Настройка групповой политики на Windows Server 2016

Групповые политики являются одним из самых эффективных способов управления компьютерной сетью, построенной на базе Windows-сетей. Групповые политики используют для упрощения администрирования, предоставляя администраторам централизованное управление привилегиями, правами и возможностями как пользователей, так и компьютеров сети.

При помощи политики возможно:

• назначать сценарии пользователя и сценарии компьютера, запускающиеся в конкретно указанное время;
• определять политики параметров пароля учетных записей, блокировку пользователей;
• распространять программное обеспечение на компьютеры сети при помощи публикации или назначения;
• выполнять набор настроек безопасности для удаленных машин;
• ввести контроль над доступом к windows-компонентам, системным ресурсам, сетевым ресурсам, утилитам панели управления, рабочему столу и экрану;
• проводить настройку по распределению прав на доступ к файлам и папкам;
• настраивать перенаправление определенных папок из профиля пользователя.

Групповые политики возможно применять сразу на нескольких доменах, на отдельных доменах, на подгруппах в домене, на отдельных системах.

Политики, применяемые к отдельным системам, называются локальными групповыми политиками. Такие политики хранятся только на локальном компьютере. Остальные групповые политики соединены в объекты и хранятся в хранилище данных Active Directory.

Управление групповых политик имеется только в профессиональных и серверных версиях Windows.

Для каждой новой версии Windows вносились новые изменения в групповую политику. В некоторых случаях старые политики не применяются на новые версии Windows.

Обычно большинство политик прямо совместимы. Это означает, что, как правило, политики, предоставленные в Windows Server 2003, могут использоваться на Windows 7 и более поздних, а также на Windows Server 2008 и более поздних. Однако, политики для Windows 8/10 и Windows Server 2012/2016 обычно не применимы к более ранним версиям Windows. Для того, чтобы узнать какие версии поддерживает политика, можно открыть окно ее свойств – там посмотреть на поле Требование к версии или поддерживается. В нем указаны версии ОС, на которых эта политика будет работать:

Редактирование групповых политик

Консоль редактирования групповой политики входит в состав сервера, ее требуется установить в диспетчере сервера как дополнительный компонент управления групповыми политиками:

После этого в составе программ меню Администрирование появляется задача Управление групповыми политиками.

В оснастке Управление групповой политикой назначаются политики к подразделениям, а благодаря иерархической структуре можно визуально понять к какой группе относятся какая-либо политика:

Групповая политика изменяется в редакторе управления групповыми политиками – для этого требуется выбрать команду Изменить в меню Действия. Так же новую групповую политику можно создать либо «с нуля», для этого выбираем Объекты групповой политики выбираем команду Создать в меню Действие. Записываем новое имя объекта групповой политики после этого нажимаем ОК. Можно скопировать в нее параметры уже существующей политики в зависимости от требуемой задачи.

Чтобы применить созданную политику, требуется установить для нее связь с соответствующим объектом службы каталогов в оснастке Управление групповой политикой:

Примененную политику можно настроить по фильтру безопасности. Таким способом параметры данного объекта групповой политики возможно разделить только для заданных групп, пользователей и компьютеров, входящих в домен:

Рекомендации по применению политик

Главное заключается в том, чтобы не изменять политику по умолчанию. Потому как если в политике возникнет какая-либо серьезная ошибка, то возврат к начальному состоянию приведет к удалению не только последних настроек, но и всех других параметров. Поэтому для административных действий по управлению системой создавайте новые политики, тогда для изменения настроек вам потребуется только отключать/включать привязку политик к организационной структуре.

Обработка одной политики с наибольшим числом назначенных параметров, не отличается по времени от обработки нескольких политик, в каждой из которых назначается только часть этих параметров. Поэтому удобнее создавать несколько политик, чем включать все изменения в одну.

Не стоит удалять ранее созданные групповые политики – желательно просто отключить привязку их от объекта службы каталогов. Они могут потребоваться в дальнейшем для анализа в случае каких-либо проблем.

В рамках нашей услуги ИТ-обслуживание мы не только настраиваем групповые политики, но и берем на себя обслуживание всей ИТ-структуры клиента, включая все настройки, обновления ПО и поддержку в режиме 24/7.

Использование групповая политика для настройки клиентских компьютеров членов домена Use Group Policy to Configure Domain Member Client Computers

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

В этом разделе вы создадите объект групповая политика для всех компьютеров в Организации, настроили клиентские компьютеры-члены домена с режимом распределенного кэша или режимом размещенного кэша, а также настроим брандмауэр Windows в режиме повышенной безопасности, чтобы разрешить трафик BranchCache. In this section, you create a Group Policy Object for all of the computers in your organization, configure domain member client computers with distributed cache mode or hosted cache mode, and configure Windows Firewall with Advanced Security to allow BranchCache traffic.

Этот раздел содержит следующие процедуры. This section contains the following procedures.

В следующей процедуре показано, как создать объект групповая политика в политике домена по умолчанию. Однако можно создать объект в подразделении (OU) или другом контейнере, подходящем для вашего развертывания. In the following procedure, you are instructed to create a Group Policy Object in the Default Domain Policy, however, you can create the object in an organizational unit (OU) or other container that is appropriate for your deployment.

Для выполнения этих процедур необходимо быть членом группы «Администраторы домена» или эквивалентными. You must be a member of Domain Admins, or equivalent to perform these procedures.

Создание объекта групповая политика и настройка режимов BranchCache To create a Group Policy Object and configure BranchCache modes

На компьютере, на котором установлена роль сервера домен Active Directory Services, в диспетчер сервера выберите Сервис, а затем щелкните Управление Групповая политика. On a computer upon which the Active Directory Domain Services server role is installed, in Server Manager, click Tools, and then click Group Policy Management. Откроется консоль управления групповая политика. The Group Policy Management console opens.

В консоли управления групповая политика разверните следующий путь: лес: example.com, домены, example.com, Групповая политика объекты, где example.com — это имя домена, в котором находятся учетные записи клиентского компьютера BranchCache, которые требуется настроить. In the Group Policy Management console, expand the following path: Forest: example.com, Domains, example.com, Group Policy Objects, where example.com is the name of the domain where the BranchCache client computer accounts that you want to configure are located.

Щелкните правой кнопкой мыши Объекты групповой политики, а затем выберите команду Создать. Right-click Group Policy Objects, and then click New. Откроется диалоговое окно Создание объекта групповой политики . The New GPO dialog box opens. В поле имя введите имя нового объекта Групповая политика (GPO). In Name, type a name for the new Group Policy Object (GPO). Например, если вы хотите присвоить имя объекту клиентские компьютеры BranchCache, введите » клиентские компьютеры BranchCache«. For example, if you want to name the object BranchCache Client Computers, type BranchCache Client Computers. Нажмите кнопку ОК. Click OK.

В консоли управления групповая политика убедитесь, что выбран параметр Групповая политика объекты , и в области сведений щелкните правой кнопкой мыши только что созданный объект групповой политики. In the Group Policy Management console, ensure that Group Policy Objects is selected, and in the details pane right-click the GPO that you just created. Например, если вы наназвали клиентские компьютеры BranchCache объекта групповой политики, щелкните правой кнопкой мыши клиентские компьютеры BranchCache. For example, if you named your GPO BranchCache Client Computers, right-click BranchCache Client Computers. Нажмите кнопку Изменить. Click Edit. Откроется консоль редактор «Управление групповыми политиками». The Group Policy Management Editor console opens.

В консоли редактор «Управление групповыми политиками» разверните следующий путь: Конфигурация компьютера, политики, Административные шаблоны: определения политик (ADMX-файлы), полученные с локального компьютера, сети, BranchCache. In the Group Policy Management Editor console, expand the following path: Computer Configuration, Policies, Administrative Templates: Policy definitions (ADMX files) retrieved from the local computer, Network, BranchCache.

Щелкните BranchCache, а затем в области сведений дважды щелкните включить BranchCache. Click BranchCache, and then in the details pane, double-click Turn on BranchCache. Откроется диалоговое окно «параметр политики». The policy setting dialog box opens.

В диалоговом окне Включение BranchCache щелкните включено, а затем нажмите кнопку ОК. In the Turn on BranchCache dialog box, click Enabled, and then click OK.

Чтобы включить режим распределенного кэша BranchCache, в области сведений дважды щелкните установить режим распределенного кэша BranchCache. To enable BranchCache distributed cache mode, in the details pane, double-click Set BranchCache Distributed Cache mode. Откроется диалоговое окно «параметр политики». The policy setting dialog box opens.

В диалоговом окне Установка режима распределенного кэша BranchCache установите флажок включено и нажмите кнопку ОК. In the Set BranchCache Distributed Cache mode dialog box, click Enabled, and then click OK.

При наличии одного или нескольких филиалов, где вы развертываете BranchCache в режиме размещенного кэша и развернули серверы размещенного кэша в этих офисах, дважды щелкните включить автоматическое обнаружение размещенного кэша по точке подключения службы. If you have one or more branch offices where you are deploying BranchCache in hosted cache mode, and you have deployed hosted cache servers in those offices, double-click Enable Automatic Hosted Cache Discovery by Service Connection Point. Откроется диалоговое окно «параметр политики». The policy setting dialog box opens.

В диалоговом окне Включение автоматического обнаружения размещенного кэша по точке подключения службы щелкните включено, а затем нажмите кнопку ОК. In the Enable Automatic Hosted Cache Discovery by Service Connection Point dialog box, click Enabled, and then click OK.

Если включить режим распределенного кэша BranchCache и включить автоматическое обнаружение размещенного кэша по параметрам политики точки подключения службы , клиентские компьютеры работают в режиме распределенного кэша BranchCache, если только они не находят сервер размещенного кэша в офисе филиала, и на этом этапе они работают в режиме размещенного кэша. When you enable both the Set BranchCache Distributed Cache mode and the Enable Automatic Hosted Cache Discovery by Service Connection Point policy settings, client computers operate in BranchCache distributed cache mode unless they find a hosted cache server in the branch office, at which point they operate in hosted cache mode.

Используйте приведенные ниже процедуры для настройки параметров брандмауэра на клиентских компьютерах с помощью групповая политика. Use the procedures below to configure firewall settings on client computers by using Group Policy.

Настройка брандмауэра Windows в правилах входящего трафика с повышенной безопасностью To configure Windows Firewall with Advanced Security Inbound Traffic Rules

В консоли управления групповая политика разверните следующий путь: лес: example.com, домены, example.com, Групповая политика объекты, где example.com — это имя домена, в котором находятся учетные записи клиентского компьютера BranchCache, которые требуется настроить. In the Group Policy Management console, expand the following path: Forest: example.com, Domains, example.com, Group Policy Objects, where example.com is the name of the domain where the BranchCache client computer accounts that you want to configure are located.

В консоли управления групповая политика убедитесь, что выбран параметр Групповая политика объекты , и в области сведений щелкните правой кнопкой мыши объект групповой политики «клиентские компьютеры BranchCache», созданный ранее. In the Group Policy Management console, ensure that Group Policy Objects is selected, and in the details pane right-click the BranchCache client computers GPO that you created previously. Например, если вы наназвали клиентские компьютеры BranchCache объекта групповой политики, щелкните правой кнопкой мыши клиентские компьютеры BranchCache. For example, if you named your GPO BranchCache Client Computers, right-click BranchCache Client Computers. Нажмите кнопку Изменить. Click Edit. Откроется консоль редактор «Управление групповыми политиками». The Group Policy Management Editor console opens.

В консоли редактор «Управление групповыми политиками» разверните следующий путь: Конфигурация компьютера, политики, Параметры Windows, Параметры безопасности, Брандмауэр Windows в расширенной безопасности, Брандмауэр Windows в Advanced Security-LDAP, правила для входящих подключений. In the Group Policy Management Editor console, expand the following path: Computer Configuration, Policies, Windows Settings, Security Settings, Windows Firewall with Advanced Security, Windows Firewall with Advanced Security — LDAP, Inbound Rules.

Щелкните правой кнопкой мыши элемент Правила для входящих подключений и выберите команду Новое правило. Right-click Inbound Rules, and then click New Rule. Откроется мастер создания правила для нового входящего подключения. The New Inbound Rule Wizard opens.

В поле тип правила щелкните предопределенный, разверните список вариантов, а затем щелкните BranchCache — получение содержимого (используется HTTP). In Rule Type, click Predefined, expand the list of choices, and then click BranchCache — Content Retrieval (Uses HTTP). Щелкните Далее. Click Next.

В окне предопределенные правила нажмите кнопку Далее. In Predefined Rules, click Next.

В поле действие убедитесь, что выбран параметр Разрешить подключение , а затем нажмите кнопку Готово. In Action, ensure that Allow the connection is selected, and then click Finish.

Необходимо выбрать параметр Разрешить клиенту BranchCache подключение к этому порту получать трафик. You must select Allow the connection for the BranchCache client to be able to receive traffic on this port.

Чтобы создать исключение WS-Discovery брандмауэра, снова щелкните правой кнопкой мыши правила для входящих подключений и выберите команду создать правило. To create the WS-Discovery firewall exception, again right-click Inbound Rules, and then click New Rule. Откроется мастер создания правила для нового входящего подключения. The New Inbound Rule Wizard opens.

В поле тип правила щелкните предопределенный, разверните список вариантов, а затем щелкните BranchCache — обнаружение кэширующих узлов (использует WSD). In Rule Type, click Predefined, expand the list of choices, and then click BranchCache — Peer Discovery (Uses WSD). Щелкните Далее. Click Next.

В окне предопределенные правила нажмите кнопку Далее. In Predefined Rules, click Next.

В поле действие убедитесь, что выбран параметр Разрешить подключение , а затем нажмите кнопку Готово. In Action, ensure that Allow the connection is selected, and then click Finish.

Необходимо выбрать параметр Разрешить клиенту BranchCache подключение к этому порту получать трафик. You must select Allow the connection for the BranchCache client to be able to receive traffic on this port.

Настройка брандмауэра Windows в правилах исходящего трафика с повышенной безопасностью To configure Windows Firewall with Advanced Security Outbound Traffic Rules

В консоли редактор «Управление групповыми политиками» щелкните правой кнопкой мыши правила исходящих подключений и выберите команду создать правило. In the Group Policy Management Editor console, right-click Outbound Rules, and then click New Rule. Откроется мастер создания правила для исходящего трафика. The New Outbound Rule Wizard opens.

В поле тип правила щелкните предопределенный, разверните список вариантов, а затем щелкните BranchCache — получение содержимого (используется HTTP). In Rule Type, click Predefined, expand the list of choices, and then click BranchCache — Content Retrieval (Uses HTTP). Щелкните Далее. Click Next.

В окне предопределенные правила нажмите кнопку Далее. In Predefined Rules, click Next.

В поле действие убедитесь, что выбран параметр Разрешить подключение , а затем нажмите кнопку Готово. In Action, ensure that Allow the connection is selected, and then click Finish.

Необходимо выбрать параметр Разрешить клиенту BranchCache подключение для отправки трафика через этот порт. You must select Allow the connection for the BranchCache client to be able to send traffic on this port.

Чтобы создать исключение WS-Discovery брандмауэра, щелкните правой кнопкой мыши правила исходящих подключений и выберите команду создать правило. To create the WS-Discovery firewall exception, again right-click Outbound Rules, and then click New Rule. Откроется мастер создания правила для исходящего трафика. The New Outbound Rule Wizard opens.

В поле тип правила щелкните предопределенный, разверните список вариантов, а затем щелкните BranchCache — обнаружение кэширующих узлов (использует WSD). In Rule Type, click Predefined, expand the list of choices, and then click BranchCache — Peer Discovery (Uses WSD). Щелкните Далее. Click Next.

В окне предопределенные правила нажмите кнопку Далее. In Predefined Rules, click Next.

В поле действие убедитесь, что выбран параметр Разрешить подключение , а затем нажмите кнопку Готово. In Action, ensure that Allow the connection is selected, and then click Finish.

Необходимо выбрать параметр Разрешить клиенту BranchCache подключение для отправки трафика через этот порт. You must select Allow the connection for the BranchCache client to be able to send traffic on this port.