команда какие политики применяются
GPRESULT – отображение результирующей политики (RSoP) для указанного пользователя и компьютера.
Команда GPRESULT позволяет отображать результирующую политику для пользователя и компьютера в локальной или удаленной системе. Используется системными администраторами для анализа применяемых групповых политик. Синтаксис и возможности команды в небольшой степени различаются для разных версий ОС Windows. Основное отличие состоит в том, что отчеты в HTML и XML-формате можно получить только при использовании команды GPRESULT в среде Windows 7 и старше.
Формат командной строки:
GPRESULT [/S система [/U пользователь [/P пароль]]] [/USER имя_конечного_пользователя] [/R | /V | /Z] [(/X | /H) имя_файла [/F]]
Параметры командной строки:
Большая часть возможностей команды GPRESULT доступна при использовании редактора локальной групповой политики (оснастки панели управления gpedit.msc )
Пример отображаемой результирующей политики для подробнейшего режима при выполнении команды GPRESULT в ОС Windows 10:
Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) версии 2.0
c 2015 Корпорация Майкрософт. Все права защищены.
Создано 16.11.2015 в 12:10:18
Данные RSOP для comp1\user1 на comp1 : Режим ведения журнала
—-
| Конфигурация ОС: Версия ОС: Имя сайта: Перемещаемый профиль: Локальный профиль: Подкл. по медленному каналу: |
Изолированная рабочая станция 10.0.10240 Н/Д Н/Д C:\Users\user1 Нет |
Последнее применение групповой политики: 16.11.2015 в 11:44:50
Групповая политика была применена с: Н/Д
Порог медленного канала для групповой политики: 500 kbps
Имя домена: comp1
Тип домена: Локальный компьютер
Примененные объекты групповой политики
—
Local Group Policy
Компьютер является членом следующих групп безопасности
—
Обязательный уровень системы
Все
Пользователи
СЛУЖБА
КОНСОЛЬНЫЙ ВХОД
Прошедшие проверку
Данная организация
BDESVC
BITS
CertPropSvc
DcpSvc
dmwappushservice
DoSvc
DsmSvc
Eaphost
IKEEXT
iphlpsvc
LanmanServer
lfsvc
MSiSCSI
NcaSvc
NetSetupSvc
RasAuto
RasMan
RemoteAccess
RetailDemo
Schedule
SCPolicySvc
SENS
SessionEnv
SharedAccess
ShellHWDetection
UsoSvc
wercplsupport
Winmgmt
wlidsvc
wuauserv
XboxNetApiSvc
ЛОКАЛЬНЫЕ
Администраторы
Результирующий набор политик для компьютера
—
Установка программ
—
Н/Д
Сценарии запуска
—
Н/Д
Сценарии завершения работы
—
Н/Д
Политики учетных записей
—
Н/Д
Политика аудита
—
Н/Д
Права пользователя
—
Н/Д
Параметры безопасности
—
Н/Д
Параметры журнала событий
—
Н/Д
Группы с ограниченным доступом
—
Н/Д
Системные службы
—
Н/Д
Параметры реестра
—
Н/Д
Параметры файловой системы
—
Н/Д
Политики открытого ключа
—
Н/Д
GPO: Local Group Policy
Идентификатор папки:
Software\ Policies\ Microsoft\ WindowsMediaPlayer\ DesktopShortcut
Значение: 110, 0, 111, 0, 0, 0
Состояние: Включено
GPO: Local Group Policy
Идентификатор папки:
Software\ Policies\ Microsoft\ WindowsMediaPlayer\ DisableAutoUpdate
Значение: 1, 0, 0, 0
Состояние: Включено
Последнее применение групповой политики: 16.11.2015 в 11:43:05
Групповая политика была применена с: Н/Д
Порог медленного канала для групповой политики: 500 kbps
Имя домена: comp1
Тип домена: Локальный компьютер
Примененные объекты групповой политики
—
Local Group Policy
Пользователь является членом следующих групп безопасности
—
None
Все
Локальная учетная запись и член группы «Администраторы»
Администраторы
Пользователи
ИНТЕРАКТИВНЫЕ
КОНСОЛЬНЫЙ ВХОД
Прошедшие проверку
Данная организация
Локальная учетная запись
ЛОКАЛЬНЫЕ
Проверка подлинности NTLM
Высокий обязательный уровень
Привилегии безопасности данного пользователя
—
Обход перекрестной проверки
Управление аудитом и журналом безопасности
Архивация файлов и каталогов
Восстановление файлов и каталогов
Изменение системного времени
Завершение работы системы
Принудительное удаленное завершение работы
Смена владельцев файлов и других объектов
Отладка программ
Изменение параметров среды изготовителя
Профилирование производительности системы
Профилирование одного процесса
Увеличение приоритета выполнения
Загрузка и выгрузка драйверов устройств
Создание файла подкачки
Настройка квот памяти для процесса
Отключение компьютера от стыковочного узла
Выполнение задач по обслуживанию томов
Имитация клиента после проверки подлинности
Создание глобальных объектов
Изменение часового пояса
Создание символических ссылок
Увеличение рабочего набора процесса
Результирующий набор политик для пользователя
—
Установка программ
—
Н/Д
Сценарии входа
—
Н/Д
Сценарии выхода
—
Н/Д
Политики открытого ключа
—
Н/Д
GPO: Local Group Policy
Идентификатор папки:
Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ NoDriveTypeAutoRun
Значение: 255, 0, 0, 0
Состояние: Включено
GPO: Local Group Policy
Идентификатор папки:
Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ NoAutorun
Значение: 1, 0, 0, 0
Состояние: Включено
Перенаправление папок
—
Н/Д
Пользовательский интерфейс браузера Internet Explorer
—
Н/Д
Подключения Internet Explorer
—
Н/Д
URL-адреса Internet Explorer
—
Н/Д
Безопасность Internet Explorer
—
Н/Д
Программы Internet Explorer
—
Н/Д
Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»
Способы обновления групповых политик Windows на компьютерах домена
Интервал обновления параметров групповых политик
Чтобы новые настройки, которые вы задали в локальной или доменной групповой политике (GPO) применились на клиентах, необходимо, чтобы служба Group Policy Client перечитала политики и внесла изменения в настройки клиента. Это процесс называется обновление групповых политик. Настройки групповых политик обновляются при загрузке компьютере и входе пользователя, или автоматически в фоновом режиме раз в 90 минут + случайное смещение времени (offset) в интервале от 0 до 30 минут (т.е. политики гарантировано применятся на клиентах в интервале 90 – 120 минут после обновления файлов GPO на контроллере домена).
Включите политику (Enabled) и задайте время (в минутах) в следующих настройках:
GPUpdate.exe – команда обновления параметров групповых политики
Простая команда gpudate применяет только новые/измененные параметры GPO.
Если все OK, должны появится следующие строки:
Можно отдельно обновить параметры GPO из пользовательской секции:
или только политики компьютера:
gpupdate /target:computer /force
Если некоторые политики нельзя обновить в фоновом режиме, gpudate может выполнить logoff текущего пользователя:
gpupdate /target:user /logoff
Или выполнить перезагрузку компьютера (если изменения в GPO могут применится только во время загрузки Windows):
Принудительно обновление политики из консоли Group Policy Management Console (GPMC)
В консоли GPMC.msc (Group Policy Management Console), начиная с Windows Server 2012, появилась возможность удаленного обновления настроек групповых политик на компьютерах домена.
Теперь после изменения настроек или создания и прилинковки новой GPO, вам достаточно щелкнуть правой клавишей по нужному Organizational Unit (OU) в консоли GPMC и выбрать в контекстном меню пункт Group Policy Update. В новом окне появится количество компьютеров, на которых будет выполнено обновление GPO. Подтвердите принудительное обновление политик, нажав Yes.
Затем GPO по очереди обновяться на каждом компьютере в OU и вы получите результат со статусом обновления политик на компьютерах (Succeeded/Failed).
Данная команда удаленно создает на компьютерах задание планировщика с командой GPUpdate.exe /force для каждого залогиненого пользователя. Задание запускается через случайный промежуток времени (до 10 минут) для уменьшения нагрузки на сеть.
Если компьютер выключен, или доступ к нему блокируется файерволом напротив имени такого компьютера появится надпись “The remote procedure call was cancelled”.
Invoke-GPUpdate – обновление GPO из Powershell
Также вы можете вызвать удаленное обновление групповых политик на компьютерах с помощью PowerShell комнадлета Invoke-GPUpdate (входит в RSAT). Например, чтобы удаленно обновить пользовательские политики на определенном компьютере, можно использовать команду:
При запуске командлета Invoke-GPUpdate без параметров, он обновляет настройки GPO на текущем компьютере (аналог gpudate.exe).
В сочетании с командлетом Get-ADComputer вы можете обновить групповые политики на всех компьютерах в определенном OU:
или на всех компьютерах, которые попадают под определенный критерий (например, на всех Windows Server в домене):
Основы работы с редактором локальной групповой политики в ОС Windows 10
Групповые политики — это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.
Изменять групповые политики можно с помощью Редактора локальной групповой политики.
В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.
Групповые политики в Windows 10 позволяют управлять различными штатными средствами системы:
Для настройки параметров в операционной системе MS Windows 10 используется оснастка Редактор локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.
Оснастку Редактор объектов групповой политики можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc.
Рис.1 Окно Выполнить
Оснастка Локальная политика безопасности входит в состав оснастки Редактор
Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики
Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.
Содержание
Структура редактора групповой политики
Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.
В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.
Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.
Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.
Рис.3 Редактор локальной групповой политики
Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.
Рис.4 Настройка частоты обновления политик
Рис.5 Настройка частоты обновления политик
Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:
Рис.6 Обновление политик в командной строке
С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.
Рис.7 Обновление политик для пользователя в командной строке
Пример последовательности действий при редактировании определенной политики
Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:
Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления
Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления
Рис.10 Список разрешенных элементов панели управления
Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики
Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики
Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.
Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:
Последовательность действий при добавлении объектов групповой политики через консоль управления (Microsoft Management Console, MMC)
Добавление объекта групповой политики первого уровня
Рис.13 Добавление оснастки через консоль управления
Рис.14 Диалоговое окно Добавление и удаление оснасток
Рис.15 Диалоговое окно выбора объекта групповой политики
Добавление объекта групповой политики второго уровня
Рис.16 Настройка объекта групповой политики второго уровня
Добавление объекта групповой политики третьего уровня
Рис.17 Консоль управления
Теперь, используя данную консоль, можно настраивать политики для определенных пользователей.
Команда какие политики применяются
Цель этого материала – познакомить читателей с такой штукой как редактор локальной групповой политики в Windows 10.
Так же есть такое понятие как консоль управления групповыми политиками (MMC).
Microsoft Management Console (MMC) – это компонент Windows который представляет из себя графический интерфейс для настройки приложений и программ. Он появился в системах семейства Windows NT. Так же успешно работает в Windows 10.
Оснастка – это компонент для MMC, включающий набор параметров какого-либо модуля операционной системы (файловой системы, управления пользователями и т.д.) или прикладного приложения.
Набор параметров для прикладных программ может быть добавлен в оснастку при помощи административных шаблонов – особым образом структурированных файлов с расширением *.adm.
Групповая политика – это набор правил или настроек, в соответствии с которыми производится настройка рабочей среды Windows.
Консоль управления MMC
Наиболее популярные оснастки MMC это:
Оснастку «Управление устройствами» (диспетчер устройств) в Windows 10 можно вызвать при помощи команды devmgmt.msc.
Откроется диспетчер устройств.
Оснастку «Управление дисками» можно вызвать с помощью команды diskmgmt.msc.
Если вы хотите создать новую консоль, с каким-либо набором команд введите в окно поиска команду mmc.exe.
Вводите именно mmc.exe так как в Windows 10 команда mmc открывает приложение диспетчер Hyper-V. После ввода команды откроется новая консоль.
Что бы добавить в консоль оснастки нужно нажать «Файл»->«Добавить или удалить оснастку».
Для примера я добавлю «Анализ и настройка безопасности». Так же можно добавить «Управление дисками и другие оснастки».
Перед сохранением консоли (Файл->Сохранить как) нужно указать параметры (Файл->Параметры).
В параметрах существует возможность установки режима работы пользователя с этой консолью: авторский режим, предоставляющий пользователю полный доступ ко всем функциям MMC, и пользовательский режим.
Существует три вида пользовательского режима:
Перечень оснасток, которые можно добавить в консоль:
Редактор локальных групповых политик
Для запуска оснастки используется команда gpedit.msc. После выполнения команды появляется окно редактора локальных групповых политик.
Оснастка состоит из двух базовых частей:
Конфигурация компьютера используется для настроек политики, которая применяется к компьютеру независимо от того какой пользователь работает на нем.
Конфигурация пользователя используется для настроек политики, которая применяется к пользователю независимо от того, на каком компьютере он работает. Созданная политика может быть перенесена на другой компьютер.
Для того чтобы произвести экспорт данных необходимо в оснастке «Групповая политика» выделить нужный узел и во вкладке «Действие» выбрать пункт «Экспортировать список». В появившемся окне выбрать путь сохранения и указать имя файла.
Групповые политики компьютера
Конфигурация компьютера состоит из:
В этой статья рассматриваются «Административные шаблоны».
Пример. Как включить дисковые квоты в Windows 10 с помощью групповых политик?
Подобным образом с помощью административных шаблонов можно выполнить множество настроек операционной системы.
Групповые политики пользователя
«Конфигурация пользователя» по умолчанию состоит из тех же разделов, что и «Конфигурация компьютера». Рассмотрим раздел «Административные возможности».
Например, при помощи групповой политики можно запретить доступ к дискам.
Можно, собственно, запретить доступ к панели управления и параметрам компьютера.
В этом разделе очень много настроек, описывать все можно до бесконечности, поэтому если вам интересно – посмотрите, что еще есть в разделе «Административные шаблоны» самостоятельно.
Управление административными шаблонами в групповых политиках
Добавлять и удалять шаблоны в разделе «Административные шаблоны» можно щелкнув правой кнопкой мыши по разделу и выбрав команду «Добавление и удаление шаблонов».
Например, вы можете добавить appbar.adm – административный шаблон Adobe Photoshop.
Так же существует шаблон system.adm – общие параметры системы и другие.
Итак, в целом мы рассмотрели, как работает редактор локальной групповой политики в Windows 10.
Вопросы и ответы для самоконтроля
Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.
Group Policy (GPO)
 |
Эта статья находится в процессе написания. Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом. |
Содержание
Необходимая база
Необходимые инструменты
Windows Server 2008 и Windows Server 2008 R2 включают консоль управления групповыми политиками при выполнении роли доменных служб Active Directory. В противном случае можно установить консоль управления групповыми политиками на Windows Server 2008, Windows Server 2008 R2, Windows 7 и пр.
Средство создания и управления точками соединения NTFS: Linkd.exe
Частота обновления групповой политики
Следующие события вызывают применение обьектов групповой политики:
Статья «Настройка частоты обновления групповой политики для компьютеров» http://technet.microsoft.com/ru-ru/library/cc758634%28WS.10%29.aspx . При минимальном значении параметра «Интервал обновления групповой политики» (ноль минут) фактическое время между запросом и обновлением составит около семи секунд.
Резервное копирование групповой политики
Архивирование
Восстановление
Политики приложений
С помощью Group Policy можно реализовать два варианта развертывания приложений:
Создание GPO
Требуется открыть окно оснастки Active Directory Users and Computers консоли Microsoft Management Console (MMC), щелкнуть правой кнопкой мыши на домене или на организационной единице, к которой нужно применить избранную политику, и далее щелкнуть на пункте Properties. Перейдя на закладку Group Policy, следует создать новый объект GPO или выбрать один из существующих и щелкнуть на кнопке Edit.
Создавать пакеты для развертывания приложений нужно на ветви политики Software Settings\Software Installation, расположенной под ветвями Computer Configuration и User Configuration.
Чтобы создать политику пакета, правой клавишей мыши требуется щелкнуть на ветви Software Installation под ветвью Computer Configuration или User Configuration и выбрать элементы New и Package. В диалоговом окне Open нужно указать путь к файлу пакета (.msi) в общей папке.
 |
ВНИМАНИЕ! Хотя добавленные групповые политику пакетов отображаются в алфавитном порядке, применяются они в порядке добавления. |
Закладка Deployment
Импорт групповой политики
В последнее время программное обеспечение поставляется с инструментами управления через GPO. С помощью этого инструментария, например для браузеров, можно настраивать прокси-сервер, стартовую страницу и др. Комлекты поставок бывают в 2 форматах: adm и admx. Способ их установки описан далее.
Позволяет использовать параметры шаблона для отдельно взятой групповой политики:
Во-первых надо скопировать файлы ADMX и ADML в папку %systemroot%\PolicyDefinitions, расположенную на компютере, где выполняется редактирование групповой политики. Либо, если операция выполняется на центральном хранилище GPO, а папку SYSVOL\ \policies\PolicyDefinitions\ (Вместо надо использовать соответствующую требуемому языку папку, например EN-US). Таким образом параметры установленного шаблона будут доступны для вновь созданных групповых политик и уже имеющихся.
Установка ПО
Сатья «Использование установки программного обеспечения групповой политики для развертывания выпуска 2007 системы Microsoft Office» http://technet.microsoft.com/ru-ru/library/cc179214%28office.12%29.aspx
JRE 1.6
OpenOffice & LibreOffice
Adobe Reader
Скачиваем с сайта Adobe msi-дистрибутив по ссылке: ftp://ftp.adobe.com/pub/adobe/reader/win/
Adobe Flash Plugin
Скачиваем с сайта Adobe msi-дистрибутивы плагинов по ссылке:
Mozilla Firefox и настройка его параметров средствами GPO
Kaspersky Antivirus 6.0
Распаковываем дистрибутив в общую папку, в нее же (рядом с msi-файлом) кладем лицензионный ключ и конфигурационный файл с именем Install.cfg (имя важно!).
Установка касперского без GPO со всем настройками:
Google Chrome
Как отключить скринсейвера
(How to disable screensaver)
Go to GPO linked to your Terminal Server > User Configuration > Policies > Administrative Tempaltes > Cocntrol Panel > Display > you need a setting called «Screen Saver» set Disabled
Как запретить выключение компьютера с Windows XP
Фильтры WMI
Как применить групповую политику к пользователям на определенном компьютере
Чтобы решить эту задачу следует воспользоваться фильтрами WMI. Они позволяют динамически определять область действия объектов групповой политики (GPO) при помощи атрибутов заданного компьютера, таких как, например, имя.
Создать новый фильтр можно в оснастке Управление групповой политикой в контейнере Фильтры WMI вашего домена воспользовавшись через контекстное меню пунктом Создать. В появившемся диалоговом окне:
Применить созданный фильтр можно выбрав групповую политику, применяющуюся по нему, и в окне ее свойств в разделе Фильтр WMI выбрать его название.
Запрет применения политики для определнной группы безопасности
Для этого перейдите в Управление групповой политикой, выберите необходимую политику и на закладке Делегирование нажмите кнопку Дополнительно. В появившемся окне добавьте требуемую группу и отметьте пункт Применять политику как Запретить .
Задать пароль встроенной учетной записи локального администратора через GPO
Для сети, где рабочие станции работают под управлениес нескольких поколений ОС Windows (XP, Vista и 7), данная операция требует 2 шагов:
Подключение сетевого диска средствами GPO
Создаем на сетевом хранилище папку, назначаем ей соотв. права доступа. Подключаем сетевой диск для группы пользователей: