Основы использования групповых политик (GPO) для настройки Windows

Групповые политики (Group Policy Object, GPO) – это инструмент Windows для централизованной настройки конфигурации и параметров операционной систем, пользователей и приложений. Групповые политики содержат набор правил и настроек для рабочей среды, которые позволяют применить одинаковые настройки для всех (или определенных групп) пользователей и компьютеров в доменной среде Active Directory. С помощью групповых политик можно задать конфигурацию Windows, изменить настройки безопасности, настроить окружение пользователя, установить программу или запустить скрипт, и т.д.

Основные компоненты архитектуры GPO

• GPO – один объект с настройками групповых политики, содержащий в себе набор настроек которые вы хотите применить к рабочим станциям, сервера, и/или пользователей. Каждая GPO в домене имеет свой уникальный GUID и ее файлы хранятся в каталоге SYSVOL на контроллерах домена Active Directory ( \\winitpro.ru\SYSVOL\winitpro.ru\Policies\GPO_GUID ). Папка с GPO в Sysvol реплицируется между всеми контроллерами домена AD;
• Клиентские компьютеры – получают объекты GPO с контроллеров домена и применяют настройки к Windows и пользователям. Процесс получения и применения GPO называется обновлением групповых политик;
• Административные шаблоны GPO (ADMX файлы) – это XML файлs шаблонов для редактора GPO. ADMX файлы содержат определения параметров политик, описывающие, какие параметры можно настроить, и их допустимые значения. Сторонние разработчики и администраторы могут создавать собственные ADMX шаблоны. Для мультиязычной поддержки в ADMX можно использовать ADML файлы. Вы можете устанавливать и обновлять административные шаблоны для различных программ и служб: например admx шаблоны для Microsoft Office, для настройки браузера Google Chrome у пользователей, параметры управления LAPS и т.д. В домене Windows рекомендуется создать центральное хранилище административных шаблонов, которое называется PolicyDefinitions .
• Привязка GPO – настроенный объект GPO можно назначить н на весь домен, сайт Active Directory или организационный контейнер (Organizational Unit) в структуре AD;

  

• С помощью GPO Security Filtering и WMI фильтров можно ограничить область применения GPO до определенных компьютеров, пользователей, групп и т.д.

• Group Policy Preferences – встроенный набор клиентских расширений, которые расширил возможности применения GPO (доступен начиная с Windows Server 2008).

По умолчанию в домене созданы две групповые политики:

• Default Domain Policy – назначена на корень домена и содержит базовые параметры для всех пользователей и компьютеров. Включает в себя настройки политики паролей, параметры блокировки учетных записей, политики Kerberos.
• Default Domain Controller Policy – содержит базовые параметры безопасности и аудита для контроллеров домена Active Directory

Инструменты управления групповыми политиками

• MMC консоль редактора локальной групповой политики (Local Group Policy, gpedit.msc ) – используется для настройки параметров GPO на локальном компьютере Windows. По умолчанию консоль gpedit.msc доступна только в Pro/Enterprise редакциях Windows, но вы можете установить и в Home редакциях. Локальная политики позволяет применить разные настройки GPO для разных групп пользователей с помощью возможностей MLGPO (множественных локальных групповых политик). Настройки локальной GPO можно экспортировать и перенести на другие компьютеры с помощью утилиты exe.
• MMC консоль управления доменными групповыми политиками Active Directory (Group Policy Management Console, gpmc.msc ) – используется для централизованного администрирования групповых политик на уровне всего домена AD. Позволяет применить групповые политики для всех компьютеров/пользователей домена, объектов в определенной OU, или конкретным группам пользователей или компьютеров.
• PowerShell модуль Group Policy – позволяет создавать, удалять, назначать/отключать, настраивать параметры GPO из командной строки PowerShell.

Примеры настроек групповых политик для различных сценариев

• Установка приложений в Windows с помощью групповых политик Active Directory
• Управление правилами Windows Defender Firewall с помощью GPO
• Настройка перенаправления стандартных папок (Desktop, Documents, Pictures, Downloads) с помощью групповых политики
• Блокируем подключение внешних USB устройств и накопителей через GPO
• Отключить устаревшие протоколы TLS0 и TLS 1.1 в Windows
• Вывод информации о системе на рабочий стол Windows с помощью BGInfo
• Установка шрифтов в Windows через GPO
• Автоматическое сохранение ключей восстановления BitLocker в AD
• Блокировка рабочего стола компьютеров при неактивности
• Отключить NTLM в Windows
• GPO: Запустить PowerShell скрипт при входе пользователя в Windows или загрузке компьютера
• Настройка WinRM и PowerShell Remoting через GPO
• GPO: Разрешить RDP подключение к Windows
• Задать настройки прокси-сервера для компьютеров в домене через групповые политики
• Отключить протоколы NetBIOS и LLMNR в Windows
• Обновить корневые сертификаты или добавить SSL/TLS сертификат в доверенные на всех компьютерах с помощью GPO
• Отключить/включить/настроить параметры User Account Control (UAC) с помощью GPO
• Настройка параметров установки обновлений на клиентах WSUS в домене AD

Примеры использования Group Policy Preferences:

• Создать задание планировщика с помощью групповых политик
• Создать, изменить или удалить ключи реестра через групповые политики
• Подключение сетевых дисков через GPO
• Скопировать файлы и/или папки на компьютеры пользователей с помощью GPO
• Создать ярлык на рабочих столах пользователей
• Добавить пользователя в группу локальных администраторов на доменном компьютере
• GPO: Подключить принтеры пользователям домена

Диагностика и исправление ошибок применения GPO

• Исправляем ошибку обработки групповой политики
• Диагностика: как понять, почему групповая политика не применяется к компьютеру или пользователю
• Почему групповая политика применяется очень долго при загрузке компьютера или входе в Windows
• Диагностика результирующих политик на клиенте с помощью команды gpresult
• Сброс настроек локальной групповой политики Windows путем удаления файлов registry.pol