Software microsoft windows currentversion group policy objects

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами успешно решили проблему, когда система не обнаружила VCRUNTIME140.dll, движемся дальше. Сегодня у меня на работе появилась задача, в массовом порядке для определенной группы людей настроить ассоциацию файлов через групповую политику, так чтобы она задала открытие файлов с расширением doc, docx, xls, xlsx с помощью браузера Google Chrome. Я вам расскажу с какими подводными камнями я столкнулся и, как я их смог обойти.

Постановка задачи

В виду перехода в облачные сервисы и переходу от локальных офисных продуктов Microsoft Office, необходимо настроить ассоциации файлов на рабочих станциях, так чтобы файлы Woed, Ecxel, Power Point и другие стали открываться в браузере Google Chrome, через специальное расширение «Редактирование файлов Office».

Редактирование файлов Office — это бесплатное расширение для Google Chrome в задачи которого входит оффлайн редактирование файлов из офисного набора Microsoft Office. Я уже заранее его распространил, через групповую политику. Так как у меня в организации свыше 1000 рабочих станций в домене Active Directory, то сами можете представить масштабы работы, которая ложится на плечи технической поддержки, и чтобы выполнить задачу максимально быстро и централизовано, было принято решение сделать политику GPO, что правильно в рамках домена. Хочу отметить, что в Windows 7, Windows 8,.1 и Windows 10 есть свои нюансы и своя конфигурация выполнения данной задачи.

Настройка ассоциации файлов в GPO для Windows 7

По статистике самой популярной операционной системой в мире является Windows 7, у меня в организации она занимает процентов 20-25 от общей массы. Я помнил как выглядела политика, поэтому решил начать именно с нее. Про ручную настройку ассоциаций файлов Windows я рассказывал и понимал какая, это монотонная работа, приятно что она решается буквально за минуту.

И так откройте оснастку «Управление групповой политикой» и создаете новую политику на нужном вам организационном подразделении. В моем случае, это OU «Client Computers». Щелкаем по ней правым кликом и выбираем «Создать объект групповой политики в этом домене и связать его с текущим подразделением»

Задаем название для GPO объекта в соответствии с правилами именования присущими вашему домену. Я задам имя «Настройка ассоциаций для офисных файлов».

Через правый клик по политике приступаем к ее редактированию.

Тут все настройки ассоциаций применимы, как к компьютерам так и на пользователей, все зависит от вашей структуры Active Directory. Лично я хочу, чтобы у меня настройки GPO были реализованы для пользователя, но применялись, только на определенных компьютерах, где пользователи работаю и данные настройки не применялись, когда человек заходит на терминальный сервер или другой сервер. В таких ситуациях применяется замыкание групповой политики, об этом я писал, в двух словах данная функциональность либо объединяет настройки компьютера и пользователя, или же компьютерными настройками пере затирает настройки пользователя в виду большей приоритетности.

Для Windows 7 ваша политика будет выглядеть вот так, вы раскрываете раздел для пользователя и переходите по пути:

Далее кликаете по пункту «Параметры папок» и из контекстного меню пройдите в меню «Создать — Открыть с помощью»

У вас откроется окно выбора программы. Произведите настройки:

• Пункт действие — Выставите «Обновить»
• Расширение — задайте нужное вам расширение, для которого вы хотите изменить программу по умолчанию в ассоциациях Windows
• Связанная программ — тут прописываем короткое имя программы или полный точный путь, у меня например, это chrome.exe или могло быть «C:\Program Files (x86)\Google\Chrome\Application\chrome.exe», без кавычек. Короткое имя и полный путь вы можете посмотреть в свойствах вашей программы, которую вы хотите использовать для определенного расширения файлов.
• Установите галку «Использовать по умолчанию»

Сохраняем настройку и повторяем для других расширений, напоминаю в моем случае, это офисные форматы MS Word (doc, docx) и MS Excel (xls, xlsx).

В итоге у меня получилась такая картина. Если вы планируете применять политику с распространениями ассоциаций файлов через GPO на пользовательские учетные записи, то политика готова, если она предназначается на OU с компьютерами, то вам нужно еще включить политику замыкания.

Для этого раскройте уже раздел:

Находим тут параметр «Настройка режима обработки замыкания пользовательской групповой политики (Configure user Group Policy Loopback Processing mode)»

Переходим в политику. Вам нужно выбрать режим слияния в политике замыкания.Напоминаю:

• Режим слияния (Merge) — объединяет компьютерные настройки с пользовательскими. Политики компьютера добавляются в самом конце в список пользовательских, и если они не конфликтую, то они совмещаются. Если конфликтуют, то компьютерные настройки полностью перезаписывают конфликтные пункту в пользовательской части.
• Режим замены (Replace) — тут все проще, в данном режиме настройки пользователя полностью игнорируются и заменяются компьютерными.

Все выбрав режим слияния мы закончили создание групповой политики, которая перезапишет ассоциации файлов формата doc, docx, xls, xlsx и будет их открывать Google Chrome. У меня есть виртуальная машина ESXI с операционной системой Windows 7, где я недавно вылечил ошибку бесконечного обновления. На рабочем столе вы видите у меня 2 файла doc, 2 файла docx и два файла xls.

Чтобы на пользователя применилась политика ему нужно сделать выход из системы (Log Off) или перезагрузится. Для тестирования я принудительно через командную строку обновлю групповую политику.

Заново входим на компьютер с Windows 7 и видим, что все значки поменяли свой значок. Иногда у docx могут отсутствовать значки, но открываться они будут через Google Chrome.

Пробуем открыть любой из файлов и видим, что у нас открылся браузер Google Chrome с нужным расширением «Редактирование файлов Office»

Если политика не применилась, то выполните три пункта для диагностики:

• Через утилиту gpresult /r /scope:computer и потом gpresult /r /scope:user. Проверьте, что применилась политика
• Если политика не применилась, проверьте, что у вас в фильтрах GPO указана нудная группа со списком пользователей, к которым должна применяться политика, или это может быть группа «Прошедшие проверку», так же убедитесь, что у вас на вкладке «Делегирование» у группы «Компьютеры домена» или прошедшие проверку пользователи, имеют права на чтение политики.

• Если политика применилась, но ассоциации файлов не поменялись через политику, то попробуйте в нее еще добавить удаление двух веток реестра, которые потом пересоздадутся автоматически. Переходим по пути:

Щелкаем правым кликом и из контекстного меню выберите пункт создать элемент реестра.

В окне свойств реестра, выберите в действии «Удалить» и в пути введите по одной строке и списка ниже.

В итоге вам так нужно создать удаление для четырех веток. После этого политика изменения ассоциации файлов и программы по умолчанию для определенных расширений файлов будут применены в вашей Windows 7.

Настройка ассоциации файлов в GPO для Windows 10

В Windows 10 данный метод работать не будет, тут необходимо слегка поправить политику. Вы полностью создаете политику, как и в Windows 7:

• Создаете ключи реестра которые удалят нужные ветки реестра для определенных расширений
• Создаете в параметрах папок для определенных расширений файлов, сопоставление программы по умолчанию на ту, что вам нужна
• Создаете нужную настройку фильтрации и назначаете политику на нужную OU

Дополнительные настройки для Windows 10

В вашей политике перейдите в раздел, где мы создавали ключи реестра для удаления веток.

Нам нужно после этих четырех заданий на удаление, создать задание на создание нужных веток и ключей. Я приведу примеры для расширений doc, docx, xls, xlsx, вам главное понять принцип. Через правый клик создаете новый элемент реестра

Первый ключ будет для расширения doc:

• Действие — Обновить
• Куст — HKEY_CURRENT_USER
• Путь раздела — Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.doc\OpenWithList
• Имя параметра — a
• Тип параметра REG_SZ
• Значение — chrome

Создаем второй элемент реестра.

• Действие — Обновить
• Куст — HKEY_CURRENT_USER
• Путь раздела — Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.doc\OpenWithList
• Имя параметра — MRUList
• Тип параметра — REG_SZ
• Значение — a

Создаем третий элемент реестра:

• Действие — Обновить
• Куст — HKEY_CURRENT_USER
• Путь раздела — Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.doc\OpenWithProgids
• Имя параметра — Word.Document.8
• Тип параметра — REG_BINARY

В итоге вы создали для расширения doc три ключа реестра, повторяем все эти шаги, лишь с той разницей, что меняем в первом примере doc на другие форматы и Word.Document.8 на другое значение из таблицы ниже:

• doc Имя параметра — Word.Document.8
• docx Имя параметра — Word.Document.12
• xls Имя параметра — Excel.Sheet.8
• xlsx Имя параметра — Excel.Sheet.12
• PowerPoint 2003 Имя параметра — PowerPoint.Show.8
• PowerPoint.2007 и выше Имя параметра — PowerPoint.Show.12

В итоге у меня получилось вот так.

Все теперь политика готова, ее можно применять. Данная GPO пропишет по данным веткам реестра нужные ключи, это персональные настройки программ по умолчанию для пользователя. Они более приоритетнее ветки компьютера.Проверьте добавление ключей по пути:

В итоге параметры для операционных систем Windows 10, для заданных ассоциаций файлов будут переопределены.

Задание ассоциаций через XML файл в Windows 10

Данный метод применим к операционным системам Windows 8.1 и выше, я вам его уже рассказывал, когда делал Google Chrome браузером по умолчанию. Суть метода такова:

1. 1. Вы берете любой компьютер, например с Windows 10. В ручном режиме настраиваете у него ассоциации файлов с нужной программой
   2. Далее выгружаете специальный XML файл с настройками и редактируете его, удаляя лишние расширения из него. Делается выгрузка через утилиту командной строки DISM. Для этого выполните команду:

   Находите там параметр «Задать файл конфигурации сопоставлений по умолчанию» и активируете его. Далее вам нужно добавить путь в таком формате:

   

   Таким образом можно централизованно назначать программы по умолчанию. При использовании групповых политик ассоциации файлов будут изменены но только для новых пользователей. Кроме того, пользователи не смогут свободно управлять файловыми ассоциациями, т.к. каждый раз при входе в компьютер настройки, произведенные пользователем, будут переназначены настройками из файла конфигурации.

   Еще хочу добавить, что данный файл прописывается в ветку реестра:

   Клиенты Windows 7 периодически не могут применять групповой политики при запуске

   В этой статье предоставляется решение проблемы, из-за которой клиенты Windows 7 периодически не применяют групповой политики при запуске.

   Оригинальная версия продукта: Windows 7 Пакет обновления 1
   Исходный номер КБ: 2421599

   Симптомы

   Клиенты Windows 7 периодически сбоя групповой политики обработки при запуске или перезагрузке. В журнале событий System регистрируются следующие события:

   Ошибка 9/9/2010 2:43:29 PM NETLOGON 5719 Ошибка 9/9/2010 2:43:31 PM GroupPolicy 1055

   Причина

   Это поведение вызвано состоянием рас между инициализацией сети, поиском контроллера домена и групповой политикой обработки. Если сеть недоступна, контроллер домена не будет расположен, а обработка групповой политики будет неудачной. После загрузки операционной системы и согласований и установленной сетевой связи обновление фонового фона групповой политики будет успешным.

   Следующая последовательность событий отражает условие:

   Information EventLog 6006 указывает на отключение системы
   Информация e1kexpress 33 указывает на то, что установлена связь сетевого подключения с
   Information EventLog 6005 указывает, что служба журнала событий запущена
   Информация Dhcp-Client 50036 указывает на начало клиентской службы dhcp
   Ошибка NETLOGON 5719 указывает, что netlogon не может достичь ни одного из контроллеров домена
   Ошибка GroupPolicy 1055 указывает на сбой обработки групповой политики
   Information GroupPolicy 1503 указывает на успешность обработки групповой политики

   Это также можно подтвердить с помощью netlogon журналов:

   [SESSION] \Device\NetBT_Tcpip_<53267ba1-eb8c-4348-bd81-41c3ff162ee9>: Транспорт добавлен ( ) [SESSION] Надстройки Winsock: (1) Адрес изменен. [CRITICAL] NetpDcGetDcNext: _ldap._tcp.dc._msdcs.contoso.com.: Не удается запрашивать DNS. 1460 0x5b4 [CRITICAL] NetpDcGetNameIp: .: Данные, возвращенные contoso.com из DnsQuery, не возвращаются. [CRITICAL] DBG: NlDiscoverDc: не удается найти DC. [CRITICAL] DBG: NlSessionSetup: Установка сеанса: не удается выбрать доверенный DC [SESSION] DBG: NlSetStatusClientSession: Установите состояние подключения к c000005e [SESSION] DBG: NlSessionSetup: Установка сеанса не удалось

   Решение

   Чтобы решить проблему, можно установить значение реестра, чтобы отложить применение групповой политики:

   Откройте редактор реестра.

   Расширь следующую подкайку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

   Щелкните правой Winlogon кнопкой мыши , указать на New, а затем выберите значение DWORD.

   Чтобы назвать новую запись, введите GpNetworkStartTimeoutPolicyValue и нажмите кнопку ENTER.

   Щелкните правой GpNetworkStartTimeoutPolicyValue кнопкой мыши, а затем выберите Изменение.

   В базовой статье выберите десятичной знак.

   В поле Данных Значения введите 60 и выберите ОК.

   Выйти из редактора реестра и перезапустить компьютер.

   Если сценарий запуска групповой политики не работает, увеличите значение GpNetworkStartTimeoutPolicyValue записи реестра.

   Дополнительная информация

   Указанное значение должно быть достаточно длинным, чтобы обеспечить подключение. В течение периода ожидания Windows будет проверять состояние подключения каждые две секунды и будет продолжать запуск системы, как только подключение будет подтверждено. Поэтому рекомендуется перебиваясь на высокой стороне. Если система отключена законно (например, отключенный сетевой кабель, off-line server и так далее), Windows заглохнет на весь период ожидания.

   Она также может быть определена с помощью групповой политики:

   Расположение политики: > политики > шаблоны администратора > System > Group Policy Setting Name: Клавиша времени ожидания ожидания обработки политики запуска: HKLM\Software\Policies\Microsoft\Windows\System!GpNetworkStartTimeoutPolicyValue

   Если вы определите параметр групповой политики, он переопределит параметр вручную. Если параметр ручной и групповой политики не определен, значение выбирается из следующего расположения реестра:

   Так как не определен период ожидания, система использует собственный алгоритм для вычисления и прибытия в период среднего времени ожидания. Это значение хранится в расположении реестра выше. Она может отличаться от системы к системе и зависит от различных факторов, например предыдущих попыток входа.

   Описание групповой политики для «Время ожидания обработки политики запуска» не является многословным и не охватывает все сценарии. Просто потому, что у нас нет политики, настроенной в настоящее время, это не значит, что мы будем использовать значение времени по умолчанию в 30 секунд.