Групповые политики Active Directory позволяют централизованно применять одинаковые настройки ко множеству компьютеров и/или пользователей домена и существенно упрощают управление конфигурацией в доменной среде. Консоль Group Policy Management Console (GPMC.msc) – это основной инструмент для управления групповыми политиками (Group Policy Object, GPO) в Active Directory.
Установка консоли GPMC в Windows
В Windows 10 и 11 консоль GPMC входит в состав RSAT, и вы можете установить ее через панель Settings. Перейдите Settings -> Apps -> Optional Features -> Add an optional feature -> выберите в списке RSAT: Group Policy Management Tools и нажмите Install.
Также вы можете установить консоль управления групповыми политиками в Windows 10 и 11 с помощью PowerShell:
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
Или с помощью DISM:
DISM.exe /Online /add-capability /CapabilityName:Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
В Windows Server 2022/2019/2016/2012R2 вы можете установить консоль управления GPO через Server Manager: Add Roles and Features -> Features -> Group Policy Management.
Также можно установить консоль GPMC в Windows Server с помощью PowerShell командлета Install-WindowsFeature:
Install-WindowsFeature GPMC
После установки, проверьте что ярлык Group Policy Management появится в разделе Administrative Tools в панели управления (Control Panel\System and Security\Administrative Tools). Ярлык ссылается на MMC оснастку
%SystemRoot%\system32\gpmc.msc
.
Управление групповыми политиками Active Directory с помощью консоли Group Policy Management
Консоль GPMC позволяет управлять групповыми политиками на уровне сайтов AD, доменов и организационными подразделениями (Organizational Unit).
Для запуска консоли выполните команду:
gpmc.msc
По умолчанию консоль подключается к контроллеру домена с FSMO ролью Primary Domain Controller Emulator (PDC). Вы можете подключиться к любому другому DC. Для этого щелкните правой кнопкой по имени домена и выберите Change Domain Controller (для комфортной работы рекомендуем подключиться к вашему Logon Server-у).
Разверните Forest -> Domain -> Ваш домен.
На этом скриншоте выделены:
- Имя домена, к которому подключена консоль;
- Групповые политики, которые назначены на различные OU (отображается вся структура OU, которую вы видите в консоли ADUC);
- Полный список политик (GPO) в текущем домене доступен в разделе Group Policy Objects.
Групповые политики Active Directory можно назначить на OU, сайт или весь домен. Чаще всего политики привязываются к OU с компьютерами или пользователями.
Чтобы создать новую GPO и сразу назначить ее на OU, щелкните по нужному контейнеру правой кнопкой и выберите Create a GPO in this domain, and Link it here.
Задайте имя GPO:
В консоли GPMC вы увидите вашу новую GPO, которая сразу назначена на выбранный вами контейнер (OU).
GPO активна (
Link Enabled = True
), это значит что ее настройки будут применяться ко всем объектом в данном OU.
Чтобы изменить настройки GPO выберите Edit.
Перед вами откроется консоль редактора GPO, аналогичная локальному редактору GPO. Все настройки GPO разделены на две секции:
- Computer Configuration — здесь можно настроить параметров компьютера (Windows);
- User Сonfiguration – параметры, которые нужно применить для пользователей AD.
В каждой секции есть три подраздела:
- Software Settings – используется для установки и обновления программ через GPO;
- Windows Settings — здесь расположены основные параметры безопасности Windows: настройки политики паролей, блокировки аккаунтов, политики аудита, назначения прав пользователей и т.д;
- Administrative Templates – содержит параметры различных компонентов Windows. Здесь доступны как стандартные административные шаблоны Windows, так и дополнительно admx шаблоны, установленные администратором (например, admx шаблоны для управления программами Microsoft Office или шаблоны для Google Chrome). Рекомендуем использовать центральное хранилище административных шаблонов GPO для удобства управления.
- Отключить USB устройства
- Включить ограничения на длительность сессий на RDP хостах
- Отключить устаревшие протоколы: NetBIOS и LLMNR или TLS 1.0 /TLS 1.1
- Настроить правила Windows Defender Firewall
- Настроить Windows Remote Management (WinRM)/PowerShell Remoting
- Задать скринсейвер
- Запустить скрипт при загрузке Windows или входе пользователя (Logon скрипт)
- Настроить перенаправление папок для профилей пользователей
Также здесь есть отдельный раздел Preferences. Здесь содержится дополнительный набор настроек Group Policy Preferences (GPP), которые вы можете задать для клиентских устройств через GPO.
- Задать параметры прокси сервера для компьютеров и пользователей
- Изменить ключи и параметры в реестре
- Добавить пользователей в локальные группу и группу администраторов
- Подключить сетевые принтеры пользователям
- Создать ярлык на рабочем столе пользователя
- Распространить задание планировщика Windows Task Scheduler
- Подключить сетевые диски
- Скопировать файл и папки на компьютеры
Закройте редактор политики и вернитесь в консоль GPMC. Все настройки, которые вы изменили в GPO будут применены на клиентах при следующем цикле обновления настроек групповых политик.
Выберите вашу GPO, чтобы вывести ее основные параметры. Здесь доступны 4 вкладки:
- Scope – здесь видно на какие OU назначена эта политики. В разделе Security Filtering можно настроить группы безопасности, для членов которых должна применяться политики (по умолчанию здесь задано Authenticated Users, это значит, что политика применяется ко всем объектам в OU). В параметре WMI filtering можно задать дополнительные правила фильтрации объектов для которых должна применяться GPO (см. WMI фильтры GPO);
- Details – содержится базовая информация о GPO (владелец, когда создана и изменена, версия, GUID);
- Settings – содержится отчет о всех настроенных параметрах GPO (отчет похож на результаты команды gpresult);
- Delegation – выводит текущие разрешения GPO, позволяет изменить их.
Active Directory хранит GPO хранятся в виде набора файлов и папок в каталоге SYSVOL, который реплицируется между DC. Вы можете найти каталог определенной GPO по ее GUID (на вкладке Details). Используйте следующий UNC путь:
\\winitpro.ru\sysvol\winitpro.ru\Policies\{GUID}
Если вы хотите, чтобы политика перестала действовать на клиенты в данном OU, можно либо удалить ссылку (
Delete
, при этом сама объект GPO не будет удален), либо временно отключить ее действие (
Link Enabled = False
).
Обратите внимание, что в домене уже есть две политики, которые действуют на все компьютеры и контроллеры домена соответственно:
- Default Domain Policy
- Default Domain Controller Policy
В большинстве случае не рекомендуется использовать эти GPO для настройки параметров клиентов. Лучше создать новые политики и назначить их на уровень всего домена или контейнера Domain Controllers.
Также консоль Group Policy Management позволяет:
- Импортировать/экспортировать, создавать резервные копии и восстанавливать GPO
- Создавать результирующие отчеты политик — Resultant Set of Policy (RSoP)
- Удаленно обновлять настройки GPO на компьютерах
- Подготавливать GPO к миграции между доменами
В отдельной статье “Почему не применяется групповая политика к компьютеру?” рассмотрены такие основные элементы групповых политик Active Directory как:
- Наследование в групповых полотках
- Область действия и порядок применения GPO (LSDOU)
- Приоритете и управление порядком применения политик
- Замыкание групповых политик (Loopback Processing mode)
- Фильтрация GPO
- Форсирование применения GPO
Рекомендуем внимательно ознакомиться с этой статьей для более эффективного использования возможностей групповых политик и понимания принципов их работы.
Добрый день, подскажите пожалуйста есть домен на Windows Server 2003, могу перевести на Win 2008R2, выше увы пока не получиться. Каким образом через GPO управлять компами на Windows 10 и 11.
Запрет запуска EDGE, настроек прокси сервера в IE 10 и т.д.
Сначала придется обновитть DC и функциональный уровень домена до 2008R2+. ПОсле этого можно установить ADMX шаблоны GPO для нужных версий продуктов.
https://winitpro.ru/index.php/2021/02/03/obnovlenie-ustanovka-admx-shablonov-gpo/
Здравствуйте. Обнаружил на новой работе проблему с применением GPO на пользовательских ПК. Политики не применяются вообще: «Ошибка при обработке групповой политики. Попытка чтения файла «\\********.ru\sysvol\*******.ru\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini» с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация.». Полагаю, проблема в разных версиях домен-контроллеров: на головной площадке работает WinServ2008R2, (и он держит роли FSMO), а на моей площадке работает WinServ2012R2. Репликация проходит успешно, но gpupdate /force на нашем сервере тоже выдаёт «Ошибка при обработке групповой политики….». В качестве временного решения я поднял на своей площадке ещё один домен-контроллер WinServ2008R2. Проверил — он читает политики без ошибок. Создал сайт, завёл в него подсети своей площадки и назначил новый сервер на этот сайт. Ожидал, что компы станут брать политики с этого сервера, но этого не произошло. Подскажите, пожалуйста, можно ли как-то заставить ПК пользователей читать политики именно с этого сервера?
Врядли тут дело в версиях WS.
Компьютеры будут получать файлы политик с сайта, в котором они находятся.
1) Я бы начал с того, что посмотрел разрешения на каталог проблемной политики и указанный файл gpt.ini на проблемном DC. Вомзожно там что-то с правами. Есть ли права на чтение и выполнение GPO у authenticated users.
2) доступен ли указанный путь с клиентов? в какое имя резолвится имя домена, может быть вы там что то с DNS на площадке…
3) или просто повреждены файлы GPO. в этом случае помогает удаление политики на проблемном DC и повторная репликация