Расположение локальной политики безопасности в Windows 10

Каждый пользователь должен заботиться о безопасности своего компьютера. Многие прибегают к включению брандмауэра Windows, устанавливают антивирус и другие защитные инструменты, но этого не всегда хватает. Встроенное средство операционной системы «Локальная политика безопасности» позволит каждому вручную оптимизировать работу учетных записей, сетей, редактировать открытые ключи и производить другие действия, связанные с наладкой защищенного функционирования ПК.

Открываем «Локальную политику безопасности» в Windows 10

Сегодня мы бы хотели обсудить процедуру запуска упомянутой выше оснастки на примере ОС Windows 10. Существуют разные методы запуска, которые станут наиболее подходящими при возникновении определенных ситуаций, поэтому целесообразным будет детальное рассмотрения каждого из них. Начнем с самого простого.

Для запуска этой оснастки версия Windows 10 должна быть Профессиональная (Professional) или Корпоративная (Enterprise)! В версии Домашняя (Home), установленной преимущественно на множестве ноутбуков, ее нет.

Способ 1: Меню «Пуск»

Меню «Пуск» активно задействует каждый пользователь на протяжении всего взаимодействия с ПК. Этот инструмент позволяет осуществлять переход в различные директории, находить файлы и программы. Придет на помощь он и при необходимости запуска сегодняшнего инструмента. Вам достаточно просто открыть само меню, ввести в поиске «Локальная политика безопасности» и запустить классическое приложение.

Как видите, отображается сразу несколько кнопок, например «Запуск от имени администратора» или «Перейти к расположению файла». Обратите внимание и на эти функции, ведь они однажды могут пригодиться. Вам также доступно закрепление значка политики на начальном экране или на панели задач, что значительно ускорит процесс ее открытия в дальнейшем.

Способ 2: Утилита «Выполнить»

Стандартная утилита ОС Виндовс под названием «Выполнить» предназначена для быстрого перехода к определенным параметрам, директориям или приложениям путем указания соответствующей ссылки или установленного кода. У каждого объекта имеется уникальная команда, в том числе и у «Локальной политики безопасности». Ее запуск происходит так:

Откройте «Выполнить», зажав комбинацию клавиш Win + R. В поле пропишите secpol.msc , после чего нажмите на клавишу Enter или щелкните на «ОК».

Буквально через секунду откроется окно управления политикой.

Способ 3: «Панель управления»

Хоть разработчики операционной системы Виндовс постепенно и отказываются от «Панели управления», перемещая или добавляя многие функции только в меню «Параметры», это классическое приложение все еще нормально работает. Через него тоже доступен переход к «Локальной политике безопасности», однако для этого понадобится выполнить такие шаги:

Откройте меню «Пуск», найдите через поиск «Панель управления» и запустите ее.

В списке отыщите пункт «Локальная политика безопасности» и дважды щелкните по нему ЛКМ.

Дожидайтесь запуска нового окна для начала работы с оснасткой.

Способ 4: Консоль управления Microsoft

В Консоли управления Майкрософт происходит взаимодействие со всеми возможными в системе оснастками. Каждая из них предназначена для максимально детальной настройки компьютера и применения дополнительных параметров, связанных с ограничениями доступа к папкам, добавлением или удалением определенных элементов рабочего стола и многим другим. Среди всех политик присутствует и «Локальная политика безопасности», но ее еще нужно отдельно добавить.

В меню «Пуск» найдите mmc и перейдите к этой программе.

Через всплывающее окно «Файл» приступайте к добавлению новой оснастки, нажав на соответствующую кнопку.

В разделе «Доступные оснастки» отыщите «Редактор объектов», выделите его и щелкните на «Добавить».

Поместите параметр в объект «Локальный компьютер» и щелкните на «Готово».

Осталось только перейти к политике безопасности, чтобы убедиться в ее нормальном функционировании. Для этого откройте корень «Конфигурация компьютера» — «Конфигурация Windows» и выделите «Параметры безопасности». Справа отобразятся все присутствующие настройки. Перед закрытием меню не забудьте сохранить изменения, чтобы добавленная конфигурация осталась в корне.

Приведенный выше способ будет максимально полезен тем юзерам, кто активно использует редактор групповых политик, настраивая там необходимые ему параметры. Если вас интересуют другие оснастки и политики, советуем перейти к отдельной нашей статье по этой теме, воспользовавшись указанной ниже ссылкой. Там вы ознакомитесь с основными моментами взаимодействия с упомянутым инструментом.

Что же касается настройки «Локальной политики безопасности», производится она каждым пользователем индивидуально — им подбираются оптимальные значения всех параметров, но при этом существуют и главные аспекты конфигурации. Детальнее о выполнении этой процедуры читайте далее.

Теперь вы знакомы с четырьмя различными методами открытия рассмотренной оснастки. Вам осталось только подобрать подходящий и воспользоваться им.

Как открыть редактор локальной групповой политики Windows 10

Редактор ЛГП — это специальная программа в составе системы, с помощью которой можно настраивать множество различных параметров ОС. В этой обширной статье мы расскажем, как запустить это приложение разными методами.

Общие сведения о программе

Редактор групповой политконики не является каким-либо нововведением. Это приложение существует и в более старых версиях семейства Windows. В десятке утилиту можно найти в версиях Pro и Enterprise, а в домашней редакции она полностью отсутствует. Открыть редактор можно огромным количеством способов, о которых мы в подробностях расскажем далее.

Вариант №1: Используем диалоговое окно «Выполнить»

Таким способом можно быстро запустить почти любую программу, входящую в состав ОС. Чтобы открыть редактор ЛГП, нам понадобится проделать следующие шаги:

1. Нажимаем клавиатурнуюкомбинацию «Windows+R», чтобы вызвать окно «Выполнить» .
2. Далее в строку вводим команду gpedit.msc
3. Нажимаем на кнопку «ОК» .

4. На экране сразу же появится редактор.

Вариант №2: Запуск программы при помощи командной строки

Как и в предыдущем способе, ту же самую команду можно применить и в консоли Windows. Чтобы это осуществить, проделаем следующее:

1. Запускаем «Командную строку» , воспользовавшись клавиатурной комбинацией «WIN+X» или выбрав нужный нам пункт из контекстного меню кнопки «Пуск» .

2. Далее в новое окно вписываем gpedit.msc

3. Нажимаем «Enter», чтобы запустить приложение.

После выполненных операций редактор появится на экране.

Вариант №3: Запуск программы из поисковых результатов

При помощи встроенной в систему функции поиска можно запустить редактор групповой политики. Сделать это будет даже проще, чем в предыдущих вариантах, так как не потребуется запоминать различные команды. Проделаем следующие шаги:

1. Нажимаем клавиатурную комбинацию «WIN+S» для отображения окна поиска или вызываем его, кликнув по соответствующей кнопке на нижней панели.
2. После этого начинаем вводить текст – Изменение групповой политики .

3. В поисковых результатах появится нужная нам программа, и её можно будет открыть.

Вариант №4: Открываем редактор из системной папки

Описываемая в нашей статье утилита по своей сути является обычным приложением, и соответственно её можно найти на диске, где установлена операционная система. Редактор групповой политики по умолчанию находится по следующему адресу:

Если Windows установлен на другой диск, то в адресе нужно будет изменить букву накопителя. Перейти в нужную нам папку можно поочерёдно, открыв соответствующие директории или просто скопировав и вставив путь в адресную строку проводника. После этого необходимо нажать «ENTER» – так редактор будет сразу запущен.

Если пользователю нужно отыскать сам файл программы, то потребуется просто перейти в каталог C:\Windows\System32\ и среди большого количества находящихся там файлов отыскать приложение с именем gpedit.msc

Примечание: в проводник Windows можно также вписать только название программы (gpedit.msc) без указания адреса. После того, как пользователь нажмет «ENTER», редактор тут же запустится.

Вариант №5: Используем «Консоль управления»

Редактор политики в «десятке» также открывается при помощи консоли управления ММС, которая обычно используется системными администраторами. В неё можно добавить все требуемые приложения для настройки системы.

При использовании такого варианта имеется преимущество, которое состоит в том, что файл для открытия редактора может быть сохранен в нужном пользователю месте на компьютере, включая десктоп. Для запуска консоли ММС с настройками локальной политики таким способом нам нужно будет сделать следующее:

1. Открываем поиск системы и вводим запрос mmc.
2. Далее кликаем по найденной программе, чтобы её запустить.

3. В окне приложения вызываем меню «Файл» .

4. Далее кликаем по пункту «Добавить/удалить оснастку» . Также для осуществления этой операции можно воспользоваться клавиатурной комбинацией «CTRL+M» .

5. В новом окне, из списка слева, выбираем пункт «Редактор объектов» .

6. После этого нажимаем на кнопку «Добавить» .

7. Далее подтверждаем проведение нужной нам операции, нажав на кнопку «Готово» .

8. И кликаем по кнопке «ОК», вернувшись в предыдущее окно.

Добавленный нами компонент отобразится в списке доступных оснасток, и его можно будет использовать.

Вот такими способами можно запустить редактор политики в «десятке», однако удобнее всего будет сделать ярлык для этой программы. Расскажем далее, как это можно осуществить.

Вариант №6: Создаем ярлык для открытия редактора

Если пользователь планирует часто пользоваться редактором, то удобнее всего будет создать ярлык для утилиты. Используя такой способ, не потребуется запоминать команды или адрес для открытия программы. Чтобы создать ярлык, нам понадобится сделать следующее:

1. Переходим на рабочий стол и нажимаем правой кнопкой мышки по незанятому иконками месту.
2. Далее из контекстного меню выбираем пункт «Создать» .
3. После этого кликаем по варианту «Ярлык» .

4. В новом окне указываем путь к файлу редактора. C:\Windows\System32\gpedit.msc

5. В новом окне указываем путь к файлу редактора. C:\Windows\System32\gpedit.msc

6. Задаём любое название ярлыку (на выбор пользователя) и нажимаем по кнопке «Готово» .

После того как данная операция будет проведена, на десктопе появится созданный нами ярлык редактора, запустить который можно будет обычным способом.

Заключение

Открыть редактор групповой политики в версиях «десятки» Pro или Enterprise можно самыми различными способами. Выбор варианта запуска программы остаётся за пользователем, однако при частом использовании приложения лучше будет создать для него ярлык. А вот если утилитой нужно воспользоваться только один раз, то легче всего будет её открыть при помощи диалогового окна «Выполнить» , вписав туда соответствующую команду.

Как настроить локальную политику безопасности Windows 10 и работать с ней

Очень часто для тонкой настройки параметров Windows используется консоль редактора групповых политик (gpedit.msc). Однако в домашних редакциях Windows 10 Home консоль редактор политик отсутствует(в отличии от Windows 10 Pro и Enterprise). Вероятно, что по логике Microsoft домашнему пользователя не нужно править локальные настройки через графический интерфейс gpedit.msc. Соответственно, пользователям домашней редакции Windows 10 приходится вносить изменения через редактор реестра, что не так наглядно и более рискованно с точки зрения возможности ошибиться и что-нибудь сломать в системе.

При попытке выполнить команду запуска Group Policy Editor в Windows 10 Домашняя и Домашняя для одного языка: Win+R -> gpedit.msc

Появляется ошибка: Не удается найти «gpedit.msc». Проверьте, правильно ли указано имя и повторите попытку.

В этой статье мы разберемся как установить и запустить редактор локальной групповой политики в редакции Windows 10 Home.

Редактор групповой политики это отдельная MMC оснастка, которая по сути представляет собой графическую надстройку для удобного управления параметрами Windows в реестре. При изменении настроек какой-то политики, редактор сразу вносит изменения в связанный параметр реестра. Вместо того, чтобы искать необходимый ключ и вручную править параметр реестра, гораздо проще найти и отредактировать настройку в редакторе gpedit.msc. В редакторе GPO содержится более двух тысяч настроек Windows, которые расположены в стройной иерархии, имеют подробное описание и предлагают для выбора предопределенные опции настройки.

Совет. Соответствие между политиками и ключами реестра можно найти в XLSX документе Microsoft Group Policy Settings Reference Spreadsheet Windows. Версию документа Windows10andWindowsServer2016PolicySettings-1803.xlsx для Windows Server 2020 и Windows 10 1803 можно скачать по ссылке: https://www.microsoft.com/en-us/download/details.aspx?id=56946. В этом таблице вы можете найти какой ключ реестра правиться той или иной настройкой конкретной политики.

Все примененные настройки локальных политик хранятся в registry.pol файлах в каталогах (вы можете преобразовать данные pol файлы в удобный текстовый формат с помощью утилиты lgpo.exe):

Если вы удалите файлы из этих папок, вы сбросите все настройки локальных политик (это бывает полезно, когда после изменения каких-то настроек Windows в политиках компьютер перестал пускать пользователя или не загружается).

Какое-то время назад я нашел сторонний установщик редактора gpedit.msc для Windows 7. Его можно использовать и в Windows 10 (описано в отдельном разделе этой статьи), однако в Windows 10 Home появилась возможность скрытая возможность установки редактора gpedit.msc прямо из установочных файлов образа.

Зачем в Windows нужна локальная политика безопасности

Групповая (локальная) политика безопасности (ГПБ/ЛПБ) — это программные средства, обеспечивающие согласованную и максимально эффективную работу компьютеров компании или учреждения. Иметь высокую производительность труда, экономя время и ресурсы — это о вас, если на ПК и ноутбуках под управлением Windows работают настройки группового соединения: вместе эти компьютеры образуют единое целое, помогающее вашей конторе расти и развиваться дальше. Для этого требуется их подключение к одному домену.

Какая версия Windows 10 подходит для настроек групповой политики

Вам нужна Professional/Enterprise — её используют работники частных фирм и госслужащие. Дело в том, что в версии Home/Starter, предназначенной для обычных пользователей, нет компонента gpedit.exe (англ. Group Politics Editor) — нужна его принудительная установка.

Почему в Windows Home/Starter нет инструмента GPEdit

В Home/Starter ГПБ представлена лишь службой «Клиент групповой политики», которую можно отключить совсем. Да и зачем она, если доступ к расширенным настройкам закрыт? Сделано это для предотвращения изменений, вносимых в настройки ОС вредоносным ПО под именем администратора.

О редакторе

Редактор локальной групповой политики по своей сути является редактором реестра с графическим интерфейсом. Он предназначен для проведения тонких настроек Windows. В данный момент, разработчики вырезали редактор в версиях Домашняя (Home) и Начальная (Starter), оставив его в Windows 10 Профессиональная (Pro) и Корпоративная (Enterprise). Официально, воспользоваться редактором в версиях где он вырезан не получится, поэтому пользователи могут проделать необходимые настройки в редакторе реестра. Но можно вернуть кастомный «редактор с графическим интерфейсом».

Совет! Узнать соответствие политик редактора со значением реестра помогут специальные таблицы от Microsoft: Group Policy Settings Reference for Windows and Windows Server.

Где находится и как работает локальная политика безопасности

Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.

Запуск редактора локальной политики безопасности Windows 10

Дайте команду «Пуск — Выполнить» и введите в открывшейся строке команду gpedit.msc.

Подтвердите ввод, нажав OK

Запустить редактор также можно, введя «gpedit» в поиске главного меню Windows 8/10.

Функционал редактора групповой политики

Настройка сервиса ГПБ включает в себя:

• конфигурацию программ — управляет сторонними приложениями;
• конфигурацию «десятки» — управляет настройками безопасности системы;
• административные шаблоны — фактически это замена утомительного редактирования настроек из реестра.

Основное окно редактора показывает все настройки групповой политики

Поиск

Открыть «Редактор» можно через штатную строку поиска Windows 10. Для ее вызова кликните по соответствующему ярлыку на панели задач или нажмите сочетание клавиш WIN+S.

Далее начните вводить фразу «Изменение групповой политики». В результатах должна появиться интересующая нас оснастка, останется лишь выбрать нужный пункт.

Локальная политика безопасности Windows 10 не включается

Причины, по которым не включается служба, следующие:

• вы скачали сборку ОС, в которой этот компонент отключён. Вам поможет код реестра (можно сохранить и запустить как отдельный reg-файл): Windows [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] «EnableInstallerDetection»=dword:00000001. Перезапустите компьютер после запуска созданного твика;
• вы используете Win 10 Home. Поставьте сервис «Локальная политика безопасности самостоятельно, если у вас нет сборки Professional или Enterprise. Воспользуйтесь инструкциями для Windows 7 и выполните похожее для Windows 10;
• недостаточно прав, нужны «админские» права. Чтобы включить учётную запись администратора, воспользуйтесь командой «net user администратор /active:yes» в командной строке и зайдите в систему под именем администратора. Попытайтесь запустить редактор ГПБ заново известными выше способами. Как только надобность в GPEditor отпадёт и службу вы отключите, выйдите из учётной записи администратора и выключите его командой «net user администратор /active:no».

Как установить?

• перенос файлов редактора из версии Pro, установка компонентов из дистрибутива и установка неофициального приложения, скомпилированного в установщик пользователем для Windows 7 (но оно подходит для версий 8.1 и 10);
• установка приложения с последующим переносом системных файлов и библиотек.

Важно! Так как вы будете работать с системными файлами, всегда есть вероятность повреждения системы. Рекомендую создать точку восстановления.

Способ 1

Чтобы перенести файлы нужны права администратора.

Полезно знать! В Windows 10 разработчики отключили функцию входа в безопасный режим по нажатию кнопки F8 перед загрузкой системы. Они это сделали для более быстрой загрузки ОС. Читать подробнее.

Отключение UAC

Также рекомендуем отключить UAC прежде чем приступать к переносу. Для этого:

1. Нажмите правой кнопкой мыши по «Пуск» и выберите «Панель управления».

Перейдите в раздел «Учетные записи пользователей».

В новом окне нажмите «Изменить параметры контроля учетных записей».

Поставьте ползунок в крайнее нижнее состояние «Никогда не уведомлять» и нажмите «ОК».

Что советует Майкрософт: единственное рабочее решение

Быть может, громко будет сказано, что совет от Майкрософт, но все-таки он официально опубликован в вопросах. Убедитесь сами (answers.microsoft.com/en-us/windows/forum/windows_10-other_settings/how-to-enable-gpeditmsc-in-windows-10-home/9f2ab0da-3821-48e6-9205-fd7755b904f4?page=1).

На скрине представлена инструкция, рабочая на 100%, потому что мы её проверили. Качайте установщик по указанной ссылке (вот её копия с сайта drudger.deviantart.com/art/Add-GPEDIT-msc-215792914) запускайте. Но если попробуете сразу же залезть в редактор политик, то…

Вроде бы уже на что-то похоже, но большая часть папок пуста. Поэтому читаем инструкцию дальше. Осталось всего 2 шага:

Заходим в папку SysWow64 (находится на системном диске в директории Windows) и копируем оттуда две директории, показанные на скрине. Они как содержат информацию о настройках, которой так не хватает нашей оснастке (GroupPolicy и следующую за ней).

Вставляем это в подкаталог System Собственно, на этом все. Можно пользоваться.

Вы видите, что ключей внутри стало явно побольше.

В очередной статье из цикла «конспект админа» мне хотелось бы освежить в памяти несколько нюансов использования групповых политик. Заодно поразвлекаемся с созданием своих шаблонов и с автоматизацией работы с этими самыми политиками.

Я не буду рассказывать, что такое групповые политики, и остановлюсь лишь на основных моментах, которые стоит иметь в виду при работе с ними.

В системах Windows помимо доменных существуют и локальные групповые политики ― управлять ими можно при помощи оснастки gpedit.msc на системах редакции Professional и выше. Часто считается, что без домена можно настраивать локальные групповые политики только для всех пользователей на компьютере. Это не совсем верно ― с выходом Windows Vista появилась возможность использовать множественную локальную групповую политику или MLGPO. Этот механизм позволяет настраивать отдельные политики для разных пользователей.

Добраться до него можно через вызов консоли mmc: при добавлении оснастки «Управление объектами групповой политики» нажать кнопку «Обзор». Далее на вкладке «Пользователи» уже можно выбрать конкретного пользователя или группу «Администраторы» и «Не администраторы». К сожалению, управление для группы пользователей не реализовано.

Управление групповой политикой для отдельных пользователей.

Бывало и так, что на отдельностоящем терминальном сервере разворачивали Active Directory только для того, чтобы отдельному пользователю настроить поведение драйвера для EasyPrint. Не надо так.

При добавлении доменных групповых политик стоит помнить про порядок их применения ― политика, примененная последней, будет обладать наивысшим приоритетом (да и на собеседованиях часто спрашивают).

Итак, предположим, что у нас есть компьютер в домене и четыре групповые политики: локальная на этом компьютере; политика на подразделение, в котором находится компьютер; политика на домен и политика на лес. Порядок их применения будет следующим:

1. Локальная групповая политика.
2. Групповая политика сайта.
3. Групповая политика домена.
4. Групповая политика верхнего подразделения.
5. Групповая политика дочернего подразделения.

То есть чем ближе к объекту, тем приоритетнее, за исключением локальной групповой политики. Если надо отключить применение вышестоящих политик, то ставьте блокировку наследования.

Блокировка наследования.

Любую групповую политику можно условно разделить на две конфигурации ― пользователя и компьютера. Обычно политики с настройками компьютеров назначаются на подразделение, в котором находятся компьютеры. А политики с настройками пользователей ― на пользователей.

Если надо применить настройки компьютера к подразделению с пользователями и наоборот, используют так называемое замыкание групповой политики. Например, такая настройка пригодится, когда нужно применить специфические политики к пользователям для работы на терминальных серверах.

Работа замыкания настраивается непосредственно в политике ― «Настройка компьютера ― Административные шаблоны ― Система ― Режим обработки замыкания пользовательской групповой политики». Подробнее про механизм уже писали в статье про использование Merge\Replace в GPO. Я лишь добавлю, что режим замыкания групповой политики ― тоже частый вопрос на собеседовании.

Настройка замыкания групповой политики.

Физически доменные групповые политики находятся в папке SYSVOL на контроллерах домена. Папка реплицируется между контроллерами. Каждая групповая политика выглядит как папка с именем в виде GUID.

Групповые политики домена.

Правила фильтрации, настраиваемые через редактор групповой политики, соответствуют настройкам прав NTFS на соответствующую подпапку.

Говоря о правилах фильтрации, нельзя не упомянуть обновление MS16-072, которое «сломало» групповые политики. Теперь для того чтобы работали правила фильтрации, надо добавлять к каждому фильтру правило «на чтение», но не «на применение» группе Domain Computers.

В каждой папке с групповой политикой существуют подпапки Machine и User, соответствующие настройкам пользователя и компьютера. Если углубиться в подпапки, можно легко понять структуру групповой политики:

• В корне папки находится файл GPT.ini с настройками групповой политики, такими как ее название.
• В подпапках Machine и User сидят файлы registry.pol с настройками соответствующих веток реестра.
• По пути Microsoft\Windows NT\SecEdit можно найти шаблон настроек безопасности ― GptTmpl.inf.
• В подпапке Preferences находятся предпочтения групповых политик, представляющие из себя подпапки с файлами xml.
• В подпапке Applications сидят дистрибутивы для развертывания через групповые политики.
• В папке Scripts находятся скрипты на logon\logoff для пользователя и startup\shutdown для компьютера.
• В папке Documents and Settings есть настройки перенаправления пользовательских папок.
• Наконец, в папке Adm находятся устаревшие шаблоны групповой политики.

Подробнее про структуру можно почитать в материале Group Policy Basics, поэтому перейдем сразу к шаблонам.

По сути своей административные шаблоны ― это специальные файлы с инструкциями по изменению клиентского реестра (ветки HKCU или HKLM) и настройками отображения изменяемых параметров через «Управление групповой политикой». В принципе, реестр можно менять и через «Предпочтения групповых политик». Но разница здесь не только в красивом интерфейсе.

Способ изменения реестра	Как ведет себя при удалении политики со стандартными настройками	Можно ли изменить параметр вручную	Можно ли изменить параметр через приложение
Шаблоны	Параметр реестра восстанавливается на значение «по умолчанию», если настройки по умолчанию есть в шаблоне	—	—
Предпочтения политик	Параметр реестра не изменяется	+	+

Сравнение предпочтения групповых политик и административных шаблонов.

Другими словами, настройка реестра через шаблоны групповых политик более строгая. Тогда как настройка через предпочтения групповых политик напоминает периодическое применение reg-файла. Конечно, предпочтения позволяют не только менять параметры реестра, но и довольно гибко настраиваются. Тем и ценны.

Это актуально при изменении ветки Policies, и настраиваемое приложение должно хранить свои настройки в реестре. Простое изменение параметров через Предпочтения и Шаблоны будет работать схожим образом, только шаблоны могут оказаться удобнее.

До появления Windows Vista\2008 в качестве шаблона групповых политик брали исключительно стандарт .adm. Будучи с простой структурой, которую было легко редактировать вручную, этот стандарт обладал и рядом недостатков:

• Для каждого языка приходилось создавать отдельный файл шаблона.
• Файл шаблона физически находился в папке с групповой политикой. При использовании одного и того же шаблона он сохранялся в каждую папку, что увеличивало занимаемое место и время репликации.
• Не поддерживались мультистроковые параметры и параметры QWORD.

На замену устаревшему стандарту появился новый. Новые шаблоны представляют собой два файла: сам шаблон, не зависимый от языка ― .admx и языковой «пакет» к нему ― файл .adml. Теперь шаблоны можно «положить» в центральное хранилище, и обращаться к нему, не плодя одинаковые файлы в папке SYSVOL.

Не обошлось без ложки дегтя ― теперь содержимое файла представляет собой популярный в индустрии формат XML. И создавать новые шаблоны в блокноте стало уже не так удобно.

Под большинство параметров, которые могут понадобиться, шаблоны уже существуют. Кроме того, многие производители приложений выпускают свои административные шаблоны. Вот несколько примеров:

• MS Office 2020.
• FireFox и Thunderbird.
• Google Chrome.
• Adobe Acrobat и Reader.
• Каталог шаблонов для различного ПО.

Если возникает необходимость разработать и внедрить свой административный шаблон, то самый простой вариант ― это создать старый файл .adm и сконвертировать его в admx специальной утилитой. Вариант посложнее ― начинать сразу с .admx.

Для начала разберем простой пример. Создадим шаблон групповой политики, который позволит нам включать и выключать отображение скрытых и системных файлов, а заодно и отображение расширений.

Сразу скажу, что это можно провернуть через «Предпочтения групповых политик» ― в параметрах панели управления ― опции папки. Но мы легких путей не ищем и заодно не хотим, чтобы параметры отображения можно было менять вручную.

За необходимые нам параметры отвечают три ключа в реестре:

• Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden.
• Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt.
• Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden.

Содержимое ADM-шаблона, который разберем далее, под спойлером.
CLASS USER CATEGORY !!ShowExplorer POLICY !!ShowHiddenFiles KEYNAME «Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced» EXPLAIN !!ShowHiddenFilesExplanation VALUENAME «Hidden» VALUEON NUMERIC «1» VALUEOFF NUMERIC «2» END POLICY POLICY !!ShowFileExtensions KEYNAME «Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced» EXPLAIN !!ShowFileExtensionsExplanation VALUENAME «HideFileExt» VALUEON NUMERIC «0» VALUEOFF NUMERIC «1» END POLICY POLICY !!ShowSuperHiddenFiles KEYNAME «Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced» EXPLAIN !!ShowSuperHiddenFilesExplanation VALUENAME «ShowSuperHidden» VALUEON NUMERIC «1» VALUEOFF NUMERIC «0» END POLICY END CATEGORY [strings] ShowExplorer=»Отображение файлов в проводнике» ShowHiddenFiles=»Показывать скрытые файлы» ShowHiddenFilesExplanation=»Когда эта настройка включена, проводник будет показывать скрытые файлы.» ShowSuperHiddenFiles=»Показывать системные файлы» ShowSuperHiddenFilesExplanation=»Когда эта настройка включена, проводник будет показывать системные файлы» ShowFileExtensions=»Показывать расширения файлов» ShowFileExtensionsExplanation=»Когда эта настройка включена, проводник будет показывать расширения файлов»

Разберем подробнее синтаксис файла.

• CLASS. Может принимать значение USER или MACHINE ― в зависимости от класса будет изменятся ветка реестра HKCU или HKLM соответственно.
• CATEGORY. Строка, в которой задается имя «папки» политики.
• POLICY. В строке задается название конкретной политики ― у нас таких будет три.
• KEYNAME. Путь в реестре к изменяемым параметрам.
• EXPLAIN. Отсылка к «переменной» с объяснением настройки.
• VALUENAME. Название изменяемого параметра в реестре.
• VALUEON**VALUEOFF**. Значение, которое будет принимать параметр при включении и выключении его в политике.
• [strings]. Секция со значениями переменных, которые я использовал для текстовых строк. Можно их не использовать, но тогда могут быть проблемы из-за русского языка.

Помимо задействованных опций есть и другие, например:

• EDITTEXT. Текстовое поле для ввода.
• NUMERIC. Поле для ввода цифр.
• CHECKBOX. Список, где можно отмечать параметры «галочками».
• COMBOBOX. Список с «переключателем»
• DROPDOWNLIST. Выпадающий список.
• LISTBOX. Список для ввода нескольких элементов.

Подробнее со всеми параметрами можно ознакомится в разделе MSDN ADM Format.

Установить новый шаблон не просто, а очень просто ― достаточно щелкнуть правой кнопкой мыши по пункту «Административные шаблоны», выбрать «Добавление и удаление шаблонов» и добавить наш свежесозданный шаблон.

Добавленный шаблон.

После установки шаблона он отобразится в ветке «Классические административные шаблоны».

Теперь можно сконвертировать наш шаблон в .admx с помощью утилиты faAdmxConv из ADMX Migrator.

Конвертируем шаблон.

После конвертации получившийся шаблон .admx и папку Ru-ru с файлом локализации .adml нужно скопировать в папку %Systemroot%\PolicyDefinitions для локальной политики или в папку Sysvol\PolicyDefinitions на контроллере домена.

Установленный шаблон .admx.

Полный листинг получившегося шаблона и файла локализации под спойлером.

Отображение файлов в проводнике Показывать скрытые файлы Когда эта настройка включена, проводник будет показывать скрытые файлы. Показывать системные файлы Когда эта настройка включена, проводник будет показывать системные файлы Показывать расширения файлов Когда эта настройка включена, проводник будет показывать расширения файлов ADMX Migrator encountered a string that is not present in the source ADM string table. ADMX Migrator encountered a policy that does not have a supportedOn value.

Действительно, xml в новом формате читается чуть хуже, чем старый .adm. Для облегчения работы с новым форматом в поставке ADMX Migrator есть утилита faAdmxEditor.msc. Помимо этой утилиты есть и скрипты для конвертации reg-файлов в шаблоны, и сторонние платные утилиты.

Конечно же, можно обойтись без вот-этого-всего и разобраться самостоятельно ― оставлю это в качестве домашнего задания. Благо на портале MSDN есть подробное описание XML-схемы, и есть неплохие материалы с примерами в сети. Например, «Административные шаблоны групповой политики».

Теперь перейдем к автоматизации.

Работать с групповыми политиками из командной строки довольно тоскливо. Основных инструментов можно выделить три.

PowerShell. Есть набор командлетов для резервного копирования, восстановления и управления групповыми политиками. Создание новых политик ограничено ― можно лишь изменять реестр. Впрочем, в большинстве случаев и этого достаточно. В качестве примера создадим групповую политику, которая отключит автоматическое обновление Adobe Reader DC.

За отключение автоматического обновления отвечает ключ реестра bUpdater в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown]. Установив параметр в 0, мы отключим опцию.

Создание групповой политики на PowerShell будет выглядеть так:

Import-module -Name GroupPolicy Write-Host «Создаем новый объект политики с именем Adobe_Reader_disable_autoupdate» New-GPO -Name Adobe_Reader_disable_autoupdate Write-Host «Добавляем нужное нам значение реестра» Set-GPRegistryValue -Name «Adobe_Reader_disable_autoupdate» -key «HKLM\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown» -ValueName bUpdater -TypeDWord -value 0 Write-Host «Прилинковываем новый объект к нужному OU» Set-GPLink -Name Adobe_Reader_disable_autoupdate -Target «ou=Computers,dc=domain,dc=com» -LinkEnabled Yes

Свежесозданная групповая политика.

Полный список и описание командлетов доступны в материале Technet Group Policy Cmdlets in Windows PowerShell.

Интерфейс COM к GPMC (консоли управления групповой политикой). Способ позволяет сделать с политиками многое, на любом языке программирования, поддерживающим COM-интерфейсы. К сожалению, популярность он не приобрел и примеров в сети довольно мало, несмотря на богатое описание методов интерфейса на портале MSDN. Немногочисленные примеры использования доступны для загрузки в галерее Technet.

LGPO.exe. Не так давно Microsoft заменил набор утилит для работы с локальными групповыми политиками на единую утилиту. Скачать ее можно на официальном сайте. Утилита удобна для копирования и развертывания локальных групповых политик. Заявлена и поддержка MLGPO. Создавать свои политики тоже можно. Также программа удобна для создания и изменения файлов реестра registry.pol. Для примера изменим локальную групповую политику, добавив в нее отключение обновления несчастного Acrobat Reader DC.

Сделаем бэкап локальной групповой политики командой

lgpo.exe /b C:\Temp /n «Backup»

В папке C:\Temp появится подпапка с GUID по структуре схожая с доменными групповыми политиками:

Теперь развернем registry.pol в текстовый файл:

LGPO.exe /parse /m C:\temp\\DomainSysvol\GPO\Machine\registry.pol >> reg.txt

Синтаксис текстового файла очевиден. Добавим в него значения реестра для отключения автоматического обновления «Акробата»:

Добавленный в файл параметр реестра.

Теперь останется завернуть наш reg.txt обратно в registry.pol и импортировать изменившийся файл обратно в локальную групповую политику:

LGPO.exe /r C:\Temp\reg.txt /w C:\Temp\registry.pol LGPO.exe /m C:\Temp\registry.pol​

Все эти махинации, конечно же, можно завернуть в один скрипт и использовать для массового изменения локальной групповой политики привычным инструментом для запуска команд на удаленных компьютерах. Подробнее про методы запуска команд можно почитать в нашей статье «1000++ способ запуска команд на удаленном компьютере».

Конечно же, зная структуру доменной групповой политики, ничто не мешает сделать удобный именно вам инструмент для создания и управления политиками. Поделитесь в комментариях, есть ли у вас свои способы настройки реестров пользовательских машин?

Пример последовательности действий при редактировании определенной политики

Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:

• Войти в систему под учетной записью администратора.
• Запустить Редактор локальной групповой политики Открыть окно Выполнить,
• Ввести gpedit.msc,
• Нажать Enter.

Последовательно развернуть элементы Конфигурация пользователя >Административные шаблоны >Панель управления в окне Редактора локальной групповой политики.

Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления

• Дважды щелкнуть ЛКМ по параметру политики Отображать только указанные объекты панели управления.
• Выбрать значение Включено.

Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления

• Нажать кнопку Показать, чтобы вызвать диалоговое окно Вывод содержания.
• Ввести имя апплета или апплетов, которые необходимо показывать в Панели управления, и нажать Enter.

Рис.10 Список разрешенных элементов панели управления

• Нажать OK.
• Закрыть редактор локальной групповой политики
• Проверить результат

Для некоторых политик, чтобы изменения вступили в силу сразу, необходимо в окне Выполнить ввести gpupdate /force .

Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики

Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики

Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.

Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:

• стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки, которые будут применены для всех пользователей операционной системы;
• групповая политика для администраторов и не администраторов. Эта групповая политика содержит только конфигурационные параметры пользователя и применяется в зависимости от того, является ли используемая учетная запись пользователя членом локальной группы Администраторы или нет;
• групповая политика для конкретного пользователя. Эта групповая политика содержит только конфигурационные параметры конкретного пользователя

Перенос файлов

Многие пытаются просто скопировать gpedit.msc из дериктории System32 в аналогичную позицию на Windows 10 home. Но при попытке запуска появляется окно следующего рода.

Кое-где говорится, что нужно поставить FrameNetwork 3.5, но по нашим данным это не соответствует действительности. Тем не менее, можете это сделать из командной строки, запущенной от имени администратора (Win + X), введя рекомендуемую команду: dism /online /enable-feature /featurename:NetFx3 /All /Source:X:sourcessxs /LimitAccess. Вместо Х подставьте установочный носитель (флэш или DVD с ОС Windows 10).

Вы увидите, что это ничего не меняет. Согласно нашим данным, на сайте Майкрософт опубликовано решение проблемы. Читайте дальше!

Консоль

Наверное, один из самых неудобных методов, но поскольку он рабочий, не рассказать о нем мы не можем.

Нажимаете на кнопку поиска и вводите команду mmc. Далее выбираете одноименное приложение.

Консоль запущена. Нажимаете «Файл», затем в меню — «Добавить или удалить оснастку».

Далее выбираете «Редактор объектов групповой политики», нажимаете «Добавить» и затем — ОК.

Как менять?

Нужно заметить, что таблица от Майкрософт сводная. Туда входят многие операционные системы, в том числе XP, который более не поддерживается. Следует ориентироваться на строку, где указана совместимость. Это сложный путь, но мы в начале предупредили, что он не для простых смертных. Теперь, зная эту информацию, не сложно создать своими руками ключ в нужном месте. Вот как это делается:

Вызываем редактор реестра, если он ещё не открыт.

Находим нужную папку (если не имеется, создаём её вручную).

Осталось ввести в нужно месте тип и имя ключа. Многие параметры, как две капли воды похожи друг на друга. Поэтому можно пользоваться шаблонами.

Структура редактора групповой политики

Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.

В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.

Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.

Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.

Рис.3 Редактор локальной групповой политики

Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.

Рис.4 Настройка частоты обновления политик

Рис.5 Настройка частоты обновления политик

Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:

• осуществить перезагрузку операционной системы
• использовать утилиту gpupdate.exe для принудительного обновления групповой политики. Для этого необходимо либо в окне Выполнить, либо в командной строке ввести gpupdate /force и нажать ОК.

Рис.6 Обновление политик в командной строке

С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.

Например, для выполнения обновления политик для пользователя, необходимо ввести gpupdate /target:user .

Рис.7 Обновление политик для пользователя в командной строке

Читайте также:  Внешний вид linux как windows