Использование предпочтений групповой политики

Опубликовано: 20 Марта, 2023

Использование предпочтений групповой политики

Предпочтения групповой политики доступны уже более 6 лет от Microsoft. До этого DesktopStandard предоставлял настройки групповой политики через сторонний инструмент под названием PolicyMaker. Возможности, предоставляемые предпочтениями групповой политики, не имеют себе равных. Вишенкой на торте является то, что они бесплатные. Если бы они не были доступны бесплатно, я бы все же предложил, чтобы каждая среда Active Directory начала их использовать. В этой статье я хочу объяснить основные преимущества предпочтений групповой политики, чтобы вы могли использовать их без опасений и путаницы. Большинство статей, которые уже опубликованы на эту тему, относятся к более высокому уровню или сосредоточены всего на нескольких параметрах, здесь я хочу дать вам понемногу и то, и другое.

Доступ к настройкам групповой политики

Предпочтения групповой политики доступны только в объектах групповой политики (GPO), которые хранятся в Active Directory. Вы не можете настроить предпочтения групповой политики в локальном объекте групповой политики. Кроме того, вы должны использовать более новую операционную систему Windows, чтобы «видеть» настройки групповой политики в редакторе групповой политики. ОС, поддерживающие редактирование предпочтений групповой политики, включают:

  • Windows Vista с пакетом обновления 1
  • Windows 7
  • Windows Сервер 2008
  • Windows Server 2008 R2

Для Windows Vista SP1 и Windows 7 вам потребуется получить RSAT (инструменты удаленного администрирования сервера) и установить его локально, чтобы иметь консоль управления групповыми политиками (GPMC). Для получения дополнительной информации об этой установке и настройке перейдите сюда (процесс такой же для Windows 7, хотя статья предназначена для Vista).

Как только у вас будет установлена правильная консоль управления групповыми политиками, вы сможете редактировать любые объекты групповой политики (даже созданные в Windows 2000) и настраивать в них предпочтения групповой политики. Конечно, вам нужно будет щелкнуть правой кнопкой мыши объект групповой политики, который вы хотите настроить, и выбрать «Изменить». Оказавшись в редакторе, вы увидите два новых узла с пометкой «Настройки», один в разделе «Конфигурация компьютера», а другой — в разделе «Конфигурация пользователя». Вы можете увидеть это на рисунке 1.

Изображение 18659
Рис. 1. Настройки групповой политики доступны в разделах «Компьютер» и «Пользователь» объекта групповой политики.

Совместимость предпочтений групповой политики

Теперь, когда у вас есть правильная административная среда, вам нужно убедиться, что все целевые объекты, которые вы хотите получить параметры предпочтения групповой политики, также настроены правильно. В Windows 7 и Windows Server 2008/2008 R2 уже установлены правильные файлы, поэтому вам необходимо обновить Windows XP, Windows Vista и Windows Server 2003 для поддержки конфигураций, предоставляемых предпочтениями групповой политики.

Да, то, что написано выше, верно. Предпочтения групповой политики полностью поддерживаются начиная с Windows XP и выше. Просто Windows XP и Server 2003 не могут их настраивать, а только получать. Чтобы получить правильные файлы для предпочтений групповой политики, перейдите к этой статье.

Параметры, доступные в настройках групповой политики

Предпочтения групповой политики имеют более 20 различных областей, которые можно настроить. Всего существует более 3000 индивидуальных настроек, которые можно настроить с помощью предпочтений, не говоря уже о встроенной в технологию настройке. Итак, если вам интересно, могут ли предпочтения групповой политики настраивать параметр, велика вероятность, что это возможно!

На рис. 2 и 3 показаны области настроек, доступные для разделов «Компьютер» и «Пользователь» объекта групповой политики.

Изображение 18660
Рисунок 2: Настройки групповой политики в разделе «Конфигурация компьютера» объекта групповой политики.

Изображение 18661
Рисунок 3: Настройки групповой политики в разделе «Конфигурация пользователя» объекта групповой политики.

Подробнее о том, что делает каждый параметр предпочтения, см. в этой статье.

Следует упомянуть одно замечание. Существует область предпочтений групповой политики с пометкой «Приложения». Эта область мертва, и в ней не будет никаких настроек… никогда. Причина в том, что когда продукт принадлежал DesktopStandard, здесь были настройки для пакета Office. Однако, когда Microsoft приобрела PolicyMaker, им пришлось удалить настройки Office, поскольку Office не входит в стандартную комплектацию Windows. Microsoft не имеет права предоставлять поддержку/конфигурации для продаваемого ими продукта, который не установлен по умолчанию. Это может показаться глупым, но Microsoft потратила миллионы на защиту этого, а другие компании потратили миллионы, пытаясь добиться этого!

Делаем настройки предпочтения групповой политики изменчивыми

Каждый параметр предпочтения групповой политики имеет возможность сделать настраиваемый параметр нестабильным. Что я имею в виду под volatile, так это то, что настройка будет удалена, если она больше не должна применяться к цели. Например, предположим, что принтер настроен на то, что ноутбук находится в указанной подсети. Когда ноутбук удаляется из подсети, нет необходимости сохранять конфигурацию принтера, поэтому он будет удален. Эта волатильность позволяет контролировать настройки с большой точностью. Кроме того, это позволяет не сохранять настройки на компьютере, что называется татуировкой, когда настройка больше не должна применяться.

С каждой хорошей настройкой приходят некоторые недостатки. Если параметр, который вы настраиваете, является параметром реестра или другим ключевым параметром ОС, возможно, не рекомендуется удалять этот параметр, когда он больше не должен применяться. Это может привести к нестабильной работе системы или даже к синему экрану компьютера. Вместо этого у вас должно быть несколько политик, которые касаются всех экземпляров параметра и того, каким должен быть этот параметр. Таким образом, настройка всегда будет установлена на что-то, и ОС не станет нестабильной.

Создание динамических предпочтений групповой политики

Одной из самых мощных областей предпочтений групповой политики является таргетинг на уровне элементов (ILT). ILT — это способ оценить текущее состояние компьютера перед применением политики. Если правила ILT соблюдены, применяется политика, если нет, то политика не применяется. Существует более 25 различных конфигураций ILT, и каждое предпочтение групповой политики поддерживает правила ILT. Рисунок 4 иллюстрирует список настроек ILT.

Изображение 18662
Рисунок 4: Параметры ILT доступны для каждого параметра политики предпочтения групповой политики.

Решение общих проблем с корпоративной сетью с помощью настроек групповой политики

За годы работы в DesktopStandard, написания комплекта ресурсов групповой политики и помощи организациям в решении проблем я разработал список общих задач, которые можно выполнить с помощью предпочтений групповой политики.

  • Установка принтеров по мере перемещения ноутбуков из офиса в офис
  • Сброс пароля учетной записи локального администратора
  • Обеспечение того, чтобы администраторы домена и локальный администратор находились в группе локальных администраторов
  • Установка параметров ODBC для массы рабочих столов
  • Экономия денег с помощью опций электропитания
  • Настройте любой параметр реестра и убедитесь, что он не татуируется
  • Изменение паролей сервисных учетных записей
  • Создание переменной среды для отслеживания ноутбуков
  • Очистка временных файлов Интернета
  • Передача файлов для файлов конфигурации
  • Настройка параметров папки для администраторов, чтобы они всегда отображали скрытые файлы
  • Устранение сценариев входа (подключенные диски, принтеры, реестр и т. д.)
  • Настройка дополнительных параметров безопасности в IE

Резюме

Предпочтения групповой политики могут сделать так много, что вы не должны их упускать. Не забудьте проверить все мои предложения, и если у вас есть вопросы, пожалуйста, напишите мне! Я работаю с этими настройками более 8 лет, и есть несколько потрясающих крутых опций, о которых большинство не знает. Конечно, моя книга под названием «Комплект ресурсов групповой политики» охватывает предпочтения групповой политики и их настройки, так что это тоже хороший справочник. Не пропустите ILT и изменение настроек.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023