Назначение политики для группы компьютеров

Обновлено: 04.07.2024

Групповые политики Windows являются неотъемлемой частью администрирования Windows-систем. Рассмотрим примеры работы с этим инструментом на VDS под управлением ОС семейства Windows Server.

Для чего необходимы групповые политики

Говоря простым языком, Групповая политика - это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.

Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.

Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.

Компоненты GPO

Выделяют два компонента групповых политик - клиентский и серверный, т.е. формируется структура “клиент-сервер”.

Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей” называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.

Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.

Для администрирования GPO используют оснастки MMC - Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

  • Централизованная настройка пакета программ Microsoft Office.
  • Централизованная настройка управлением питанием компьютеров.
  • Настройка веб-браузеров и принтеров.
  • Установка и обновление ПО.
  • Применение определенных правил в зависимости от местоположения пользователя.
  • Централизованные настройки безопасности.
  • Перенаправление каталогов в пределах домена.
  • Настройка прав доступа к приложениям и системным программам.

Оснастка управления групповыми политиками

Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:

И нажимаем “OK”.


Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.

Открываем диспетчер серверов и выбираем установку ролей и компонентов.


На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.


Так как установка выполняется для текущего сервера - нажимаем “Далее”.


Установку серверных ролей пропускаем нажатием на кнопку “Далее”.

На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.


Завершаем установку компонентов как обычно.

Окно оснастки управления групповой политикой выглядит так:


Создание объектов групповой политики

Добавим новый объект групповой политики. В левой части, проследуем по пути: Лес → Домены → <Ваш Домен> → Объекты групповой политики.

В правой части окна, кликаем правой кнопкой мыши в свободном месте. В открывшемся контекстном меню, выбираем “Создать”.


В открывшемся окне, вводим имя новой политики. Нажимаем “OK”.


Добавленный объект появится в общем списке:


Настроим созданный объект

Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контектстном меню выбираем “Изменить”.


Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом - удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.

В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.


Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.

В открывшемся окне изменим состояние на “Включено”. В поле комментария рекомендуем не игнорировать. Для завершения настройки нажимаем “OK”.


Создание объектов можно считать оконченным.

Поиск объектов

В корпоративных средах, как правило, создается большое количество объектов GPO. Хорошо было бы уметь находить нужный объект. У консоли есть данный функционал. Для этого, в левой части окна кликаем правой кнопкой мыши по лесу. В открывшемся меню выбираем “Найти. ”


В открывшемся окне выбираем в каком домене выполнять поиск. Можно выполнить поиск и по всем доменам, но это может занять продолжительное время.

Попробуем найти созданный ранее объект.

В поле “Элемент поиска” из выпадающего списка выбираем “Имя объекта групповой политики”. В условии оставляем вариант “Содержит”. В “Значение“ указываем имя созданной ранее политики. Именно по этой причине следует создавать понятные имена политик. Нажимаем кнопку “Добавить”.

Критерии поиска заданы. нажимаем кнопку “Найти” и просматриваем результаты поиска.


Удаление объекта групповой политики

Если в объекте GPO пропадает необходимость, будет лучше его удалить. Кликаем по созданному объекту правой кнопкой мыши, в контекстном меню выбираем “Удалить”. Если уверены в своем решении, на вопрос подтверждения отвечаем “Да”.

Продолжая тему применения групповых политик, начатую в предыдущей статье, поговорим об особенностях применения политик в зависимости от объекта применения. Как вам наверняка известно, объект групповой политики (GPO) может быть применен как к пользователю, так и к компьютеру. Поэтому у каждого GPO имеются два независимых раздела:

стандартная GPO

Каждый из разделов не зависит друг от друга и при необходимости может быть отключен в свойствах GPO. Отключение неиспользуемого раздела позволяет уменьшить трафик, что может быть актуально при большом количестве применяемых политик.

отключение конфигурации пользователя и\или компьютера в GPO

Приоритет и порядок применения

Применение политик для пользователя и компьютера несколько отличаются. Политики компьютера применяются при загрузке операционной системы и влияют на всех пользователей данного компьютера. Политики пользователя применяются при входе пользователя в систему и, соответственно, влияют только на этого пользователя.

Набор настроек для пользователя и для компьютера достаточно сильно отличается, но все же можно найти одинаковые настройки, встречающиеся в обоих разделах. И если говорить о приоритете, то политики компьютера являются более глобальными и имеют больший приоритет, чем политики пользователя.

Чтобы убедиться в этом, проведем небольшой эксперимент. В качестве подопытных будут рабочая станция wks1 и пользователь Kirill, к которым и будут применяться соответствующие политики.

Для начала зайдем на wks1, запустим Internet Explorer и проверим, что у него присутствует так называемая Панель команд (Command bar).

IE до применения политик

Теперь берем объект групповой политики GPO2, назначенный на домен, и в разделе User Configuration\Administrative Templates\Windows Components\Internet Explorer\Toolbars переводим параметр «Hide the Command bar» в состояние «Disabled». Это означает, что панель команд должна быть видна в окне IE.

включение настроек на уровне пользователя

Снова заходим в систему, запускаем IE и убеждаемся в том, что панель на месте, а в свойствах IE пункт меню, отвечающий за скрытие панели команд, неактивен. Это значит, что данный параметр управляется с помощью групповых политик.

результат применения пользовательских настроек в GPO

Итак, политика пользователя отработала, время применить политику компьютера. Снова берем GPO2 и в разделе Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Toolbars устанавливаем параметр «Hide the Command bar» в состояние «Enabled». Эта настройка имеет противоположный эффект и означает, что панель команд в IE должна быть скрыта.

включение настроек GPO на уровне компьютера

Еще раз заходим на wks1, форсируем применение групповых политик и открываем окно IE. Как видите, теперь панель команд скрыта, при этом в свойствах IE соответствующий пункт меню по прежнему неактивен. Это говорит о том, что политика компьютера успешно отработала и переопределила настройки политики пользователя.

результат применения настроек компьютера в GPO

Замыкание групповой политики

Понятно, что GPO, содержащие настройки пользователя, должны применяться к OU, в которых находятся пользователи. И наоборот, GPO с настройками для компьютеров должны быть назначены на OU, эти самые компьютеры содержащие. И если взять GPO, в котором находятся параметры пользователя, и попытаться применить его к OU, в котором находятся компьютеры, то ничего не произойдет, т.к. у настроек просто не будет объекта применения.

Однако иногда бывают ситуации, к пользователю необходимо применить настройки, зависящие от расположения компьютера. К примеру, у вас имеется группа терминальных серверов, для которых определены особые настройки безопасности. Соответственно пользователи, работающие на этих серверах, должны получить настройки, отличные от своих обычных настроек.

В данной ситуации требуется применить настройки пользователя к группе компьютеров. И поможет в этом режим замыкания групповой политики (Loopback Processing mode).

Для включения этого режима надо открыть нужный GPO, перейти в раздел Computer Configuration\Administrative Template\System\Group Policy, активировать параметр «Configure user Group Policy Loopback Processing mode» и выбрать нужный режим работы:

Примечание. При использовании Loopback Processing mode в режиме Merge политика отрабатывает дважды. Об этом надо помнить, особенно при использовании logon-скриптов.

замыкание групповой политики

Для наглядности возьмем GPO3, назначенный на OU Workstations. Как следует из названия, в данном OU находятся только рабочие станции, пользователей там нет. Откроем GPO3 на редактирование и в разделе User Configuration установим для пользователя в качестве рисунка рабочего стола изображение loopback.jpg. Затем перейдем в раздел Computer Configuration\Administrative Template\System\Group Policy и включим «Configure user Group Policy Loopback Processing mode» в режиме «Merge».

настройка замыкания групповой политики пользователя

Теперь заходим на рабочую станцию wks1, находящуюся в OU Workstations и видим, что обои рабочего стола сменились, т.е. к пользователю применилась политика GPO3, назначенная на компьютеры.

результат работы замыкания групповой политики

На этом вторую часть статьи можно считать законченной. А в третьей, заключительной части разговор пойдет о различных способах фильтрации групповых политик.

Групповая политика — это функция Windows, которая содержит множество дополнительных настроек, особенно для сетевых администраторов. Однако локальную групповую политику также можно использовать для настройки параметров на одном компьютере.


Групповая политика не предназначена для домашних пользователей, поэтому она доступна только в версиях Windows Professional, Ultimate и Enterprise.

Централизованная групповая политика

Если вы используете компьютер с Windows в среде Active Directory, параметры групповой политики можно определить на контроллере домена. У сетевых администраторов есть одно место, где они могут настраивать различные параметры Windows для каждого компьютера в сети. Эти настройки также можно применить принудительно, чтобы пользователи не могли их изменить. Например, с помощью групповой политики сетевой администратор может заблокировать доступ к определенным разделам панели управления Windows или установить определённый веб-сайт в качестве домашней страницы для каждого компьютера в сети.


Это может быть полезно для блокировки компьютеров, ограничения доступа к определенным папкам, апплетам панели управления и приложениям. Это также можно использовать для изменения различных настроек Windows, в том числе тех, которые нельзя изменить с панели управления или которые требуют изменения реестра.

Многие параметры групповой политики фактически изменяют значения реестра в фоновом режиме — фактически, вы можете видеть, какое значение реестра изменяет параметр групповой политики. Однако групповая политика обеспечивает более удобный интерфейс и возможность принудительного применения этих параметров.

Локальная групповая политика

Однако групповая политика полезна не только для компьютерных сетей на предприятиях или в школах. Если вы используете профессиональную версию Windows, вы можете использовать локальный редактор групповой политики, чтобы изменить настройки групповой политики на вашем компьютере.

Используя групповую политику, вы можете настроить некоторые параметры Windows, которые обычно недоступны в графическом интерфейсе. Например, если вы хотите настроить собственный экран входа в систему в Windows 10, вы можете использовать редактор реестра или редактор групповой политики — проще изменить этот параметр в редакторе групповой политики. Вы также можете настроить другие области Windows 10 с помощью редактора групповой политики — например, вы можете полностью скрыть область уведомлений (также известную как панель задач).

Локальный редактор групповой политики также можно использовать для блокировки компьютера, как если бы вы заблокировали компьютер в корпоративной сети. Это может быть полезно, если у вас есть дети, использующие ваш компьютер. Например, вы можете разрешить пользователям запускать только определённые программы, ограничить доступ к определенным дискам или установить требования к паролю учётной записи пользователя, включая установку минимальной длины паролей на компьютере.


Как пользоваться локальной групповой политики

Чтобы получить доступ к локальному редактору групповой политики на вашем компьютере с Windows (при условии, что вы используете профессиональную версию Windows или более функциональную, но не домашнюю версию), откройте меню «Пуск», введите

и нажмите Enter.


Если вы не видите приложение gpedit.msc, вы используете домашнюю версию Windows.

Вероятно, вам не стоит просто так копаться в редакторе групповой политики и искать параметры, которые нужно изменить, но если вы видите статью в Интернете, в которой рекомендуется изменить настройку Групповой политики для достижения определённой цели, то это именно то место, где вы можете это сделать.

Параметры групповой политики разделены на два раздела: раздел «Конфигурация компьютера» управляет настройками компьютера, а раздел «Конфигурация пользователя» – настройками пользователя.


Например, настройки Microsoft Edge находятся в папке «Административные шаблоны\Компоненты Windows\Microsoft Edge».


Вы можете изменить параметр, дважды щёлкнув его, выбрав новый параметр и нажав кнопку ОК.


Это лишь малая часть того, что вы можете делать с групповой политикой.

Теперь вы должны лучше понимать групповую политику, то, что вы можете с ней делать, и чем она отличается от редактора реестра, который не предназначен для простого редактирования настроек вручную.

Групповая политика - это оснастка консоли управления Microsoft и централизованное приложение, которое позволяет всего несколькими щелчками мыши изменять различные дополнительные параметры, связанные с операционной системой, пользователями и различными приложениями.

Редактор групповой политики представлен в двух вариантах. Первый - это централизованная или групповая политика Active Directory, а второй - локальная групповая политика.

Групповая политика Active Directory

Групповая политика Active Directory в основном используется сетевыми администраторами для управления и настройки компьютеров в одном домене путем изменения объектов политики. Системные администраторы могут не только изменять расширенные настройки, но также могут применять эти изменения с помощью групповой политики. Применение политики гарантирует, что другие пользователи не смогут изменять параметры без соответствующих разрешений.

Например, изменяя единую политику под названием «Отключить установщик Windows», сетевой администратор может заблокировать для всех пользователей на любом компьютере в одном домене установку или обновление любого программного обеспечения в Windows.

Локальная групповая политика

Локальная групповая политика ничем не отличается от групповой политики Active Directory. В то время как групповая политика Active Directory используется в профессиональных средах, таких как офисы, для управления сетью компьютеров, локальная групповая политика используется для настройки параметров пользователей на одном компьютере.

Конечно, чтобы внести какие-либо изменения в локальную групповую политику, вам нужны права администратора. В случае централизованной или групповой политики Active Directory вам необходимо иметь права администратора сети.

Категории в редакторе локальной групповой политики

Когда дело доходит до внесения изменений в групповую политику, большинство из нас когда-либо используют только редактор локальной групповой политики. В целом, локальная групповая политика делится на две основные категории, называемые «Конфигурация компьютера» и «Конфигурация пользователя».

Конфигурация компьютера . Политики этой категории применяются ко всему компьютеру независимо от пользователя. Например, если вы хотите применить политику надежности пароля для всех пользователей на компьютере, измените соответствующую политику в этой категории.

Конфигурация пользователя . Политики этой категории применяются к пользователям, а не ко всему компьютеру. Поскольку политики применяются к пользователям, а не к компьютеру, независимо от того, с какого компьютера пользователь входит в систему, политики автоматически применяются Windows.

Если вы когда-либо просматривали эти категории, вы могли видеть одинаковые политики в обеих категориях, которые можно настраивать независимо. В случае какого-либо конфликта политик между конфигурацией компьютера и категориями конфигурации пользователя, конфигурация компьютера переопределяет конфигурациям пользователя.

Читайте также: