Настройка локальных политик безопасности и групповых политик

Очень частые ситуации, что системный администратор создал новую групповую политику, применил ее на нужный ему объект, но эффекта это не дало и нужно понять почему она не применилась и вот тут начинающие системные администраторы попадают в просак, не понимая, где и что нужно искать. Ниже мы с вами разберем алгоритм действий, который поможет вам найти причину и восстановить работу применения групповой политики на нужный объект.

ⓘ Групповая политика

Групповая политика — это набор правил или настроек, в соответствии с которыми производится настройка рабочей среды приёма/передачи. Групповые политики создаются в домене и реплицируются в рамках домена. Объект групповой политики состоит из двух физически раздельных составляющих: контейнера групповой политики и шаблона групповой политики. Эти два компонента содержат в себе все данные о параметрах рабочей среды, которая включается в состав объекта групповой политики. Продуманное применение объектов GPO к объектам каталога Active Directory позволяет создавать эффективную и легко управляемую компьютерную рабочую среду на базе ОС Windows. Политики применяются сверху вниз по иерархии каталога Active Directory.

Для чего необходимы групповые политики

Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.

Для чего необходимы групповые политики
Для чего необходимы групповые политики
Для чего необходимы групповые политики

Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.

Для чего необходимы групповые политики
Для чего необходимы групповые политики
Для чего необходимы групповые политики

Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.

Для чего необходимы групповые политики
Для чего необходимы групповые политики
Для чего необходимы групповые политики

Для чего необходимы групповые политики
Для чего необходимы групповые политики

Управление групповыми политиками Active Directory (AD GPO)

В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.

Что такое групповые политики и зачем они нужны?

Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.

Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.

Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу.

Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды. С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.

Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.

Компоненты GPO

Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.

Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики.

Читайте также:  3 способа правильно обновить Windows 7 до Windows 10

MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее).

Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.

Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.

Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

  • Централизованная настройка пакета программ Microsoft Office.
  • Централизованная настройка управлением питанием компьютеров.
  • Настройка веб-браузеров и принтеров.
  • Установка и обновление ПО.
  • Применение определенных правил в зависимости от местоположения пользователя.
  • Централизованные настройки безопасности.
  • Перенаправление каталогов в пределах домена.
  • Настройка прав доступа к приложениям и системным программам.

Оснастка Управление групповыми политиками

После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:

Нажмите OK.

Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.

Оснастка выглядит следующим образом:

Создание объектов групповой политики

Для создания объекта групповой политики перейдите во вкладку Forest ->Domains -> ->Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.

В открывшемся окне в поле Name введите удобное для вас имя групповой политики.

После этого вы увидите созданный объект в списке.

Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.

В редакторе групповых политик перейдите по иерархии User Configuration ->Policies ->Administrative Templates ->Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.

В открывшемся окне отметьте Enable

Способы запуска редактора групп. политики

👉 Вариант 1

Начну с самого распространенного и быстрого способа:

  • сначала нужно нажать сочетание клавиш Win+R — должно появиться окно «Выполнить»;
  • в строку «Открыть» вставить команду  и нажать Enter. См. скриншот ниже. 👇

— запускаем редактор групповых политик

Способы запуска редактора групп. политики

Далее, через 1-2 сек., у вас должно появиться окно редактора групп. политики. Пример, как оно выглядит, представлен ниже.

Если вместо него появится ошибка, что » не был найден» (и др. производные) — см. вариант 3 ниже.

Так выглядит «редактор групповой политики»

👉 Вариант 2

Если у вас есть значок «лупы» (поисковая строка) рядом с ПУСК — можно просто воспользоваться поиском, введя «групп…». 👇

Способы запуска редактора групп. политики

Далее среди найденные результатов вы увидите ссылку «Изменение групповой политики // панель управления» (это то, что нужно!).

Изменение групповой политики — панель управления

👉 Вариант 3

Это универсальный вариант, должен подойти как для Home-версий Windows 10 (так и для всех остальных).

Кратко о сути: есть спец. приложение Policy Plus, которое по своим возможностям не уступает классическому редактору. Причем, даже по внешнему виду они практически схожи (что тоже добавляет ей «+»).

Загрузить Policy Plus можно на ресурсе 👉 GitHub (когда перейдете на сайт — см. нижнюю часть странички, «Download»).

Способы запуска редактора групп. политики

Для более наглядного представления — см. скриншот ниже: названия параметров совпадают! 👇

Policy Plus (сверху) — идентичный редактор (практически)

Примечание: для домашних версий ОС рекомендуется загрузить последние версии шаблонов с сайта Microsoft (в Police Plus нажмите по «Help / Acquire AMDX Files»).

👉 Вариант 4

Можно попробовать установить редактор групп. политики с помощью командной строки (примечание: в большинстве случаев срабатывает даже в домашних редакциях ОС).

Способы запуска редактора групп. политики

Как это сделать: запустите командную строку от имени админа и поочередно выполните нижеприведенные команды (после каждой нажимать Enter).

FOR %F IN («%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~*.mum») DO (DISM /Online /NoRestart /Add-Package:»%F»)

FOR %F IN («%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~*.mum») DO (DISM /Online /NoRestart /Add-Package:»%F»)

Идет процесс установки

Читайте также:  Особенности KMS активации MS Office 2019 и 2016 в корпоративной сети

Далее нужно перезагрузить компьютер, и попробовать открыть редактор групп. политики через Win+R —>  (см. вариант 1).

👉 Вариант 5

Ну и не могу привести еще один «радикальный» вариант решения — переустановить ОС Windows, выбрав нужную версию самостоятельно (PRO рекомендуется). Благо, что сейчас на сайте Microsoft образы с Windows 10 можно свободно загружать.

Способы запуска редактора групп. политики

👉 В помощь!

1) Как скачать Windows 10 на русском языке (официальный ISO-образ).

2) Как переустановить Windows 10 (без потери данных).

Иные способы — приветствуются в комментариях!

У меня же на сим сегодня пока всё…

Успехов!

👋

RSS (как читать Rss)

Способы запуска редактора групп. политики

Полезный софт:

  • Видео-Монтаж
  • Отличное ПО для начала создания своих собственных видеороликов (все действия идут по шагам!). Видео сделает даже новичок!

  • Ускоритель компьютера
  • Программа для очистки Windows от мусора (ускоряет систему, удаляет мусор, оптимизирует реестр).

Другие записи:

  • Как узнать объем памяти видеокарты, ее тип и др. характеристики
  • Вылетает или зависает игра… Что делать?
  • Создание универсальной мультизагрузочной флешки с Windows 7/8/10, WinPE, Linux и пр. (Legacy + UEFI …
  • Режим чтения: как включить в браузере и Word (увеличение шрифта статьи/книги, удаление черного фона …
  • Как художнику вернуть шедевр в формате CorelDraw, над которым он так долго работал? Или что делать, …
  • Лучшие программы для оптимизации Windows
  • Как подключить и настроить новый Wi-Fi роутер самостоятельно — инструкция с картинками
  • Как узнать сколько лет компьютеру, ноутбуку. Требуется ли его обновлять (проводить апгрейд)

Варианты настройки политики безопасности

Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.

Варианты настройки политики безопасности

Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты «Локальная политика безопасности» либо «Редактор локальных групповых политик». Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.

Способ 1: Применение инструмента «Локальная политика безопасности»

Варианты настройки политики безопасности

Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности».

    Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления».

    Варианты настройки политики безопасности

    Далее откройте раздел «Система и безопасности».

    Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности».

    Варианты настройки политики безопасности

    Также оснастку можно запустить и через окно «Выполнить». Для этого наберите Win+R и введите следующую команду:

    Затем щелкните «OK».

    Варианты настройки политики безопасности

    Указанные выше действия приведут к запуску графического интерфейса искомого инструмента. В подавляющем большинстве случаев возникает необходимость откорректировать параметры в папке «Локальные политики». Тогда нужно щелкнуть по элементу с этим наименованием.

    В данном каталоге располагается три папки.

    Варианты настройки политики безопасности

    В директории «Назначение прав пользователя» определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.

    В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.

    Варианты настройки политики безопасности

    В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.

    Откроется перечень политик выбранного каталога. Кликните по той из них, которую желаете изменить.

    Варианты настройки политики безопасности

    После этого откроется окошко редактирования политики. Его вид и действия, которые необходимо произвести, существенно отличаются от того, к какой именно категории она принадлежит. Например, для объектов из папки «Назначение прав пользователя» в открывшемся окне необходимо добавить или удалить имя конкретного пользователя либо группы юзеров. Добавление производится путем нажатия кнопки «Добавить пользователя или группу…».

    Если же необходимо произвести удаление элемента из выбранной политики, то выделите его и нажмите «Удалить».

    Варианты настройки политики безопасности
  1. После завершения манипуляций в окне редактирования политики для сохранения внесенных корректировок не забудьте нажать кнопки «Применить» и «OK», а иначе изменения не вступят в силу.
  2. Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики», но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей».

    Варианты настройки политики безопасности

    Способ 2: Использование инструмента «Редактор локальной групповой политики»

    Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики». Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.

    Варианты настройки политики безопасности

      В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления». Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку». Наберите Win+R и введите в поле такое выражение:

      Затем щелкните «OK».

      Варианты настройки политики безопасности

      Далее щелкните по папке «Конфигурация Windows».

      Теперь щелкните по элементу «Параметры безопасности».

      Варианты настройки политики безопасности

      Откроется директория с уже знакомыми нам по предыдущему методу папками: «Политики учетных записей», «Локальные политики» и т.д. Все дальнейшие действия проводятся по точно такому же алгоритму, который указан при описании Способа 1, начиная с пункта 5. Единственное отличие состоит в том, что манипуляции будут выполняться в оболочке другого инструмента.

      Настроить локальную политику в Виндовс 7 можно путем использования одной из двух системных оснасток. Порядок действий в них довольно схожий, отличие заключается в алгоритме доступа к открытию данных инструментов. Но изменять указанные настройки рекомендуем только тогда, когда вы полностью уверены, что это нужно сделать для выполнения определенной задачи. Если же таковой нет, эти параметры лучше не корректировать, так как они отрегулированы на оптимальный вариант повседневного использования.

      Источник

Проверка прав на политику

Объекты групповой политики, так же имеют свой ACL (лист доступа), это означает, что вы можете более тонко настраивать к каким объектам применяется данная политика. В редакторе «Управление групповой политикой» выберите ваш GPO. На вкладке «Область» найдите раздел «Фильтры безопасности«, он отображает к каким объектам применяется политика. Данный фильтр безопасности может включать объекты:

Проверка прав на политику
  • Пользователь
  • Компьютер
  • Группа безопасности

По умолчанию тут прописана группа безопасности «Прошедшие проверку (Authenticated Users)». По умолчанию в данную группу входят все доменные пользователи и доменные компьютеры

Проверка прав на политику

Если у вас тут выставлена другая группа или отдельные записи, то убедитесь, что нужный объект состоит в данном ACL. Хочу отметить, что если даже нужный объект присутствует в списке фильтра безопасности, то это не означает, что политика к нему применяется и тут дело все в том, что в 2014 году Microsoft изменила принцип чтения политики, таким образом, что у вас в делегированном фильтре безопасности обязательно должна присутствовать группа «Компьютеры домена» или «Прошедшие проверку» у которой должны быть прав на чтение политики. Вся соль в том, что когда вы удаляете группу «Прошедшие проверку» из фильтра безопасности, она удаляется и из вкладки делегирование.

Проверка прав на политику

Чтобы параметры групповой политики для пользователя успешно применялись, она требует наличия у каждой учетной записи компьютера разрешения на считывание данных GPO из контроллера домена. Удаление группы «Прошедшие проверку» может предотвратить обработку групповых политик для пользователя. добавьте группу безопасности «Пользователи, прошедшие проверку подлинности» или «Компьютеры домена», у которой есть по крайней мере разрешение только для чтения (-us/kb/316622)

Проверка прав на политику

Поэтому перейдите на вкладку «Делегирование» и проверьте наличие любой из групп «Прошедшие проверку» или «Компьютеры домена» и, что есть права на чтение. Если групп нет, то добавьте любую из них. Для этого нажмите кнопку «Дополнительно», далее добавить и выберите «Прошедшие проверку».

Проверка прав на политику

Удостоверьтесь, что выставлена галка «Чтение».

Проверка прав на политику

Тут же убедитесь, что нет запретов на нужный вам объект, в моем примере, это W10-CL03. Если есть снимите.

Проверка прав на политику

Обратите внимание на группу «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ (Enterprise Domain Controllers)» данная группа определяет, будет ли происходить репликация данной политики на другие контроллеры или нет, так что если политика отсутствует в папке SYSVOL на других контроллерах, то проверьте права у данной группы.

Еще одним механизмом фильтрации групповой политики, может выступать WMI фильтры. Если они есть и ваш объект не соответствует его требованиям, то вы не сможете применить политику. Посмотреть, это можно в соответствующем разделе. В моем примере есть WMI фильтр для ноутбуков, который не даст применения политики на стационарные компьютеры. Подробнее, о создании WMI фильтров и механизме проверки WMI фильтров, читайте по ссылкам. Ниже я покажу, как на конечном компьютере увидеть, что он не подошел из-за фильтрации GPO по WMI.