Windows Server 2012 R2 групповая политика

Удаляем лишние команды из Проводника

Откройте редактор групповой политики (команда ) и перейдите в раздел Конфигурация пользователя, Административные шаблоны, Компоненты Windows, Проводник (рис. 1.).

Рис. 1. Параметры Проводника

Как видите, есть много полезных и не очень групповых политик в Windows Server 2016. Рассмотрим несколько полезных. Так, Скрыть выбранные диски из окна Мой компьютер (рис. 2) позволяет удалить значки выбранных дисков из окна Этот компьютер (в последних версиях Windows это окно называется именно так).

Рис. 2. Ограничиваем доступ пользователей в Windows Server 2016 к определенным дискам

Впрочем, если пользователь окажется умным и введет путь диска (например, D:\) в окне Проводника, он сможет получить доступ к нему. Для таких умных пользователей предназначена групповая политика Запретить доступ к дискам через «Мой компьютер» (рис. 3).

Рис. 3. Запретить доступ к дискам

Неплохо было бы еще и запретить пользователю использовать окно Выполнить (открывается при нажатии Win + R). Для этого нужно включить групповую политику Отключить сочетания клавиш Windows + X. Правда, такая настройка «убьет» все сочетания, в том числе и Win + R, но отдельной групповой политики, которая бы отключала отдельные команды, в современных версиях Windows Server нет (хотя раньше была опция, скрывающая команду Выполнить)

Настройка GPO Server 2012:

Для того что бы начать работу откройте «Панель управления»

Далее перейдите во вкладку «Администрирование»

В открывшимся окне щелкните по пункту «Управление ГП»

В объектах групповой политике вы увидите две политике по дефолту, именно их и будем редактировать. Для внесения изменений жмем ПКМ по «Default Domain Policy» и кликнем «Изменить»

Если мы развернем в конфигурации ПК папку Политики то увидим три подпапки это: конфигурация программ, конфигурация windows, административные шаблоны.

Одним из показательных примеров того как изменять политику касающегося пользователя является изменения касающихся с акаунтом. Переходим: «Политики – Конфигурация Windows – Параметры безопасности – Политика учетных записей» и видим здесь три раздела для изменений, давайте пока что внесем изменения скажем в Политику паролей выставим значения как показано на рисунке ниже, все значения вы выставляете как посчитаете нужным: Заходим в «Максимальный срок действия пароля» и убираем галочку с «Определить следующий параметр политики» после чего применяем изменения, данная функция необходима для того что бы у пользователя был постоянно один и тот же пароль

В свойствах «Минимальной длины пароля» вновь уберем переключатель и применим изменения

И наконец то самый интересный пункт «Пароль должен отвечать требованиям сложности» ставим «Отключено» и применяем изменения, после отключения данной политике пользователю не нужно будет вводит пароль который бы отвечал требованиям безопасности, но это еще не окончательные настройки, что бы полный алгоритм отключения сложных паролей читайте данную статью.

Но предупреждаю, как только вы внесете изменения в политику паролей Server 2012, безопасность вашей системы ухудшится, поэтому решайте сами!

Приведу еще один пример, допустим мы хотим запретить пользователю слушать любые аудио дорожки, за это будет отвечать служба «Windows Audio» которая находится в папке «Системные службы»

Но для начала откроем список локальных служб у пользователя, и сможем увидеть, что данная служба у него пока что запущена по умолчанию

Мы возвращаемся на контроллер домена и меняем параметр «Windows Audio» для этого кликаем по ней ПКМ и переходим в «Свойства»

Прежде всего включаем чекбокс «Определись следующий параметр политики» в режиме запуска ставим «Запрещен» далее «Применить»

Когда пользователь вновь войдет в систему то служба уже будет отключена и звук функционировать у него не будет.

На этом я заканчиваю рассказ о Group Police, возникающие вопросы по теме пишите в комментарии и не забываем подписываться на новости!

Отключение автоматических обновлений Google Chrome с помощью редактора реестра или

Второй способ настройки обновлений Google Chrome официальный и сложнее, описан на странице , я лишь изложу его более понятным образом для рядового русскоязычного пользователя.

Отключить обновления Google Chrome в данном способе можно с помощью редактора локальной групповой политики (доступно только для Windows 7, 8 и Windows 10 профессиональная и выше) или с помощью редактора реестра (доступно и для других редакций ОС).

Отключение обновлений с помощью редактора локальной групповой политики будет состоять из следующих шагов:

1. Перейдите на указанную выше страницу на сайте Google и загрузите архив с шаблонами политик в формате ADMX в разделе «Obtaining the Administrative Template» (второй пункт — download the Administrate Template in ADMX).
2. Распакуйте этот архив и скопируйте содержимое папки GoogleUpdateAdmx (не саму папку) в папку C:\Windows\PolicyDefinitions\ 
3. Запустите редактор локальной групповой политики, для этого нажмите клавиши Win+R на клавиатуре и введите
4. Зайдите в раздел Конфигурация компьютера — Административные шаблоны — Google — Google Update — Applications — Google Chrome 
5. Дважды кликните по параметру Allow installation, установите его в значение «Отключено» (если этого не сделать, то обновления все-таки можно будет установить в «О браузере»), примените настройки.
6. Дважды кликните по параметру Update Policy Override, задайте для него «Включено», а в поле Policy установите «Updates disabled» (или, если вы хотите продолжить получать обновления при ручной проверке в «О браузере», установите значение «Manual updates only»). Подтвердите изменения. 

Готово, после этого обновления не будут устанавливаться. Дополнительно рекомендую убрать задания «GoogleUpdate» из планировщика заданий, как это описывалось в первом способе.

Если редактор локальной групповой политики не доступен в вашей редакции системы, то отключить обновления Google Chrome можно с помощью редактора реестра следующим образом:

1. Запустите редактор реестра, для чего нажмите клавиши Win+R и введите regedit а затем нажмите Enter.
2. В редакторе реестра перейдите к разделу HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies, создайте внутри этого раздела (кликнув по Policies правой кнопкой мыши) подраздел Google, а внутри него — Update.
3. Внутри этого раздела создайте следующие параметры DWORD со следующими значениями (ниже скриншота все имена параметров приведены в виде текста): 
4. AutoUpdateCheckPeriodMinutes — значение 0
5. DisableAutoUpdateChecksCheckboxValue — 1
6. Install{8A69D345-D564-463C-AFF1-A69D9E530F96} — 0
7. Update{8A69D345-D564-463C-AFF1-A69D9E530F96} — 0
8. Если у вас 64-разрядная система, проделайте пункты 2-7 в разделе HKEY_LOCAL_MACHINE\ SOFTWARE\ WOW6432Node\ Policies

На этом можно закрыть редактор реестра и заодно удалить задания GoogleUpdate из планировщика заданий Windows. В дальнейшем обновления Chrome не должны будут устанавливаться, если только вы не отмените все сделанные вами изменения.

А вдруг и это будет интересно:

• Лучшие бесплатные программы для Windows
• Нестандартные способы использования Android
• Лучшие бесплатные программы для настройки Windows 10
• Ошибка 0xc0000906 при запуске приложения — как исправить
• Как настроить экран блокировки Windows 10 — изменить обои, добавить приложения, отключить подсказки Майкрософт
• Пропал звук в браузере в Windows 10 — как исправить?
• Ошибка AppCrash модуля — как исправить?

Отключаем службы обновления

Эти же службы можно выключить и другим способом в том месте, где находится полный их список. Чтобы попасть туда можно применить два метода, в первом случае, нужно зайти в панель управления, дальше перейти в администрирование и щелкнуть по службам. Во втором случае можно кликнуть правой кнопкой мыши по значку компьютера, после чего выбрать управление. В открывшемся окне следует выбрать Службы и приложения — Службы.

Дальше потребуется найти те же две службы, что и в предыдущем пункте. После чего следует дважды клацнуть по каждой из них. Откроется окно со свойствами. В нем нужно остановить службу и перевести ее запуск в ручной режим.

После этого они не запустятся до тех пор, пока сам пользователь не зайдет сюда же и не запустит их. Это может потребоваться в случае, если некоторые приложения перестанут работать на старой версии. Или можно сделать тогда, когда появится доступ к неограниченному трафику.

Заключение

Мы прошли долгий путь. Изучили важные концепции групповой политики, такие как объекты групповой политики, связи, наследование и т. д. Мы также изучили использование консоли управления групповыми политиками и редактора «Управление групповыми политиками» для выполнения основных задач, например создания, правки и удаления объектов групповой политики.

Чтобы узнать больше о групповой политике и развить навыки, можно использовать множество доступных ресурсов Майкрософт. Прежде всего страницу ресурсов групповой политики технического центра Windows Server, где можно найти любое необходимое техническое содержимое, связанное с групповой политикой. На этой странице представлено множество руководств по началу работы, а также видеозаписи. Чтобы получить рекомендации по групповой политике, относящиеся к Windows 7, посетите Зону обеспечения безопасности и управления клиентами Windows.

-ru/library/hh147307(v=).aspx

Управление групповыми политиками Active Directory (AD GPO)

В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.

Что такое групповые политики и зачем они нужны?

Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.

Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.

Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу.

Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды.

С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.

Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.

Компоненты GPO

Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.

Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики.

MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее).

Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.

Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.

Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

• Централизованная настройка пакета программ Microsoft Office.
• Централизованная настройка управлением питанием компьютеров.
• Настройка веб-браузеров и принтеров.
• Установка и обновление ПО.
• Применение определенных правил в зависимости от местоположения пользователя.
• Централизованные настройки безопасности.
• Перенаправление каталогов в пределах домена.
• Настройка прав доступа к приложениям и системным программам.

Оснастка Управление групповыми политиками

После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:

Нажмите OK.

Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.

Оснастка выглядит следующим образом:

Создание объектов групповой политики

Для создания объекта групповой политики перейдите во вкладку Forest ->Domains -> ->Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.

В открывшемся окне в поле Name введите удобное для вас имя групповой политики.

После этого вы увидите созданный объект в списке.

Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.

В редакторе групповых политик перейдите по иерархии User Configuration ->Policies ->Administrative Templates ->Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.

В открывшемся окне отметьте Enable