Главная » Linux

Windows group policy object

Содержание
  1. Group Policy Objects
  2. Создание объекта групповой политики Create a Group Policy Object
  3. Create a Group Policy Object
  4. Локальная групповая политика Windows
  5. 1. О локальной групповой политике
  6. 2. Редактор gpedit.msc
  7. 3. Параметры
  8. 4. Настройка параметров для отдельных учётных записей
  9. 5. Бэкап

Group Policy Objects

A Group Policy Object (GPO) is a virtual collection of policy settings. A GPO has a unique name, such as a GUID.

Group Policy settings are contained in a GPO. A GPO can represent policy settings in the file system and in the Active Directory. GPO settings are evaluated by clients using the hierarchical nature of Active Directory.

The following illustration shows the structure of a GPO.

To create Group Policy, an administrator can use the Group Policy Object Editor, which can be a stand-alone tool. However, it is recommended that you use the Group Policy Object Editor as an extension to an Active Directory-related MMC snap-in because this will allow you to browse the Active Directory for the correct Active Directory container and define Group Policy based on the selected scope of management (SOM). Examples of Active Directory-related snap-ins include the Active Directory Users and Computers snap-in and the Active Directory Sites and Services snap-in.

Be aware that policy settings are divided into policy settings that affect a computer and policy settings that affect a user. Computer-related policies specify system behavior, application settings, security settings, assigned applications, and computer startup and shutdown scripts. User-related policies specify system behavior, application settings, security settings, assigned and published applications, user logon and logoff scripts, and folder redirection. Be aware that computer-related settings override user-related settings.

Создание объекта групповой политики Create a Group Policy Object

Область применения Applies to

  • Windows 10 Windows 10
  • Windows Server 2016 Windows Server 2016

Чтобы создать новый GPO, используйте оснастку MMC «Пользователи и компьютеры Active Directory». To create a new GPO, use the Active Directory Users and Computers MMC snap-in.

Учетные данные администратора Administrative credentials

Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена» или получить другие делегирование разрешений на создание новых GGPOs. To complete this procedure, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to create new GPOs.

Создание нового GPO To create a new GPO

Откройте консоль управления групповыми политиками. Open the Group Policy Management console.

В области навигации разместите «Лес: имя», «Домены», «Имя домена» и щелкните «Объекты групповой политики». **** ** In the navigation pane, expand Forest:YourForestName, expand Domains, expand YourDomainName, and then click Group Policy Objects.

Щелкните «Действие» и выберите «Новый». Click Action, and then click New.

В текстовом поле «Имя» введите имя нового GPO. In the Name text box, type the name for your new GPO.

Обязательно используйте имя, которое четко указывает назначение GPO. Be sure to use a name that clearly indicates the purpose of the GPO. Проверьте, есть ли в вашей организации соглашение об именованиях для GOS. Check to see if your organization has a naming convention for GPOs.

Читайте также:  Windows 10 group policy windows update

Оставьте исходный исходный GPO (нет) и нажмите кнопку «ОК». Leave Source Starter GPO set to (none), and then click OK.

Если ваш GPO не будет содержать никаких пользовательских параметров, **** вы можете повысить производительность, отключив раздел «Конфигурация пользователя» этого GPO. If your GPO will not contain any user settings, then you can improve performance by disabling the User Configuration section of the GPO. Для этого выполните следующие действия: To do this, perform these steps:

В области навигации щелкните новый GPO. In the navigation pane, click the new GPO.

В области сведений щелкните вкладку «Сведения». In the details pane, click the Details tab.

Измените состояние GPO на отключенные параметры конфигурации пользователя. Change the GPO Status to User configuration settings disabled.

Create a Group Policy Object

Applies to

  • WindowsВ 10
  • Windows Server 2016

To create a new GPO, use the Active Directory Users and Computers MMC snap-in.

Administrative credentials

To complete this procedure, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to create new GPOs.

To create a new GPO

Open the Group Policy Management console.

In the navigation pane, expand Forest:YourForestName, expand Domains, expand YourDomainName, and then click Group Policy Objects.

Click Action, and then click New.

In the Name text box, type the name for your new GPO.

Be sure to use a name that clearly indicates the purpose of the GPO. Check to see if your organization has a naming convention for GPOs.

Leave Source Starter GPO set to (none), and then click OK.

If your GPO will not contain any user settings, then you can improve performance by disabling the User Configuration section of the GPO. To do this, perform these steps:

In the navigation pane, click the new GPO.

In the details pane, click the Details tab.

Change the GPO Status to User configuration settings disabled.

Локальная групповая политика Windows

Написал admin. Опубликовано в рубрике Локальные сети

Групповая политика – это мощнейший инструмент администрирования Windows-компьютеров. С помощью этого инструмента системные администраторы с компьютеров на базе серверных редакций Windows могут централизовано управлять параметрами клиентских Windows-устройств сети. Локальная же групповая политика позволяет контролировать параметры, соответственно, текущих устройств – определять поведение операционной системы для всех пользователей и вносить отдельные настройки для каждой из учётных записей. В этой статье рассмотрим основы локальной групповой политики – что это за инструмент, в каких случаях может быть полезен, и как им пользоваться.

1. О локальной групповой политике

С помощью настроек локальной групповой политики можно расширить предустановленные возможности Windows, отключить ненужные или проблемные функции, а также ограничить других пользователей компьютера в определённых действиях. Что касается ограничивающего аспекта, безусловно, такой инструмент больше подходит для корпоративной среды. С его помощью сотрудников организаций можно ограничить во многом – от банального запрета изменения корпоративных обоев рабочего стола до блокировки подключаемых устройств и запускаемых программ.

Читайте также:  Медиасервер для windows server

На домашних компьютерах столь широкого размаха контроля, как правило, не требуется. Для защиты личного виртуального пространства каждого из членов семьи обычно хватает запароленной учётной записи, а контролировать детей вполне себе можно с помощью ПО типа родительского контроля. Но сколь бы ни было продвинуто такого рода ПО, у локальной групповой политики всё равно будут преимущества:
• Бесплатное использование, если мы сравниваем не со штатным функционалом родительского контроля Windows и бесплатными сторонними продуктами, а с платными мощными решениями;
• Огромное множество настраиваемых параметров.

2. Редактор gpedit.msc

Управление локальной групповой политикой осуществляется посредством штатного редактора gpedit.msc. Он может быть запущен только в учётной записи администратора. И только в редакциях Windows, начиная с Pro. Потенциально его можно запустить и в редакции Windows Home, но для этого в систему потребуется внедрить специальный патч от сторонних разработчиков. Запустить редактор можно, введя его название gpedit.msc в поле поиска по системе или в окно команды «Выполнить». Хейтеры ввода данных на латинице могут ввести в поисковик запрос «групповой».

В левой части окна редактора в древовидной структуре отображаются два равнозначных родительских каталога:
• «Конфигурация компьютера» – каталог, который содержит параметры, определяющие работу компьютера вне зависимости от того, кто из пользователей на нём работает;
• «Конфигурация пользователя» – каталог, предусматривающий параметры, которые могут быть применены как для всех, так и для отдельных учётных записей компьютера.

Оба родительских каталога предусматривают одинаковые подкаталоги:
• «Конфигурация программ» – ветка настройки параметров сторонних программ;
• «Конфигурация Windows» – ветка настройки сценариев, параметров безопасности и прочих моментов;
• «Административные шаблоны» – ветка настройки параметров штатного функционала системы. Именно здесь содержится большая часть возможностей по тонкой настройке Windows.

У родительских каталогов есть отличные параметры, но большая часть из них идентичны. Для конфликтующих настроек идентичных параметров высший приоритет будет иметь «Конфигурация компьютера».

3. Параметры

Параметры групповой политики каталогизированы по папкам компонентов системы, к которым они относятся, и отображаются в правой части окна редактора. Их представление можно отсортировать по двум критериям – комментарию, если он задан, и состоянию активности. Последний удобен при активной работе с групповой политикой: таким образом можно быстро выявить внесённые ранее изменения в случае необходимости отменить их.

Параметры запускаются двойным кликом. Непосредственно в окошке каждого из них можем почитать справку, детально разъясняющую специфику их применения, и с помощью опций «Включено» или «Отключено» (в зависимости от настраиваемой функции) активировать. А затем – настроить, если выбранный параметр предусматривает варианты выбора или какие-то дополнительные опции.

Читайте также:  Как включить имя файла windows 10

Вот перечень лишь части возможностей локальной групповой политики – самых востребованных параметров, к задействованию которых прибегают пользователи Windows:
• Отключение системных обновлений;
• Отключение Защитника Windows;
• Отключение проверки подписи драйверов;
• Запрет автоматической установки драйверов;
• Блокировка доступа к съёмным носителям;
• Блокировка доступа к магазину Windows Store;
• Блокировка запуска десктопного ПО и процессов его установки;
• Блокировка доступа к панели управления, приложению «Параметры», прочим системным службам и компонентам;
• Блокировка сетевых подключений;
• Отключение принтеров;
• Ограничения профилей пользователей;
• И т.п.

Не все изменения, внесённые в редактор, вступают в силу немедленно, для некоторых нужен перезаход в систему или перезагрузка компьютера.

4. Настройка параметров для отдельных учётных записей

Параметры, настройка которых произведена непосредственно в окне редактора gpedit.msc, будут применены для всех пользователей компьютера – и для администраторов, и для стандартных учётных записей. Если нужно настроить поведение Windows только для отдельных пользователей, редактор нужно добавить в консоль mmc.exe, а в качестве объекта группой политики указать учётные записи этих самых отдельных людей. Как это сделать?

Запускаем с помощью команды «Выполнить» или системного поисковика консоль mmc.exe. В её окне жмём Ctrl+M. Добавляем оснастку редактора.

В окне выбора объектов кликаем кнопку обзора.

Переключаемся на вкладку «Пользователи» и указываем те учётные записи, для которых будет настраивается групповая политика. Можно указать как конкретных пользователей, так и выбрать категорию «Не администраторы». В последнем случае параметры будут применяться для всех стандартных учётных записей, которые имеются на компьютере.

Сохраняем файл консоли в удобном месте и с удобным названием.

Каждый раз запуская этот файл консоли, будем иметь доступ к редактору gpedit.msc, ограниченному в части предоставления возможности настройки параметров для выбранных пользователей.

При этом поведение Windows внутри учётной записи администратора не изменится.

5. Бэкап

Обычно перед различными экспериментами с настройками Windows рекомендуется обеспечивать возможность отката операционной системы. Это, конечно, никогда не будет лишним, но в плане сохранения настроек групповой политики можно обойтись обычным копированием папки в системном каталоге. Жмём Win+R и вводим:
C:\Windows\System32

В «System32» ищем папку «GroupPolicy» и копируем её куда-нибудь на несистемный раздел. А если создавалась консоль с оснасткой редактора для отдельных пользователей, то также копируем папку «GroupPolicyUsers». Копии этих папок и будут бэкапом.

При необходимости возврата в исходное состояние настроек групповой политики просто заменяем ранее скопированными папками их более поздние редакции по указанному выше пути. Если нужно вернуть исходные настройки для всего компьютера, заменяем бэкапом папку «GroupPolicy». А если необходимо откатить только настройки отдельных пользователей, подменяем папку «GroupPolicyUsers».

Кстати, по этому же принципу можем сохранять текущие настройки групповой политики перед переустановкой Windows. И путём замены папок внедрять сохранённые настройки в новую систему.

Подписывайся на канал MyFirstComp на YouTube!

Оцените статью
© 2024 Советы по настройке компьютера