Настройка ключей реестра с помощью групповых политик | Windows для системных администраторов

Настройка ключей реестра с помощью групповых политик

Настройки большинство приложений и множество тонких настроек Windows не предполагают централизованного управления средствами групповых политик (GPO), но часто имеют возможность настройки своих параметров через реестр. В этой статье мы рассмотрим, как с помощью групповых политик централизованно управлять, создавать, изменять значение и удалять произвольные ключи реестра на компьютерах домена.

Классические групповые политики не предполагают встроенной возможности управления произвольным ключом реестра. Поэтому администраторам для централизованного назначения ключей реестра через GPO приходилось использовать такие трудоемкие методы, как создание собственных административных (.adm / .admx) шаблонов GPO (пример GPO на admx шаблоне для Google Chrome) или сценариев для Logon скриптов.

В Windows Server 2008 Microsoft представила расширение групповых политик под названием предпочтения групповых политик (Group Policy Preferences — GPP). GPP в том числе позволяет управлять параметрами реестра, т.е. добавлять ключи и значения, а также удалять или изменять их. Рассмотрим эти возможности подробнее.

Допустим, нам нужно на всех ПК в определенном OU отключить автоматическое обновление драйверов путем модификации ключа SearchOrderConfig в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching. Есть два варианта задания ключа реестра на целевых компьютерах: с помощью встроенного в консоль GPP браузера реестра на удаленных компьютерах или вручную, путем ручного указания ветки и ключа. Сначала рассмотрим первый способ:

  1. Откройте консоль Group Policy Management Console (gpmc.msc)
  2. Создайте новую (или отредактируйте существующую) GPO, назначьте ее на нужный контейнер (OU) в AD и перейдите в режим ее редактирования
  3. Разверните раздел GPO Computer (или User) Configuration -> Preferences -> Windows Settings -> Registry и в контекстном меню выберите пункт New -> Registry Wizard  Group Policy Preferences - создать новый ключ реестра
  4. Мастер Registry Wizard позволяет подключиться к реестру на удаленной машине и выбрать уже существующий ключ реестра
  5. Укажите удаленный компьютер, к которому нужно подключиться и выбрать существующий ключ и ветку реестра.Браузер удаленного реестра
    Примечание. Если при подключении появится ошибка The network path was not found, скорее всего компьютер отключен, либо на нем не включена служба Remote Registry (Удаленный реестр). The network path was not foundЧтобы вручную включить службу, на данном компьютере нужно выполнить команды:sc config remoteregistry start= demandnet start remoteregistry

    net start remoteregistry

  6. С помощью браузера удалённого реестра выберите ключ или ключи реестра, которые вы хотите задать через GPO.
    Примечание. Данный браузер позволяет на удаленных ПК выбирать ключи только из веток HKEY_LOCAL_MACHINE и HKEY_USERS. Если нужно задать ключи, содержащиеся в других ветках реестра, придется на удаленной машине установить RSAT (RSAT для Win 7, RSAT для Win1). Затем на данном ПК запустить консоль gpmc.msc и по аналогичной процедуре указать искомые ключи.
  7. В нашем примере мы хотим импортировать в GPP только один ключ — SearchOrderConfigВыбор ключа реестра на удаленной машине
  8. Указанный ключ импортируется в консоль GPP, в дальнейшем можно изменить его значение и желаемое действие с ним (рассмотрим чуть ниже).Ключ реестра в GPO
  9. На этом создание политики GPP закончено и через некоторое время данный ключ должен создастся на всех компьютерах, попадающих под действие этой политики (если политика не отрабатывает на клиенте, для диагностики можно воспользоваться утилитой gpresult)

Создать, удалить или обновить значение ключа реестра с помощью GPP можно и путем ручного указания ветки реестра и значения ключа.

  1. Для этого выберите пункт New->Regisrty ItemСоздать новый ключ реестра
  2. В полях Hive, Key Path, Value Name, Value type, Value data нужно указать соответственно раздел реестра, ветку, имя, тип и требуемое значение ключа.Параметры нового ключа
  3. По умолчанию ключ устанавливается в режиме Update.

Доступны 4 вида операции с ключами.Действия с ключом реестра

  • Create – создает ключ реестра. Если параметр уже имеется, его значение не меняется.
  • Update (По-умолчанию) – если параметр уже имеется, его значение обновляется в соответствии с указанным в GPP. Если ключ отсутствует – он создается
  • Replace — если элемент реестра уже существует, он удаляется и создается заново (применяется редко)
  • Delete – ключ удаляется

На вкладке Common есть еще ряд полезных опций:

Опции создания ключей в GPP

  • Run in logged-on user’s security context (user policy option) — ключ создается в контексте текущего пользователя (возможно только для GPP в пользовательском разделе политик). В том случае, если у пользователя нет прав администратора – записать в системные ветки реестра не удастся
  • Remove this item when it is no longer applied – если политика перестает действовать на клиента, ключ автоматически удаляется
  • Apply once and do not reapply – политика для каждого ПК применяется только один раз. В дальнейшем переприменяться не будет
  • Item-level targeting – возможность более точного таргетирования политики на клиентов

Вот так как выглядит результирующей отчет с настройками политик в консоли GPMC.

Результирующий отчет политики

Примечание. В Windows XP и Windows Server 2003 (уже снятых с поддержки), раздел GPP в редакторе политик отсутствует, и следовательно не применяется. Чтобы добавить функционал GPP в эти ОС, необходимо установить обновление KB943729 (клиентские расширения предпочтений групповых политик).
Еще записи по теме: Group Policy
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00099 sec