Настройка Windows Server 2016 с помощью GPO

В этой статье мы рассмотрим что такое редактор локальной групповой политики, как установить эту функцию на Windows 10 Home и как администраторам сети управлять и вносить нужные изменения в параметры операционных систем других ПК всего с одного компьютера.

Подробный обзор

Отключить обновление групповой политики

В этой статье я расскажу вам, как отключить или отключить автоматическое обновление групповой политики во время использования системы.

Отключите фоновое обновление групповой политики с помощью редактора локальной групповой политики

1. Нажмите сочетание клавиш Windows + R , введите в диалоговом окне Выполнить и нажмите Enter, чтобы откройте редактор локальной групповой политики.

2. Перейдите сюда:

Конфигурация компьютера -> Административные шаблоны -> Система -> Групповая политика

3. На правой панели найдите параметр Отключить фоновое обновление групповой политики . По умолчанию он должен иметь статус Не настроен . Двойной щелчок по нему откроет вам следующее окно:

4. В вышеприведенном окне выбор Включено позволит компьютеру обновлять объекты групповой политики после выхода пользователя из системы, а не обновлять его, пока компьютер в использовании. Нажмите ОК . Перезагрузитесь, чтобы изменения вступили в силу. Это оно!

ПРИМЕЧАНИЕ . Политика Отключить фоновое обновление групповой политики переопределяет политики Установить интервал обновления групповой политики для компьютеров и Установить обновление групповой политики. интервал для пользователей , который обрабатывает время обновления групповой политики для обновления в фоновом режиме, пока мы работаем на компьютере.

Читать : как принудительно обновить групповую политику в Windows 10.

Отключить фоновое обновление групповой политики с помощью редактора реестра

1. Нажмите сочетание клавиш Windows + R , введите в диалоговом окне Выполнить и нажмите Enter, чтобы откройте редактор реестра.

2. Перейдите к этому разделу реестра:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer,

3. На правой панели этого местоположения создайте DWORD с именем DisableBkGndGroupPolicy , используя Правый клик -> Создать -> DWORD. Дважды щелкните по нему, чтобы изменить, вы получите это:

4. В показанном выше поле введите Значение данных , равное 1 . Нажмите ОК . Это оно! Перезагрузитесь, чтобы получить результаты.

Как изменить интервал обновления групповой политики для компьютеров также может вас заинтересовать. Вы также можете отключить фоновую обработку политики реестра.

Запрещаем доступ к командной строке и PowerShell

Окно Выполнить используют самые начинающие пользователи. Продвинутые пользователи используют или командную строку, или PowerShell. Запретить пользователям использовать командную строку можно, проведя настройку групповой политики Конфигурация пользователя, Административные шаблоны, Система, Запретить использование командной строки (рис. 4). Также включите опцию Запретить также обработку сценариев в командной строке, чтобы нельзя было запускать сценарии командной строки.

Рис. 4. Запрещаем использование командной строки в Windows Server

Отдельной групповой политики, запрещающей запуск PowerShell, нет, но есть групповая политика, запрещающая запуск определенных приложений. Она называется Не запускать указанные приложения Windows и находится все в том же разделе Система. Включите ее и запретите запуск and powershell_ (рис. 5).

Читайте также:  Как создать загрузочную флешку с Windows 10: 8 простых способов

Рис. 5. Запрет запуска PowerShell

Также, пока вы еще не «ушли» из раздела Система, неплохо было бы запретить запуск редактора реестра. Для этого включите Запретить доступ к средствам редактирования реестра.

Запрещаем доступ к командной строке и PowerShell

Настройка клиентов WSUS с помощью групповых политик

В одной из предыдущих статей мы подробно описали процедуру установки сервера WSUS на базе Windows Server 2012 R2 / 2016. После того, как вы настроили сервер, нужно настроить Windows-клиентов (сервера и рабочие станции) на использование сервера WSUS для получения обновлений, чтобы клиенты получали обновления с внутреннего сервера обновлений, а не с серверов Microsoft Update через Интернет. В этой статье мы рассмотрим процедуру настройки клиентов на использование сервера WSUS с помощью групповых политик домена Active Directory.

Групповые политики AD позволяют администратору автоматически назначить компьютеры в различные группы WSUS, избавляя его от необходимости ручного перемещения компьютеров между группами в консоли WSUS и поддержки этих групп в актуальном состоянии. Назначение клиентов к различным целевым группам WSUS основывается на метке в реестре на клиенте (метки задаются групповой политикой или прямым редактированием реестра). Такой тип соотнесения клиентов к группам WSUS называется client side targeting (Таргетинг на стороне клиента).

Предполагается, что в нашей сети будут использоваться две различные политики обновления — отдельная политика установки обновлений для серверов (Servers) и для рабочих станций (Workstations). Эти две группы нужно создать в консоли WSUS в секции All Computers.

Настройка клиентов WSUS с помощью групповых политик

В первую очередь необходимо указать правило группировки компьютеров в консоли WSUS (targeting). По умолчанию в консоли WSUS компьютеры распределяются администратором по группам вручную (server side targeting). Нас это не устраивает, поэтому укажем, что компьютеры распределяются в группы на основе client side targeting (по определенному ключу в реестре клиента). Для этого в консоли WSUS перейдите в раздел Options и откройте параметр Computers. Поменяйте значение на Use Group Policy or registry setting on computers (Использовать на компьютерах групповую политику или параметры реестра).

Теперь можно создать GPO для настройки клиентов WSUS. Откройте доменную консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.

Настройка обновлений Windows через групповые политики и редактор реестра

Настройка политики обновления Windows 10 это настройка способа получения обновлений в Windows 10. В Windows 10 параметры центра обновления перенесли из Панели управления в Параметры системы. В Windows 10 нет таких настроек как были в Панели управления и поэтому не стало возможности отключать обновления или выбирать способ их получения. Однако с помощью Редактора реестра и Редактора локальной групповой политики можно отключить обновления и установить способ их получения.

Настройка обновления с помощью Редактора локальной групповой политики

Запускаем Редактор локальной групповой политики нажав на клавиатуре сразу две клавиши WIN+R. Откроется окно Выполнить в которое вписываете команду и нажимаете ОК.

Групповая политика обновления Windows 10

В левой части открывшегося окна редактора раскрываем Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Центр обновления Windows. Нажимаете на последний пункт Центр обновления Windows и затем в правой части находите пункт Настройка автоматического обновления и изменяете его настройки.

Читайте также:  Как вызвать командную строку (консоль) Windows

Настройка обновлений Windows 10 групповые политики

Для этого в открывшемся окне нужно вверху поставить точку у пункта Включено, а затем ниже установите настройки обновления. Нажмите кнопку ОК. Затем чтобы сделанные вами настройки заработали откройте Параметры системы — Обновление и безопасность — Центр обновления Windows и нажмите кнопку Проверка наличия обновлений.

Закончив настройку политик Windows 10, запустите обновление

После этого сделанные вами настройки в Редакторе локальной групповой политики вступят в силу.

Настройка обновлений с помощью Редактора реестра

Запускаем Редактор реестра нажав на клавиатуре сразу две клавиши WIN+R. Откроется окно Выполнить в которое вписываете команду regedit и нажимаете ОК.

Откройте Редактор реестра и создайте там четыре параметра для управления обновлениями Windows 10

В левой части открывшегося окна редактора раскрываем HKEY_LOCAL_MACHINE — SOFTWARE — Policies — Microsoft — Windows. Наведите курсор на последний пункт Windows и нажмите правую кнопку мыши. В открывшемся контекстном меню выбираете Создать — Раздел. Новый раздел назовите WindowsUpdate.Затем наведите курсор на только, что созданный раздел WindowsUpdate и опять создайте раздел который назовите AU.

Настройка обновлений Windows через групповые политики и редактор реестра

Затем наведите курсор на только, что созданный раздел AU и нажмите правую кнопку мыши и в открывшемся меню выберите Создать — Параметр DWORD (32-бита). Новый созданный параметр появится в правой части окна, назовите его AUOptions.

Таким же образом наведя курсор на раздел AU создайте ещё три параметра и назовите первый NoAutoUpdate, второй ScheduledInstallDay, а третий ScheduledInstallTime (опционально NoAutoRebootWithLoggedOnUsers). Теперь в этих четырёх новых параметрах нужно изменить значение.

Для параметра AUOptions

  • 2 — Получать уведомление перед установкой и загрузкой любых обновлений.
  • 3 — Автоматически получать обновления и уведомления об их готовке к установке.
  • 4 — Автоматически получать и устанавливать обновления по заданному расписанию.
  • 5 — Разрешить локальным администраторам самим выбирать режим обновления и об уведомлениях.

Для параметра NoAutoUpdate

  • 0 — Включена автоматическая установка обновлений которые будут загружаться и устанавливаться в зависимости от сделанных настроек в параметре AUOptions.
  • 1 — Отключена автоматическая установка обновлений.

Для параметра ScheduledInstallDay

  • 0 — установка обновлений будет производится ежедневно при значении 4 параметра AUOptions.
  • 1 — установка обновлений будет производится каждый понедельник при значении 4 параметра AUOptions.
  • 2 — установка обновлений будет производится каждый вторник при значении 4 параметра AUOptions.
  • 3 — установка обновлений будет производится каждую среду при значении 4 параметра AUOptions.
  • 4 — установка обновлений будет производится каждый четверг при значении 4 параметра AUOptions.
  • 5 — установка обновлений будет производится каждую пятницу при значении 4 параметра AUOptions.
  • 6 — установка обновлений будет производится каждую субботу при значении 4 параметра AUOptions.
  • 7 — установка обновлений будет производится каждое воскресенье при значении 4 параметра AUOptions.

Для параметра ScheduledInstallTime

От 0 до 23 устанавливаться обновления будут во столько то часов в зависимости от установленного параметра и при значении 4 параметра AUOptions.

Для параметра NoAutoRebootWithLoggedOnUsers

  • 0 — По завершении установки обновлений компьютер автоматически перезагрузится, работает при значении 4 параметра AUOptions.
  • 1 — По завершении установки обновлений компьютер автоматически не перезагрузится, работает при значении 4 параметра AUOptions.

в Помощь

Некоторые функции редактора групповой политики ()

Как только вы закончили с установкой редактора групповой политики, рекомендуем обратить внимание на ее возможности. Для этого мы подготовили пару примеров, с помощью которых покажем самые базовые возможности приложения. Оно объединяет в себе буквально все параметры Windows, которые только можно найти. Главное только не забывать, что внося много рискованных изменений мы можем непреднамеренно повредить Windows. Поэтому, совершая те или иные корректировки, соблюдайте осторожность.

Читайте также:  Нет звука на компьютере: почему пропал звук и что делать?

Отключение Защитника Windows

Защитник Windows — это встроенный системный антивирус, задача которого оберегать своего пользователя от угроз из интернета и загруженных им приложений. В некоторых случаях он может потреблять слишком много ресурсов или начинает работать тогда когда в этом нет необходимости. Поэтому самым частым решением данной ситуации является отключение Защитника Windows.

Как отключить встроенный антивирус с помощью редактора групповой политики:

1. Откройте утилиту Выполнить с помощью комбинации клавиш Windows + R.

2. Введите команду и нажмите клавишу Enter.

3. Проследуйте по следующему пути внутри приложения “Редактор локальной групповой политики”: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows”.

4. Найдите параметр Выключить антивирусную программу “Защитник Windows”.

5. Щелкните по параметру правой кнопкой мыши и нажмите Изменить.

6. Измените состояние параметра на Отключено.

7. Примените и сохраните внесенные изменения.

Отключение обновлений Windows

Часто обновление операционной системы начинается совершенно не вовремя, когда мы к этому не готовы и, например, работаем. Это нарушает распорядок дня и, хуже всего, если такое обновление заканчивается багом вследствие которого компьютер перестает запускаться. Единственным действенным решением в такой ситуации является откат апдейта.

Можно ли предотвратить неожиданные обновления Windows и получить контроль над этим процессом? Легко! С помощью редактора локальной групповой политики вы можете в два клика отключить автоматические обновления операционной системы. При желании, вы можете запустить процесс апдейта вручную.

1. Откройте утилиту Выполнить с помощью комбинации клавиш Windows + R.

2. Введите команду и нажмите клавишу Enter.

3. Проследуйте по следующему пути внутри приложения “Редактор локальной групповой политики”: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows.

5. Щелкните по параметру правой кнопкой мыши и нажмите Изменить.

6. Измените статус параметра на Отключено.

7. Примените и сохраните внесенные изменения.

Как вы, наверняка, заметили функционал редактора локальной групповой политики весьма обширен. Вы можете изменить каждый параметр операционной системы всего в одном приложении.

“С большой силой приходит большая ответственность”.

Поэтому, внося изменения в редакторе локальной групповой политики, вы вносите корректировки в реестр тоже. Помните об этом и соблюдайте осторожность.

Надеемся, статья оказалась для вас полезной и помогла найти ответы на вопросы.

Сравнительная характеристика политик и предпочтений в общедоступном варианте

Теперь нужно понять, что групповая политика домена, отвечающая за идентификацию компьютеров в локальной сети, равно как политика установки разрешений произведения неких действий в компьютерной системе, существенно не различаются.

Если отталкиваться именно от предпочтений, как оказывается, правила групповых политик можно нарушить элементарно, используя для этого соответствующий редактор. Как открыть групповые политики? Да просто введите команду в меню «Выполнить». На спецификации редактора остановимся несколько позже, а пока посмотрим, на какие именно объекты нацелено действие данной службы.