Основы использования групповых политик (GPO) для настройки Windows


Групповые политики (Group Policy Object, GPO) – это инструмент Windows для централизованной настройки конфигурации и параметров операционной систем, пользователей и приложений. Групповые политики содержат набор правил и настроек для рабочей среды, которые позволяют применить одинаковые настройки для всех (или определенных групп) пользователей и компьютеров в доменной среде Active Directory. С помощью групповых политик можно задать конфигурацию Windows, изменить настройки безопасности, настроить окружение пользователя, установить программу или запустить скрипт, и т.д.

Основные компоненты архитектуры GPO

  • GPO – один объект с настройками групповых политики, содержащий в себе набор настроек которые вы хотите применить к рабочим станциям, сервера, и/или пользователей. Каждая GPO в домене имеет свой уникальный GUID и ее файлы хранятся в каталоге SYSVOL на контроллерах домена Active Directory ( \\winitpro.ru\SYSVOL\winitpro.ru\Policies\GPO_GUID ). Папка с GPO в Sysvol реплицируется между всеми контроллерами домена AD;
  • Клиентские компьютеры – получают объекты GPO с контроллеров домена и применяют настройки к Windows и пользователям. Процесс получения и применения GPO называется обновлением групповых политик;
  • Административные шаблоны GPO (ADMX файлы) – это XML файлs шаблонов для редактора GPO. ADMX файлы содержат определения параметров политик, описывающие, какие параметры можно настроить, и их допустимые значения. Сторонние разработчики и администраторы могут создавать собственные ADMX шаблоны. Для мультиязычной поддержки в ADMX можно использовать ADML файлы. Вы можете устанавливать и обновлять административные шаблоны для различных программ и служб: например admx шаблоны для Microsoft Office, для настройки браузера Google Chrome у пользователей, параметры управления LAPS и т.д. В домене Windows рекомендуется создать центральное хранилище административных шаблонов, которое называется PolicyDefinitions .
  • Привязка GPO – настроенный объект GPO можно назначить н на весь домен, сайт Active Directory или организационный контейнер (Organizational Unit) в структуре AD;

    Что такое групповые политики (GPO) в Windows и Active Directory

  • С помощью GPO Security Filtering и WMI фильтров можно ограничить область применения GPO до определенных компьютеров, пользователей, групп и т.д.

  • Group Policy Preferences – встроенный набор клиентских расширений, которые расширил возможности применения GPO (доступен начиная с Windows Server 2008).

По умолчанию в домене созданы две групповые политики:

  • Default Domain Policy – назначена на корень домена и содержит базовые параметры для всех пользователей и компьютеров. Включает в себя настройки политики паролей, параметры блокировки учетных записей, политики Kerberos.
  • Default Domain Controller Policy – содержит базовые параметры безопасности и аудита для контроллеров домена Active Directory

Инструменты управления групповыми политиками

  • MMC консоль редактора локальной групповой политики (Local Group Policy, gpedit.msc ) – используется для настройки параметров GPO на локальном компьютере Windows. По умолчанию консоль gpedit.msc доступна только в Pro/Enterprise редакциях Windows, но вы можете установить и в Home редакциях. Локальная политики позволяет применить разные настройки GPO для разных групп пользователей с помощью возможностей MLGPO (множественных локальных групповых политик). Настройки локальной GPO можно экспортировать и перенести на другие компьютеры с помощью утилиты exe.
  • MMC консоль управления доменными групповыми политиками Active Directory (Group Policy Management Console, gpmc.msc ) – используется для централизованного администрирования групповых политик на уровне всего домена AD. Позволяет применить групповые политики для всех компьютеров/пользователей домена, объектов в определенной OU, или конкретным группам пользователей или компьютеров.
  • PowerShell модуль Group Policy – позволяет создавать, удалять, назначать/отключать, настраивать параметры GPO из командной строки PowerShell.

Примеры настроек групповых политик для различных сценариев

Примеры использования Group Policy Preferences:

Диагностика и исправление ошибок применения GPO

Включаем аудит доступа к папкам и файлам в Windows

Политики аудита файловой системы Windows позволяют отслеживать все события доступа к определенным файлам и папкам на диске. С помощью политик аудита вы можете выявить события создания, чтения, изменения, удаления файлов и папок на файловой системе NTFS в Windows. Чаще всего аудит...

Управление языковыми пакетами и предпочтительным языком Microsoft Office


Отключить сохранение паролей в браузерах (Chrome, Edge, Firefox) с помощью GPO

Во всех современных браузере есть встроенный менеджер паролей, которые предлагает вам сохранить пароли для вебсайтов. В следующий раз, когда вы посетите такой сайт, менеджер паролей браузера может автоматически подставит сохраненный пароль. В корпоративной среде хранение паролей в браузерах обычно считается плохой...

Как включить или отключить брандмауэр (файервол) в Windows?

Во все современные версии Windows встроен брандмауэр Windows Defender Firewall. Это встроенный программный межсетевой экран, который защищает Windows от несанкционированного внешнего доступа к компьютеру и запущенным на нем службам. По умолчанию брандмауэр Windows включен и защищает все сетевые интерфейсы компьютера. Брандмауэр...

Добавляем папки в панель быстрого доступа Windows с помощью PowerShell

В меню проводника Windows существует отдельная панель, в которой отображается список избранных папок. Панель навигации со списком папок быстрого доступа (Quick Access) отображается в левой верхней части окна File Explorer. Этот удобный инструмент Windows для быстрого к избранным папками, который незаслуженно...

Отключить автозапуск диспетчера Server Manager в Windows Server

Консоль диспетчер серверов (Server Manager) запускается автоматически при локальном или RDP входе на Windows Server с учетной записью, которая входит в локальную группу Administrators (как вывести список пользователей с правами локального администратора в Windows). Консоль Server Manager позволяет установить определенную роль...

Скрываем лишние папки в проводнике Windows

По-умолчанию в проводнике Windows отображаются различные стандартные папки: папки библиотек (Видео, Загрузки, Музыка, Документы, Изображения, Рабочий, Объемные объекты), панель быстрого доступа (Quick Access), значок сетевого окружения и OneDrive, последние открытые файлы и папки. Если ваши пользователи не используют эти папки, вы можете...

Автоматическая синхронизация файлов из библиотеки SharePoint в OneDrive

С помощью групповых политик вы можете настроить автоматическое подключение необходимых библиотек файлов из SharePoint Online (Teams) в клиенте OneDrive. Этом может быть отличной заменой подключению библиотеки файлов SharePoint как сетевого диска в Windows через устаревший протокол WebDAV....

Защита от вирусов и шифровальщиков с помощью встроенных средств Windows

Программы-шифровальщики за последние несколько лет стали массовой проблемой, с которой постоянно сталкиваются отдельные пользователи или целые компании. Шифровальщики шифруют ценные файлы (документы, фото, изображения) на диске пользователя и выводят сообщение с требованием выкупа за восстановление данных....

Подключение сетевого диска с SharePoint Online в Windows

Подключение библиотек документов SharePoint Online через клиента OneDrive и использование веб-интерфейса являются предпочтительными и рекомендованными методом доступа к файлам на SharePoint. Однако вы можете подключать библиотеки файлов сайтов SharePoint Online и OneDrive как сетевые диски в Windows....

Настройка размера и параметров журнала событий Windows

В журналах событий Windows хранится полезная информация, которая нужна при анализе состояния служб и приложений в Windows, отладки ошибок и аварийный ситуаций, аудите различных событий безопасности. По умолчанию для журналов Event Viewer в Windows заданы максимальные размеры, при достижении которых новые...

Кто изменил права доступа к файлу или папке в Windows?

В некоторых случаях администратору нужно определить какой процесс (программа) или пользователь изменил NTFS права доступа на папку или файл на файловом сервере Windows. В этой статье мы покажем, как отслеживать изменения NTFS разрешений на объектах файловой систем с помощью полит аудита,...