пользователя, которая заставляет пользователей регулярно менять свой пароль. Другим примером групповой политики может быть принудительное использование определенного фонового изображения рабочего стола на каждой рабочей станции или ограничение доступа пользователей к своим свойствам подключения к локальной сети, чтобы они не могли изменить свой IP-адрес.

Объект групповой политики (GPO) содержит один или несколько параметров групповой политики, которые можно применить к компьютерам домена, пользователям или обоим. Объекты GPO хранятся в активном каталоге. Вы можете открывать и настраивать объекты GPO с помощью GPMC (консоли управления групповыми политиками) в Windows Server 2012:

Рисунок 1. Объекты GPO

Параметры групповой политики — это фактические параметры конфигурации, которые можно применить к компьютеру или пользователю домена. Большинство параметров имеют три состояния: включено, отключено и не настроено. Редактор управления групповыми политиками предоставляет доступ к сотням параметров компьютеров и пользователей, которые можно применять для внесения множества системных изменений в среду рабочего стола и сервера.

Настройки групповой политики

Параметры групповой политики делятся на параметры компьютера и параметры пользователя. Настройки компьютера применяются к компьютеру при запуске системы, и это изменяет куст реестра HKEY Local Machine. Пользовательские настройки применяются, когда пользователи входят в систему, и это изменяет куст HKEY Local Machine.

Рисунок 2. Параметры групповой политики

Настройки компьютера и настройки пользователя имеют политики и предпочтения.

Настройки программного обеспечения. Программное обеспечение может быть развернуто для пользователей или компьютера администратором. Программное обеспечение, развернутое для пользователей, будет доступно только этим конкретным пользователям, тогда как программное обеспечение, развернутое на компьютере, будет доступно любому пользователю на конкретном компьютере, к которому применяется объект групповой политики.

Административные шаблоны: содержит ряд параметров пользователя и компьютера, которые можно применять для управления средой Windows пользователей или компьютеров. Например, указание обоев рабочего стола, отключение доступа к второстепенным областям компьютеров (например, значок сети на рабочем столе, панель управления и т. д.), перенаправление папок и многое другое.

Настройки — это расширение групповой политики, выполняющее работу, для которой в противном случае потребовались бы сценарии. Настройки используются как для пользователей, так и для компьютеров. Вы можете использовать настройки для подключения сетевых дисков для пользователей, подключения принтеров, настройки параметров Интернета и многого другого.

Далее давайте посмотрим, как мы можем создать и применить групповую политику.

Создание и применение объектов групповой политики

По умолчанию объекты групповой политики могут создаваться и применяться группами пользователей «Администраторы домена», «Администраторы предприятия» и «Создатель групповой политики». После создания объекта групповой политики вы можете применять или связывать объекты групповой политики с сайтами, доменами или организационными подразделениями (OU), однако вы не можете применять объекты групповой политики к пользователям, группам или компьютерам. Объекты групповой политики обрабатываются в следующем порядке сверху вниз:

Локальная групповая политика. В каждой операционной системе Windows по умолчанию установлена локальная групповая политика. Поэтому сначала применяется локальная групповая политика компьютера.
GPO сайта: затем обрабатываются объекты GPO, связанные с сайтом. По умолчанию групповая политика на уровне сайта не настроена.
Объект групповой политики домена. Далее обрабатывается объект групповой политики, настроенный на уровне домена. По умолчанию политика домена с именем GPO по умолчанию применяется на уровне домена. Это относится ко всем объектам домена. Если существует конфликт политик между объектами групповой политики на уровне домена и сайта, то объект групповой политики, примененный к уровню домена, имеет приоритет.
Объект групповой политики организационной единицы: — в конце применяется объект групповой политики, настроенный в организационной единице. В случае конфликта между ранее примененными объектами групповой политики объект групповой политики, примененный к организационной единице, имеет наивысший приоритет по сравнению с политикой домена, сайта и локальной группы.

Теперь рассмотрим сценарий применения групповой политики к компьютерам, присоединенным к домену, для изменения фона рабочего стола. У нас есть контроллер домена с именем FW-DC01 и два клиента FW-CL1 и FW-CL2, как показано на диаграмме ниже. Цель здесь — установить обои рабочего стола для этих двух клиентов с помощью групповой политики:

Рис. 3. Сценарий GPO

В наших предыдущих статьях мы показали, как Windows 8 / Windows 8.1 присоединяются к домену Active Directory, FW-CL1 и FW-CL2 — это рабочие станции, которые ранее присоединялись к нашему домену — Active Directory. У нас есть два пользователя MJackson и PWall в подразделении FW Users.

Откройте консоль управления групповыми политиками (GPMC), перейдя в Диспетчер серверов>Инструменты и выберите Управление групповыми политиками, как показано ниже:

Рис. 4. Открытие консоли управления групповыми политиками

Рисунок 5. Выбор пользователей FW и создание объекта групповой политики

Теперь введите Имя для этого объекта GPO и нажмите кнопку OK. Мы выбрали объект групповой политики WallPaper:

Рисунок 6. Создание нашего объекта групповой политики для обоев

Далее щелкните правой кнопкой мыши объект GPO и выберите "Редактировать":

Рисунок 7. Редактирование объекта групповой политики

На этом этапе мы можем увидеть и настроить политику, которая касается обоев рабочего стола, однако обратите внимание на ряд различных политик, которые позволяют нам настраивать и настраивать различные аспекты пользователей нашего домена.

Чтобы найти обои для рабочего стола, перейдите в раздел «Развернуть конфигурацию пользователя»> «Политики»> «Административные шаблоны»> «Рабочий стол»> «Рабочий стол». На этом этапе мы должны увидеть настройку в правом окне. Щелкните правой кнопкой мыши параметр «Обои для рабочего стола» и выберите «Изменить»:

Рис. 8. Выбор и редактирование политики обоев рабочего стола

Откроются настройки обоев рабочего стола. Сначала нам нужно активировать политику, выбрав опцию «Включено» слева. Затем введите путь UNC к общим обоям. Помните, что мы должны предоставить общий доступ к папке, содержащей обои \\FW-DC1\WallPaper\, и настроить разрешение общего доступа, чтобы пользователи могли получить к нему доступ. Обратите внимание, что мы даже можем выбрать центрирование наших обоев (стиль обоев). Когда все будет готово, нажмите «Применить», а затем «ОК»:

Рис. 9. Настройка обоев рабочего стола

Теперь, когда мы настроили объект групповой политики, нам нужно применить его. Для этого мы можем просто выйти и снова войти на клиентский компьютер или ввести следующую команду в командной строке контроллера домена, чтобы немедленно применить настройки:

Как только пользователь нашего домена войдет в систему на своем компьютере (FW-CL1), новая политика обоев будет применена и загружена на рабочий стол компьютера.

Рисунок 10. Вход пользователя

Как мы видим ниже, рабочий стол нашего пользователя теперь имеет фоновое изображение, настроенное в созданной нами групповой политике:

Рис. 11. Обои рабочего стола компьютера изменены

В этом примере показано, как можно применить один небольшой параметр конфигурации ко всем компьютерам внутри организации. Возможности и гибкость объектов групповой политики поистине невероятны, и, как мы показали, их еще проще настраивать и применять всего несколькими щелчками мыши на контроллере домена!

В этой статье объясняется, что такое объекты групповых политик, и показано, как настроить групповые политики Windows 2012 Active Directory для управления пользователями и компьютерами Active Directory. Мы также настоятельно рекомендуем нашу статью о применении групповой политики, наследовании во всей структуре Active Directory. Дополнительные статьи о Windows 2012 и Hyper-V можно найти в нашем разделе Windows 2012 Server.

Редактор локальной групповой политики — это оснастка консоли управления Microsoft (MMC), которая используется для настройки и изменения параметров групповой политики в объектах групповой политики (GPO).

Администраторы должны иметь возможность быстро изменять параметры групповой политики для нескольких пользователей и компьютеров в сетевой среде. Редактор локальной групповой политики предоставляет администраторам иерархическую древовидную структуру для настройки параметров групповой политики в объектах групповой политики. Затем эти объекты групповой политики можно связать с сайтами, доменами и организационными подразделениями (OU), содержащими объекты компьютеров или пользователей.

Редактор локальной групповой политики состоит из двух основных разделов:

Конфигурация пользователя. Содержит настройки, которые применяются к пользователям (при входе в систему и во время периодического фонового обновления),

Конфигурация компьютера Содержит параметры, которые применяются к компьютерам (при запуске и во время периодического фонового обновления).

Эти разделы далее разделены на различные типы политик, которые можно установить, такие как административные шаблоны, безопасность и перенаправление папок.

Для эффективной работы администраторы должны иметь немедленный доступ к информации о функции и назначении отдельных параметров политики. Для параметров политики административных шаблонов редактор локальной групповой политики предоставляет информацию о каждом параметре политики непосредственно в веб-представлении консоли. Эта информация показывает требования к операционной системе, определяет параметр политики и включает любые конкретные сведения о влиянии включения или отключения параметра политики.

Кроме того, разработчики должны иметь возможность быстро и легко добавлять поддержку групповых политик в свои программные продукты. Редактор локальной групповой политики разработан с возможностью расширения. Самый простой способ для разработчиков расширить возможности редактора локальной групповой политики для своих приложений — написать пользовательские файлы административных шаблонов, которые они могут добавить в редактор локальной групповой политики.

Использовать редактор локальной групповой политики

Следующие процедуры объясняют, как открыть редактор локальной групповой политики из командной строки или с помощью оснастки MMC.

Чтобы открыть редактор локальной групповой политики из командной строки

На начальном экране нажмите стрелку Приложения. На экране приложений введите gpedit.msc и нажмите клавишу ВВОД.

Чтобы открыть редактор локальной групповой политики в качестве оснастки

На начальном экране нажмите стрелку Приложения. На экране приложений введите mmc и нажмите клавишу ВВОД.

В меню "Файл" нажмите "Добавить/удалить оснастку".

В диалоговом окне "Добавление или удаление оснастки" нажмите "Редактор локальной групповой политики", а затем нажмите "Добавить".

В диалоговом окне "Выбор объекта групповой политики" нажмите кнопку "Обзор".

Нажмите Этот компьютер, чтобы изменить объект локальной групповой политики, или щелкните Другой компьютер, чтобы изменить объект локальной групповой политики для другого компьютера. Нажмите «Пользователи», чтобы изменить объекты локальной групповой политики «Администратор», «Не администратор» или «Локальная групповая политика для каждого пользователя».

Нажмите "Готово".

Если вы хотите сохранить консоль редактора локальной групповой политики и выбрать, какой объект групповой политики открывается в ней, из командной строки: В диалоговом окне «Выбор объекта групповой политики» установите флажок «Разрешить изменение фокуса оснастки групповой политики». при запуске из командной строки поставить галочку.

В этом разделе описываются новые и измененные функции групповой политики в Windows Server 2012 R2 и Windows Server 2012.

Групповая политика — это инфраструктура, позволяющая задавать управляемые конфигурации для пользователей и компьютеров с помощью параметров групповой политики и предпочтений групповой политики. Для параметров групповой политики, влияющих только на локальный компьютер или пользователя, можно использовать редактор локальной групповой политики. Вы можете управлять параметрами групповой политики и предпочтениями групповой политики в среде доменных служб Active Directory (AD DS) с помощью консоли управления групповыми политиками (GPMC). Инструменты управления групповой политикой также включены в средства удаленного администрирования сервера, что позволяет вам управлять параметрами групповой политики со своего рабочего стола.

В этой теме:

Что нового в групповой политике в Windows Server 2012 R2

В Windows Server 2012 R2 групповая политика предлагает расширенную поддержку в следующих областях.

Поддержка IPv6

В Windows Server 2012 R2 расширена поддержка IPv6 в групповой политике. Эта расширенная поддержка включает принтеры, таргетинг на уровне элементов и сети VPN. Следующие процедуры описывают, как вы можете использовать эту расширенную поддержку.

Принтеры

В разделе "Конфигурация пользователя" разверните "Настройки" и разверните "Настройки панели управления".

Нажмите "Принтеры", щелкните правой кнопкой мыши, выберите "Создать" и выберите "Принтер TIP/IP".

Установите флажок «Использовать адрес IPv6» и введите адрес IPv6 в соответствующее поле.

Таргетинг на уровне элемента

В любой настройке групповой политики нажмите «Свойства» и перейдите на вкладку «Общие».

Установите флажок "Таргетинг на уровне элемента" и нажмите кнопку "Таргетинг…".

В редакторе таргетинга откройте меню "Новый элемент" и выберите "Диапазон IP-адресов".

Установите флажок Использовать IPv6 и введите адрес IPv6 в соответствующее поле. Вы можете фильтровать по submpa.

VPN-подключения

В разделе "Конфигурация пользователя" разверните "Настройки" и разверните "Настройки панели управления".

Нажмите «Параметры сети», щелкните правой кнопкой мыши, выберите «Создать» и выберите «VPN-подключение».

В окне "Новое VPN-подключение" установите флажок "Использовать IPv6".

Кэширование политики

В Windows Server 2012 R2, когда групповая политика получает последнюю версию политики с контроллера домена, она записывает эту политику в локальное хранилище. Затем, если групповая политика работает в синхронном режиме, при следующей перезагрузке компьютера она считывает самую последнюю загруженную версию политики из локального хранилища, а не загружает ее из сети. Это сокращает время, необходимое для обработки политики. Следовательно, время загрузки в синхронном режиме меньше. Это особенно важно, если у вас есть скрытое подключение к контроллеру домена, например, с помощью DirectAccess или для компьютеров, находящихся вне помещения. Этим поведением можно управлять с помощью новой политики «Настройка кэширования групповой политики».

Журнал событий

Windows Server 2012 R2 предоставляет более подробные сведения о событиях для параметров групповой политики в журнале рабочих событий. Зарегистрированные события содержат дополнительную информацию о том, сколько времени требуется для загрузки и обработки политик. Также есть сведения об обработке WMI. Это может помочь вам анализировать и диагностировать длительное время входа в систему.

Что нового в групповой политике в Windows Server 2012

В Windows Server 2012 групповая политика предлагает расширенную поддержку следующих сценариев.

Удаленное обновление групповой политики

В Windows Server 2012 можно обновить параметры групповой политики, в том числе параметры безопасности, заданные для группы удаленных компьютеров, с помощью функции, добавленной в контекстное меню для организационной единицы (OU) в групповой политике. Консоль управления (GPMC). Эта функция позволяет планировать выполнение задачи на всех компьютерах в выбранной организационной единице, которая обновляет параметры групповой политики компьютера и пользователя.

Какую ценность добавляет это изменение?

При устранении неполадок групповой политики для определенного компьютера или пользователя можно запустить gpupdate.exe, чтобы убедиться, что применены самые последние параметры групповой политики. Эта утилита командной строки должна быть запущена на конкретном компьютере. В Windows Server 2012 вы можете запланировать запуск gpupdate.exe на нескольких компьютерах из консоли управления групповыми политиками или из сеанса Windows PowerShell с помощью нового командлета Invoke-GPUpdate.

Что работает иначе?

До Windows Server 2012 вам приходилось удаленно подключаться к определенному компьютеру и запускать gpupdate.exe из командной строки. В Windows Server 2012 вы можете обновить групповую политику для всех компьютеров в определенной организационной единице и входящих в нее организационных единицах. Дополнительные сведения о новой функции удаленного обновления групповой политики см. в разделе Принудительное обновление удаленной групповой политики (GPUpdate)

Улучшения отчета о результатах групповой политики

Результаты групповой политики в Windows Server 2012 содержат дополнительные сведения, помогающие определить, применялся ли параметр групповой политики к компьютеру или пользователю. Если результаты не соответствуют ожидаемым, есть информация о том, почему это произошло.

Какую ценность добавляет это изменение?

Иногда трудно определить, почему групповая политика применила определенные параметры политики и предпочтения. Отчет о результатах групповой политики включает следующую новую информацию, которая поможет вам понять, почему был достигнут тот или иной результат групповой политики:

Установлено ли соединение как медленное или быстрое

Установлено ли наследование блоков

Установлена ли петля

Время обработки для каждого клиентского расширения

Имя объекта групповой политики теперь отображается с каждым параметром групповой политики и элементом предпочтения. Это определяет, какой объект групповой политики лучше всего подходит для определенного параметра политики или элемента предпочтения.

Что работает иначе?

На вкладке "Сводка результатов групповой политики" отображаются следующие применимые условия:

Если обнаружена медленная или быстрая ссылка

Если установлено наследование блоков

Если петля включена

Отображается вкладка "Сведения о результатах групповой политики":

Подразделение, в котором находится компьютер или пользователь.

В разделе "Статус компонента" отображается время, которое потребовалось для обработки каждого расширения на стороне клиента, а также время последней обработки каждого расширения на стороне клиента.

В разделе «Статус компонента» содержится ссылка в столбце «Журнал событий», которая отображает сообщения журнала событий из последнего обновления групповой политики. Эта функция эквивалентна информации, возвращаемой утилитой GPLogview.exe.

Имя победившего объекта групповой политики отображается в таблице с именем каждого параметра политики и значением, установленным для каждого параметра политики и элемента предпочтения.

Чтобы просмотреть результаты групповой политики для определенного компьютера, на каждом клиентском компьютере должны быть установлены следующие правила брандмауэра, разрешающие следующие подключения: Удаленное управление журналом событий (NP-IN) Удаленное управление журналом событий (RPC) Удаленный журнал событий Управление (RPC-EPMAP) Инструментарий управления Windows (WMI-IN) Если вы не хотите разрешать соединения на компьютерах, вы также можете запустить Gpresult.exe /h из командной строки на каждом локальном компьютере, где имя файла.html имя файла, в который Gpresult записывает выходные данные.

Статус инфраструктуры групповой политики

Отображение состояния репликации Active Directory и SYSVOL, относящегося ко всем объектам групповой политики или к одному объекту групповой политики.

Какую ценность добавляет это изменение?

Групповая политика зависит от того, хранится ли она и реплицируется на все контроллеры домена в домене. После внесения изменения на одном контроллере домена может возникнуть задержка, прежде чем изменение будет реплицировано на все остальные контроллеры домена. Пока изменения объекта групповой политики не будут реплицированы на контроллер домена, к которому обращается клиентский компьютер, этот компьютер будет получать более раннюю версию объекта групповой политики во время обновления групповой политики. В более ранних версиях операционной системы Windows администраторам приходилось загружать GPOtool.exe для диагностики этих проблем.

Что работает иначе?

Дескриптор безопасности Active Directory и SYSVOL (подробности ACL)

Сведения о версии объекта групповой политики Active Directory и SYSVOL

Количество объектов групповой политики, перечисленных в Active Directory и SYSVOL для каждого контроллера домена

Дополнительную информацию о новом состоянии инфраструктуры групповой политики см. в разделе Проверка состояния инфраструктуры групповой политики.

Поддержка локальной групповой политики для Windows RT

Вы можете настроить групповую политику на устройствах под управлением Windows RT.

Какую ценность добавляет это изменение?

Локальная групповая политика доступна для Windows RT. По умолчанию он отключен, но его может включить локальный администратор.

Что работает иначе?

Для устройств Windows RT служба клиента групповой политики отключена по умолчанию. Служба клиента групповой политики должна быть настроена на автоматический режим и запущена администратором до того, как групповая политика будет обработана на устройстве.

Чтобы включить службу клиента групповой политики

На начальном экране введите Services.msc.

Дважды щелкните Клиент групповой политики, чтобы открыть диалоговое окно Свойства клиента групповой политики (локальный компьютер).

Установите для параметра "Тип запуска" значение "Автоматически" и нажмите кнопку "Пуск".

Оптимизация входа

Улучшена обработка медленных ссылок во время входа в систему.

Какую ценность добавляет это изменение?

Больше контроля, чтобы определить, следует ли обрабатывать сетевое подключение, так как медленное соединение улучшает процесс входа для пользователей, позволяя пользователям входить в систему быстрее.

Что работает иначе?

Для подключений DirectAccess, когда невозможно определить скорость сетевого подключения, обработка групповой политики по умолчанию выполняется в режиме медленного подключения. Во время входа, если обнаруживается медленная связь, групповая политика автоматически переключается на асинхронную обработку. Новый параметр политики позволяет администраторам настраивать все соединения 3G таким образом, чтобы они рассматривались как медленные. Чтобы отключить медленное подключение 3G, установите флажок Всегда рассматривать подключения WWAN как медленное подключение после того, как вы включили параметр политики обнаружения медленного подключения в групповой политике.

Настройка политики обнаружения медленных ссылок в групповой политике находится в разделе Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика в редакторе управления групповыми политиками.

Быстрый запуск

Улучшение времени запуска влияет на обработку групповой политики.

Какую ценность добавляет это изменение?

Быстрый запуск сокращает время, необходимое для выключения и включения компьютера, переводя компьютер в режим гибернации вместо полного завершения работы.

Что работает иначе?

Параметры или сценарии групповой политики, которые применяются во время запуска или завершения работы, могут не применяться, если компьютеры настроены на использование быстрого запуска. Дополнительные сведения о влиянии этого изменения см. в статье Влияние оптимизации быстрого входа и быстрого запуска на групповую политику.

Новые стартовые объекты групповой политики

Вы можете настроить требования к порту брандмауэра, чтобы разрешить удаленные отчеты RSoP групповой политики и удаленное обновление групповой политики.

Какую ценность добавляет это изменение?

Два начальных объекта групповой политики упрощают настройку требований к портам брандмауэра групповой политики.Вы можете импортировать начальные объекты групповой политики одновременно с созданием нового объекта групповой политики для этой цели.

Что работает иначе?

Дополнительную информацию о новых начальных объектах групповой политики см. в разделе Настройка требований к порту брандмауэра для групповой политики.

Изменения командлета групповой политики

Автоматизируйте удаленное обновление групповой политики с помощью нового командлета Invoke-GPUpdate.

Командлеты групповой политики также могут выполняться в варианте установки Server Core.

Какую ценность добавляет это изменение?

Новый командлет Invoke-GPUpdate предоставляет больше возможностей, чем применение удаленного обновления групповой политики через интерфейс GPMC. Например, командлет Invoke-GPUpdate позволяет обновлять компьютеры, расположенные в контейнере компьютеров по умолчанию, а функция удаленного обновления групповой политики в консоли управления групповыми политиками позволяет удаленно обновлять только компьютеры, расположенные в подразделении.

В установке Server Core вы можете управлять функциями GPMC с помощью командлетов групповой политики. Это обеспечивает большую гибкость в управлении групповой политикой.

Командлет Get-GPPermissions и командлет Set-GPPermissions переименованы в форму единственного числа: Get-GPPermission и Set-GPPermission. Оба командлета имеют псевдонимы для своих предыдущих имен для поддержки обратной совместимости.

Что работает иначе?

Дополнительные сведения обо всех командлетах групповой политики см. в разделе Командлеты групповой политики в Windows PowerShell.

Изменения в Registry.pol

Увеличение максимального размера файлаRegistry.pol позволяет ускорить загрузку файлов Registration.pol с контроллеров домена.

Какую ценность добавляет это изменение?

С этим изменением должно быть очень мало ситуаций, когда максимальный размер файла register.pol не позволяет администраторам добавлять новые параметры административного шаблона в объект групповой политики. С более быстрой загрузкой файлов реестра.pol обработка групповой политики должна увеличиться.

Что работает иначе?

Максимальный размер файлаRegistry.pol увеличен до 100 МБ. Обработка групповой политики была изменена, чтобы считывать большие объемы данных из файла register.pol при обработке параметров административного шаблона. Это изменение приводит к меньшему сетевому доступу для чтения файла Registration.pol с контроллера домена, что ускоряет обработку групповой политики.

Состояние простоя службы Group Policy Client

Служба клиента групповой политики переходит в спящий режим, если служба групповой политики не используется более 10 минут.

Какую ценность добавляет это изменение?

По умолчанию групповая политика обрабатывается примерно каждые 90 минут. Перевод службы клиента групповой политики в спящий режим между обработками помогает повысить производительность клиентских компьютеров.

Что работает иначе?

Фоновое обновление групповой политики запускается как запланированная задача, а не как служба, которая постоянно проверяет, когда пора запускать фоновое обновление. Модель запланированных задач требует меньше накладных расходов, что повышает производительность клиентских компьютеров.

Параметры групповой политики в Internet Explorer 10

Добавлены параметры административного шаблона групповой политики, поддерживающие Internet Explorer 10.

Какую ценность добавляет это изменение?

Новые параметры групповой политики в административном шаблоне Internet Explorer 10 поддерживают новые функции.

Что работает иначе?

Дополнительную информацию о новых и измененных параметрах политики, которые можно использовать для управления конфигурацией Internet Explorer 10, см. в разделе Параметры групповой политики в Internet Explorer 10.

Настройки групповой политики для Internet Explorer 10

Windows Server 2012 и Windows 8 включают поддержку настроек групповой политики для Internet Explorer 10.

Какую ценность добавляет это изменение?

Предпочтения групповой политики объединяют несколько способов настройки параметров предпочтений Internet Explorer.

Что работает иначе?

Оснастка Internet Explorer Maintenance (IEM) заменена расширением настроек Internet Explorer 10. Администраторы могут использовать расширение настроек Internet Explorer 10 или пакет администрирования Internet Explorer (IEAK) для настройки параметров групповой политики. Информацию о расширении предпочтений Internet Explorer 10 можно найти по адресу:

Удаленная или устаревшая функциональность

В этом выпуске групповой политики удалены следующие функции и функции. Приложения, код или использование, которые зависят от этих функций, не будут работать в этом выпуске, если вы не примените альтернативный метод. Дополнительные сведения об удаленных или устаревших функциях в этом выпуске см. в статье Удаленные или устаревшие функции в Windows Server 2012.

Элемент предпочтения «Немедленная задача» больше не поддерживает следующие действия:

Одной из самых важных вещей в каждом домене на базе Windows являются обновления. Вы, вероятно, захотите организовать обновление с помощью групповой политики домена, поскольку люди часто забывают/откладывают обновления Windows.

Эта лабораторная работа предполагает, что у вас уже есть настроенная конфигурация домена.

Вот как это сделать в Windows Server 2012 R2:

На контроллере домена откройте поиск (или запустите) и введите gpmc.msc | Нажмите на gpmc

<р>. Небольшое примечание. В этом случае мне не нужна одна и та же политика Центра обновления Windows для моих серверов и клиентов. Для производственных серверов было бы неуместно обновлять и перезапускать, скажем, в 13 часов понедельника. Но это было бы очень хорошее время для клиентов, так как в это время все обедают.

В любом случае рекомендуется создавать разные организационные подразделения для разных типов компьютеров и пользователей в вашей среде, чтобы вы могли точно настроить свою групповую политику и разрешения.

Вы можете создать новую организационную единицу в Active Directory Users and Computers | щелкните правой кнопкой мыши доменное имя | Новое – организационное подразделение

Давайте продолжим лабораторную работу

Развернуть лес |Домены | щелкните правой кнопкой мыши свое OU (организационное подразделение), к которому вы хотите применить эту политику (в моем случае TestPCs OU) | Создайте объект групповой политики в этом домене и привяжите его здесь

Нам нужно назвать новый объект групповой политики. Я назову свой Windows_Update | Оставьте None в Source Starter GPO | ОК

Новая политика создается (в моем случае) в подразделении TestPCs и будет применяться ко всем компьютерам, входящим в состав подразделения TestPCs.

Выберите созданный объект групповой политики Windows_Update (объект групповой политики) и перейдите на вкладку «Настройки» в правой части экрана

Щелкните правой кнопкой мыши Конфигурация компьютера |Изменить

Нажмите Конфигурация компьютера | Политика | Административные шаблоны | Компоненты Windows | Центр обновления Windows

Дважды щелкните Настройка автоматического обновления |Включено | в разделе «Параметры» укажите, как должны работать ваши обновления. Я выбираю следующее

Настроить автоматическое обновление: 4 — Автоматическая загрузка и установка по расписанию

День установки по расписанию: 2 — каждый понедельник в 13:00

Чтобы убедиться, что этот параметр работает, нам нужно протестировать его на одном из компьютеров, на которые распространяется эта политика.

Войдите на ПК – командная строка с правами администратора (запуск от имени администратора)

После этого, если мы проверим в Панели управления | Центр обновления Windows | Изменить настройки (правая часть экрана) мы видим, что настройки обновления изменены

Другие параметры обновлений Windows, заслуживающие упоминания:

Включить рекомендуемые обновления с помощью автоматического обновления

Если этот параметр включен, вы будете получать дополнительные обновления для компонентов Windows.

Отсутствие автоматического перезапуска с вошедшими в систему пользователями для плановой автоматической установки обновлений также является хорошим вариантом.

Заключение

Мы настроили групповую политику и включили автоматическое обновление Windows для компьютеров в нашем домене.

Групповая политика (GP) – это функция управления Windows, позволяющая контролировать конфигурации нескольких пользователей и компьютеров в среде Active Directory.

С помощью GP все организационные подразделения, сайты или домены можно настроить из единого и централизованного места.

Эта функция помогает сетевым администраторам в больших средах Windows экономить время, поскольку им не нужно проверять каждый компьютер для установки новой конфигурации.

Несмотря на то, что существуют и другие способы управления активами Windows, такие как Desired State Configuration (DSC), System Center Configuration Manager (SCCM) и Mobile Device Management (MDM), ни один из них не позволяет осуществлять детальный контроль, который предоставляет GP.

Что такое консоль управления групповыми политиками?

Набор параметров групповой политики (GP), называемый объектом групповой политики (GPO), определяет, как должна вести себя группа пользователей или компьютеров.

Объекты групповой политики связаны с контейнерами AD, включая локальный компьютер, сайт, домен и организационную единицу (OU).

Групповыми политиками в пределах всего леса AD можно управлять с помощью консоли управления групповыми политиками (GPMC) — встроенного в Windows Server 2008 (и более поздних версий) инструмента администрирования.

GPMC работает через оснастку консоли управления Microsoft (MMC).

Он объединяет функциональные возможности многих инструментов (встраиваемых модулей) в один, включая пользователей и компьютеры AD, результирующий набор политик, редактор ACL и мастер делегирования GMPC.

В целом, GPMC предоставляет интерфейс для централизованного просмотра, управления и устранения неполадок с GP.

Но вы также можете точно контролировать создание объектов групповой политики, которые определяют политики, параметры безопасности, обновления программного обеспечения, установки, параметры обслуживания, сценарии, перенаправления папок и многое другое.

Кроме того, вы также можете создавать резервные копии, восстанавливать и импортировать объекты групповой политики.

Чтобы открыть GPMC, перейдите в Диспетчер Windows Server > Откройте «Меню инструментов» > «Управление групповыми политиками»

Как установить консоль управления групповыми политиками?

Как упоминалось ранее, GMPC встроен в Windows Server (начиная с 2008 г.), поэтому его установка — очень простой процесс.

В этом руководстве мы установим консоль управления групповыми политиками на Windows Server 2012 R2.

Откройте диспетчер серверов. По умолчанию приложение диспетчера серверов закреплено на панели задач. Но если вы не можете найти его там, вы можете зажать комбинацию клавиш Win + R, чтобы открыть окно «Выполнить». Затем введите «Диспетчер серверов» и нажмите «ОК».
На панели управления диспетчера серверов нажмите "Добавить роли и компоненты".
Откроется мастер добавления компонентов и ролей.
Оставьте для параметра «Тип установки» значения по умолчанию: «Установка на основе ролей или компонентов».
Выберите сервер из пула серверов.
Найдите сервер под управлением Windows, на котором вы хотите установить консоль управления групповыми политиками. Нажмите кнопку "Далее."
Пропустить роли сервера и перейти к разделу «Функции». В разделе «Возможности» вы должны найти инструмент «Управление групповыми политиками». Поставьте галочку, нажмите "Далее" и нажмите "Установить".
Процесс установки займет несколько минут.

Как использовать консоль управления групповыми политиками?

Чтобы открыть GPMC, снова перейдите в Инструменты администратора (Win + R и введите "Инструменты администратора"), найдите и дважды щелкните Консоль управления групповыми политиками.

Как упоминалось ранее, консоль управления групповыми политиками позволяет управлять всем лесом AD, включая его сайты, домены и организационные подразделения.

Чтобы просмотреть перечень всех объектов групповой политики, настроенных в домене, перейдите на левую панель консоли управления групповыми политиками.
В разделе «Лес» выберите «Домен» > и перейдите к «Объекты групповой политики».
Здесь вы увидите два типа объектов групповой политики по умолчанию: политика домена по умолчанию и политика контроллеров домена по умолчанию. Один связан с доменом, а другой с контроллером домена.

В этой структуре, включая контроллеры домена и политики доменов, вы можете увидеть статус их объектов групповой политики, связанных объектов групповой политики, наследования групповых политик и их делегирования.

Как создать новый объект групповой политики (GPO)?

Рекомендуется избегать изменения политики домена по умолчанию и политики контроллеров домена по умолчанию, так как вы всегда можете вернуть GPO к исходной конфигурации.

Есть несколько вещей, которые необходимо учитывать при создании нового объекта групповой политики.

Дайте вашему новому объекту групповой политики имя (вы можете использовать имя другого объекта групповой политики в качестве источника).
Определите, куда связать новый объект групповой политики, будь то подразделение, домен или сайт.

Чтобы создать новый объект групповой политики:

Щелкните правой кнопкой мыши подразделение и выберите параметр «Создать объект групповой политики в этом домене и связать его здесь…»
Укажите имя нового объекта групповой политики и нажмите «ОК».
Когда вы сохраните его, ваш новый объект групповой политики будет немедленно включен и связан с указанным подразделением.

Второй способ создать новый объект групповой политики — щелкнуть правой кнопкой мыши контейнер объекта групповой политики и выбрать «Создать». Ваш новый объект групповой политики создан, но не связан!

При использовании второго метода вам придется вручную связать новый объект групповой политики с доменом, сайтом или подразделением. Щелкните правой кнопкой мыши место, которое вы хотите связать, и выберите «Связать существующий объект групповой политики».

После того как вы создадите новый объект групповой политики, он будет немедленно связан, включен и сохранен в реестре объектов групповой политики.

Как изменить объект групповой политики?

После создания нового объекта групповой политики для любого домена, сайта или организационной единицы он будет автоматически создан со значениями конфигурации по умолчанию. Эти значения не имеют никакой конфигурации, поэтому вам нужно будет открыть объект групповой политики и отредактировать его конфигурацию «по умолчанию».

Чтобы изменить объект групповой политики, перейдите в список объектов групповой политики и найдите объект групповой политики, который вы хотите изменить, щелкните его правой кнопкой мыши и выберите «Изменить».

Управление групповыми политиками автоматически откроется в редакторе в новом окне.

Редактор управления групповыми политиками также является важным инструментом администрирования Windows, который позволяет пользователям изменять политики конфигурации на компьютерах и пользователях.

Структура редактора разделена на два типа конфигурации GPO: «Пользователь» и «Компьютер».

Конфигурация пользователя задается при входе пользователя в систему, тогда как конфигурация компьютера применяется к ОС Windows при ее запуске.

Конфигурация GPO: политики и настройки

Структура редактора GPM далее делится на политики и настройки, независимо от того, находитесь ли вы в конфигурации пользователя или компьютера.

В чем их отличия?

Политики:
Начато с Windows Server 2000. Политики были первоначальным методом глобальной настройки параметров. Когда политика применяется к компьютеру или пользователю, конфигурации могут быть изменены или удалены, но они вернутся к своим значениям, определенным в групповой политике. Эти параметры имеют более высокий приоритет, чем параметры конфигурации приложения, и иногда они даже «неактивны». В политиках вы найдете параметры программного обеспечения (применение конфигурации программного обеспечения к компьютерам/пользователям), параметры Windows (для параметров безопасности или учета Windows) и административные шаблоны (управление ОС и пользователем).

Политики проверяются и применяются каждые 90 минут с помощью процесса, который называется "Фоновое обновление"

Настройки:
Этот параметр был включен в Windows 2008 с целью замены пользовательских сценариев входа, которые использовались для добавления функциональности. Эти параметры можно применять только при желании, и они не «регулируются» фоновым обновлением (как это делают политики). Предпочтения устанавливаются только при запуске компьютера или при первом входе пользователя в систему, но предоставляют пользователю больше возможностей для их изменения и удаления.

В настройках вы можете настроить параметры Windows и параметры панели управления. Предпочтения можно настраивать только в объектах групповой политики домена, тогда как политики можно устанавливать как для доменных, так и для локальных объектов групповой политики.

Приоритет и наследование объектов групповой политики

Как упоминалось ранее, когда вы создаете новый объект групповой политики, вам также необходимо связать его где-то, например с доменом, сайтом или подразделением.

Но вы также можете иметь несколько объектов групповой политики, связанных с разными доменами, сайтами или подразделениями. Но для этого вам необходимо установить приоритеты.

Приоритет GPO позволяет настраивать объекты GPO с разными уровнями приоритета.

По умолчанию GPO с наибольшим приоритетом связаны с OU. Меньший приоритет отдается тем, которые связаны с доменом, а затем с сайтом.

Наименьший приоритет отдается локальным групповым политикам. Это означает, что объекты групповой политики, связанные с OU на самом высоком уровне AD, будут обрабатываться в первую очередь.

Если имеется один связанный объект групповой политики, вы должны увидеть его на этой вкладке. Если их больше, вы увидите все объекты групповой политики с соответствующим номером заказа ссылки.

Самый высокий номер ссылки, который имеет объект групповой политики, имеет наименьший приоритет.

Например, объект групповой политики с порядком связывания № 1 всегда будет иметь приоритет над объектом групповой политики с порядком связывания № 2.

Чтобы настроить приоритет объекта групповой политики, вы можете изменить номер порядка ссылок, переместив объект групповой политики вверх или вниз.

По умолчанию все параметры групповой политики, связанные с родительским объектом (т., сайт, домен или подразделение) наследуются дочерними объектами (доменами, подразделениями или дочерними подразделениями) в иерархии AD.

Все унаследованные объекты групповой политики можно просмотреть на вкладке "Наследование групповой политики".

Заключительные слова

При настройке групповых политик обязательна консоль управления групповыми политиками Microsoft (GPMC)!

Хотя другие сторонние инструменты управления групповыми политиками также могут помочь вам контролировать групповые политики, обладая исключительными возможностями, ничто не сравнится с GPMC.

Консоль управления групповыми политиками — это готовый инструмент Windows Server.

Его легко установить и использовать. GPMC предназначен не только для создания и редактирования объектов групповой политики; вы можете иметь исключительный точный контроль и даже автоматизировать вещи.

Например, если вам нужна автоматизация, оставаясь в среде Windows, GPMC также включает модуль PowerShell.

Этот модуль поможет вам автоматизировать задачи управления групповыми политиками.

Читайте также: