Администрирование групповая политика в управляемом домене доменных служб azure active directoryadminister group policy in an azure active directory domain services managed domain
Содержание:
- Результирующий набор инструментов политики
- О приложении gpedit.msc
- Отключите командную строку и редактор реестра
- Обновление настроек
- Создание и редактирование объектов групповой политики
- Запретить доступ к Панели управления
- Фильтр безопасности GPO
- Фильтры политик
- Параметры режимов сна
- Для чего необходимы групповые политики
- Компоненты GPO
- Создание ярлыка для быстрого запуска
- Состав локальной политики[править]
- Troubleshootingправить
- Дополнительные сведения
Результирующий набор инструментов политики
Самый простой способ увидеть все параметры групповой политики, которые вы применили к компьютеру или учетной записи пользователя, – использовать инструмент «Результирующий набор политик».
Он не покажет последнюю политику, примененную к вашему компьютеру, – для этого вам нужно будет использовать командную строку, как мы опишем в следующем разделе. Тем не менее, он показывает практически все политики, которые вы настроили для регулярного использования. И предоставляет простой графический интерфейс для просмотра параметров групповой политики, действующих на вашем ПК, независимо от того, входят ли эти параметры в групповую политику или локальную групповую политику.
Чтобы открыть инструмент, нажмите «Поиск», введите «rsop.msc» → нажмите на предложенный вариант.
Инструмент «Результирующий набор политик» начнёт сканирование вашей системы на примененные параметры групповой политики.
После того, как сканирование будет выполнено, инструмент покажет вам консоль управления, которая очень похожа на редактор локальной групповой политики, за исключением того, что она отображает только использованные параметры и несколько неустановленных настроек безопасности.
Это позволяет легко просматривать и видеть, какие политики действуют. Обратите внимание, что вы не можете использовать инструмент «Результирующая политика» для изменения этих параметров. Вы можете дважды щелкнуть параметр, чтобы просмотреть детали, но если вы хотите отключить или внести изменения в параметр, вам придется использовать редактор локальных групповых политик
О приложении gpedit.msc
Через утилиту можно расширить базовые надстройки операционки, отключить ненужные или поврежденные функции. Инструмент позволяет ограничить других пользователей гаджета в определенных действиях, начиная от простых манипуляций до блокировки подключения устройств, запуска приложений.
В основном, сервис используется в корпоративной среде, в Домашней версии такого контроля не требуется. Обычно на домашнем устройстве достаточно создать учетку, защищенную паролем.
Управление политикой выполняется с помощью встроенного Редактора gpedit.msc. Его можно запустить только через административный профиль. Поиск осуществляется через соответствующую строку, где требуется набрать запрос: gpedit.msc.
В меню Редактора отображаются два подраздела:
- конфигурация компьютера – необходим для изменения параметров работы ПК;
- конфигурация пользователя – работа с личными профилями на ПК.
В этих подразделах присутствуют параграфы, где происходят изменения настроек функционала «десятки». В этой части находится большинство возможностей изменения конфигурации Винды.
Отключите командную строку и редактор реестра
Когда Панель управления попадает в «плохие руки» – это плохо, но ещё хуже – если это будут командная строка и редактор реестра. Оба этих инструмента могут легко вывести Windows из строя, особенно редактор реестра, который может повредить Windows без возможности восстановления.
Вы должны отключить и командную строку, и редактор реестра Windows, если вас беспокоит безопасность (и состояние) компьютера.
Переместитесь в указанное ниже место:
Конфигурация пользователя → Административные шаблоны → Система
Здесь включите параметры Запретить использование командной строки и Запретить доступ к средствам редактирования реестра, чтобы пользователи не могли получить доступ к командной строке и редактору реестра.
Обновление настроек
Однако далеко не всегда можно что-то поменять. Клиент может попросту не сработать в определенный момент, скажем, из-за кратковременных сбоев в самой системе или вирусного воздействия. В этом случае необходимо производить обновление групповой политики. В редакторе сделать это не представляется возможным. Поэтому необходимо использовать командную строку, которая является неким унифицированным инструментом для устранения множества проблем с системными сбоями.
Обновление групповой политики (принудительно) в общем случае производится командой gpupdate /force или с дополнениями, показанными на изображении выше. Некоторые считают, что достаточно просто перезагрузить систему или сменить пользователя. Это не так. Должного эффекта вы не получите. Но строка обновления, указанная выше, результат дает немедленно. Правда, командная консоль должна быть запущена от имени администратора. В противном случае разрешения на выполнение в ней команд пользователь не получит.
Создание и редактирование объектов групповой политики
Используя оснастку «Управление групповой политикой» вы можете создавать и редактировать объекты групповой политики, а также комментарии к ним для упрощения их мониторинга, удалять объекты групповых политик и проводить поиск среди существующих объектов. Рассмотрим подробно каждое из вышеперечисленных действий:
Создание объекта групповой политики с комментарием
Один или несколько параметров групповой политики, который применяется к одному или нескольким пользователям или компьютерам, обеспечивая конкретную конфигурацию, называется объектом групповой политики. Для того чтобы создать новый объект групповой политики, выполните следующие действия:
- В оснастке «Управление групповой политикой» разверните узел лес, домен, название вашего домена и выберите контейнер «Объекты групповой политики». Именно в этом контейнере будут храниться все объекты групповой политики, которые вы будете создавать;
- Щелкните правой кнопкой мыши на данном контейнере и из контекстного меню выберите команду «Создать», как изображено ниже:
- В диалоговом окне «Новый объект групповой политики» введите название объекта в поле «Имя», например, «Корпоративные требования» и нажмите на кнопку «ОК».
Редактирование объекта групповой политики
После того как объект групповой политики будет создан, для того чтобы настроить определенную конфигурацию данного объекта, вам нужно указать параметры групповой политики при помощи оснастки «Редактор управления групповыми политиками». Допустим, нужно отключить Windows Media Center, средство звукозаписи, а также ссылку «Игры» в меню «Пуск». Для этого выполните следующие действия:
- Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
- Разверните узел Конфигурация пользователя/Политики/Административные шаблоны/Компоненты Windows/Windows Media Center;
- Откройте свойства параметра политики «Не запускать Windows Media Center» и установите переключатель на опцию «Включить». В поле комментарий введите свой комментарий, например, «В связи с корпоративными требованиями не разрешается данным пользователям использовать текущее приложение» и нажмите на кнопку «ОК».
- Повторите аналогичные действия для параметров политик «Запретить выполнение программы «Звукозапись»» и «Удалить ссылку «Игры» из меню «Пуск»» из узла Конфигурация пользователя/Политики/Административные шаблоны/Меню «Пуск» и панель задач.
- Закройте редактор управления групповыми политиками.
Также, если вы создаете много объектов групповых политик, для вас окажется удобной возможность добавления комментариев к самим объектам групповых политик. Для добавления комментария к GPO, выполните следующие действия:
- Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
- В дереве консоли оснастки «Редактор управления групповыми политиками» нажмите правой кнопкой мыши на корневом узле и из контекстного меню выберите команду «Свойства»;
- В диалоговом окне «Свойства: имя объекта групповой политики» перейдите на вкладку «Комментарий» и введите примечание для вашего GPO, например, «Этот объект групповой политики запрещает указанным пользователям использовать мультимедийные приложения, а также игры в организации»;
Рис. 8. Добавление комментария для объекта групповой политики
- Нажмите на кнопку «ОК», а затем закройте оснастку «Редактор управления групповыми политиками».
Запретить доступ к Панели управления
Панель управления – это центр всех настроек Windows, как безопасности, так и удобства использования. Однако, эти настройки могут оказаться действительно плохими в неопытных руках. Если компьютер будет использовать начинающий пользователь или вы не хотите, чтобы кто-то вмешивался в конфиденциальные настройки, вам определенно следует запретить доступ к Панели управления.
Для этого перейдите в указанное ниже место в редакторе групповой политики и дважды щелкните Запретить доступ к панели управления.
Конфигурация пользователя → Административные шаблоны → Панель управления
Здесь выберите опцию Включено, чтобы запретить доступ к Панели управления. Теперь опция Панели управления будет удалена из меню «Пуск», и никто не сможет получить к ней доступ из любого места, включая диалоговое окно «Выполнить».
Все параметры в Панели управления также будут скрыты, и доступ к ним любым другим способом покажет ошибку.
Фильтр безопасности GPO
Проверьте значение фильтра безопасности политики (Security Filtering). По-умолчанию на всех новых объектах GPO в домене присутствуют разрешения для группы «Authenticated Users«. Эта группа включает в себя всех пользователей и компьютеры домена. Это означает, что данная политика будет применяться на всех пользователях и ПК, которые попадают в область ее действия.
Если вы решили изменить этот фильтр безопасности, чтобы политика применялась только к членам определенной группы безопасности домена (или конкретным пользователям/ компьютерам), удалив группу Authenticated Users, убедитесь, что целевой объект (пользователь или компьютер) добавлен в эту группу AD. Также проверьте, что для группы, которую вы добавили в Security Filtering на вкладке GPO -> Delegation -> Advanced в списке разрешений присутствуют права Read и Apply group policy с полномочиями Apply.
Если вы используете нестандартные фильтры безопасности политик, проверьте, что для целевых групп нет явного запрета на применение GPO (Deny).
Фильтры политик
Минусом редактора является отсутствие функции поиска. Существует множество различных настроек и параметров, их больше трех тысяч, все они разбросаны по отдельным папкам, а поиск приходится осуществлять вручную. Однако данный процесс упрощается благодаря структурированной группе из двух ветвей, в которых расположились тематические папки.
Например, в разделе «Административные шаблоны», в любой конфигурации, находятся политики, которые никак не связаны с безопасностью. В этой папке находится еще несколько папок с определенными настройками, однако можно включить полное отображение всех параметров, для этого нужно нажать на ветвь и выбрать пункт в правой части редактора «Все параметры», что приведет к открытию всех политик данной ветви.
Экспорт списка политик
Если все-таки появляется необходимость найти определенный параметр, то сделать это можно только путем экспорта списка в текстовый формат, а потом уже через, например Word, осуществлять поиск. В главном окне редактора есть специальная функция «Экспорт списка», он переносит все политики в формат TXT и сохраняет в выбранном месте на компьютере.
Применение фильтрации
Благодаря появлению ветви «Все параметры» и улучшению функции фильтрации поиск практически не нужен, ведь лишнее откидывается путем применения фильтров, а отображаться будут только необходимые политики. Давайте подробнее рассмотрим процесс применения фильтрации:
- Выберите, например, «Конфигурация компьютера», откройте раздел «Административные шаблоны» и перейдите в «Все параметры».
Разверните всплывающее меню «Действие» и перейдите в «Параметры фильтра».
Поставьте галочку возле пункта «Включить фильтры по ключевым словам». Здесь имеется несколько вариантов подбора соответствий. Откройте всплывающее меню напротив строки ввода текста и выберите «Любой» – если нужно отображать все политики, которые соответствуют хотя бы одному указанному слову, «Все» – отобразит политики, содержащие текст из строки в любом порядке, «Точный» – только параметры, точно соответствующие заданному фильтру по словам, в правильном порядке. Флажками снизу строки соответствий отмечаются места, где будет осуществляться выборка.
Нажмите «ОК» и после этого в строке «Состояние» отобразятся только подходящие параметры.
В том же всплывающем меню «Действие» ставится или убирается галочка напротив строки «Фильтр», если нужно применить или отменить заранее заданные настройки подбора соответствий.
Параметры режимов сна
Отключить гибридный спящий режим (питание от батареи)
Windows Registry Editor Version 5.00 “DCSettingIndex”=dword:00000001
Отключить гибридный спящий режим (питание от сети)
Windows Registry Editor Version 5.00 “ACSettingIndex”=dword:00000001
Разрешить автоматический переход в спящий режим с открытыми сетевыми файлами (питание от батареи)
Windows Registry Editor Version 5.00 “DCSettingIndex”=dword:00000001
Разрешить автоматический переход в спящий режим с открытыми сетевыми файлами (питание от сети)
Windows Registry Editor Version 5.00 “ACSettingIndex”=dword:00000001
Разрешить приложениям предотвращать автоматический переход в спящий режим (питание от батареи)
Windows Registry Editor Version 5.00 “DCSettingIndex”=dword:00000001
Разрешить приложениям предотвращать автоматический переход в спящий режим (питание от сети)
Windows Registry Editor Version 5.00 “ACSettingIndex”=dword:00000001
Разрешить приложениям препятствовать переходу системы в режим сна (питание от батареи)
Windows Registry Editor Version 5.00 “DCSettingIndex”=dword:00000001
Разрешить приложениям препятствовать переходу системы в режим сна (питание от сети)
Windows Registry Editor Version 5.00 “ACSettingIndex”=dword:00000001
Разрешить различные режимы сна (S1-S3) при простое компьютера (питание от батареи)
Windows Registry Editor Version 5.00 “DCSettingIndex”=dword:00000001
Разрешить различные режимы сна (S1-S3) при простое компьютера (питание от сети)
Windows Registry Editor Version 5.00 “ACSettingIndex”=dword:00000001
Требовать пароль при выходе из спящего режима (питание от батареи)
Windows Registry Editor Version 5.00 “DCSettingIndex”=dword:00000001
Требовать пароль при выходе из спящего режима (питание от сети)
Windows Registry Editor Version 5.00 “ACSettingIndex”=dword:00000001
Укажите время ожидания автоматического перехода в режим сна (питание от батареи) – установленное значение – 50 секунд
Windows Registry Editor Version 5.00 “DCSettingIndex”=dword:00000032
Укажите время ожидания автоматического перехода в режим сна (питание от сети) – установленное значение – 50 секунд
Windows Registry Editor Version 5.00 “ACSettingIndex”=dword:00000032
Укажите время ожидания для перехода в режим гибернации (питание от батареи) – установленное значение – 50 секунд
Windows Registry Editor Version 5.00 “DCSettingIndex”=dword:00000032
Укажите время ожидания для перехода в режим гибернации (питание от сети) – установленное значение – 50 секунд
Windows Registry Editor Version 5.00 “ACSettingIndex”=dword:00000032
Укажите время ожидания для перехода в режим сна (питание от батареи) – установленное значение – 50 секунд
Windows Registry Editor Version 5.00 “DCSettingIndex”=dword:00000032
Укажите время ожидания для перехода в режим сна (питание от сети) – установленное значение – 50 секунд
Windows Registry Editor Version 5.00 “DCSettingIndex”=dword:00000032
Я надеюсь, что благодаря этим твикам реестра, выполнять тонкую настройку электропитания будет удобно не только пользователям, работающим под конкретными редакциями Windows 7 или системным администраторам, настраивающим компьютеры мобильных пользователей централизовано на контроллерах домена, а и домашним пользователям, которые тоже хотят наводить порядок в настройках операционной системы своего компьютера.
Для чего необходимы групповые политики
Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.
Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.
Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.
Компоненты GPO
Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.
Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей” называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.
Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.
Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
- Централизованная настройка пакета программ Microsoft Office.
- Централизованная настройка управлением питанием компьютеров.
- Настройка веб-браузеров и принтеров.
- Установка и обновление ПО.
- Применение определенных правил в зависимости от местоположения пользователя.
- Централизованные настройки безопасности.
- Перенаправление каталогов в пределах домена.
- Настройка прав доступа к приложениям и системным программам.
Создание ярлыка для быстрого запуска
Если пользователю понадобится часто обращаться к системной оснастке, он может создать значок в главном меню. Это упростит запуск инструмента, при этом не нужно запоминать соответствующие команды.
Для создания ярлыка потребуется:
- Щелкнуть ПКМ по Рабочему столу.
- Во всплывшем окне выбрать «Создать», затем «Ярлык».
- Указать путь: C:\Windows\System32\gpedit.msc.
- Нажать «Далее».
- Указать название.
- Нажать «Готово».
На Рабочем столе появится значок, который можно открыть двойным нажатием ЛКМ. Пользователь сразу попадет в меню Редактора.
Инструмент владельцы гаджетов нередко используют для настроек операционки. Предпочтительный способ открытия Редактора каждый пользователь выбирает для себя сам. Несмотря на то, что утилита представлена в двух версиях, настройки дают возможность использовать ее и в Домашней версии, если это необходимо автору.
Состав локальной политики[править]
Для клиента также существует понятие локальной политики. Настройки локальной политики находятся в каталоге . Данные настройки по умолчанию поставляются пакетом . Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и развёртывать её единообразно на всех клиентах. Формат шаблонов локальных политик представляет из себя архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.
| Описание | Комментарий |
|---|---|
| Включение oddjobd.service | Необходимо для обеспечения возможности запуска для пользователя с правами администратора. |
| Включение gpupdate.service | Необходимо для регулярного обновления настроек машины. |
| Включение sshd.service | Необходимо для обеспечения возможности удалённого администрирования. |
| Включение аутентификации с помощью GSSAPI для sshd | Необходимо для аутентификации в домене при доступе через SSH. |
| Ограничение аутентификации для sshd по группам wheel и remote | Необходимо для ограничения доступа при доступе через SSH для всех пользователей домена (только при наличии соответствующей привилегии). |
| Открытие порта 22 | Необходимо для обеспечения возможности подключения SSH на машинах при старте Firewall applier. |
Troubleshootingправить
В случае неописанных ошибок и «развала» отладочного вывода один из простых подходов к решению проблемы — удалить файл «реестра» и запустить заново для перегенерации файла и вызова «применялки настроек».
Дополнительные сведения
События предпочтения групповой политики записаны в журнал приложения. Информационные события регистрируются только при включении соответствующих параметров групповой политики. Путь к настройкам для области предпочтений:
Конфигурация компьютера\Политики\Административные шаблоны\System\Group Policy\Logging и отслеживание
Возможные источники событий этих событий:
- Среда групповой политики
- Локальные пользователи и группы групповой политики
- Устройство групповой политики Параметры
- Параметры сети групповой политики
- Диск групповой политики Карты
- Папки групповой политики
- Сетевые акции групповой политики
- Файлы групповой политики
- Источники данных групповой политики
- Файлы ini групповой политики
- Службы групповой политики
- Параметры папки групповой политики
- Запланированные задачи групповой политики
- Реестр групповой политики
- Приложения групповой политики
- Принтеры групповой политики
- Ярлыки групповой политики
- Интернет-Параметры групповой политики
- Меню пусков групповой политики Параметры
- Региональные параметры групповой политики
- Параметры питания групповой политики
События предпочтения групповой политики
| События | Серьезность | Сообщение |
|---|---|---|
| MessageId=0x1000 (4096) | Успешно | Элемент предпочтений %1 ‘%2’ в объекте групповой политики «%3» применяется успешно. |
| MessageId=0x1002 (4098) | Предупреждение | Элемент предпочтений %1 «%2» в объекте групповой политики «%3» не применялся, так как не был с ошибкой с кодом ошибки «%4″%%100790273 |
| MessageId=0x1003 (4099) | Предупреждение | Расширение на стороне клиента не могло войти в журнал данных RSoP, так как оно не справилось с кодом ошибки «%1». |
| MessageId=0x1004 (4100) | Успешно | Служба остановлена. |
| MessageId=0x1005 (4101) | Успешно | Элемент предпочтений %1 ‘%2’ в объекте групповой политики «%3» был успешно удален. |
| MessageId=0x1006 (4102) | Предупреждение | Диагностика ODBC (%1), %2 |
| MessageId=0x1007 (4103) | Предупреждение | Расширение на стороне клиента не может получить 1 %2 элементов предпочтений для объекта групповой политики «%3», поскольку Windows закрывается или пользователь выходит из журнала. |
| MessageId=0x1009 (4105) | Предупреждение | Пункт предпочтений %1 ‘%2’ в объекте групповой политики «%3» не применялся, так как элемент таргетинга не справился с ошибкой кода «%4″%%100790273. |
| MessageId=0x100A (4106) | Предупреждение | Пункт предпочтений %1 «%2» в объекте групповой политики «%3» не применялся, так как его целевой элемент не справился с ошибкой с кодом ошибки «%4″%%100790273. |
| MessageId=0x1013 (4115) | Успешно | Запущена служба. |
| MessageId=0x2000 (8192) | Предупреждение | Пункт предпочтений %1 ‘%2’ в объекте групповой политики «%3» не применялся, так как не был с ошибкой с кодом ошибки «%4″%%100790275. |
| MessageId=0x2001 (8193) | Предупреждение | Пункт предпочтений %1 ‘%2’ в объекте групповой политики «%3» не применялся, так как его элемент таргетинга не справился с ошибкой кода «%4″%%100790275. |
| MessageId=0x2002 (8194) | Предупреждение | Клиентская расширения не может %1 %2 параметры политики для «%3», так как она не удалось с кодом ошибки «%4’%%100790275 .В Windows XP и Windows Server 2003 версии групповых предпочтений политики, event ID 8194 имеет серьезность ошибки, а не предупреждение. |
| MessageId=0x2004 (8196) | Предупреждение | Расширение на стороне клиента поймало ненавязаное исключение «%1» внутри: «%2%»%100790275 . |
| MessageId=0x2006 (8198) | Предупреждение | Элемент предпочтений %1 ‘%2’ в объекте групповой политики «%3» не был удален из-за сбой кода ошибки ‘%4’%% 100790275 . |
| MessageId=0x2014 (8212) | Предупреждение | Пункт предпочтений %1 ‘%2’ в объекте групповой политики «%3» не применялся, так как элемент таргетирования не справился с ошибкой с кодом ошибки ‘%4’%%100790275 . |
| MessageId=0x201D (8221) | Предупреждение | Ошибка произошла при записи в файл трассировки. Ошибка %1. |
| MessageId=0x2023 (8227) | Предупреждение | Процесс бросил исключение %1 внутри %2. |
| MessageId=0x2024 (8228) | Предупреждение | Ошибка %1 получение диагностического сообщения ODBC. |
| MessageId=0x2025 (8229) | Предупреждение | Ошибка ODBC %1, %2. |
| MessageId=0x1A00 (6656) | Успешно | Скрытый фильтр не прошел. |
| MessageId=0xF001 (61441) | Успешно | Эта ошибка была подавлена.%0 |
| MessageId=0xF003 (61441) | Успешно | Дополнительные сведения см. в файле трассировки.%0 |
