Настройка групповых политик для настройки безопасности системных служб
Содержание:
- Открытие оснастки и изменение пользовательского интерфейса
- Запрет выполнения определенных программ
- Установка консоли управления групповыми политиками в Windows 7
- Сводка
- Редактор локальной групповой политики. оснастка gpedit.msc
- Добавление и настройка групп и пользователей в домене Windows Server
- Частота обновления групповой политики
- Feature description
- Настроим созданный объект
- Фильтры WMI
- Использование элемента предпочтения групповой политики «Локальные пользователи и группы»
- Дополнительная информация
- Настройки групповой политики Windows 8
- Вопросы и ответы для самоконтроля
Открытие оснастки и изменение пользовательского интерфейса
Также есть альтернативный способ установки данного компонента – использование командной строки и утилиты управления конфигурацией сервера. В командной строке, запущенной с правами администратора введите ServerManagerCmd -install gpmc. При желании вы можете вывести результат установки в xml файл, используя параметр –resultPath.
Для того чтобы открыть оснастку «Управление групповой политикой», выполните любое из следующих действий:
- Нажмите на кнопку «Пуск», выберите меню «Администрирование», а затем откройте «Управление групповой политикой»;
- Воспользуйтесь комбинацией клавиш Win+R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите gpmc.msc и нажмите на кнопку «ОК»;
- Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Управление групповой политикой и откройте приложение в найденных результатах;
- Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Управление групповой политикой» и нажмите на кнопку «Добавить», а затем нажмите на кнопку «ОК».
На следующей иллюстрации изображена оснастка «Управление групповой политикой»:
Рис. 1. Оснастка «Управление групповой политикой»
Содержимое оснастки «Управление групповой политикой» предоставляет множество средств, предназначенных для обеспечения централизованного управления инфраструктурой организации. Но если вас не устраивает интерфейс данной оснастки, вы можете его изменить, используя функционал редактирования параметров пользовательского интерфейса. Для того чтобы изменить отображение некоторых элементов оснастки, откройте меню «Вид» и выберите команду «Параметры». В диалоговом окне «Параметры» вы можете настроить элементы, параметры которых располагаются в следующих вкладках:
- Вкладка «Столбцы». На этой вкладке вы можете изменить отображение и порядок столбцов для основных таблиц текущей оснастки, а именно: «Наследование групповой политики», «Начальные объекты групповой политики», «Объекты групповой политики», «Связанные объекты групповой политики» и «Фильтры WMI». Вам достаточно просто выбрать из раскрывающегося списка редактируемую таблицу, в поле «Столбцы отображаются в следующем порядке» снять флажки с наименований лишних столбцов и установить их порядок, используя кнопки «Вверх» или «Вниз». Также вы можете изменять порядок столбцов непосредственно из таблицы, меняя их местами так, как вам удобно. Для того чтобы ваши изменения были сохранены при повторном открытии оснастки, в окне параметров установите флажок «Сохранять порядок и размеры изменяемых столбцов», как показано на следующей иллюстрации:
- Вкладка «Отчет». Используя эту вкладку, вы можете изменить папку, которая используется по умолчанию для расположения ADM-файлов. Следует помнить, что изменения, которые проводятся на данной вкладке, будут распространяться только на устаревшие ADM-файлы, а расположение файлов ADMX, которые используются в операционных системах Windows Vista и Windows 7 останется без изменений. Если переключатель будет установлен на параметре «По умолчанию», то поиск файлов ADM изначально будет проводиться в папке Windows и в том случае, если файл не будет найден, консоль GPMC будет просматривать папку объектов групповой политики (GPO), находящуюся в папке Sysvol. Если установить переключатель на параметр «настраиваемое», то консоль GPMC изначально будет искать файлы adm в той папке, которая будет указана вами, а затем в расположениях по умолчанию. Настройки данной вкладки изображены ниже:
- Вкладка «Общие». На вкладке «Общие» настраиваются параметры, которые распространяются на отображение лесов и доменов только с двухсторонними отношениями доверия, отображения имени контроллеров домена, а также для отображения диалогового окна подтверждения для различия между объектами групповой политики и связи этих объектов. Эта вкладка отображена на следующей иллюстрации:
Запрет выполнения определенных программ
Возможно линия партии перестала быть благосклонной к использованию пиратского и другого неправославного ПО или оснастка kaspersky administration kit честно указывает на 3 пиратских фотошопа/корела/файнридера разных версий на каждом ПК и разнообразие ни каким боком не относящихся к работе игр. В том или ином случае возникают ситуации, когда определенное ПО необходимо запретить к использованию. Лучшим решением этой проблемы предоставляются групповые политики (Group Policy) домена AD. Запрет реализуется следующим образом:
В интересующем нас контейнере создаем новый объект GPO и редактируем его. Идем в
Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ
В новой политике правой кнопкой мышки по пункту Политики ограниченного использования программ -> Создать политику ограниченного использования программ.
В полученной политике перейдите в Дополнительные правила.
Хотя оснастка предоставляет различные варианты правил запрета, наш выбор создания правила по хешу приложения обусловлен тем, что на компьютерах, попадающих под данную Group Policy, выполнение указанных программ будет более невозможно безотносительно того, где они расположены. Это удобно при необходимости запретить ПО, не требующее установки, например portable-софт и некотороые виды игр.
Создаем новое правило по хешу, нажимаем «Обзор» и выбираем исполняемый файл программы, который хотим запретить для выполнения. Удобно что при обзоре исполняемый файл можно указать по сети.
Сервер автоматически применяет политику в течение часа. Также ее можно принудительно применить с помошью команды:
gpupdate /force
Установка консоли управления групповыми политиками в Windows 7
Windows Server 2008 и Windows Server 2008 R2 включают консоль управления групповыми политиками при выполнении роли доменных служб Active Directory. В противном случае можно установить консоль управления групповыми политиками на Windows Server 2008, Windows Server 2008 R2 или Windows 7. Чтобы установить консоль управления групповыми политиками, нужно загрузить Средства удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) и установить на компьютере один из следующих файлов:
- Windows6.1-KB958830-x64-RefreshPkg.msu. Этот пакет устанавливается на компьютерах с архитектурой x64, включая работающие под управлением Windows Server 2008 R2.
- Windows6.1-KB958830-x86-RefreshPkg.msu. Этот пакет устанавливается на компьютерах с архитектурой x86.
Установка обновления просто добавляет эту функцию в Windows. Кроме того, средства управления групповыми политиками необходимо включить с помощью раздела «Программы и компоненты» панели управления. В инструкциях, приведенных в данном разделе, описывается установка обновления, а также включение средств управления групповыми политиками.
Установка средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1)
1 | Выполните один из следующих файлов, загруженных ранее:
Затем нажмите кнопку Да, чтобы установить обновление. |
|
2 | На странице Прочтите условия лицензионного соглашения (1 из 1) изучите условия и, если согласны, щелкните Принимаю. | |
3 | На странице Установка завершена нажмите кнопку Закрыть. |
Включение средств управления групповыми политиками
1 | Щелкните Пуск, введите компоненты windows и щелкните Включение или отключение компонентов Windows в разделе Панель управления меню «Пуск». | |
2 | В диалоговом окне Компоненты Windows установите флажок Средства управления групповыми политиками и нажмите кнопку ОК. Средства управления групповыми политиками находятся в разделе Средства администрирования удаленных служб, средства администрирования возможностей. |
Сводка
Корпорация Майкрософт разработала новую технологию Windows с именем KIR для Windows Server 2019 и Windows 10 версии 1809 и более поздних версий. Для поддерживаемых версий Windows кира откатит определенное изменение, которое было применено в рамках выпуска обновления Windows безопасности. Все остальные изменения, внесенные в рамках этого выпуска, остаются нетронутыми. С помощью этой технологии, если обновление Windows вызывает регрессию или другие проблемы, вам не придется удалить все обновление и вернуть систему в последнюю хорошую конфигурацию. Вы откатываем только изменения, которые привели к проблеме. Этот откат является временным. После того как Корпорация Майкрософт выпустит новое обновление, которое устраняет проблему, откат больше не требуется.
Важно!
KiRs применяются только к обновлениям без безопасности. Это потому, что откат исправления для обновления без безопасности не создает потенциальной уязвимости безопасности.
Корпорация Майкрософт управляет процессом развертывания KIR для непредприятных устройств. Для корпоративных устройств Корпорация Майкрософт предоставляет MSI-файлы определения политики KIR. Затем предприятия могут использовать групповую политику для развертывания KIRs в гибридных Azure Active Directory доменах (Azure AD) или Active Directory Domain Services (AD DS).
Примечание
Чтобы применить это изменение групповой политики, необходимо перезапустить затронутые компьютеры.
Редактор локальной групповой политики. оснастка gpedit.msc
Групповая политика – это набор правил, применение которых может облегчить управление пользователями и компьютерами.
Параметры групповой политики применяются для управления конфигурацией операционной системы, а также для отключения опций и элементов управления пользовательского интерфейса для параметров, управляемых групповой политикой. Большинство параметров групповой политики хранятся в разделах реестра, связанных с групповыми политиками.
Существуют два типа групповых политик: локальные групповые политики и групповые политики службы каталогов Active Directory. Локальная групповая политика используется для управления параметрами локальной машины, а групповая политика службы каталогов Active Directory – для управления параметрами компьютеров сайтов, доменов и организационных единиц.
Локальные групповые политики применяются ко всем пользователям и администраторам, входящим в систему на компьютере. Управление локальной групповой политикой осуществляется посредством объекта групповой политики (ОГП – GPO, Group Policy Object). Объект локальной групповой политики хранится на каждом компьютере в скрытой папке %SystemRoot%\System32\GroupPolicy.
Дополнительные пользовательские и групповые объекты локальной групповой политики хранятся в папке %SystemRoot%\System32\GroupPolicyUsers.
Локальные политики (локальный GPO) можно редактировать с помощью оснастки gpedit.msc – редактора локальной групповой политики. Чтобы запустить редактор политики нажмите сочетание клавиш
R, в открывшемся окне Выполнить введите команду gpedit.msc и нажмите клавишу Enter ↵.
В открывшемся окне Редактор локальной групповой политики Вы можете редактировать конфигурацию компьютера и конфигурацию пользователя. В первом разделе (конфигурация компьютера) находятся общесистемные настройки, а во втором – пользовательские настройки.
Рассмотрим небольшой пример использования редактора политик. Допустим мы хотим отключить Диспетчер задач для пользователя. Когда пользователь нажимает Ctrl Alt Del, выводится меню, позволяющее запустить окно Диспетчера задач.
Зачем нужно запрещать Диспетчер задач? Пользователь может закрыть процесс, что приведет к потере данных (особенно когда человек не понимает, что делает). А потом будет надоедать с просьбой восстановить эти данные, что, далеко не всегда возможно. Поэтому проще запретить возможность завершать процессы, чем разбираться с потерями данных и их восстановлением.
Для отключения Диспетчера задач запустите редактор политик и выберите Конфигурация пользователя ► Административные шаблоны ► Система ► Варианты действий после нажатия CTRL ALT DEL. На правой панели вы увидите варианты действий после нажатия Ctrl Alt Del. Дважды щелкните на политике Удалить диспетчер задач.
По умолчанию политика не задана. Для отключения Диспетчера задач выберите значение Включить и нажмите кнопку OK.
После этого запуск Диспетчера задач будет невозможен.
Вы также не сможете запустить Диспетчер задач нажимая сочетание клавиш Ctrl Shift Esc, а также путем ввода команды taskmgr в окне Выполнить, в этом случае вы получите сообщение о том что Диспетчер задач отключен администратором.
При желании отключить Диспетчер задач можно и через реестр. По сути, политики – это надстройки реестра. Чем различается настройка системы через политики и через реестр? Да ничем, по большому счету. Политики созданы для более удобного редактирования реестра. Так, при отключении Диспетчера задач через редактор политик будет создан раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, а в него добавлен параметр DisableTaskMgr типа DWORD со значением 1.
Для включения Диспетчера задач нужно в разделе реестраHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System для параметра DisableTaskMgr установить значение или использовать редактор политик для установки значения Отключить.
Чтобы отключить Диспетчер задач не для конкретного пользователя, а в масштабах всей системы, нужно создать DWORD-параметр DisableTaskMgr со значением 1 в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
Добавление и настройка групп и пользователей в домене Windows Server
Теперь нужно добавить пользователей домена, что бы присоединить к сети рабочие места сотрудников.
Отроем «Пользователи и компьютеры Active Directory». Для этого перейдите в Пуск –> Панель управления –> Система и безопасность –> Администрирование –> Пользователи и компьютеры Active Directory.
Создадим отдел «Бухгалтерия», для этого выделите название домена и вызовите контекстное меню, в котором выберите (Создать – Подразделение). Введите имя отдела (бухгалтерия) и нажмите «OK»
Подразделения служат для управления группами компьютеров пользователей. Как правило их именуют в соответствии с подразделениями организации.
Создайте учетную запись пользователя в новом подразделении. Для этого в контекстном меню нового подразделения выберите пункт Создать –> Пользователь. Пусть первым пользователем будет Бухгалтер.
После ввода имени пользователя и учетной записи нажмите «Далее». Теперь нужно ввести пароль. По умолчанию пароль должен соответствовать требованиям сложности, то есть содержать три из четырех групп символов: заглавные буквы, строчные буквы, цифры, специальные знаки ( . , + – = ? № $ и так далее). Установите параметр «Требовать смену пароля при следующем входе в систему».
Создайте учетную запись группы безопасности. Для этого в контекстном меню нового подразделения (бухгалтерия) выберите пункт (Создать – Группа). При создании новой группы безопасности необходимо ввести имя, область действия и тип группы. Область действия определяет видимость данной группы в службе каталога. Глобальная группа видна в любом домене службы каталога и ей могут назначаться привилегии доступа к ресурсам других доменов. Локальная группа видна только в своем домене, то есть ей будут доступны ресурсы только ее домена. Группы безопасности позволяют
объединять пользователей и другие группы для назначения им одинаковых привилегий на различные объекты. Группы распространения используются для рассылки сообщений, они не участвуют в разграничении прав доступа.
Теперь нужно ввести компьютер в домен и зайти под новым пользователем. Для этого на клиентском компьютере нужно указать DNS-адрес. Для этого откройте «Свойства сетевого подключения» (Пуск –> Панель управления –> Сеть и Интернет – >Центр управления сетями и общим доступом – Изменение параметров адаптера), вызовите контекстное меню подключения и выберите «Свойства».
Выделите «Протокол Интернета версии 4 (TCP/IPv4)», нажмите кнопку «Свойства», выберите «Использовать следующие адреса DNS-серверов» и в поле «Предпочитаемый DNS-сервер» укажите адрес вашего DNS-сервера. Проверьте, что задан IP-адрес и маска той же подсети, в которой находится сервер.
Присоединение компьютера к домену
Откройте свойства системы (Пуск –> Панель управления –> Система и безопасность –> Система –> Дополнительные параметры системы). Выберите вкладку «Имя компьютера» и нажмите «Изменить». Выберите «Компьютер является членом домена» и введите имя домена.
После этого необходимо ввести логин и пароль пользователя с правами присоединения к домену (обычно администратора домена). Если вы всё указали правильно, то появиться приветственное сообщение «Добро пожаловать в домен …».
Для того чтобы завершить присоединение, необходима перезагрузка.
После перезагрузки войдите в систему под доменной учётной записью пользователя, которая была создана ранее
После ввода пароля операционная система попросит вас сменить пароль.
Вернемся на сервер. Нажмите «Пуск» -> Администрирование и перейдите в окно Управления групповой политикой. Выбираем наш лес, домен, Объекты групповой политики, щелкаем правой кнопкой мыши -> создать. Называем его buh (это объект групповой политики для группы Бухгалтерия).
Теперь необходимо привязать данный объект групповой политики к созданной группе. Для этого нажмите правой кнопкой на созданное подразделение (Бухгалтерия) и выберите «Связать существующий объект групповой политики…», затем выберите созданный ранее объект в списке и нажмите «ОК».
Далее выбираем созданный объект.
Выбранный объект должен появиться в списке связанных объектов групповой политики. Для редактирования параметров, определяемых данным объектом, нажмите на него правой кнопкой и выберите «Изменить».
Частота обновления групповой политики
Следующие события вызывают применение обьектов групповой политики:
- перезапуск компьютера
- в любой момент можно обновить групповую политику вручную с помощью команды:
gpupdate
- групповая политика также регулярно применяет новые и измененные объекты групповой политики в течение 90 минут (по умолчанию) с небольшим фактором случайности
- вход пользователя в систему;
- запрос от приложения на обновление функцией API RefreshPolicy();
- включен и задан один из интервалов обновления групповой политики;
- политика не применяется контроллером домена, а запрашивается компьютером-клиентом.
Feature description
Group Policy is an infrastructure that allows you to specify managed configurations for users and computers through Group Policy settings and Group Policy Preferences. To configure Group Policy settings that affect only a local computer or user, you can use the Local Group Policy Editor. You can manage Group Policy settings and Group Policy Preferences in an Active Directory Domain Services (AD DS) environment through the Group Policy Management Console (GPMC). Group Policy management tools also are included in the Remote Server Administration Tools pack to provide a way for you to administer Group Policy settings from your desktop.
Windows PowerShell When the GPMC is installed on servers or client computers, the Windows PowerShell module is also installed. You have full Windows PowerShell functionality. If you install the Remote Server Administration Tools pack, the latest Windows PowerShell cmdlets for Group Policy are also installed. For more information about Windows PowerShell cmdlets and scripts that you can use to manage Group Policy, see Group Policy Cmdlets.
You can configure the Group Policy feature by using Windows PowerShell cmdlets. For more information about using Server Manager cmdlets to install the Group Policy Management Console, see Install or Uninstall Roles, Role Services, or Features and Server Manager deployment cmdlet module.
Настроим созданный объект
Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контектстном меню выбираем “Изменить”.
Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом — удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.
В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.
Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.
В открывшемся окне изменим состояние на “Включено”. В поле комментария рекомендуем не игнорировать. Для завершения настройки нажимаем “OK”.
Создание объектов можно считать оконченным.
Фильтры WMI
Как применить групповую политику к пользователям на определенном компьютере
Чтобы решить эту задачу следует воспользоваться фильтрами WMI. Они позволяют динамически определять область действия объектов групповой политики (GPO) при помощи атрибутов заданного компьютера, таких как, например, имя.
Создать новый фильтр можно в оснастке Управление групповой политикой в контейнере Фильтры WMI вашего домена воспользовавшись через контекстное меню пунктом Создать. В появившемся диалоговом окне:
- Cледует указать имя, по которому можно определить, что делает этот фильтр.
- Добавить новый запрос. Из возможных пространств имен был выбран выриант по умолчанию. Код запроса в простейшем случае для одного ПК приведен ниже.
select * from win32_computerSystem where name='<имя_пк>' (OR name='<имя_пк>') select * from win32_computerSystem where name like "%<вхождение>%"
Применить созданный фильтр можно выбрав групповую политику, применяющуюся по нему, и в окне ее свойств в разделе Фильтр WMI выбрать его название.
Использование элемента предпочтения групповой политики «Локальные пользователи и группы»
«Администраторы»«Управление групповой политикой»«Group Policy Preferences — 17»
Сценарий 1
Конфигурация компьютера\Настройка\Параметры панели управления\Локальные пользователи и группыComputer Configuration\Preferences\ Control Panel Setting\ Local Users and GroupsСоздать«Локальный пользователь»New >Local User)Рис. 1. Создание элемента предпочтений групповой политики локального пользователяСоздатьCreateОбновитьUpdateПользовательUser name«MBeasley»ПереименоватьRename to«Обновить» Update«Полное имя» (Full name«Michael Beasley»ОписаниеDescription«Новая учетная запись»ПарольПодтверждениеPasswordConfirm PasswordЕще раз про паролиP@ssw0rd«Требовать смену пароля при следующем входе в систему»User must change password at next logon«Срок действия учетной записи не ограничен»Account never expiresРис. 2. Диалоговое окно создания новой учетной записи локального пользователя
Сценарий 2
ОбновитьUpdateПереименоватьRename to«TrueAdmin»Требовать смену пароля при следующем входе в системуUser must change password at next logon«Запретить смену пароля пользователем»Usercannot change password«Срок действия пароля не ограничен»Password never expires«Срок действия пароля не ограничен» Password never expires)Отключить учетную записьAccount is disabled)«ОК»Рис. 3. Изменение встроенной учетной записи администратора
Сценарий 3
«Администраторы»Локальная группаLocal GroupОбновитьUpdateЗаменитьReplaceИмя группыGroup name«Администраторы»ПереименоватьRename to«Администраторы имеют полные, ничем не ограниченные права доступа на локальном компьютере»«Удалить всех пользователей-членов для этой группы»Delete all member users«Удалить все группы-члены для этой группы»Delete all member groupsЧлены группыДобавитьAdd«Builtin\Администратор»«ОК»Администраторы доменаРис. 4. Изменение членства в локальной группе администраторов
Дополнительная информация
Если сосредоточиться на локальном GPO с помощью оснастки редактора групповой политики MMC, то вполне нормально, что некоторые области политики, которые обычно можно увидеть при редактировании GPO на основе Active Directory, не присутствуют. Это ожидаемое поведение, так как локальное GPO поддерживает только подмножество компонентов в GPO на основе Active Directory. Однако иногда даже при сосредоточении внимания на GGP на основе Active Directory некоторые области политики, которые должны присутствовать, отсутствуют. В этом случае наиболее вероятной причиной является отсутствие регистраций для DLLs оснастки MMC, реализующих эту функцию, и путем повторной регистрации отсутствующих DLL и перезапуска редактора групповой политики проблема может быть решена.
Community Отказ от контента решений
Корпорация Майкрософт и/или соответствующие поставщики не делают представлений о пригодности, надежности или точности сведений и связанных с ними графических данных, содержащихся в этой записи. Вся такая информация и связанная графика предоставляются «как есть» без какой-либо гарантии. Корпорация Майкрософт и/или соответствующие поставщики тем самым отключили все гарантии и условия в отношении этой информации и связанной графики, включая все подразумеваемые гарантии и условия торговой доступности, пригодность для определенной цели, рабочий труд, название и неущемление. Вы соглашаетесь, что ни в каких событиях корпорация Майкрософт и/или ее поставщики не несут ответственности за любые прямые, косвенные, штрафные, случайные, специальные, сопутствующие повреждения или любые повреждения, включая без ограничений убытки за потерю использования, данных или прибыли, возникающие из-за использования или невозможности использования сведений и связанных с ними графических элементов, содержащихся в этом деле, независимо от того, были ли они связаны с контрактом, тортом, халатностью, строгой ответственностью или иным образом, даже если корпорации Майкрософт или любому из ее поставщиков было рекомендовано о возможности ущерба.
Настройки групповой политики Windows 8
Групповая политика в Windows 8 мало чем отличается от аналогичного инструмента в «десятке». Рассмотрим его на примере Windows 10, подразумевая что в «восьмёрке» он ничем не отличается, за исключением наличия нескольких дополнительных опций.
Что это за инструмент
Групповая политика – это обширный набор плавил, опций и настроек, посредством которых системный администратор может конфигурировать параметры компьютера. Сюда относится возможность изменять различные значения, устанавливать всевозможные ограничения, отключать или активировать функции. В общем, групповая политика предоставляет пользователю возможность редактировать записи системного реестра посредством удобного и понятного инструмента, в котором каждый параметр имеет название с кратким описанием, чего не предоставляет редактор реестра.
Эта оснастка доступна только для пользователей, которые установили на свои компьютеры Windows 10 профессиональную (Pro) или для бизнеса (Enterprise). В ином случае придется обновлять операционную систему или остаться без нижеописанных возможностей.
Запуск редактора
Прежде чем ознакомиться с функционалом редактора, необходимо выяснить, каким образом он запускается, и как быстрее вызвать оснастку.
Выполняем команду «gpedit.msc», скопировав или вбив ее в поисковую строку начального экрана, или «Пуск» в Windows 10, или текстовую форму командного интерпретатора (вызывается на экран посредством Win + R).
Добавление редактора в Виндовс Домашняя
Если появилось сообщение, оповещающее о невозможности запустить редактор, или используете домашнюю версию Windows 10 или «восьмерки», тогда придется выполнить интеграцию инструмента в операционную систему.
Внимание! Редактор групповой политики в домашнюю версию Виндовс не добавляется с XP, и Виндовс 10 не стала исключением. Посмотрите ещё: Как переустановить Windows 8
Посмотрите ещё: Как переустановить Windows 8
- При использовании операционной системы разрядностью x32 бит закрываем окно, нажав «Finish», в 64-х битной редакции Виндовс 10 и 8 эту кнопку ни в коем случае не трогаем.
- Заходим в папку «Temp», расположенную в директории «Windows» системного тома.
- Копируем туда динамические библиотеки (файлы с расширением dll) gpedit, fde,gptext, appmgr, fdeploy с распакованного архива.
- Копируем файл «gpedit.msc» в директорию «System32», которая находится в той же системной папке «Windows».
- Создаем копии GroupPolicy, GPBAK файлов GroupPolicyUsers иmsc, расположенных в «SysWOW64», в папке «System32».
- Если все прошло успешно, жмем «Finish» и перезагружаем Windows 10.
При возникновении ошибки в случае копирования документов придется подождать около минуты и повторить попытку или освободить проблемные файлы от использования их запущенными приложениями при помощи Unlocker.
Бывает, что при точном выполнении всех пунктов инструкции появляется ошибка с текстом о невозможности создания оснастки MMC. Тогда идем в каталог «Temp\gpedit», расположенный в «Windows», и запускаем командный файл x86.bat при использовании 32-х битной Виндовс 10, или x64.bat, если на компьютере используется 64-х разрядная ОС.
Как ни печально, но ни одна новая политика для «восьмерки» и «десятки» не будет доступной, ведь инструмент разрабатывался для «семерки» и был лишь незначительно подкорректирован для поддержания «десяткой».
Работаем в редакторе
Внешний вид окна редактора политики мало чем отличается от классического проводника и редактора реестра концептуально. Здесь присутствует все та же иерархическая структура каталогов с подкаталогами (аналогично разделам реестра и папкам в проводнике) и параметрами (файлы в проводнике и ключи в реестре) с подробной информацией о каждом из них.
Аналогично кустам реестра, список доступных опций в редакторе политики разделен на две части, первая из которых применима для активного пользователя, а вторая – для всех юзеров компьютера. В каждом разделе содержится ещё по три подраздела:
- «Конфигурация программ» — настройки, касающиеся ограничений на запуск приложений на компьютере;
- «Конфигурация Windows» — перечень групповых политик, влияющих на безопасность, позволяющих внедрять пользовательские скрипты для их выполнения во время запуска ПК;
- «Административные шаблоны» — пункт содержит перечень всех настроек, которые доступны для пользователя через «Панель управления».
Посмотрите ещё: Восстановление системы Windows 8
Пользователя, владеющего базовыми знаниями о возможностях, которые предоставляют групповые политики, ждет приятное открытие – доступ к массе спрятанных в дебрях системы и даже недоступных посредством графического интерфейса функциям.
Вопросы и ответы для самоконтроля
- Для чего применяется MMC? Для настройки приложений и программ.
- Что такое оснастка? Это средство MMC для управления чем-либо (например, управлением жесткими дисками).
- Чем отличается авторский режим консоли MMC от пользовательского режима? Авторский режим разрешает полную настройку оснастки.
- Чем отличается пользовательский многооконный режим консоли MMC от пользовательского однооконного режима? Разница в том, что при однооконном режиме пользователь не может открывать новые окна.
- В чём состоит отличие конфигурации компьютера от конфигурации пользователя в групповой политике? Параметры, настроенные в конфигурации компьютера применяются ко ВСЕМ пользователям данного компьютера. А параметры пользователя применяются для конкретного пользователя, и их можно переносить на другой компьютер.
- Каким образом можно отключить автозапуск компакт-дисков чрез групповую политику? Система->Отключить автозагрузку (выбрать: во всех дисководах).
- Каким образом можно включить автозапуск программ через групповую политику? – Система: вход в систему: запускать указанные программы при входе в систему и выбрать полный путь к программе с расширением.
- Каким образом можно добавить новый шаблон в групповую политику? В Групповой политике нажать кнопку Действие->Добавление или удаление шаблонов.
- Для чего предназначена оснастка «Результирующая политика»? Для просмотра настроек пользователя или компьютера.