Групповые политики active drirectory
Содержание:
- Установка роли WSUS на Windows Server 2012 R2 / 2016
- Предпочтения групповой политики
- Назначение политики для пакета пользователей
- Принцип работы с групповыми политиками
- Как Windows 10 сбросить настройки локальной групповой политики.
- Для чего необходимы групповые политики
- Настройки политики
- Расположение реестра групповой политики в Windows 10
- Вместо итога
Установка роли WSUS на Windows Server 2012 R2 / 2016
Еще в Windows Server 2008 сервис WSUS был выделен в отдельную роль, которую можно было установить через консоль управления сервером. В Windows Server 2012 / R2 этот момент не поменялся. Откройте консоль Server Manager и отметьте роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб сервера IIS).
Отметьте опцию WSUS Services, далее необходимо выбрать тип базы данных, которую будет использовать WSUS.
В Windows Server 2012 R2 поддерживаются следующие типы SQL баз данных для WSUS сервера:
- Windows Internal Database (WID);
- Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 в редакциях Enterprise / Standard / Express Edition;
- Microsoft SQL Server 2012 Enterprise / Standard / Express Edition.
Соответственно вы можете использовать встроенную базу данных Windows WID (Windows Internal database), которая является бесплатной и не требует дополнительного лицензирования. Либо вы можете использовать выделенную локальная или удаленную (на другом сервере) базу данных на SQL Server для хранения данных WSUS.
База WID по умолчанию называется SUSDB.mdf и хранится в каталоге windir%\wid\data\. Эта база поддерживает только Windows аутентификацию (но не SQL). Инстанс внутренней (WID) базы данных для WSUS называется server_name\Microsoft##WID. В базе данных WSUS хранятся настройки сервера обновлений, метаданные обновлений и сведения о клиентах сервера WSUS.
Внутреннюю базу Windows (Windows Internal Database) рекомендуется использовать, если:
- Организация не имеет и не планирует покупать лицензии на SQL Server;
- Не планируется использовать балансировку нагрузки на WSUS (NLB WSUS);
- Если планируется развернуть дочерний сервер WSUS (например, в филиалах). В этом случае на вторичных серверах рекомендуется использовать встроенную базу WSUS.
Базу WID можно администрировать через SQL Server Management Studio (SSMS), если указать в строке подключения \\.\pipe\MICROSOFT##WID\tsql\query.
Отметим, что в бесплатных редакциях SQL Server 2008/2012 Express имеет ограничение на максимальный размер БД – 10 Гб. Скорее всего это ограничение достигнуто не будет (например, размер базы WSUS на 2500 клиентов – около 3 Гб). Ограничение Windows Internal Database – 524 Гб.
В случае, установки роли WSUS и сервера БД на разных серверах, существует ряд ограничений:
- SQL сервер с БД WSUS не может быть контроллером домена;
- Сервер WSUS не может быть одновременно сервером терминалов с ролью Remote Desktop Services;
Если вы планируете использовать встроенную базу данных (это вполне рекомендуемый и работоспособный вариант даже для больших инфраструктур), отметьте опцию WID Database.
Затем нужно указать каталог, в котором будут храниться файлы обновлений (рекомендуется, чтобы на выбранном диске было как минимум 10 Гб свободного места).
Размер базы данных WSUS сильно зависит от количества продуктов и ОС Windows, которое вы планируете обновлять. В большой организации размер файлов обновлений на WSUS сервере может достигать сотни Гб. Например, у меня каталог с обновлениями WSUS занимает около 400 Гб (хранятся обновления для Windows 7, 8.1, 10, Windows Server 2008 R2, 2012 / R2/ 2016, Exchange 2013, Office 2010 и 2016, SQL Server 2008/2012/2016). Имейте это в виду, планируя место для размещения файлов WSUS.
В том случае, если ранее было выбрано использование отдельной выделенной БД SQL, необходимо указать имя сервера СУБД, инстанса БД и проверить подключение.
Далее запустится установка роли WSUS и всех необходимых компонентов, после окончания которых запустите консоль управления WSUS в консоли Server Manager.
Вы также можете установить сервер WSUS со внутренней базой данных с помощью следующей команды PowerShell:
Предпочтения групповой политики
Предпочтения групповой политики — это способ, с помощью которого администратор может устанавливать политики, которые не являются обязательными, но необязательными для пользователя или компьютера. Существует набор расширений параметров групповой политики, которые ранее назывались PolicyMaker. Microsoft купила PolicyMaker, а затем интегрировала их с Windows Server 2008 . С тех пор Microsoft выпустила инструмент миграции, который позволяет пользователям переносить элементы PolicyMaker в настройки групповой политики.
В настройках групповой политики добавлен ряд новых элементов конфигурации. Эти элементы также имеют ряд дополнительных параметров таргетинга, которые можно использовать для детального управления применением этих элементов настройки.
Предпочтения групповой политики совместимы с версиями x86 и x64 Windows XP, Windows Server 2003 и Windows Vista с добавлением клиентских расширений (также известных как CSE).
Клиентские расширения теперь включены в Windows Server 2008 , Windows 7 и Windows Server 2008 R2 .
Назначение политики для пакета пользователей
Использование Центра администрирования
Чтобы массово назначить политику пользователям:
- В левой области навигации центра администрирования Microsoft Teams выберите Пользователи.
- Найщите пользователей, для них нужно назначить политику, или отфильтруем представление, чтобы отфильтровать нужных пользователей.
- В столбце ✓ (галочка) выберите пользователей. Чтобы выбрать всех пользователей, щелкните ✓ (галочку) в верхней части таблицы.
- Выберите Изменить параметры, внесите нужные изменения и выберите Применить.
Чтобы просмотреть состояние назначения политики, в баннере, который появляется в верхней части страницы «Пользователи» после выбора применить для отправки задания политики, выберите журнал действий. Кроме того, в левой области навигации Центра администрирования Microsoft Teams выберите Панель мониторинга , а затем в журнале действий выберите Просмотреть сведения. В журнале действий показаны назначения политик более чем 20 пользователям через центр администрирования Microsoft Teams за последние 30 дней. Дополнительные данные см. в записи просмотра заданий политики в журнале действий.
Использование метода PowerShell
Примечание
В настоящее время назначение пакетной политики с помощью PowerShell доступно не для Teams типов политик. Список поддерживаемых типов политик см. в списке New-CsBatchPolicyAssignmentOperation.
При назначении пакетной политики вы можете назначать политику большому набору пользователей одновременно, не пользуясь сценарием. Для отправки пакета пользователей и политики, которую вы хотите назначить, используется cmdlet New-CsBatchPolicyAssignmentOperation. Задания будут обрабатываться в фоновом режиме, а для каждого пакета будет создан идентификатор операции. Затем можно использовать для отслеживания хода выполнения и состояния заданий в пакете с помощью cmdlet Get-CsBatchPolicyAssignmentOperation.
Укажите пользователей по их ИД объекта или SIP-адресу. SIP-адрес пользователя часто имеет то же значение, что и имя пользователя (UPN) или адрес электронной почты, но это не обязательно. Если имя пользователя указано с помощью его имя-пользователя или электронной почты, но его значение отличается от SIP-адреса, назначение политики для него не удастся. Если пакет содержит дубликатов пользователей, они будут удалены из пакета до обработки, а состояние будет предоставлено только для уникальных пользователей, оставшихся в пакете.
Пакет может содержать до 5 000 пользователей. Для получения наилучших результатов не от отправьте несколько пакетов за один раз. Разрешить обработку пакетов перед отправкой дополнительных пакетов.
Установка и подключение к Teams PowerShell
Чтобы установить модуль Microsoft Teams PowerShell, запустите следующую следующую Microsoft Teams. Установите версию 1.0.5 или более поздней.
Чтобы подключиться к Teams и начать сеанс, запустите следующую:
Когда вам будет предложено, войте в учетные данные администратора.
Установка и подключение к Azure AD PowerShell для Graph (необязательно)
Кроме того, может потребоваться скачать и установить модуль Azure AD PowerShell для Graph (если вы еще не сделали этого) и подключиться к Azure AD, чтобы получить список пользователей в организации.
Чтобы подключиться к Azure AD, запустите следующую службу:
В окне запроса войтесь в учетные данные администратора, которые использовались для подключения к Teams.
Назначение политики установки для пакета пользователей
В этом примере с помощью нового CsBatchPolicyAssignmentOperation назначим политику настройки приложений с названием Политика настройки приложений для отдела кадров пакету пользователей, перечисленных в Users_ids.text file.
В этом примере мы подключаемся к Azure AD, чтобы получить набор пользователей, а затем назначим политику обмена сообщениями «Новая политика обмена сообщениями о приеме на работу» пакету пользователей, указанному с помощью их SIP-адреса.
Получить состояние пакета назначения
Чтобы получить состояние пакета назначения, где OperationId — это код операции, возвращаемой этим cmdlet для заданного пакета, запустите следующую операцию:
Если выходные данные показывают, что произошла ошибка, запустите следующую, чтобы получить дополнительные сведения об ошибках, которые находятся в свойстве.
Подробнее см. в get-CsBatchPolicyAssignmentOperation.
Принцип работы с групповыми политиками
Рассматриваемый в этой статье инструмент позволяет применять множество самых разнообразных параметров. К сожалению, большинство из них понятно только профессионалам, использующим групповые политики в рабочих целях. Однако и обычному пользователю есть что настроить, используя некоторые параметры. Разберем несколько простых примеров.
Изменение окна безопасности Windows
Если в Виндовс 7 зажать сочетание клавиш Ctrl + Alt + Delete, то будет запущено окно безопасности, где осуществляется переход к диспетчеру задач, блокировка ПК, завершение сеанса системы, смена профиля пользователя и пароля.
Каждая команда за исключением «Сменить пользователя» доступна для редактирования путем изменения нескольких параметров. Выполняется это в среде с параметрами или путем изменения реестра. Рассмотрим оба варианта.
- Откройте редактор.
- Перейдите в папку «Конфигурация пользователя», «Административные шаблоны», «Система» и «Варианты действий после нажатия Ctrl + Alt + Delete».
Откройте любую необходимую политику в окне справа.
В простом окне управления состоянием параметра поставьте галочку напротив «Включить» и не забудьте применить изменения.
Пользователям, у которых нет редактора политик, все действия нужно будет выполнять через реестр. Давайте рассмотрим все действия пошагово:
- Перейдите к редактированию реестра.
Подробнее: Как открыть редактор реестра в Windows 7
Перейдите к разделу «System». Он находится по этому ключу:
Там вы увидите три строки, отвечающие за появление функций в окне безопасности.
Откройте необходимую строку и поменяйте значение на «1», чтобы активировать параметр.
После сохранения изменений деактивированные параметры больше не будут отображаться в окне безопасности Windows 7.
Изменения панели мест
Многие используют диалоговые окна «Сохранить как» или «Открыть как». Слева отображается навигационная панель, включая раздел «Избранное». Данный раздел настраивается стандартными средствами Windows, однако это долго и неудобно. Поэтому лучше воспользоваться групповыми политиками для редактирования отображения значков в данном меню. Редактирование происходит следующим образом:
- Перейдите в редактор, выберите «Конфигурация пользователя», перейдите к «Административные шаблоны», «Компоненты Windows», «Проводник» и конечной папкой будет «Общее диалоговое окно открытия файлов».
Здесь вас интересует «Элементы, отображаемые в панели мест».
Поставьте точку напротив «Включить» и добавьте до пяти различных путей сохранения в соответствующие строки. Справа от них отображается инструкция правильного указания путей к локальным или сетевым папкам.
Теперь рассмотрим добавление элементов через реестр для пользователей, у которых отсутствует редактор.
- Перейдите по пути:
Выберите папку «Policies» и сделайте в ней раздел comdlg32.
Перейдите в созданный раздел и сделайте внутри него папку Placesbar.
В этом разделе потребуется создать до пяти строковых параметров и назвать их от «Place0» до «Place4».
После создания откройте каждый из них и в строку введите необходимый путь к папке.
Слежение за завершением работы компьютера
Когда вы завершаете работу за компьютером, выключение системы происходит без показа дополнительных окон, что позволяет не быстрее выключить ПК. Но иногда требуется узнать почему происходит выключение или перезапуск системы. В этом поможет включение специального диалогового окна. Включается оно с помощью редактора или путем изменения реестра.
- Откройте редактор и перейдите к «Конфигурация компьютера», «Административные шаблоны», после чего выберите папку «Система».
В ней нужно выбрать параметр «Отображать диалог слежения за завершением работы».
Откроется простое окно настройки, где необходимо поставить точку напротив «Включить», при этом в разделе параметры во всплывающем меню необходимо указать «Всегда». После не забудьте применить изменения.
Данная функция включается и через реестр. Вам нужно совершить несколько простых действий:
- Запустите реестр и перейдите по пути:
Найдите в разделе две строки: «ShutdownReasonOn» и «ShutdownReasonUI».
Введите в строку с состоянием «1».
В этой статье мы разобрали основные принципы использования групповых политик Виндовс 7, объяснили значимость редактора и сравнили его с реестром. Ряд параметров предоставляет пользователям несколько тысяч различных настроек, позволяющие редактировать некоторые функции пользователей или системы. Работа с параметрами осуществляется по аналогии с приведенными выше примерами.
Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.
Как Windows 10 сбросить настройки локальной групповой политики.
Редактор групповой политики это важный инструмент ОС Windows с его помощью системные администраторы могут настраивать тонкие параметры системы. Он имеет несколько вариантов конфигурации и позволят вам внести коррективы производительности, настройки безопасности для пользователей и компьютеров.
Иногда после неудачной настройки вашего редактора групповой политики ваш компьютер начинает вести себя не лучшим образом. Это значит, что пришло время, сбросить все настройки групповой политики и вернуть значения по умолчанию, тем самым сэкономив время и нервы вместо переустановки Windows. В этом руководстве мы покажем вам , как сбросить все настройки групповой политики по умолчанию в операционной системе Windows 10.
Сброс групповой политики к значениям по умолчанию
Настройки Групповой политики могут различаться между несколькими конфигурациями, как персонализация, настройки брандмауэра, принтеры, политики безопасности и т.д. Мы рассмотрим несколько способов с помощью которых вы можете сбросить соответствующие политики в состояние по умолчанию.
Выполните следующие действия, чтобы сбросить измененные параметры объекта групповой политики.
1. Нажмите Клавиша Windows + R на клавиатуре, для запуска аплета Выполнить. Введите в строку gpedit.msc и нажмите Enter, чтобы открыть редактор локальных групповых политик.
2. Перейдите к следующему пути на левой боковой панели окна редактора групповой политики:
Политика Локальный компьютер> Конфигурация компьютера> Административные шаблоны> Все Параметры
3. Теперь, в правой стороне окна, упорядочить параметры политики с помощью столбца Состояние , так что все политики, которые включены / отключены можно получить в верху списка.
4. Далее вы должны изменить параметры политик с включена / отключена , на не заданна и применить настройки.
5. Повторите то же самое для пути указанного ниже:
Политика локальный компьютер> Конфигурация пользователя> Административные шаблоны> Все Параметры
6. Это позволит восстановить все параметры групповой политики в состояние по умолчанию. Однако, если вы столкнулись с некоторыми серьезными проблемами, как потеря привилегий администратора или проблемы входа в систему, то вы можете попробовать метод ниже.
Восстановление локальных политик безопасности по умолчанию
Политики безопасности о вашей учетной записи администратора в Windows 10, находятся в другой консоли управления — secpol.msc (Локальная политика безопасности). Эта оснастка параметр безопасности расширяет групповые политики и помогает определить политики безопасности для компьютеров в домене.
Выполните следующие действия, чтобы изменить политику безопасности на вашей машине:
1. Нажмите КлавишиWindows + X на клавиатуре, запустив Quick Link меню. Выберите Командная строка (Admin) , чтобы открыть командную строку с повышенными правами.
2. Введите следующую команду в окне командной строки и нажмите клавишу ВВОД:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
3. После завершения задачи, перезагрузите компьютер, чтобы изменения вступили в силу.
Сброс объектов групповой политики с помощью командной строки
Данный метод включает в себя удаление папки параметров групповой политики с диска, на котором установлена операционная система. Выполните следующие действия, чтобы сделать это с помощью командной строки от имени администратора.
1. Откройте командную строку как администратор
2. Введите следующие команды в CMD и выполнять их одну за другой.
RD /S /Q «%WinDir%\System32\GroupPolicyUsers» RD /S /Q «%WinDir%\System32\GroupPolicy» gpupdate /force
3. После этого, перезагрузите компьютер.
Примечание: Убедитесь, что вы создали точку восстановления системы перед внесением изменений в реестр или объектов групповой политики.
Для чего необходимы групповые политики
Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.
Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.
Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.
Настройки политики
Каждая политика доступна для настройки. Открывается окно редактирования параметров по двойному щелчку на определенную строку. Вид окон может отличаться, все зависит от выбранной политики.
Стандартное простое окно имеет три различных состояния, которые настраиваются пользователем. Если точка стоит напротив «Не задано», то политика не действует. «Включить» – она будет работать и активируются настройки. «Отключить» – находится в рабочем состоянии, однако параметры не применяются.
Рекомендуем обратить внимание на строку «Поддерживается» в окне, она показывает, на какие версии Windows распространяется политика
Расположение реестра групповой политики в Windows 10
Вы можете использовать любой из этих методов, чтобы найти раздел реестра для параметра групповой политики. Групповая политика для сопоставления реестра обсуждалось в этом посте.
- Служба поиска групповой политики (GPS)
- Справочное руководство по параметрам групповой политики
- MSDN
- Get-GPRegistryValue
Прежде чем мы продолжим, имейте в виду, что не все групповые политики доступны в реестре. Некоторые настройки хранятся в другом месте. Таким образом, вы найдете только те, которые сопоставлены с реестром.
1]Служба поиска групповой политики (GPS)
Используйте службу поиска групповой политики (GPS), которая позволяет выполнять поиск параметров групповой политики на основе реестра, используемых в операционных системах Windows. Однажды ты открыть сайт, вы можете выполнить поиск или развернуть каждый из них, чтобы найти файлы параметров групповой политики, ключа, значения и ADMX.
2]Справочное руководство по параметрам групповой политики
Вы можете загрузить таблицу Excel с сайта Microsoft – Справочное руководство по параметрам групповой политики, в котором перечислены параметры политики, соответствующие разделу реестра.
3]MSDN – GPO для сопоставления реестра
Корпорация Майкрософт опубликовала таблицу – Таблица реестра групповой политики – которая предлагает один к одному GPO для сопоставления реестра. Все, что вам нужно сделать, это найти путь в реестре, и он покажет точный объект групповой политики. Посещение эта ссылка MSDN.
4]Get-GPRegistryValue
Это команда, которую вы можете выполнить в PowerShell. Он получает один или несколько параметров политики на основе реестра в разделе «Конфигурация компьютера» или «Конфигурация пользователя» в объекте групповой политики. Вот как выглядит команда:
Get-GPRegistryValue-Guid -Ключ | Get-GPRegistryValue -Ключ |
Его довольно легко использовать, но только если вы понимаете, как им пользоваться. Вот образец из Microsoft Document, который объясняет больше на официальной странице.
Get-GPRegistryValue -Name TestGPO -Key "HKEY_CURRENT_USERSoftwarePoliciesMicrosoftExampleKey" -ValueName "ValueOne" KeyPath : SoftwarePoliciesMicrosoftExampleKey FullKeyPath : HKEY_CURRENT_USERSoftwarePoliciesMicrosoftExampleKey Hive : CurrentUser PolicyState : Set Value : TestGPO Type : String ValueName : ValueOne HasValue : True
Я надеюсь, что за публикацией было легко следить, и теперь вы можете найти ключ реестра, соответствующий групповой политике, и наоборот.
Хотелось бы, чтобы у Microsoft был инструмент для администраторов, который упростил бы задачу, но да, есть листы Excel, которые делают эту работу.
Теги: Групповая политика, Реестр
Вместо итога
Вот вкратце и все, что касается предпочтений. Конечно, рядовому пользователю понимание сути всего, что было приведено выше, может показаться несколько усложненным. Однако, если хотите до тонкостей разобраться в таких настройках (особенно это касается начинающих системных администраторов), придется изучить абсолютно все. И, как утверждают настоящие специалисты в этой области, работать с политиками нужно на практике, а не познавать вопрос на уровне теоретических данных и статей. Как говорится, было бы желание. А начать освоение применяемых опций можно с того же редактора, где выбираются административные шаблоны, в которых и обозначены главные правила и для локальных, и для групповых настроек. Остальное же – дело техники. Понимание придет со временем, если действительно начать этим заниматься.
Если подвести небольшой итог, остается добавить только то, что предпочтения на то и созданы, чтобы выбирать требуемые опции и настройки, а не ограничиваться исключительно запретами и разрешениями. А это, в свою очередь, позволяет управлять любой системой очень гибко. Конечно же, отдельно стоит заметить, что обычному пользователю такие расширенные настройки не нужны абсолютно, но при условии того, что на одном терминале может быть зарегистрировано несколько пользователей, иногда установка соответствующих предпочитаемых опций может пригодиться. А ведь достаточно часто приходится даже устанавливать тот же родительский контроль, если на компьютере, кроме взрослых родителей, может работать еще и ребенок. И все это совершенно элементарно регулируется в Windows-системах.