Изменения групповой политики: Windows Server 2012, Windows 8 и Window RT (часть 1)

• Изменения групповой политики: Windows Server 2012, Windows 8 и Window RT (часть 3)

Введение

Групповая политика — один из самых мощных и удобных инструментов, которыми располагают сетевые администраторы и специалисты по ИТ-безопасности для управления средой Windows и определения того, что пользователи могут и что не могут делать на компьютере. Установка локальных и/или доменных политик намного проще и менее рискованна, чем редактирование реестра для достижения тех же целей. Групповая политика — это лучшее средство для установки ограничений, которые применяются ко всему компьютеру (серверу или клиенту) или к определенным учетным записям пользователей.

С выпуском своих новейших операционных систем, Windows Server 2012, Windows 8 и «младшего брата» Windows 8, Windows RT, Microsoft внесла ряд изменений, связанных с групповой политикой. Появилось несколько новых функций групповой политики, а некоторые из уже знакомых были обновлены для предоставления новых функций. В этой серии статей мы рассмотрим эти изменения и то, как вы можете наилучшим образом использовать их в своих интересах, чтобы ваша сеть Windows была максимально безопасной.

Windows RT поддерживает групповую политику

Одна из самых неприятных вещей при работе с домашними выпусками Windows в тех случаях, когда нам приходится это делать (обычно это когда мы вынуждены работать в качестве внештатных «компьютерных экспертов» для семьи и друзей) — это отсутствие инструмента редактирования локальной групповой политики. Я не знаю, сколько раз я автоматически вводил «gpedit.msc» в поле «Выполнить» на чьем-то домашнем компьютере, забывая, что он отсутствует в действии.

Поэтому я был приятно удивлен, когда узнал, что Windows RT — версия Windows на базе ARM, предназначенная в первую очередь для работы на планшетах, — поддерживает локальную групповую политику. Microsoft, по-видимому, осознала, что это важно в деловом мире, где использование собственных устройств (BYOD) быстро становится повесткой дня, и это даст планшетам Windows RT еще одно преимущество перед планшетами, работающими под управлением других платформ, таких как iOS или Android, когда речь идет об интеграции в корпоративную сеть на базе Windows.

У меня есть Surface RT, и когда я вышел на рабочий стол и набрал gpedit.msc в поле «Выполнить» (которое я уже прикрепил к панели задач), помните, что меню «Пуск» нет. Вы также можете просто ввести команду на начальном экране. ). Откроется политика локального компьютера.

Однако обратите внимание, что служба клиента групповой политики по умолчанию отключена, как показано на рис. 1. Однако ее можно легко включить. Просто введите services.msc в поле «Выполнить» или на начальном экране, прокрутите вниз, найдите « Клиент групповой политики» и дважды щелкните его. Откроется диалоговое окно «Свойства», и вам нужно установить для параметра «Тип запуска» значение «Автоматически». Затем щелкните его правой кнопкой мыши и нажмите «Пуск», чтобы включить службу.

Рисунок 1. Запустите службу клиента групповой политики в Windows RT

Помните, однако, что устройство Windows RT не может быть членом домена Windows, поэтому им нельзя управлять с помощью групповой политики домена, хотя его можно, как и компьютеры Windows Home Edition, использовать для учетную запись домена пользователя..

Windows RT содержит большинство тех же параметров безопасности локальной групповой политики, которые вы привыкли настраивать в более ранних версиях Windows, как показано на рис. 2.

Рисунок 2. Локальная групповая политика в Windows RT содержит знакомые параметры безопасности

Новые функции и проблемы групповой политики в Windows 8/Server 2012

В оставшейся части этой статьи будут обсуждаться новые функции и проблемы, влияющие на групповую политику в Windows 8 и Server 2012.

Удаленное обновление групповой политики

Это новая функция для Windows Server 2012, которая немного упростит обновление параметров групповой политики (включая параметры безопасности) на удаленных компьютерах. Если у вас есть группа удаленных компьютеров в организационном подразделении (OU) и вы хотите обновить параметры групповой политики на всех компьютерах в этом подразделении, вы можете сделать это сразу, вместо того, чтобы устанавливать удаленное подключение к каждый отдельный компьютер и запустите утилиту командной строки gpupdate.exe. Это значительно сэкономит время, если у вас есть большое количество компьютеров в объекте групповой политики, который вы хотите обновить.

Есть два способа сделать это:

• Использование консоли управления групповыми политиками (GPMC)
• Использование Windows PowerShell

В любом случае принудительное удаленное обновление на компьютерах в OU создает запланированную задачу для каждого пользователя, вошедшего в систему на этих компьютерах. Запланированное задание настроено на запуск gpupdate.exe /force на компьютере. Запланированные задачи будут устанавливаться со случайной задержкой запуска, чтобы снизить нагрузку на сетевой трафик. Если вы хотите, чтобы обновление запускалось немедленно (или управляло временем задержки), вам придется использовать PowerShell для настройки удаленного обновления.

Использование GPMC для принудительного удаленного обновления групповой политики

Чтобы принудительно выполнить удаленное обновление групповой политики, запустив gpupdate.exe на всех компьютерах в организационной единице с помощью консоли управления групповыми политиками, выполните следующие действия.

1. Щелкните правой кнопкой мыши подразделение, содержащее компьютеры, которые вы хотите обновить.
2. Выберите Обновление групповой политики…
3. В диалоговом окне с вопросом, хотите ли вы принудительно обновить групповую политику, выберите Да.
4. Затем вы увидите состояние процесса планирования для каждого из компьютеров. Обратите внимание, что обновление будет применено ко всем компьютерам в выбранной вами организационной единице, ко всем компьютерам в организационных единицах, входящих в эту организационную единицу.

Одна небольшая неприятность заключается в том, что это диалоговое окно не сообщает вам, было ли обновление успешно выполнено. Поле состояния относится только к обновления. Чтобы узнать наверняка, вам нужно использовать инструмент Resultant Set of Policy. Вы можете найти инструкции по использованию этого инструмента здесь.

Использование PowerShell для принудительного удаленного обновления групповой политики

Чтобы использовать PowerShell для планирования удаленного обновления для всех компьютеров в OU, вы можете использовать командлет Invoke-GPUpdate. Одним из преимуществ использования PowerShell является то, что, помимо возможности устанавливать время задержки запуска обновлений, вы можете принудительно выполнить удаленное обновление на всех компьютерах в контейнере «Компьютеры» в Active Directory; это то, что вы не можете сделать через GPMC. Процесс для этого включает в себя сначала использование командлета Get-ADComputer для получения списка всех имен компьютеров. Вы также можете запланировать обновление групповой политики только для выбранного набора компьютеров.

Вы также можете запустить командлет Invoke-GPUpdate в качестве фонового задания и дать команду компьютерам перезагрузиться после применения параметров групповой политики или принудительно выйти из системы после применения параметров. Дополнительные сведения о командлете Invoke-GPUpdate и его параметрах см. по этой ссылке.

Вот пример строки, которую необходимо использовать для принудительного обновления групповой политики для всех параметров групповой политики на всех компьютерах в OU. Он объединяет командлеты ADComputer и Invoke-GPUpdate:

Get-ADComputer –filter * -Searchbase "ou=Accounting, dc=Contoso,dc=com" | foreach{Invoke-GPUpdate –компьютер $_.name -force}

Факторы, которые следует учитывать при удаленном обновлении групповой политики

Удаленное обновление можно применить к компьютерам в подразделении, на которых установлены Windows Vista, 7, 8, Server 2008/2008 R2 или 2012 (но не Windows XP или Server 2003). Вы должны запланировать удаленное обновление компьютера под управлением Windows Server 2012 или компьютера под управлением Windows 8, на котором запущены средства удаленного администрирования сервера.

Также обратите внимание, что правила вашего брандмауэра должны разрешать трафик через соответствующие порты, если вы используете брандмауэр для планирования обновления на удаленных компьютерах. Это упрощается с помощью стартового объекта групповой политики с именем «Порты удаленного обновления брандмауэра групповой политики», который является одним из новых начальных объектов групповой политики, включенных в Windows Server 2012. Это еще одна новая функция, о которой мы поговорим позже в этой серии статей. Этот начальный объект групповой политики включает в себя параметры политики для настройки портов брандмауэра по мере необходимости.

Вы можете настроить параметры брандмауэра вручную, открыв порты, описанные здесь в разделе Удаленное обновление групповой политики: порты, для которых требуются правила брандмауэра.

Вышеупомянутая ссылка также включает инструкции по использованию командлетов PowerShell для создания объекта групповой политики на основе начального объекта групповой политики удаленного обновления портов брандмауэра, связывания объекта групповой политики с доменом и размещения его над политикой домена по умолчанию в списке доменов, чтобы вы могли настроить все компьютеры в домене для выполнения удаленного обновления групповой политики.

Резюме

Изменения и дополнения к групповой политике в Windows Server 2012 и Windows 8, а также поддержка локальной групповой политики в Windows RT дадут вам еще больший контроль над компьютерами, которые являются частью вашей корпоративной сети или подключены к ней. Всего в новых операционных системах появилось семь новых функций или функций, связанных с групповой политикой, а также пять обновленных или улучшенных. В этой части 1 статьи, состоящей из нескольких частей, мы говорили о поддержке локальной групповой политики в Windows RT и новой функции удаленного обновления групповой политики. Мы продолжим знакомство с этими новыми и улучшенными функциями в последующих частях этой серии.

• Изменения групповой политики: Windows Server 2012, Windows 8 и Window RT (часть 3)