Group Policy | Windows для системных администраторов

Статьи о Group Policy

Запрет изменения настроек прокси-сервера с помощью групповой политики

В некоторых организациях при централизованной настройке параметров прокси-сервера в Windows с помощью групповых от администраторов требуется запретить возможность ручной смены настроек прокси-сервера пользователем без прав администратора, заблокировав соответствующие элементы диалогового окна Internet Explorer. Рассмотрим как выполнить эту задачу.

Управление файловыми ассоциациями в Windows 10

В Windows 8 и Windows 10 появился новый механизм управления стандартными ассоциациями файлов. В  этой статье я покажу, как назначить браузер по-умолчанию для открытия html файлов, импортировать эти настройки в xml файл и распространить полученный файл с файловыми ассоциациями  на другие компьютеры  вручную или с помощью групповых политик. В Windows 10 и Windows 8.1 не работает функционал пользовательских Group Policy Preferences  Open With  по управлению ассоциациями файлов, как это было в Windows 7. Зато в новых ОС появилась возможность выгрузить текущие настройки файловых ассоциация с «эталонного» компьютера в xml файл и использовать данный файл  с настройками на других компьютерах, либо

Методика диагностики причин долгого применения GPO в Windows

Медленная загрузка компьютера, вызванная долгим применением групповых политик, является одной из частых проблем в домене, на которые жалуются пользователи. С точки зрения пользователя компьютер загружается очень долго, и как будто зависает на несколько минут на этапе «Применение параметров компьютера / пользователя». В этой статье я попробую собрать полезные диагностические инструменты и приемы, позволяющие администратору выявить причины медленного применения GPO на компьютерах домена.

Используем WMI фильтр для привязки GPO к IP подсети

В этот раз возникла необходимость применить GPO к компьютерам в определённой IP подсети. В самом простом случае, когда данная подсеть включена в отдельный сайт Active Directory (и эта подсеть в сайте одна), можно назначить политику на сайт AD (пример привязки политики к сайту есть здесь), это простой и удобный метод. В нашем случае, назначить политику на весь сайт мы не можем, т.к. к сайту AD привязано несколько IP подсетей. Придется воспользоваться возможностями фильтрации политик с помощью WMI фильтров.

Управление стартовым экраном и элементами таскбара в Windows 10 через GPO

В Windows 10 RTM и  Windows 8.1 были доступны всего два режима настройки параметров  меню Пуск и начального экрана (Start Layout) на компьютерах пользователей домена: можно было либо полностью заблокировать пользователю возможность изменения любых элементов стартового экрана, либо  пользователь мог менять любые параметры макета (описано здесь). В Windows 10 версии 1511 появилась возможность частичной блокировки элементов макета стартового экрана, позволяющая администратору выбрать какие группы пользователь не может изменить. Таким образом, пользователи теперь могут изменить любые элементы макета стартового экрана кроме группы корпоративных приложений и ярлыков. Рассмотрим особенности управления стартовым экраном, меню Пуск и значками таскбара в Windows 10 с помощью

Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies

Продолжаем цикл статей о противодействии классу вирусов-шифровальщиков в корпоративной среде. В предыдущих частях мы рассмотрели  настройку защиты на файловых серверах с помощью FSRM и использования теневых снимков дисков для быстрого восстановления данных после атаки. Сегодня речь пойдет о способе предотвращения запуска исполняемых файлов вирусов-шифровальщиков (в том числе обычных вирусов и троянов) на ПК пользователей.

Отладочный журнал обработки GPO на клиентах — gpsvc.log

В Windows XP и Windows 2003 для детального анализа применения групповых политик на клиентах мог использоваться отладочный журнал  Userenv.log  (%Systemroot%\Debug\UserMode\Userenv.log). С его помощью можно было отследить порядок и время применения групповых политик,  найти политики, из-за которых компьютер долго загружается и решить другие проблемы с применением GPO.

Восстановление файлов после заражения шифровальщиком из снимков VSS

Продолжаем серию статей о методах противодействия вирусам-шифровальщикам. В прошлый раз мы рассмотрели простую методику превентивной защиты от шифровальщиков на файловых серверах с помощью FSRM. Сегодня речь пойдет о методе восстановления данных, позволяющем безболезненно восстановить файлы, в случаях, если вирус уже прорвался и зашифровал документы на компьютере пользователя.

Как изменить стандартные разрешения для новых GPO

Возвращаясь к проблемам, возникающим с применением групповых политик, после установки обновлений из бюллетеня безопасности MS16-072 (KB3163622), хочется поговорить еще об одном важном моменте. Как вы помните, чтобы после установки данного обновления на клиентах корректно работали GPO Security Filtering, нужно вручную отредактировать все политики, в которых используются Security Filtering и на вкладке Delegation предоставить доступ только на чтение для Domain Computers (или целиком переводится на Item-Level Targeting). Но как же быть с новыми политиками? Неужели теперь придется каждый раз при создании новой GPO, вручную  править ее списки контроля доступа?

Почему перестали работать некоторые GPO после установки MS16-072

На прошлой неделе Microsoft выпустила обновления безопасности, меняющих стандартную схему работы механизма применения групповых политик Windows. Речь об обновлениях, выпущенных в рамках бюллетеня MS16-072 от 14 июня 2016 года, который предназначен для устранения уязвимостей в  механизме GPO. Разберемся для чего выпущено это обновление и что нужно знать системному администратору об изменениях в применении групповых политик.



MAXCACHE: 0.25MB/0.00114 sec