Создать ярлык на рабочих столах пользователей с помощью групповых политик

С помощью групповых политик вы можете создать ярлык на определенное приложение, сайт или сетевую папку на рабочем столе всех (или только определенных) пользователей домена. В этой статье, мы покажем, как создавать ярлыки на рабочих столах пользователей с помощью предпочтений GPO (Group Policy Preferences, GPP).

Предпочтения групповых политик позволяют создать ярлык на локально установленное приложение, исполняемый файл приложения в сетевой папке (по UNC пути), URL адрес или элемент панели управления.

Создать ярлык рабочего стола для всех пользователей с помощью GPO

Предположим, ваша задача – создать на рабочем столе всех пользователей домена ярлык, ссылающийся на исполняемый файл приложения, которое хранится в сетевой папке (подразумевается некое portable приложение, работающее без установки).

В нашем примере UNC путь к исполняемому файлу приложения выглядит так \\s-dc01\APPS\TCPView\tcpview.exe . Проверьте, что в разрешениях сетевой папки дан как минимум Read+Execute доступ для Authenticated Users или Users.

ntfs права на чтение запись на целевой файл или папку, на которыу будет создаваться ярлык

  1. Откройте консоль управления Group Policy Management Console (gpmc.msc), щелкните ПКМ по контейнеру AD, к которому нужно применить политику создания ярлыка, и создайте новую политику (объект GPO) с именем CreateShortcut; создать новуй объект GPO в домене
  2. Чтобы настроить политику, щелкните по ней и выберите Edit;
  3. Перейдите в раздел предпочтений групповых политик (Group Policy Preferences) User Configuration –> Preferences -> Windows Settings -> Shortcuts. Выберите New -> Shortcut;Создать ярлык на рабочем столе с помощью групповой политики
  4. Создайте новый ярлык со следующими настройками:Параметры ярлыка, которые нужно создать на рабочем столе пользователя через GPO
    Name: TCPView (имя ярлыка)
    Target Type: File System Object (здесь также можно выбрать URL адрес или объект Shell)
    Location: Desktop (поместить ярлык на рабочий стол текущего пользователя)
    Здесь можно указать одно из 15 встроенных расположений для ярлыка. Например, меню Пуск (Start Menu), автозагрузку (Startup), рабочий стол всех пользователей компьютера (All Users Desktops).
    Target Path: \\s-dc01\APPS\TCPView\tcpview.exe (путь к файлу, на который нужно создать ярлык)
    Arguments: можно указать дополнительные аргументы для запуска программы (если требуется)
    Icon file path: здесь указывается путь к иконке ярлыка. Можно воспользоваться кастомным ICO файлом, или стандартной библиотекой с типовыми иконками Windows ( %SystemRoot%\System32\SHELL32.dll ). Если в файле доступно несколько иконок, номер иконки в dll нужно указать в поле Icon Index.
    ярлык logoff через gpo

    В пути к программе можно использовать различные переменные окружения. Например %WindowsDir%\notepad.exe , %ProgramFilesDir%\app\app.exe , %ProgramFiles(x86)%\app.exe . Полный список доступных переменных окружения, которые можно использовать в пути можно вывести, нажав F3 в окне настройки ярлыка в GPP. Доступные переменные окружения для пути в GPP создания ярлыка (F3)
  5. Если вы выбрали, что ярлык нужно поместить на рабочий стол текущего пользователя, на вкладке “Common” нужно включить опцию Run in logged-on user’s security context (user policy option); Run in logged-on user’s security context (user policy option)
  6. Если нужно создать ярлык программы в Public профиле (для всех пользователей компьютера), выберите опцию Location = All User Desktop (опцию “Run in logged-on user’s security context” нужно отключить, т.к. у обычных пользователей нет прав для модификации Public профиля);
  7. Сохраните изменения. Обратите внимание, что в консоли GPO отображается переменные окружения для Desktop ( %DesktopDir% ) и %CommonDesktopDir% для All User Desktop (переменная %CommonDesktopDir% считается deprecated и вместо нее лучше использовать формат %Public%\Desktop ). Политики создания ярлыков пользователям
  8. Если вы в настройках политики указываете сетевой UNC путь к файлу с иконкой ярлыка ( *.ico ), дополнительно нужно включить параметр GPO Allow the use of remote paths in file shortcut icons в Computer Configuration -> Administrative Templates -> Windows Components -> File Explorer. Без этой политики ярлык иконки не будет отображаться (вы увидите только иконку в виде простого белого листа).Групповая политика: разрешить использовать из сетевых папок в Windows
  9. Обновите настройки политик на клиентах (gpupdate /force или выполните логофф/логон).
    Если вы назначили GPO на Organizational Unit с компьютерами (не пользователями), нужно дополнительно включить опцию замыкания GPO. Установите Configure user Group Policy loopback processing mode = Merge в секции Computer Configuration -> Policies -> Administrative Templates -> System -> Group Policy;замыкание GPO - Configure user Group Policy loopback processing mode
  10. После обновления политик на рабочем столе пользователя должен появится новый ярлык. Ярлык заданный в групповой политике появился на рабочем столе пользователя Windows

Если ярлык не появился, проверьте логи групповых политик в консоли Event Viewer. Перейдите в журнал Applications и отфильтруйте его по источнику Group Policy Shortcuts.

В моем случае, из ошибки понятно, что ярлык не был создан, потому что указан неверный путь к исходному файлу:

The user 'TCPView' preference item in the 'gpoCreateAppShortcuts {272F01C7-AEA6-4684-A488-15D93B0D65F9}' Group Policy Object did not apply because it failed with error code '0x80070002 The system cannot find the file specified.' This error was suppressed.

Смотрим ошибки обработки/применения Group-Policy-Shortcuts в event viewer

Более подробно диагностика применения GPO на клиентах описана в статьях:

GPO: Создать ярлык только для опредленных пользователей

Если вы хотите, чтобы политика создавала ярлыки только на рабочих столах определенных пользователей, нужно воспользоваться Item-Level Targeting в GPP.

  1. Создайте в домене группу безопасности, в которую добавьте всех пользователей, к которым должна применяться политика создания ярлыков.
  2. Откройте свойства ярлыка в консоли редактора групповых политик, передите на вкладку Common, включите опцию “Item-level targeting”, нажмите кнопку “Targeting”.
  3. Выберите New Item -> Security Group и выберите доменную группу пользователей. В результате ярлык будет появляться только у пользователей, добавленных в указанную группу безопасности Active Directory;
  4. создать ярлык только для пользователей определенной группы ad

В одной GPO можно создать несколько правил создания ярлыков для разных групп пользователей, компьютеров или OU (см. скриншот).

  • Ярлык на сетевую папку (можно использовать вместо подключемых через GPO сетевых дисков)
  • Ярлык на RDP файл подключения к RDS серверу
  • Ярлык на команду LogOff, для быстрого завершения сессии пользователем ( logoff.exe или shutdown.exe с аргументом /l)

Несколько политик создания ярлыков для пользователей


Предыдущая статья Следующая статья


Комментариев: 31 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)