7 способов запустить редактор локальной групповой политики.

В процессе использования компьютера, для изменения настроек операционной системы многим пользователям в инструкциях, размещенных в Интернете, рекомендуют изменить параметры локальной групповой политики. В связи с этим, возникает вопрос, как открыть редактор локальной групповой политики в Windows 10, Windows 8.1, Windows 8, Windows 7.

Подробный обзор

Как открыть редактор локальных групповых политик командой из окна «Выполнить» — способ

Для запуска редактора групповой политики можно воспользоваться командой, запускаемой из окна «Выполнить». Из этого окна запускаются различные инструменты, средства или приложения Windows.

Выполните следующие действия:

Как открыть редактор локальных групповых политик командой из окна «Выполнить» — способ
  1. Нажмите на клавиши «Win» + «R».
  2. В диалоговом окне «Выполнить», в поле «Открыть:» введите выражение: «» (без кавычек), а затем нажмите на кнопку «ОК».
  3. На Рабочем столе компьютера откроется окно «Редактор локальной групповой политики».

К чему применяется групповая политика (GPO)

Первое, на что я хочу обратить внимание, это ответить, что делает групповая политика. Все мы прекрасно знаем, что операционная система Windows, это набор служб и ключей реестра. Все настройки, которые вы видите и меняете в графическом режиме, по сути меняют ключи реестра. Понимая, это сразу можно сделать вывод:

К чему применяется групповая политика (GPO)
  • что реестр есть как для объекта компьютер
  • и реестр есть для объекта пользователь
К чему применяется групповая политика (GPO)

Именно эту две сущности являются конечными объектами в политике GPO. В Active Directory объекты пользователей и компьютеров не лежат просто так, а располагаются в двух видах папок:

К чему применяется групповая политика (GPO)
  1. Это контейнер — по сути простая папка, важно, что к ней нельзя применять объекты групповой политики.
  2. Второй тип, это организационные подразделения (OU) — это специальные папки для объединения объектов AD по принципам. Именно с OU связываются объекты групповой политики, для применения их к компьютерам и пользователям. Внешне контейнер отличается от организационной утилитой, тем что у OU, есть дополнительная лычка на значке, это показано на скриншоте.
К чему применяется групповая политика (GPO)

К чему применяется групповая политика (GPO)

К чему применяется групповая политика (GPO)

Основы групповой политики

Как открыть редактор локальной групповой политики

Вы можете получить доступ к редактору локальной групповой политики

несколькими разными способами. Вот два наиболее удобных из них:

  1. нажмите Ключ Windows чтобы открыть панель поиска или, если вы используете Windows 10, нажмите Клавиша Windows + Q чтобы вызвать Кортану, введите , и откройте соответствующий результат.
  2. Нажмите Windows ключ + R чтобы открыть меню «Выполнить», введите , и ударил Войти запустить редактор локальной групповой политики.

Если это не работает, у вас либо нет прав администратора, либо вы используете Windows Home.

Как установить GPE в Windows Home

Находитесь ли вы в Windows Vista, Windows 7, Windows 8.1 или Windows 10 Home, вы можете использовать сторонний инструмент для получения доступа к GPE. Для правильной установки требуется несколько настроек. Вам также может понадобиться установить NET Framework 3.5.

Во-первых, голова к C: \ Windows \ SysWOW64 и скопируйте эти элементы:

  • GroupPolicy foler
  • Папка GroupPolicyUsers
  • файл

Тогда открой C: \ Windows \ System32 и вставьте элементы, которые вы только что скопировали.

Теперь загрузите ZIP-файл Add от пользователя Drudger DeviantArt и установите его на свой компьютер. После установки вы найдете инструмент под C: \ Windows \ Temp \ gpedit.

Если ваше имя пользователя Windows содержит более одного слова, вам, возможно, придется изменить установку. Щелкните правой кнопкой мыши или , в зависимости от того, является ли ваша система 64-битной или 32-битной, и выберите Открыть с помощью …> Блокнот или же редактировать (Windows 10). Добавьте к шести экземплярам цитаты% username%, то есть измените% username% на «% username%», сохраните изменения, затем снова щелкните правой кнопкой мыши файл bat и снова выберите Запустить от имени администратора.

Если вы продолжаете получать сообщение об ошибке «MMC не удалось создать оснастку», попробуйте заменить «% username» на «% userdomain% \% username%».

Способ № 1: Включить редактор групповой политики в Windows с помощью установщика GPEdit

Поскольку редактор групповой политики по умолчанию не включен в ОС, нам нужно сначала загрузить его. Вы можете скачать его по нижеуказанной ссылке.

Читайте также:  Включение telnet в windows 8. TELNET— основы использования

Скачать gpedit msc для Windows, установщик установщик

Установка

Если у вас 32-разрядная версия Windows (x86), то установка должна пройти без проблем и вы сможете получить доступ к редактору групповой политики через консоль управления Microsoft, набрав в командной строке выполнить Win+R.

Но если у вас 64-битная Windows (x64), вам понадобятся дополнительные шаги после следующие действия:

Перейдите в папку C:\Windows\SysWOW64Скопируйте следующие папки и файлы «GroupPolicy», «GroupPolicyUsers» и из C:\Windows\SysWOW64 в папку C:\Windows\System32

папки и файлы «GroupPolicy», «GroupPolicyUsers»

Решение распространенных проблем при запуске

Если вы получаете сообщение об ошибке «MMC не удалось создать оснастку» при запуске , вы можете выполнить следующие шаги для решения:

Перейдите в папку C:\Windows\Temp\gpedit\ и убедитесь, что она следующий zip-файл и разархивируйте его в C:\Windows\Temp\gpedit\ . Это должно заменить два файла и

Загрузить gpedit-temp-files-x86x64gpedit-temp-files-x86x64

Теперь запустите от имени администратора , если у вас 32-битная ОС и , если 64-битная Windows выполнения вышеупомянутых шагов у вас должен быть рабочий редактор групповой политики. В случае каких-либо проблем, вы всегда можете задать вопрос в комментариях ниже.

Политики ограниченного использования программ

Одной из самых важных в контексте статьи будет группа объектов GPO "Политики ограниченного использования программ" (Software Restriction Policies, SRP). Здесь настраиваются ограничения запуска приложений на компьютерах, начиная с WinXP и выше. Принцип настроек совпадает с настройками правил файрвола: администратор указывает список приложений, которые разрешено запускать на системах организации, а для остальных ставит запрет. Или поступает наоборот: разрешает все, а затем по мере необходимости блокирует, что не нужно. Здесь каждый админ выбирает, как ему удобнее. Рекомендуется создать отдельный объект GPO для SRP, чтобы всегда была возможность откатить изменения при необходимости или возникновении проблем с запуском нужных приложений.

По умолчанию SRP отключены. Чтобы их активировать, следует перейти во вкладку "Политики ограниченного использования программ" (в "Конфигурация компьютера" и "Конфигурация пользователя" есть свои пункты) и выбрать в контекстном меню "Создать политику ограниченного использования программ" (New Software Restriction Policies). По умолчанию установлен уровень безопасности "Неограниченный" (Unrestricted), то есть доступ программ к ресурсам определяется NTFS правами пользователя. Разрешен запуск любых приложений, кроме указанных как запрещенные. Чтобы изменить уровень, нужно перейти в подпапку "Уровни безопасности", где находятся пункты активации еще двух политик – "Запрещено" (Disallowed), при которой возникает отказ в запуске любых приложений, кроме явно разрешенных админом. Политика "Обычный пользователь" (Basic User), появившаяся в GPO, начиная с Vista, позволяет задать программы, которые будут обращаться к ресурсам с правами обычного пользователя, вне зависимости от того, кто их запустил.

В организации с повышенными требованиями информационной безопасности лучше самому определить список разрешенных программ, поэтому дважды щелкаем по "Запрещено" и в появившемся окне нажимаем кнопку "Установить по умолчанию" (Set as Default). Информация в появившемся окне сообщит, что выбранный уровень — более строгий, и некоторые программы могут не работать после его активации. Подтверждаем изменения. Теперь переходим в подпапку "Дополнительные правила". После активации SRP создаются две политики, перекрывающие правила по умолчанию и описывающие исключения для каталогов %SystemRoot% и %ProgramFilesDir%. Причем по умолчанию политики для них установлены в "Неограниченный". То есть после активации политики "Запрещено" системные программы будут запускаться в любом случае. В контекстном меню для тонкой настройки политик предлагается 4 пункта. С их помощью можно указать: правило для пути (путь к каталогу, файлу или ветке реестра), зоны сети (интернет, доверенная сеть и так далее), хеш (указываем отдельный файл, по которому генерируется хеш, позволяющий определить его однозначно, вне зависимости от пути) и сертификат издателя (например, Microsoft, Adobe и т.п.). При этом отдельная политика имеет свой уровень безопасности, и легко можно запретить выполнение всех файлов из каталога, разрешив запуск только отдельных. Правила для хеша имеют приоритет перед остальными и наиболее универсальны. Правда, с учетом того, что хеш некоторых системных приложений (того же Блокнота) будет отличаться в разных версиях ОС, к процессу генерирования хеша лучше подойти внимательно.

Если щелкнуть по ярлыку "Политики ограниченного использования программ", получим доступ еще к трем настройкам. Выбор политики "Применение" (Enforcement) откроет диалоговое окно, в котором указываем, применять ли SRP для всех файлов или исключить DLL (по умолчанию). Учитывая количество DLL’ок в системе, активация контроля всех файлов потребует дополнительных ресурсов, поэтому кастомный вариант выбираем, только когда это действительно необходимо. По умолчанию политики актуальны для всех пользователей без исключения, но в настройках предлагается снять контроль за деятельностью локальных админов. В третьем поле активируется поддержка правил сертификатов. Такие политики также замедляют работу системы и по умолчанию отключены.

С помощью политики "Назначенные типы файлов" определяются типы файлов, которые считаются исполняемыми. В списке уже есть все популярные расширения, но если используется что-то свое, добавляем его/их в перечень. И, наконец, в "Доверенные издатели" задаем тех, кто может (пользователь и/или админ) добавить подписанное доверенным сертификатом приложение, а также определять подлинность сертификата. Для максимальной безопасности разреши добавлять приложения только админам доменного уровня.

Читайте также:  6 способов отключить автозапуск программ в Windows 10

Автоматическая установка программ в домене Windows

главная — Статьи — Microsoft Windows

Групповые политики

Политика правит миром! 

На контроллере домена запускаем редактор групповой политики :

… и создаем связанную только с нашим OU «OU Office Computers» групповую политику под названием «Firefox 3.6.3 rus»:

… редактируем нашу политику «Firefox 3.6.3 rus»:

Готовим дистрибутив Firefox для развертывания в сети

В разделе «User Configuration» -> «Software settings» -> «Software Installation» щелкаем правой мышкой и создаем новый объект для установки — наш будущий инсталлятор Firefox.

Выбираем файл MSI, заботливо положенного чьими-то руками в расшаренную папку. Важно: выбирать надо сетевой путь до файла, а не локальный, ведь юзера будут получать доступ к вашей инсталляшке не локально на сервере, а по сети.

Выбираем «Assigned» (Назначенный):

Автоматическая установка программ в домене Windows

На этом работа с веткой «Software Installation» закончена.

Закрываем все открытые окна на сервере (если не помешает другим задачам, естественно), Пуск -> Выполнить -> gpupdate /force

Установка на рабочих станциях

Далее достаточно просто перезагрузить рабочие станции, чтобы автоматически установился Firefox ДО того, как появится окно для ввода логина/пароля. Иными словами, пользователь будет не в силах чего-то не установить, забыть и пр. Поэтому этот способ так хорош. Вы удаленно решаете, что будет установлено / обновлено на рабочих станциях.

Windows XP бывает не с первой перезагрузки «принимает» нове политики, поэтому можно подойти к юзеру, выполнить команду «gpupdate /force» (не обязательно под админом) и перезагрузить его компьютер.

Обязательно проверьте установку на своем / тестовом компьютере ДО того, как юзеры придут следующим утром, включат компьютеры… а вдруг косяк? Поэтому хотя бы первый раз сначала испытайте на себе.

Дополнительно

Теперь на любой новый компьютер, введенный в состав подразделения OU Office Computers будет установлена последняя версия броузера Firefox. Вам даже не придется ничего делать. Просто и очень полезно. Таким же образом можно устанавливать практически любой софт, включая Adobe Reader, Adobe Flash Player (которые в обычной ситуации требуют административных прав для установки), The Bat… да мало ли софта у вас в локальной сети, поддерживать который в актуальном состоянии одна из обязанностей системного администратора.

Нюанс: если вы уже установили какой-либо пакет, в нашем случае Firefox 3.6.3 rus, а через некоторое время вам потребуется его обновить (т.к. рано или поздно выйдет новая версия броузера), сначала удалите политику по установке Firefox 3.6.3, после чего создайте новую. Потом «gpudate /force» и вперед!

Авторизуйтесь для добавления комментариев!

Управление групповыми политиками Active Directory (AD GPO)

В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.

Что такое групповые политики и зачем они нужны?

Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.

Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.

Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу.

Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды.

С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.

Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.

Компоненты GPO

Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.

Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики. MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее). Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.

Читайте также:  Как использовать удаленный рабочий стол Windows 10 Home (RDP)

Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.

Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

Управление групповыми политиками Active Directory (AD GPO)
  • Централизованная настройка пакета программ Microsoft Office.
  • Централизованная настройка управлением питанием компьютеров.
  • Настройка веб-браузеров и принтеров.
  • Установка и обновление ПО.
  • Применение определенных правил в зависимости от местоположения пользователя.
  • Централизованные настройки безопасности.
  • Перенаправление каталогов в пределах домена.
  • Настройка прав доступа к приложениям и системным программам.

Оснастка Управление групповыми политиками

После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:

Нажмите OK.

Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.

Оснастка выглядит следующим образом:

Создание объектов групповой политики

Для создания объекта групповой политики перейдите во вкладку Forest ->Domains -> ->Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.

В открывшемся окне в поле Name введите удобное для вас имя групповой политики.

После этого вы увидите созданный объект в списке.

Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.

В редакторе групповых политик перейдите по иерархии User Configuration ->Policies ->Administrative Templates ->Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.

В открывшемся окне отметьте Enable

Как редактировать политики Windows с помощью редактора локальной групповой политики

Чтобы вы могли легко понять процесс, связанный с редактированием политик, мы будем использовать пример. Допустим, вы хотите установить конкретные обои по умолчанию для вашего рабочего стола, которые будут установлены для всех существующих или новых пользователей на вашем компьютере с Windows.

Как редактировать политики Windows с помощью редактора локальной групповой политики

Чтобы перейти к настройкам рабочего стола, вам нужно будет просмотреть категорию «Конфигурация пользователя» на левой панели. Затем перейдите к административным шаблонам, разверните Рабочий стол и выберите параметры внутреннего рабочего стола. На правой панели вы увидите все параметры, которые вы можете настроить для выбранного в настоящий момент административного шаблона. Обратите внимание, что для каждого доступного параметра у вас есть два столбца с правой стороны:

  • В столбце «Состояние» указано, какие параметры не настроены, а какие включены или отключены.
  • В столбце «Комментарии» отображаются комментарии, сделанные вами или другим администратором для этого параметра.
Как редактировать политики Windows с помощью редактора локальной групповой политики

В левой части этой панели также отображается подробная информация о том, что делает конкретный параметр и как он влияет на Windows. Эта информация отображается в левой части панели всякий раз, когда вы выбираете определенную настройку. Например, если вы выберете Обои для рабочего стола, слева вы увидите, что их можно применять к версиям Windows, начиная с Windows 2000, и вы можете прочитать их Описание , которое говорит вам, что вы можете указать «фон рабочего стола отображается на всех рабочих столах пользователей» . Если вы хотите отредактировать настройку, в нашем случае обои рабочего стола, дважды щелкните/нажмите на эту настройку или щелкните правой кнопкой мыши/нажмите и удерживайте ее, а затем выберите «Изменить» в контекстном меню.

Отключение параметра или изменение его статуса на «Не настроен» предполагает простой выбор одного из этих параметров. Как мы упоминали ранее, разные настройки имеют разные параметры. Например, сценарии, которые вы можете настроить для запуска Windows при запуске или выключении, могут выглядеть совершенно иначе.

Как редактировать политики Windows с помощью редактора локальной групповой политики

Нажмите или коснитесь «Конфигурация компьютера», затем «Параметры и сценарии Windows» («Запуск / выключение»). Выберите «Запуск» или «Выключение» на правой панели и нажмите на ссылку «Свойства» на правой панели. Или дважды щелкните Запуск или Завершение работы.

Нажмите «Добавить…», чтобы добавить новые сценарии в выбранный процесс.

Как редактировать политики Windows с помощью редактора локальной групповой политики

В этом случае вам не нужно ничего включать или отключать. Вместо этого вы можете добавлять или удалять различные сценарии, запускаемые при запуске или завершении работы Windows.

Когда вы закончите, нажмите или нажмите OK .

Как редактировать политики Windows с помощью редактора локальной групповой политики

Перейдите к редактору локальной групповой политики и проверьте, какие настройки он предлагает, потому что их много. Считайте это своей игровой площадкой на время, так как есть много вещей, которые вы можете проверить.