7.4. Администрирование групповой политики

В этой статье мы рассмотрим что такое редактор локальной групповой политики, как установить эту функцию на Windows 10 Home и как администраторам сети управлять и вносить нужные изменения в параметры операционных систем других ПК всего с одного компьютера.

Введение в групповые политики

Групповые политики представляют собой набор параметров конфигурации, которые администратор групповой политики применяет к одному или нескольким объектам в хранилище Active Directory. С их помощью он управляет рабочей средой пользователей в домене и контролирует рабочую среду пользователей определенного ОП. Групповые политики можно установить на уровне сайта из оснастки Active Directory Sites And Services (Active Directory — сайты и службы).

Групповая политика состоит из параметров, управляющих поведением объекта и его дочерних объектов. Групповая политика может также влиять на разрешения, предоставленные учетным записям пользователей и групп.

Базовое администрирование политики ограниченного использования программ

Инструмент этот простой и в общем-то, должен быть известен примерно каждому, благо он существует достаточно давно, а да и применяется всякими айтишниками (и не только) многими повсеместно.

Базовое администрирование политики ограниченного использования программ

В некоторых версиях систем его нет (типа Home Edition), но в большинстве присутствует. Перечислять все нет большого желания, благо наличие таковой поддержки Вы можете сделать за считанные минуты, собственно, попытавшись открыть сей инструмент.

Сия радость зовётся Software Restriction Policies (SPR), что условно можно перевести как политики ограниченного использования программ (о чем и написано в подзаголовке).

Базовое администрирование политики ограниченного использования программ

Запустить можно через «Пуск — Выполнить (Win+R)» :

Или через Администрирование, которое живет по пути «Пуск — Настройка — Панель управления — Администрирование — Локальная политика безопасности — Политики ограниченного использования программ» . Выглядит следующим образом:

Базовое администрирование политики ограниченного использования программ

Здесь, для начала, тыкаем правой кнопкой мышки по названию «папки», т.е «Политики ограниченного использования программ» и выбираем пункт «Создать политику ограниченного использования программ» .

Далее необходимо будет определиться с, для начала, первичными настройками и произвести их. Для сего нажмем правой кнопкой мышки на пункте «Применение» и выбираем подпункт «Свойства«. Здесь ( выше) можно оставить всё по умолчанию, либо включить применение ко всему без исключений (по умолчанию стоит игнорирование DLL) и, например, переключить пункт применения ограниченной политики ко всем кроме локальных администраторов (при учете, что у Вас аккаунты разграничены на администраторкие и пользовательские).

Базовое администрирование политики ограниченного использования программ

Далее, предварительно сохранив изменения, жмем правой кнопкой мышки на пункте «Назначенные типы файлов» и снова выбираем подпункт «Свойства«. Здесь можно управлять разрешениями, определяющими понятие исполнительного кода, которые мы в последствии запретим к использованию. Можете настроить на своё усмотрение, в зависимости от целей и задач, которые Вы ставите перед собой, но пока мы оставим всё как есть.

Далее развернем «папку» и перейдем в следующую ветку, т.е в «Уровни безопасности«. Здесь можно управлять уровнями безопасности, в том числе задавать таковые по умолчанию, экспортировать списки и тд и тп.

Базовое администрирование политики ограниченного использования программ

Простейшим, для теста, решением тут будет задать уровень безопасности «Запрещено» по умолчанию (для чего жмем по нему правой кнопкой мышки и жмем соответствующую кнопку), после чего, когда Вы согласитесь с уведомлением, ограничение будет активировано.

Читайте также:  Драйвера онлайн: как подобрать и установить

Теперь при запуске программ, если Вы не удалили из списка расширений EXE, Вы будете видеть уведомление как на скриншоте выше. Собственно, можно удалить расширение как таковое, а можно пойти более хитрым путём и, например, удалить только расширение LNK, т.е ярлык.

Базовое администрирование политики ограниченного использования программ

Тогда, собственно, пользователь сможет запускать только тот софт на который у него есть ярлык на рабочем столе. Способ конечно спорный, но в общем-то вполне себе такой хитрый (даже если пользователь умеет редактировать ярлыки, хотя и это можно ему запретить).

Как Вы понимаете, собственно, глобальные правила на всё в компьютере и манипулирование разрешениями только ярлыками не есть гуд, посему хорошо бы задать какие-то папки, откуда можно запускать приложения из сторонних папок (по умолчанию, в зависимости от системы, разрешения могут быть заданы из системных папок, т.е из Windows и ProgramFiles).

Базовое администрирование политики ограниченного использования программ

Для этого переходим на вкладку «Дополнительные правила» и жамкаем правой кнопкой мышки на пустом месте, выбирая пункт «Создать правило для пути» , где задаём путь и разрешение или запрет для пользователя.

Таким же образом, как Вы уже, надеюсь, поняли, регламентируется запрет или разрешения доступа по хешу, зонам сетей или сертификату.

Базовое администрирование политики ограниченного использования программ

В двух словах, собственно, как-то вот так.

Что значит надпись

Красная надпись «Некоторыми параметрами управляет ваша организация» означает, что в данный момент вас лишили доступа к определённым параметрам, чтобы вы не смогли поменять их значения. В сборках «десятки» 1703 и 1707 ошибка может иметь немного другой текст — «Некоторые параметры скрыты или ими управляет ваша организация».

Зачем нужна функция управления

Что значит надпись

Данная ошибка характерна для офисных компьютеров, которые являются частями корпоративной локальной сети. Обычно у такой сети есть свой сервер — главный центральный ПК (администратор), который управляет сетевыми ресурсами общего доступа в сети (другими ПК, которые называются рабочими станциями). Простыми словами — он решает, к какой информации и параметрам конкретная рабочая станция имеет доступ, а к какой нет, так как у каждого сотрудника есть свои полномочия, которые он не должен превышать.

Все компьютеры в корпоративной локальной сети подчиняются серверу — главному ПК, который распределяет полномочия

Почему надпись может возникнуть на домашнем компьютере

Что значит надпись

Рассматриваемое сообщение может появляться и на домашних девайсах, которые никаким образом не связаны с корпоративной сетью. Происходит это по следующим причинам:

  1. Смена параметров системы в «Редакторе реестра» или «Редакторе локальной групповой политики». Если вы вносили какие-либо изменения раньше, просто верните всё на место — ошибка исчезнет. Можете также сразу сбросить все параметры, используя инструкции в разделах этой статьи.
  2. Деактивация «Защитника Windows», автоматических обновлений «операционки» и других важный системных функций.
  3. Отключение разных системных служб «Виндовс», например, функциональных возможностей для подключенных юзеров и телеметрии.
  4. Использование различных программ для отключения «слежки» «Майкрософт». Просто отключите или удалите утилиту, чтобы убрать надпись.

При каких действиях будет выплывать надпись «Некоторыми параметрами управляет ваша организация»

Что значит надпись

В целом надпись «Некоторые параметры скрыты или ими управляет ваша организация» не мешает работе на ПК, но бывают ситуации, когда пользователю приходится прибегать к тем или иным методам решения, чтобы убрать её: изменение важных параметров системы, поиск и установка обновлений, включение и использование «Режима разработчика».

Ошибка возникает у пользователей в основном в разделах «Центра обновления Виндовс». Например, при попытке запустить вручную поиск апдейта для системы в сети.

Читайте также:  Профилирование запросов MySQL на примерах

Часто из-за этой ошибки пользователи не могут вручную запустить поиск апдейта в «Центре обновлений»

Что значит надпись

Если красная надпись появилась в дополнительных параметрах «Центра обновления», юзер не сможет выбрать способ установки обновлений: с уведомлением о перезагрузке ПК и прочее.

При такой ошибке юзеры не могут настроить процесс обновления под себя

Также надпись возникает в «Защитнике Windows» — как в соответствующем разделе «Параметров», так в отдельном окне стандартного антивируса. Юзер может лишиться возможности активировать ограниченное периодическое сканирование, отключить защиту в режиме реального времени и некоторые другие опции.

Что значит надпись

Из-за ошибки «Некоторыми параметрами управляет ваша организация» пользователь не может включить только периодическое сканирование

С этой записью становится невозможным редактирование списка исключений для «Защитника Windows», то есть перечня файлов и папок, которые он не сканирует: нельзя добавить или удалить тот или иной пункт.

С надписью «Некоторыми параметрами управляет ваша организация» исчезает возможность выключать на время стандартный антивирус

Что значит надпись

Также надпись может появляться при активации опции «Режим разработчика» в том же окне «Параметры». Дело в том, что для включения режима необходим доступ к компьютеру с правами администратора. Если вы не являетесь администратором своего ПК (не работаете под таким типом учётной записи), система может посчитать, что ваше устройство принадлежит организации. Соответственно, она может отключить некоторые параметры, которые доступны в режиме разработчика, чтобы вы не смогли их поменять.

В некоторых случаях ошибка возникает при включении режима разработчика

Анализ событий от Group Policy в системных журналах Windows

В журнале приложений о медленном применении политик может свидетельствовать событие с EventID 6006 от источника Winlogon с текстом:

Подписчик уведомлений winlogon <GPClient> потратил 3594 сек. на обработку события уведомления (CreateSession).The winlogon notification subscriber <GPClient> took 3594 seconds to handle the notification event (CreateSession).

Судя по данному событию, пользователю пришлось ждать применения групповых политик при загрузке компьютера в течении  почти часа…

В Windows 7 / Windows 2008 R2 и выше все события, касающиеся процесса применения групповых политик на клиенте доступны в журнале событий Event Viewer () в разделе  Applications and Services Logs –> Microsoft -> Windows -> Applications and Services Logs -> Group Policy -> Operational.

Примечание. В журнале  System  остались только события, относящиеся к функционирования самой службы  Group Policy Client (gpsvc).

Для анализа времени применения политик будут полезны следующие EventID:

  • События 4016 и 5016 показывают время начала и завышения процесса обработки расширений применения GPO, причем в последнем указано общую длительность обработки расширения.К примеру, на скриншоте ниже был включен фильтр журнала Group Policy -> Operational по событиям 4016 и 5016. По тексту события 5016 можно увидеть время обработки этого компонента GPO Завершена обработка расширения Group Policy Local Users and Groups за 1357 мс.

  • Событие 5312 содержит список применённых политик, а в событии 5317 есть список отфильтрованных GPO.
  • В событиях 8000 и 8001 содержится, соответственно, время обработки политик компьютера и пользователя при загрузке компьютера. А в событиях 8006 и 8007 есть данные о времени применения политик при периодическом обновлении. Завершена обработка политики загрузки компьютера для CORP\pc212333$ за 28 с.

При анализе журнала стоит также обращать на время, прошедшее между двумя соседними событиями, это может помочь обнаружить проблемный компонент.

Некоторые функции редактора групповой политики ()

Как только вы закончили с установкой редактора групповой политики, рекомендуем обратить внимание на ее возможности. Для этого мы подготовили пару примеров, с помощью которых покажем самые базовые возможности приложения. Оно объединяет в себе буквально все параметры Windows, которые только можно найти. Главное только не забывать, что внося много рискованных изменений мы можем непреднамеренно повредить Windows. Поэтому, совершая те или иные корректировки, соблюдайте осторожность.

Читайте также:  Очистка истории на ПК в Windows.

Отключение Защитника Windows

Защитник Windows — это встроенный системный антивирус, задача которого оберегать своего пользователя от угроз из интернета и загруженных им приложений. В некоторых случаях он может потреблять слишком много ресурсов или начинает работать тогда когда в этом нет необходимости. Поэтому самым частым решением данной ситуации является отключение Защитника Windows.

Как отключить встроенный антивирус с помощью редактора групповой политики:

1. Откройте утилиту Выполнить с помощью комбинации клавиш Windows + R.

2. Введите команду и нажмите клавишу Enter.

3. Проследуйте по следующему пути внутри приложения “Редактор локальной групповой политики”: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows”.

4. Найдите параметр Выключить антивирусную программу “Защитник Windows”.

5. Щелкните по параметру правой кнопкой мыши и нажмите Изменить.

6. Измените состояние параметра на Отключено.

7. Примените и сохраните внесенные изменения.

Отключение обновлений Windows

Часто обновление операционной системы начинается совершенно не вовремя, когда мы к этому не готовы и, например, работаем. Это нарушает распорядок дня и, хуже всего, если такое обновление заканчивается багом вследствие которого компьютер перестает запускаться. Единственным действенным решением в такой ситуации является откат апдейта.

Можно ли предотвратить неожиданные обновления Windows и получить контроль над этим процессом? Легко! С помощью редактора локальной групповой политики вы можете в два клика отключить автоматические обновления операционной системы. При желании, вы можете запустить процесс апдейта вручную.

1. Откройте утилиту Выполнить с помощью комбинации клавиш Windows + R.

2. Введите команду и нажмите клавишу Enter.

3. Проследуйте по следующему пути внутри приложения “Редактор локальной групповой политики”: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows.

5. Щелкните по параметру правой кнопкой мыши и нажмите Изменить.

6. Измените статус параметра на Отключено.

7. Примените и сохраните внесенные изменения.

Как вы, наверняка, заметили функционал редактора локальной групповой политики весьма обширен. Вы можете изменить каждый параметр операционной системы всего в одном приложении.

“С большой силой приходит большая ответственность”.

Поэтому, внося изменения в редакторе локальной групповой политики, вы вносите корректировки в реестр тоже. Помните об этом и соблюдайте осторожность.

Надеемся, статья оказалась для вас полезной и помогла найти ответы на вопросы.

Практика работы с объектами политики: создание элементов

Перейдем от теории к практическим нюансам, касающимся работы с групповыми политиками. Так, в числе самых распространенных задач системных администраторов — создание соответствующего типа объектов. Рассмотрим, каким образом это происходит.

Для того чтобы создать объект групповой политики, необходимо открыть консоль управления, о которой мы упоминали выше. Системный администратор, работая с соответствующего типа элементами, может использовать методологию одновременного их создания и связывания или же применить последовательный подход. В среде специалистов по работе с компьютерными сетями достаточно распространен первый сценарий. Рассмотрим его особенности.

Для того чтобы осуществить одновременное создание и связывание соответствующего объекта, необходимо произвести следующие основные действия.

Во-первых, открыв консоль, щелкнуть правой кнопкой мыши на домене, после чего выбрать пункт, отражающий желание создать объект, и связать его.

Во-вторых, необходимо описать соответствующий объект, введя нужный текст в форму «Имя», расположенную в окне «Новый объект».

В принципе, это все, что требуется сделать. Вместе с тем может возникнуть необходимость в корректировке настроек объекта. Это также делается с помощью инструментов консоли.