Group Policy Overview

Applies To: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

Use this topic to find the documentation resources and other technical information you need to accomplish key Group Policy tasks. You can learn about new and updated functionality for Group Policy in Windows Server 2012 R2 and Windows 8.1and ways to automate common Group Policy tasks by using Windows PowerShell.

Did you mean…

Feature description

Group Policy is an infrastructure that allows you to specify managed configurations for users and computers through Group Policy settings and Group Policy Preferences. To configure Group Policy settings that affect only a local computer or user, you can use the Local Group Policy Editor. You can manage Group Policy settings and Group Policy Preferences in an Active Directory Domain Services (ADВ DS) environment through the Group Policy Management Console (GPMC). Group Policy management tools also are included in the Remote Server Administration Tools pack to provide a way for you to administer Group Policy settings from your desktop.

Windows PowerShellВ В В When the GPMC is installed on servers or client computers, the Windows PowerShell module is also installed. You have full Windows PowerShell functionality. If you install the Remote Server Administration Tools pack, the latest Windows PowerShell cmdlets for Group Policy are also installed. For more information about Windows PowerShell cmdlets and scripts that you can use to manage Group Policy, see Group Policy Cmdlets.

You can configure the Group Policy feature by using Windows PowerShell cmdlets. For more information about using Server Manager cmdlets to install the Group Policy Management Console, see Install or Uninstall Roles, Role Services, or Features and Server Manager deployment cmdlet module.

Practical applications

By using Group Policy, you can significantly reduce your organization’s total cost of ownership. Various factors, such as the large number of policy settings available, the interaction between multiple policies, and inheritance options, can make Group Policy design complex. By carefully planning, designing, testing, and deploying a solution based on your organization’s business requirements, you can provide the standardized functionality, security, and management control that your organization needs.

Here are some Windows Server 2012 scenarios that use Group Policy to implement a solution:

New and changed functionality

Group Policy designs can become very complex. Various factors, such as the large number of policy settings and preference items available, the interaction between multiple policies, and inheritance options, can make it difficult to determine if Group Policy is functioning correctly on each computer.

In Windows Server 2012, Group Policy focused on improving the Group Policy troubleshooting experience. Windows Server 2012 R2 expands the support for IPv6 networking, adds policy caching to reduce sign-in times in synchronous mode, and provides more detailed event logging. For more details about these changes and more information about the additional changes in functionality that are not listed here, see What’s New in Group Policy in Windows Server 2012 [redirected] and What’s New in Group Policy in Windows Server.

Group policy settings for Desktop Analytics

Applies to: Configuration Manager (current branch)

This article details the local and group policy settings in Windows that Configuration Manager and Desktop Analytics use.

When Configuration Manager enrolls devices into Desktop Analytics, it sets Windows policies to configure the device. In most circumstances, only use Configuration Manager to configure these settings.

Windows settings

Configuration Manager sets Windows policies in one or both of the following registry keys:

Group policy object (GPO): HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection

Local policy preference: HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection

Policy	Path	Applies to	Value
CommercialId	Local	All Windows versions	In order for a device to show up in Desktop Analytics, configure it with your organization’s Commercial ID.
AllowTelemetry	GPO	Windows 10	Set 1 for Basic (Required), 2 for Enhanced, or 3 for Full (Optional) diagnostic data. Desktop Analytics requires at least basic diagnostic data. Microsoft recommends that you use the Optional (limited) (Enhanced (Limited)) level with Desktop Analytics. For more information, see Configure Windows diagnostic data in your organization.
LimitEnhancedDiagnosticDataWindowsAnalytics	GPO	Windows 10, version 1803 and later	This setting only applies when the AllowTelemetry setting is 2 . It limits the Enhanced diagnostic data events sent to Microsoft to just those events needed by Desktop Analytics. For more information, see Windows 10 diagnostic data events and fields collected through the limit enhanced diagnostic data policy.
AllowDeviceNameInTelemetry	GPO	Windows 10, version 1803 and later	Enable devices to send the device name. The device name isn’t sent to Microsoft by default. If you don’t send the device name, it appears in Desktop Analytics as «Unknown». For more information, see Device name.
CommercialDataOptIn	Local	Windows 8.1 and earlier	Desktop Analytics requires a value of 1 . For more information, see Commercial Data Opt-in in Windows 7.
RequestAllAppraiserVersions	Both	Windows 8.1 and earlier	Desktop Analytics requires a value of 1 for data collection to work correctly.
DisableEnterpriseAuthProxy	GPO	All Windows versions	If your environment requires a user-authenticated proxy with Windows Integrated Authentication for internet access, Desktop Analytics requires a value of 0 for data collection to work correctly. For more information, see Proxy server authentication.

When you configure the diagnostic data level, you set the upper boundary for the device. By default in Windows 10, version 1803 and later, users can choose to set a lower level. You can control this behavior using the group policy setting, Configure telemetry opt-in setting user interface.

Starting in version 2006, Configuration manager sets the following Windows policies in preparation to support an upcoming option for enterprise customers to control their Windows diagnostic data:

Policy	Path	Applies to	Value
AllowDesktopAnalyticsProcessing	GPO	Windows 10, version 1809 and later	Desktop Analytics requires a value of 2 for data collection to work correctly.

Starting in version 2010, Configuration Manager can configure the Optional (limited) level on the devices running Windows build version 19577 or later. For more information, see Changes to Windows diagnostic data collection. For this diagnostic data level, Configuration Manager sets the following settings:

Policy	Value
AllowTelemetry	3 for Optional (limited)
LimitDumpCollection	1
LimitDiagnosticLogCollection	1
LimitEnhancedDiagnosticDataWindowsAnalytics	1

In most circumstances, only use Configuration Manager to configure these settings. Don’t also apply these settings in domain group policy objects. For more information, see Conflict resolution.

Settings from Upgrade Readiness

Windows Analytics also set the following policies through the Upgrade Readiness script:

• CommercialId
• AllowDeviceNameInTelemetry
• CommercialDataOptIn
• RequestAllAppraiserVersions

If you ran the Upgrade Readiness onboarding script on a device, these policy settings may still exist. Don’t use the legacy script. Before you enroll the device to Desktop Analytics, remove these previous policy settings.

Group policy settings

In general, use Configuration Manager collections to target Desktop Analytics settings and enrollment. Use direct membership or queries to include or exclude devices from the collection. For more information, see How to create collections.

Configuration Manager configures commercial ID and diagnostic data settings on your target collection. If you need to configure different diagnostic data settings for different group of devices, use group policy settings to override Configuration Manager settings. For example, you need to set Optional (limited) level for some devices and Required for others. Some devices may have different proxy server authentication settings.

The relevant group policy settings are at the following path: Computer Configuration > Administrative Templates > Windows Components > Data Collection and Preview Builds.

Group policy settings only modify registry settings in the following key: HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection

Conflict resolution

When you use group policy settings to enable complex scenarios, pay special attention to policy settings that can cause configuration conflicts. Configuration Manager only configures Windows settings if the value doesn’t already exist. Mobile device management (MDM) policies and group policy settings take precedence over Configuration Manager settings, so certain policy configurations could cause issues with Desktop Analytics. Status for devices targeted with MDM and group policy settings may not be accurately reflected in the Connection health dashboard.

The group policy settings in the following table have the greatest potential to cause conflict with the Windows settings that Configuration Manager sets on devices it enrolls to Desktop Analytics:

Display name	Registry value	Effect on devices enrolled in Desktop Analytics
Configure the Commercial ID	CommercialId	If you set this policy to a different value, it overrides the Commercial ID set by Configuration Manager. If it’s not the same ID, configured devices may not appear in Desktop Analytics.
Allow telemetry	AllowTelemetry	If you set this policy to a different value, it overrides the global diagnostic data level that you set in Configuration Manager for the target collection.
Limit Enhanced diagnostic data to the minimum required by Windows Analytics	LimitEnhancedDiagnosticDataWindowsAnalytics	This policy is dependent upon the prior AllowTelemetry setting. Depending upon the level you set in Configuration Manager or with group policy, this policy can change the diagnostic data level on the device to Enhanced or Enhanced (Limited). This policy only applies if AllowTelemetry is set to 2 (Enhanced).
Allow device name to be sent in Windows diagnostic data	AllowDeviceNameInTelemetry	If you opt-in to send device names in Configuration Manager, you can override it by configuring this policy to Disabled. When you disable this setting, device names appear as «Unknown» in Desktop Analytics. For more information, see Device name.
Configure Authenticated Proxy usage for the Connected User Experience and Telemetry service	DisableEnterpriseAuthProxy	If you configure Configuration Manager devices to use user-authenticated proxy ( 0 ), if you then configure this policy to Disable Authenticated Proxy usage ( 1 ), then the device sends diagnostic data in the system context instead of the user’s context. If you don’t configure the device with a proxy in system context, or the device can’t authenticate to the proxy, Windows can’t send diagnostic data to Desktop Analytics.
Allow Desktop Analytics Processing	Allow Desktop Analytics Processing	If you configure this policy to Disabled ( 0 ), devices may not appear in Desktop Analytics.

The legacy policy Configure Connected User Experiences and Telemetry (TelemetryProxy) allows Windows to forward diagnostic data to a dedicated proxy, instead of using the user (WinINET) or device (WinHTTP) proxy. Some Windows components don’t support this policy. If you use this policy, it may cause data quality issues in Desktop Analytics.

Behavior of disabled settings

If you configure these group policy settings to Disabled, it has different effects on system behavior.

When you disable the CommercialId policy, Windows removes the registry value. The Configuration Manager setting for the commercial ID, which is set in the local policy registry path, then applies to the device.

For policies that Configuration Manager sets in the same registry location as group policy, when you disable the setting in group policy, Windows removes the registry value. Configuration Manager will set it again on its next policy processing cycle, and then Windows will remove it on the next group policy refresh. This constant change in configuration may cause undesired behaviors with Desktop Analytics.

• If you set these group policy settings to Not configured, Windows removes the value once but doesn’t continue to remove it. This configuration lets Configuration Manager apply its values as expected.

Group policy settings to customize the user experience

These group policy settings aren’t required by Configuration Manager or Desktop Analytics. You can configure them in group policy to configure your users’ experience with Windows diagnostic data.

Основы работы с редактором локальной групповой политики в ОС Windows 10

Групповые политики — это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.

Изменять групповые политики можно с помощью Редактора локальной групповой политики.

В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.

Групповые политики в Windows 10 позволяют управлять различными штатными средствами системы:

1. Политики для настройки встроенного брандмауэра Windows;
2. Политики для управления электропитанием;
3. Политики для настройки панели управления, панели задач и др.
4. Политики для настройки антивирусной защиты;
5. Политики для управления подключаемых устройств;
6. Политики для настройки штатных средств шифрования
7. Политики для настройки штатного браузера;
8. Политики для настройки беспроводных сетей и многое многое другое.

Для настройки параметров в операционной системе MS Windows 10 используется оснастка Редактор локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.

Оснастку Редактор объектов групповой политики можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc.

Рис.1 Окно Выполнить

Оснастка Локальная политика безопасности входит в состав оснастки Редактор

Для удобства можно добавить ярлык оснастки на рабочий стол. Для этого необходимо открыть C:\Windows\System32 , выбрать правой клавишей мыши gpedit и отправить ярлык на рабочий стол.

Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики

Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.

Содержание

Структура редактора групповой политики

Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.

В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.

Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.

Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.

Рис.3 Редактор локальной групповой политики

Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.

Рис.4 Настройка частоты обновления политик

Рис.5 Настройка частоты обновления политик

Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:

• осуществить перезагрузку операционной системы
• использовать утилиту gpupdate.exe для принудительного обновления групповой политики. Для этого необходимо либо в окне Выполнить, либо в командной строке ввести gpupdate /force и нажать ОК.

Рис.6 Обновление политик в командной строке

С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.

Например, для выполнения обновления политик для пользователя, необходимо ввести gpupdate /target:user .

Рис.7 Обновление политик для пользователя в командной строке

Пример последовательности действий при редактировании определенной политики

Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:

• Войти в систему под учетной записью администратора.
• Запустить Редактор локальной групповой политики
  • Открыть окно Выполнить,
  • Ввести gpedit.msc,
  • Нажать Enter.
• Последовательно развернуть элементы Конфигурация пользователя >Административные шаблоны >Панель управления в окне Редактора локальной групповой политики.

Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления

• Дважды щелкнуть ЛКМ по параметру политики Отображать только указанные объекты панели управления.
• Выбрать значение Включено.

Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления

• Нажать кнопку Показать, чтобы вызвать диалоговое окно Вывод содержания.
• Ввести имя апплета или апплетов, которые необходимо показывать в Панели управления, и нажать Enter.

Рис.10 Список разрешенных элементов панели управления

• Нажать OK.
• Закрыть редактор локальной групповой политики
• Проверить результат

Для некоторых политик, чтобы изменения вступили в силу сразу, необходимо в окне Выполнить ввести gpupdate /force .

Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики

Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики

Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.

Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:

• стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки, которые будут применены для всех пользователей операционной системы;
• групповая политика для администраторов и не администраторов. Эта групповая политика содержит только конфигурационные параметры пользователя и применяется в зависимости от того, является ли используемая учетная запись пользователя членом локальной группы Администраторы или нет;
• групповая политика для конкретного пользователя. Эта групповая политика содержит только конфигурационные параметры конкретного пользователя

Последовательность действий при добавлении объектов групповой политики через консоль управления (Microsoft Management Console, MMC)

Добавление объекта групповой политики первого уровня

• В окне Выполнить ввести MMC и нажать Enter
• Открыть меню Файл и выбрать опцию Добавить или удалить оснастку

Рис.13 Добавление оснастки через консоль управления

• Найти и выделить Редактор объектов групповой политики и нажать кнопку Добавить

Рис.14 Диалоговое окно Добавление и удаление оснасток

• В открывшемся мастере групповой политики в поле Объект групповой политики оставить по умолчанию Локальный компьютер (первый уровень, стандартная локальная политика) и нажать кнопку Готово.

Рис.15 Диалоговое окно выбора объекта групповой политики

Добавление объекта групповой политики второго уровня

• В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
• В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
• На вкладке Пользователи выбрать Администраторы и нажать кнопку ОК и Готово

Рис.16 Настройка объекта групповой политики второго уровня

Добавление объекта групповой политики третьего уровня

• В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
• В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
• На вкладке Пользователи выбрать нужную учетную запись.
• Нажать ОК, чтобы закрыть диалоговое окно Добавление и удаление оснасток.

Рис.17 Консоль управления

• Для удобства, используя команды в главном меню Файл >Сохранить как, сохранить файл консоли управления на рабочем столе для последующего редактирования политик.

Теперь, используя данную консоль, можно настраивать политики для определенных пользователей.