Настройка групповой политики Windows Server 2016

Обновлено: 21.11.2024

В этой статье мы узнаем о том, как создать групповую политику в Windows Server 2016. Сначала откройте консоль управления групповыми политиками с помощью диспетчера серверов. Используя GPM, мы можем назначать различные политики для организационных единиц (OU). Мы показываем простой пример для создания GP. Щелкните правой кнопкой мыши имя домена и нажмите, чтобы создать объект групповой политики в этом домене и ссылку здесь. Дайте имя для New GPO, мы даем Information Security и нажимаем OK.

Щелкните правой кнопкой мыши Объект групповой политики и выберите Изменить.
Здесь мы показываем простой пример редактирования объекта групповой политики, нажмите «Политики» — «Настройки Windows» — «Настройки безопасности» — «Политики учетной записи» — «Политика паролей», нажмите «Максимальный срок действия пароля» и нажмите «ОК». Нажмите GPO и нажмите «Настройки», чтобы проверить, какие политики включены. Групповая политика блокировки наследования
Чтобы заблокировать наследование групповой политики родительскому организационному подразделению, она используется для неприменения какой-либо политики к заблокированному наследованию. Например, щелкните правой кнопкой мыши организационное подразделение и выберите «Блокировать наследование». Теперь мы видим заблокированные организационные подразделения, такие как BPO и технический отдел. Принудительная групповая политика

Принудительная политика будет применяться ко всем подразделениям, за которыми следуют в Active Directory. Это означает, что даже если вы заблокировали какое-либо OU с помощью Block Inheritance, Enforce переопределит эти настройки и применит политику, которая когда-либо применялась. Так что будьте осторожны, при выборе Enforce он будет переопределять и применять, что может вызвать проблемы, если какие-либо организационные единицы определены и требуют других настроек.
Чтобы включить Enforce, щелкните правой кнопкой мыши GPO и выберите Enforced. Ссылка включена GPO
Ссылка включена, что групповая политика связана с OU. Таким образом, политика применяется к объектам внутри OU. Щелкните правой кнопкой мыши объект групповой политики и выберите Ссылка включена. По умолчанию групповая политика обновляется до клиентов каждые 90 минут, что означает, что клиент будет связываться с Active Directory каждые 90 минут, чтобы проверить наличие изменений в политике и обновить, если какие-либо изменения или новые политики доступны и применимы для этого конкретного клиента. Если вы хотите обновить немедленно, мы можем использовать gpupdate /force в клиентах, которые будут проверять и обновлять.

В этом разделе вы создадите объект групповой политики для всех компьютеров в вашей организации, настроите клиентские компьютеры-члены домена в режиме распределенного или размещенного кэша, а также настроите брандмауэр Windows в режиме повышенной безопасности, чтобы разрешить трафик BranchCache.

Этот раздел содержит следующие процедуры.

В следующей процедуре вам предлагается создать объект групповой политики в политике домена по умолчанию, однако вы можете создать объект в организационном подразделении (OU) или другом контейнере, который подходит для вашего развертывания.

Для выполнения этих процедур вы должны быть членом группы администраторов домена или аналогичной.

Чтобы создать объект групповой политики и настроить режимы BranchCache

На компьютере, на котором установлена ​​роль сервера доменных служб Active Directory, в диспетчере серверов щелкните Инструменты, а затем выберите Управление групповыми политиками. Откроется консоль управления групповыми политиками.

Щелкните правой кнопкой мыши Объекты групповой политики и выберите Создать. Откроется диалоговое окно Новый объект групповой политики. В поле Имя введите имя нового объекта групповой политики (GPO). Например, если вы хотите назвать объект «Клиентские компьютеры BranchCache», введите «Клиентские компьютеры BranchCache». Нажмите "ОК".

В консоли управления групповыми политиками убедитесь, что выбраны объекты групповой политики, и в области сведений щелкните правой кнопкой мыши только что созданный объект групповой политики. Например, если вы назвали свой объект групповой политики «Клиентские компьютеры BranchCache», щелкните правой кнопкой мыши «Клиентские компьютеры BranchCache». Щелкните Изменить. Откроется консоль редактора управления групповыми политиками.

В консоли редактора управления групповыми политиками разверните следующий путь: Конфигурация компьютера, Политики, Административные шаблоны: определения политик (файлы ADMX), полученные с локального компьютера, Сеть, BranchCache.

Нажмите BranchCache, а затем в области сведений дважды щелкните Включить BranchCache. Откроется диалоговое окно настройки политики.

В диалоговом окне "Включить BranchCache" выберите "Включено", а затем нажмите "ОК".

Чтобы включить режим распределенного кэша BranchCache, в области сведений дважды щелкните Задать режим распределенного кэша BranchCache. Откроется диалоговое окно настройки политики.

В диалоговом окне "Установка режима распределенного кэша BranchCache" выберите "Включено", а затем нажмите "ОК".

Если у вас есть один или несколько филиалов, в которых вы развертываете BranchCache в режиме размещенного кэша, и вы развернули серверы размещенного кэша в этих офисах, дважды щелкните Включить автоматическое обнаружение размещенного кэша по точке подключения службы. Откроется диалоговое окно настройки политики.

В диалоговом окне «Включить автоматическое обнаружение размещенного кэша по точке подключения службы» выберите «Включено», а затем нажмите «ОК».

При включении параметров политики «Задать режим распределенного кэша BranchCache» и «Включить автоматическое обнаружение размещенного кэша по точке подключения службы» клиентские компьютеры будут работать в режиме распределенного кэша BranchCache, если только они не найдут сервер размещенного кэша в филиале. они работают в режиме размещенного кэша.

Используйте приведенные ниже процедуры для настройки параметров брандмауэра на клиентских компьютерах с помощью групповой политики.

Настройка брандмауэра Windows с правилами входящего трафика повышенной безопасности

В консоли управления групповыми политиками убедитесь, что выбран объект «Объекты групповой политики», и в области сведений щелкните правой кнопкой мыши объект групповой политики клиентских компьютеров BranchCache, созданный ранее. Например, если вы назвали свой объект групповой политики «Клиентские компьютеры BranchCache», щелкните правой кнопкой мыши «Клиентские компьютеры BranchCache». Щелкните Изменить. Откроется консоль редактора управления групповыми политиками.

В консоли редактора управления групповыми политиками разверните следующий путь: Конфигурация компьютера, Политики, Параметры Windows, Параметры безопасности, Брандмауэр Windows в режиме повышенной безопасности, Брандмауэр Windows в режиме повышенной безопасности — LDAP, Правила для входящих подключений.

Щелкните правой кнопкой мыши «Правила для входящих подключений» и выберите «Новое правило». Откроется мастер создания правила для нового входящего трафика.

В разделе "Предопределенные правила" нажмите "Далее".

Убедитесь, что в разделе «Действие» выбран параметр «Разрешить подключение», а затем нажмите «Готово».

Вы должны выбрать Разрешить подключение, чтобы клиент BranchCache мог получать трафик через этот порт.

Чтобы создать исключение брандмауэра WS-Discovery, еще раз щелкните правой кнопкой мыши "Правила для входящих подключений" и выберите "Новое правило". Откроется мастер создания правила для нового входящего трафика.

В разделе "Тип правила" нажмите "Предопределенные", разверните список вариантов, а затем нажмите "BranchCache — обнаружение одноранговых узлов (использует WSD). Нажмите «Далее».

В разделе "Предопределенные правила" нажмите "Далее".

Убедитесь, что в разделе «Действие» выбран параметр «Разрешить подключение», а затем нажмите «Готово».

Вы должны выбрать Разрешить подключение, чтобы клиент BranchCache мог получать трафик через этот порт.

Настройка брандмауэра Windows с правилами для исходящего трафика повышенной безопасности

В консоли редактора управления групповыми политиками щелкните правой кнопкой мыши Исходящие правила и выберите Новое правило. Откроется мастер создания правила для нового исходящего трафика.

В разделе "Предопределенные правила" нажмите "Далее".

Убедитесь, что в разделе «Действие» выбран параметр «Разрешить подключение», а затем нажмите «Готово».

Вы должны выбрать Разрешить подключение, чтобы клиент BranchCache мог отправлять трафик через этот порт.

Чтобы создать исключение брандмауэра WS-Discovery, снова щелкните правой кнопкой мыши Outbound Rules и выберите New Rule. Откроется мастер создания правила для нового исходящего трафика.

В разделе "Тип правила" нажмите "Предопределенные", разверните список вариантов, а затем нажмите "BranchCache — обнаружение одноранговых узлов (использует WSD). Нажмите «Далее».

В разделе "Предопределенные правила" нажмите "Далее".

Убедитесь, что в разделе «Действие» выбран параметр «Разрешить подключение», а затем нажмите «Готово».

Вы должны выбрать Разрешить подключение, чтобы клиент BranchCache мог отправлять трафик через этот порт.

Чтобы начать использовать групповую политику, нам сначала нужно создать объект групповой политики. Этот объект, чаще всего называемый GPO, содержит параметры, которые мы хотим развернуть. Он также содержит информацию, необходимую для присоединенных к домену систем, чтобы знать, какие машины и пользователи получают эти настройки, а какие нет. Крайне важно тщательно спланировать назначение объекта групповой политики. Создать политику, применимую ко всем присоединенным к домену системам во всей вашей сети, несложно, но в зависимости от того, какие параметры вы настраиваете в этой политике, это может нанести ущерб некоторым из ваших серверов. Часто я обнаруживаю, что администраторы, лишь немного знакомые с групповой политикой, используют встроенный объект групповой политики, называемый политикой домена по умолчанию. Это по умолчанию применяется ко всему в вашей сети. Иногда это именно то, чего вы хотите достичь. В большинстве случаев это не так!

Мы собираемся использовать этот раздел, чтобы подробно описать процесс создания нового объекта групповой политики, а также использовать некоторые разделы назначения, называемые Ссылки и Фильтры безопасности, которые дадут нам полный контроль над тем, какие объекты получают эти системы, и что более важно, какие нет.

Подготовка

Наша сегодняшняя работа будет выполняться с сервера контроллера домена Server 2016. Если вы используете роль доменных служб, у вас уже установлены элементы, необходимые для управления групповой политикой.

Как это сделать…

Выполните следующие действия, чтобы создать и назначить новый объект групповой политики:

  1. Откройте Диспетчер серверов, щелкните меню "Инструменты" и выберите, чтобы открыть консоль управления групповыми политиками.
  2. Разверните доменное имя и щелкните папку под названием «Объекты групповой политики» . Это показывает вам список ваших текущих объектов групповой политики.
  3. Щелкните правой кнопкой мыши папку "Объекты групповой политики" и выберите "Создать" .
  4. Вставьте имя для вашего нового объекта групповой политики. Я собираюсь назвать свой Map Network Drives . В конечном итоге мы будем использовать этот объект групповой политики в более позднем рецепте:

  1. Нажмите «ОК» и разверните папку «Объекты групповой политики», если это еще не сделано. Вы должны увидеть новый объект групповой политики в этом списке. Нажмите на новый объект групповой политики, чтобы увидеть его настройки.
    1. Мы хотим, чтобы этот новый объект групповой политики применялся только к определенной группе пользователей, которую мы установили. Это назначение объекта групповой политики обрабатывается на самом низком уровне в разделе «Фильтрация безопасности», который вы видите на следующем экране. Вы можете видеть, что по умолчанию в списке есть Authenticated Users. Это означает, что если мы создадим связь между этим объектом групповой политики и организационной единицей (OU) в домене, параметры политики немедленно начнут применяться к любой учетной записи пользователя:

    1. Поскольку мы хотим быть абсолютно уверены, что только определенные учетные записи пользователей получают эти сопоставления дисков, мы собираемся изменить раздел «Фильтрация безопасности» и перечислить только группу пользователей, которую мы создали для размещения этих учетных записей пользователей. В разделе Security Filtering нажмите кнопку Remove, чтобы удалить Authenticated Users из этого списка. Теперь он должен быть пуст.
    2. Теперь нажмите кнопку "Добавить...", также указанную в разделе "Фильтрация безопасности".
    3. Введите имя своей группы, для которой вы хотите отфильтровать этот объект групповой политики. Моя группа называется Sales Group. Нажмите "ОК".
    4. Теперь этот объект групповой политики будет применяться только к пользователям, которых мы помещаем в группу под названием Sales Group , но на данный момент этот объект групповой политики не будет применяться нигде, поскольку мы еще не установили никаких связей. Это верхняя часть вкладки "Область действия", которая сейчас пуста:

    1. Нам нужно связать этот объект групповой политики с каким-то местом в структуре нашего домена. По сути, это говорит о том, что примените эту политику отсюда и вниз в нашей структуре OU. При создании ссылки без фильтрации безопасности объект групповой политики будет применяться ко всему, что находится под этой ссылкой. Однако, поскольку фильтрация безопасности включена и указана для конкретной группы, фильтрация безопасности будет последней инстанцией, утверждающей, что эти настройки GPO будут применяться только к членам нашей группы продаж. Для этой политики подключения сетевых дисков мы хотим, чтобы она применялась к организационной единице с названием US Laptops .
      1. Щелкните правой кнопкой мыши подразделение с названием «Ноутбуки США» и выберите параметр «Связать существующий объект групповой политики…»:

      1. Выберите имя нашего нового объекта групповой политики «Подключить сетевые диски» и нажмите «ОК»:

      Наш новый объект групповой политики теперь связан с подразделением US Laptops, поэтому на этом уровне любая система, размещенная внутри этого подразделения, получит настройки, если мы не соединим его на шаг ниже с разделом «Фильтрация безопасности». Поскольку мы заполнили его только названием нашей конкретной группы продаж , это означает, что новая политика сопоставления дисков будет применяться только к тем пользователям, которые добавлены в эту группу.

      Как это работает…

      В нашем примере рецепта мы создали новый объект групповой политики и предприняли необходимые шаги, чтобы ограничить этот объект групповой политики компьютерами и пользователями, которых мы сочли необходимыми в нашем домене. Каждая сеть отличается, и вы можете полагаться только на ссылки для сортировки объектов групповой политики в соответствии с вашими потребностями, или вам может потребоваться принудительно применить некоторую комбинацию как ссылок, так и фильтрации безопасности. В любом случае, в зависимости от того, что лучше для вас, убедитесь, что вы уверены в конфигурации этих полей, чтобы вы могли без тени сомнения знать, где применяется ваш объект групповой политики. Вы, возможно, заметили, что в нашем рецепте мы на самом деле не настраивали какие-либо параметры внутри объекта групповой политики, поэтому на данный момент он по-прежнему ничего не делает для тех, кто находится в группе продаж. Продолжайте читать, чтобы перейти к фактическим параметрам групповой политики.

      До сих пор мы создавали объекты групповой политики и помещали в них настройки, поэтому мы хорошо осведомлены о том, что происходит с каждой из наших политик. Однако часто вы входите в новую среду, содержащую множество существующих политик, и вам может потребоваться выяснить, что происходит в этих политиках. У меня было много случаев, когда я устанавливаю новый сервер, присоединяю его к домену, а он ломается. Это не обязательно резкое падение, но какой-то компонент не будет работать должным образом или я не могу по какой-то причине направить на него сетевой трафик. Что-то подобное может быть трудно отследить.Поскольку проблема возникла во время процесса присоединения к домену, я подозреваю, что какая-то политика из существующего объекта групповой политики была применена к моему новому серверу и оказывает на него негативное влияние. Давайте заглянем внутрь групповой политики, чтобы найти самый простой способ отобразить параметры, содержащиеся в каждом объекте групповой политики.

      Подготовка

      Для этого рецепта нам нужен только доступ к консоли управления групповыми политиками, которую я собираюсь запустить с моего сервера-контроллера домена Server 2016.

      Как это сделать…

      Чтобы быстро просмотреть параметры, содержащиеся в объекте групповой политики, выполните следующие действия:

      1. В контроллере домена откройте диспетчер серверов и запустите консоль управления групповыми политиками из меню "Инструменты".
        1. Разверните имя своего домена, а затем разверните папку "Объекты групповой политики". Здесь отображаются все объекты групповой политики, настроенные в настоящее время в вашем домене.
        2. Нажмите на один из объектов групповой политики, чтобы отобразить разделы «Ссылки» и «Фильтрация безопасности» в правой части окна.
        3. Теперь нажмите на вкладку "Настройки" вверху.
        4. Открыв вкладку "Настройки", нажмите ссылку "Показать все" в правом верхнем углу. Это отобразит все параметры, которые в настоящее время настроены внутри этого объекта групповой политики:

        Как это работает…

        В этом очень простом рецепте мы используем консоль управления групповыми политиками для просмотра текущих настроенных параметров внутри наших объектов групповой политики. Это может быть очень полезно для проверки существующих параметров и их сравнения с тем, что фактически настраивается на клиентских компьютерах. Просмотр этой информации также может помочь вам выявить потенциальные проблемы, такие как повторяющиеся настройки, распределенные по нескольким объектам групповой политики.

        См. также

        Просмотр параметров, включенных в объект групповой политики, может быть полезен при устранении неполадок, но существует множество других инструментов, которые можно дополнительно использовать для устранения неполадок групповой политики. Вот несколько ссылок, которые помогут вам понять рекомендуемые процедуры устранения неполадок групповой политики:

        Читайте также: