Настройка параметров реестра на компьютерах с помощью групповых политик

В этой статье мы рассмотрим, как с помощью групповых политик (GPO) централизованно управлять, создавать, изменять значения, импортировать и удалять любые ключи реестра на компьютерах домена.

В классических групповые политики отсутствовала встроенная возможности управления произвольным параметром реестра. Поэтому администраторам для централизованного управления ключами и параметрами реестра через GPO приходилось создавать собственных административные (.adm / .admx) шаблонов (пример GPO на admx шаблоне для Google Chrome) или bat-файлов для Logon скриптов (импорт reg файла с помощью команды reg import).

В Windows Server 2008 Microsoft представила расширение групповых политик под названием предпочтения групповых политик (Group Policy Preferences — GPP). В GPP появился специальный раздел, с помощью которого администратор может настроить (создать, удалить) любой параметр или ветку реестра и распространить это ключ на все компьютеры домена. Рассмотрим эти возможности подробнее.

Допустим, вам нужно на всех компьютера в определенном контейнере (OU) домена  отключить автоматическое обновление драйверов с помощью изменения значения параметра SearchOrderConfig в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching. Есть два способа задать параметр реестра на целевых компьютерах домена: с помощью встроенного в консоль GPP браузера реестра на удаленных компьютерах или вручную, путем ручного указания пути к ветке реестра и имени параметра.

Мастер создания / правки параметров реестра в GPO

Сначала рассмотрим первый способ:

  1. Откройте консоль управления доменными политиками Group Policy Management Console (gpmc.msc);
  2. Создайте новую (или отредактируйте существующую) GPO, назначьте ее на нужный контейнер AD с компьютерами (или пользователями), на которые нужно распространить значение вашего параметар реестра, и перейдите в режим редактирования политики;
  3. Разверните раздел GPO Computer (или User) Configuration -> Preferences -> Windows Settings -> Registry и в контекстном меню выберите пункт New -> Registry Wizard; Group Policy Preferences - создать новый ключ реестра
  4. Мастер Registry Wizard позволяет по сети подключиться к реестру на удаленном компьютере и выбрать имеющийся на ней параметр реестра и его значение;
  5. Укажите имя компьютера, к которому нужно подключиться;Браузер удаленного реестра
    Примечание. Если при подключении к компьютеру через Registry Browser появляется ошибка The network path was not found, скорее всего компьютер отключен, доступ к нему заблокирован файерволом, или на нем не включена служба Remote Registry (Удаленный реестр).The network path was not foundЧтобы вручную включить службу RemoteRegistry, нужно на удаленном компьютере выполнить команды:sc config remoteregistry start= demand
    net start remoteregistrynet start remoteregistry
  6. С помощью браузера удалённого реестра выберите все параметры реестра, которые вы хотите настроить через GPO;
    Примечание. Данный браузер позволяет на удаленных ПК выбирать ключи только из разделов HKEY_LOCAL_MACHINE и HKEY_USERS. Если нужно задать ключи, содержащиеся в других ветках реестра, придется на удаленном компьютере установить RSAT (установка RSAT в Windows 10 ). Затем на этом компьютере запустите консоль gpmc.msc и по аналогичной процедуре укажите нужные вам параметры реестра.
  7. В нашем примере мы хотим через GPP изменить в реестре значение только одного параметра— SearchOrderConfig;Выбор ключа реестра на удаленной машине
  8. Указанный параметр реестра импортируется в консоль GPP вместе с путем и текущим значением (0). Как вы видите, в консоли управления GPO появилось дерево реестра, в котором хранится данный параметр. В дальнейшем вы можете изменить его значение и действие с ним (рассмотрим чуть ниже);Ключ реестра в GPO
  9. На этом создание политики GPP закончено. При следующем обновлении настроек групповых политик на всех компьютерах, попадающих под действие этой политики, значение ключа реестра SearchOrderConfig изменится на 0 (если политика не отрабатывает на клиенте, для диагностики можно воспользоваться утилитой gpresult, и рекомендациями из статьи “Почему не применяется GPO?”).

Если политика перестанет действовать на компьютер (политика удалена или отлинкована от контейнера, компьютер перенесен в другой OU и т.д.), значение параметра реестра не вернется на первоначальное (дефолтное) значение (как в случае с обычными настройками политик GPO).

Ручное создание параметра реестра с помощью групповых политик

Вы можете создать, изменить или удалить конкретный параметр или ключ реестра с помощью GPP, указав ветку реестра, имя и значение параметра вручную.

  1. Для этого выберите пункт Registry -> New->Registry Item;Создать новый ключ реестра
  2. В полях Hive, Key Path, Value Name, Value type, Value data нужно указать соответственно раздел реестра, ветку, имя, тип и значение параметра, который вы хотите изменить;Параметры нового ключа
  3. По умолчанию для параметра реестра, которые настраиваются через GPO, устанавливается режим Update.

Доступны 4 вида операции с параметрами реестра.Действия с ключом реестра

  • Create – создает параметр реестра. Если параметр уже имеется, его значение не меняется;
  • Update (По-умолчанию) – если параметр уже имеется, его значение изменится на значение, указанное в политике. Если параметр реестра не существует, он будет создан автоматически (как и ветка реестра, в которой он должен находится);
  • Replace — если элемент реестра уже существует, он удаляется и создается заново (применяется редко);
  • Delete – параметр реестра будет удален.

На вкладке Common есть еще ряд полезных опций:

Опции создания ключей в GPP

  • Run in logged-on user’s security context (user policy option) — ключ реестра создается в контексте текущего пользователя (возможно только для GPP, которые вы создаете в пользовательском разделе GPO). Если у пользователя нет прав администратора, политика не сможет выполнить запись в системные ветки реестра;
  • Remove this item when it is no longer applied – если политика перестает действовать на клиента, параметр будет автоматически удален;
  • Apply once and do not reapply – применить политику только один раз (для компьютера, или пользователя). Если после первого применения GPO пользователь вручную изменит значение параметра реестра на своем компьютере, политика не перезатрет его значение при повторном обновлении GPO;
  • Item-level targeting – возможность более точного таргетирования политики на клиентов (вы можете нацелить политику на конкретный IP, подсеть, имя компьютера, компьютеры с определенными характеристиками – т.е. можно настроить тонкое применение политик по аналогии с WMI фильтрами GPO). Например, вы можете указать, что параметр реестра должен применится на компьютеры с Windows Server 2012 R2 в OU Servers.gpp тонкий таргетинг параметра реестра через политики

Вот так в консоли GPMC (вкладка Settings) выглядит результирующей отчет с настройками групповой политики, которая меняет значение одного параметра реестра.

Результирующий отчет политики

Импорт .reg файла в GPO

Расширение GPP позволяет администратору легко импортировать в групповую политику .reg файл сразу с несколькими параметрами реестра. Но для этого reg файл нужно сконвертировать в XML формат (редактор Group Policy Editor позволяет импортировать только файлы в XML формате).

Например, у нас имеется эталонный компьютер, на котором сконфигурированны настройки в некой ветке реестра. Экспортируем эти настройки в REG файл, щелкнув правой кнопкой по имени ветки в редакторе реестра regedit и выбрав Export.

экспорт настроек реестра в reg файл

Сохраните параметры ветки реестра в reg файл.

Если в вашем reg файле присутствуют данные из разных кустов реестра (HKLM, HKCU, HK_CLASSES), их нужно разделить на отдельные reg файлы.

сохранить reg файл

Данный REG файл нужно преобразовать в XML формат (вы можете выполнить конвертацию reg->xml с помощью онлайн сервиса https://www.runecasters.com.au/reg2gpp или скрипта RegToXML.ps1 —  https://gallery.technet.microsoft.com/scriptcenter/Registry-To-GroupPolicyPref-9feae9a3).

Полученный XML файл нужно скопировать в проводнике и в редакторе Group Policy в секции Registry выполнить вставку (Paste).

импорт reg xml файла в GPO

В результате все настройки реестра, которые вы импортировали появится в консоли и будут применены к компьютерам в домене.

настройка нескольких параметров реестра через gpo

 

 

 

 

 

 

 


Предыдущая статья Следующая статья


Комментариев: 2 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)