Computerprogeek
Групова політика Active Directory дозволяє центрально застосовувати ті самі налаштування для багатьох комп'ютерів та/або доменних користувачів та значно спростити управління конфігурацією в доменному середовищі. Консоль Консоль управління груповою політикою (GPMC.MSC) є головним інструментом управління груповими політиками (об'єкт групової політики, GPO) в Active Directory.
Зміст:
- Встановлення консолі GPMC у Windows
- Директори політики групи Active Directory, використовуючи консоль управління груповою політикою
Встановлення консолі GPMC у Windows
У Windows 10 та 11 консоль GPMC є частиною RSAT, і ви можете встановити його через панель налаштувань. Перехресні налаштування -> Програми -> Необов’язкові функції -> Додати необов'язкову функцію -> Виберіть у списку RSAT: Інструменти управління групою політики та натисніть Встановити.
Ви також можете встановити консоль управління групою в Windows 10 та 11 за допомогою PowerShell:
Додати -windowscapability -online -name rsat.Групаполітика.Управління.Інструменти ~~~ 0.0.1.0
Або використання DISM:
Розсипати.Exe /Online /Add Capability /APIMATION: RSAT.Групаполітика.Управління.Інструменти ~~~ 0.0.1.0
У Windows Server 2022/2019/2016/22R2 Ви можете встановити консоль управління GPO через менеджер сервера: Додати ролі та функції -> Функції -> Управління груповою політикою.
Ви також можете встановити консоль GPMC у Windows Server за допомогою PowerShell Intall-WindowsFeature:
Встановлення-Windowsfeature GPMC
Після встановлення перевірте, чи з’явиться етикетка з управління політикою групової політики в розділі «Адміністраційні інструменти» у Toles Control \ System та Security \ Adminization). Етикетка відноситься до обладнання MMC %Systemroot%\ system32 \ gpmc.MSC .
Директори політики групи Active Directory, використовуючи консоль управління груповою політикою
Консоль GPMC дозволяє керувати груповими політиками в рекламних, доменах та організаційних підрозділах.
Щоб запустити консоль, виконайте команду:
GPMC.MSC
За замовчуванням консоль підключений до контролера домену з емулятором первинного контролера домену FSMO (PDC). Ви можете підключитися до будь -якого іншого постійного струму. Для цього натисніть з правою кнопкою під назвою Домен і виберіть Change Controller домену (ми рекомендуємо підключитися до вашого Logon Server-W) для зручної роботи).
Розширити ліс -> домен -> ваш домен.
На цьому скріншоті він виділений:
- Назва домену, до якого підключена консоль;
- Групова політика, яка присвоюється різним ОУ (відображається вся структура ОУ, яку ви бачите в консолі ADUC);
- Повний список політиків (GPO) у поточному домені доступний у розділі Об'єкти групової політики.
Групова політика Active Directory може бути призначена на веб -сайт OU, веб -сайту або всього домену. Найчастіше політики прикріплюються до ОУ з комп’ютерами або користувачами.
Щоб створити новий GPO та негайно призначити його в OU, натисніть на потрібний контейнер правою кнопкою та виберіть Створіть GPO в цьому домені та пов'язуйте його.
Запитайте назву GPO:
У консолі GPMC ви побачите свій новий GPO, який негайно призначений вибраному контейнеру (OU).
GPO активний ( Посилання ввімкнено = true ), це означає, що його налаштування будуть застосовані до всього об'єкта в цьому ОУ.
Щоб змінити параметри GPO, виберіть Редагувати.
Консоль редактора GPO відкриється перед вами, подібно до GPO місцевого редактора. Усі параметри GPO розділені на два розділи:
- Конфігурація комп'ютера - Тут ви можете налаштувати параметри комп'ютера (Windows);
- Синфігурація користувача - Параметри, які потрібно використовувати для AD користувачів.
У кожному розділі є три підрозділи:
- Налаштування програмного забезпечення - Використовувані Для встановлення та оновлення програм за допомогою GPO;
- Налаштування Windows - Ось основні параметри безпеки Windows: Налаштування політики пароля, блокування облікових записів, аудиторська політика, призначення прав користувачів тощо.D;
- Адміністративні шаблони - Містить параметри різних компонентів Windows. Обидва стандартні шаблони Windows, і додаткові шаблони ADMX, встановлені адміністратором. Ми рекомендуємо використовувати центральне зберігання адміністративних шаблонів GPO для зручності управління.
- Від'єднайте USB -пристрій
- Увімкніть обмеження на тривалість сеансів на хостах RDP
- Відключіть застарілі протоколи: NetBios та LLMNR або TLS 1.0 /TLS 1.1
- Налаштуйте правила брандмауера Windows Defender
- Налаштуйте Windows Remote Management (WinRM)/PowerShell Remoting
- Встановіть екрана
- Запустіть сценарій під час завантаження Windows або вхід користувача (сценарій входу)
- Налаштуйте перенаправлення папок на профілі користувачів
Тут також є окремий розділ Уподобання. Він містить додатковий набір налаштувань групової політики (GPP), які ви можете встановити для клієнтських пристроїв через GPO.
Використовуючи GPP, ви можете налаштувати такі параметри ОС користувача та Windows, як:- Встановіть параметри проксі -сервера для комп’ютерів та користувачів
- Змініть ключі та параметри в реєстрі
- Додайте користувачів до місцевих груп та групу адміністраторів
- Підключіть мережеві принтери до користувачів
- Створіть ярлик на робочому столі користувача
- Поширюйте завдання планувальника завдань Windows Planner Windows
- Підключіть мережеві накопичувачі
- Скопіюйте файл та папки на комп’ютери
Редактор близької політики та повернення на консоль GPMC. Усі налаштування, які ви змінили в GPO, будуть використані на клієнтах на наступному циклі оновлення налаштувань групової політики.
Виберіть свій GPO, щоб отримати його основні параметри. 4 вкладки доступні тут:
- Обсяг - Тут ви можете побачити, на що призначена ця політика. У розділі фільтрації безпеки ви можете налаштувати групи безпеки, для яких політиків слід застосовувати для членів (аутентифіковані користувачі повинні застосовуватися тут, це означає, що політика застосовується до всіх об'єктів у ОУ). У параметрі фільтрації WMI ви можете встановити додаткові правила для фільтрації об'єктів, для яких слід застосовувати GPO (див. WMI фільтри gpo);
- Деталі - містить основну інформацію про GPO (власника, коли створено та змінюється, версія, GUID);
- Налаштування - Містить звіт про всі налаштовані параметри GPO (звіт аналогічний результатам команди GPRESULT);
- Делегація - Відображає поточні резолюції GPO, дозволяє змінити їх.
Active Directory зберігає GPO, що зберігаються у вигляді набору файлів та папки у каталозі Sysvol, який повторюється між постійним струмом. Ви можете знайти каталог конкретного GPO за її GUID (на вкладці "Деталі"). Використовуйте наступний шлях UNC: \\ winitpro.ru \ sysvol \ winitpro.Ru \ політики \ guid
Якщо ви хочете, щоб політика припиняла діяти на клієнтів у цьому ОУ, ви можете видалити посилання ( Видаляти , У цьому випадку сам об’єкт GPO не буде видалено) або тимчасово вимкнути свою дію ( Увімкнено посилання = false ).
Зверніть увагу, що в домені вже є два політики, які діють на всіх комп'ютерах та контролери домену відповідно:
- Політика домену за замовчуванням
- Політика контролера домену за замовчуванням
У більшості випадків не рекомендується використовувати ці GPO для налаштування параметрів клієнтів. Краще створити нових політиків і призначити їх на рівень всього домену або контейнерних контролерів домену.
Також консоль управління груповою політикою дозволяє:
- Імпортувати/експортувати, створити резервні копії та відновити GPO
- Створіть отримані політичні звіти - отриманий набір політики (RSOP)
- Віддалено оновити параметри GPO на комп’ютерах
- Підготуйте GPO до міграції між доменами
В окремій статті "Чому групова політика не застосовується до комп'ютера?"Розглянуто такі основні елементи політики групи Active Directory, як:
- Спадщина в групових полотнах
- Обсяг та процедура застосування GPO (LSDOU)
- Пріоритет та управління процедурою застосування політиків
- Режим обробки петлі Закрийте
- Фільтрування GPO
- Примусування використання GPO
Ми рекомендуємо уважно прочитати цю статтю для більш ефективного використання можливостей групової політики та розуміння принципів їхньої роботи.
