New-gpo

Оглавление

Основное предназначение предпочтений

Как считается, на локальном уровне заниматься изменением настроек политик смысла нет. Установка настраиваемых расширенных опций большей частью может применяться в корпоративных системах с разветвленными локальными сетями на предприятиях или в офисах.

В этом смысле системный администратор, управляющий дочерними машинами с центрального сервера, может, что называется, упростить жизнь и себе, и рядовым сотрудникам, один раз сделав соответствующие настройки

При этом совершенно неважно, какая именно модификация операционной системы установлена на сетевых компьютерах или каким образом производится их загрузка (например, по сети при отсутствии на дочерних терминалах жестких дисков)

Каким именно образом будет производиться настройка параметров, администратор решает сам. Тут все зависит от того, как операционные системы загружаются на локальных компьютерах. С одной стороны, вроде бы использование клиента групповой или локальной политики выглядит проще. С другой – действия с системным реестром имеют повышенный приоритет. Отменить произведенные действия в нем нельзя, не говоря уже о том, что в редакторе политик переустановленные опции просто станут недоступными.

Впрочем, редактирование реестра можно применять, когда загрузка ОС осуществляется с центрального сервера, например, при подключении сетевых терминалов по схеме «звезда». На отдельно взятых компьютерах с установленными на них операционных системах рыться в параметрах – дело совершенно ненужное, поэтому тут лучше использовать именно настройки политик. Впрочем, при знании вопроса некоторые параметры можно задать для клиента, а некоторые (особо важные) отредактировать в реестре. Ничего плохого в этом не будет, даже несмотря на то, что некоторые настройки дублируются и там, и там.

Целевые объекты

Что касается выбора параметров, в основном все эти действия рассчитаны на установку или отмену действующих санкций в самой системе применительно к локальному пользователю или группе. Даже понижение степени контроля зарегистрированных «учеток» при задействовании активных параметров групповых политик ни к чему не приведет (у пользователя как минимум на это не будет прав).

Сами же объекты, которые используют программы групповой политики, в основном относятся к пользовательским настройкам, опции которых при соответствующих действиях системного администратора могут иметь запрещающие, разрешающие или исключающие правила. Это параметры входа в систему (отображение заставки и картинки «Рабочего стола», автозагрузка). Заметьте, что ни одно приложение, включая Windows Manager, не может изменять настройки политик. Это можно сделать либо в редакторе, либо в системном реестре.

Назначение политики для пакета пользователей

Использование Центра администрирования

Чтобы массово назначить политику пользователям:

  1. В левой области навигации центра администрирования Microsoft Teams выберите Пользователи.
  2. Найщите пользователей, для них нужно назначить политику, или отфильтруем представление, чтобы отфильтровать нужных пользователей.
  3. В столбце ✓ (галочка) выберите пользователей. Чтобы выбрать всех пользователей, щелкните ✓ (галочку) в верхней части таблицы.
  4. Выберите Изменить параметры, внесите нужные изменения и выберите Применить.

Чтобы просмотреть состояние назначения политики, на баннере, который появляется в верхней части страницы Пользователи после выбора применить для отправки задания политики, выберите журнал действий. Или в левой области навигации Центра администрирования Microsoft Teams перейдите в панель мониторинга, а затем в журнале действий выберите Просмотреть сведения. В журнале действий показаны назначения политик более чем 20 пользователям через Microsoft Teams центре администрирования за последние 30 дней. Дополнительные данные см. в журнале действий.

Использование метода PowerShell

Примечание

В настоящее время назначение пакетной политики с помощью PowerShell доступно не для Teams типов политик. Список поддерживаемых типов политик см. в списке New-CsBatchPolicyAssignmentOperation.

При назначении пакетной политики вы можете назначать политику большому набору пользователей одновременно, не пользуясь сценарием. Для отправки пакета пользователей и политики, которую вы хотите назначить, используется cmdlet New-CsBatchPolicyAssignmentOperation. Задания будут обрабатываться в фоновом режиме, а для каждого пакета будет создан идентификатор операции. Затем можно использовать для отслеживания хода выполнения и состояния заданий в пакете с помощью get-CsBatchPolicyAssignmentOperation.

Укажите пользователей по их ИД объекта или SIP-адресу. SIP-адрес пользователя часто имеет то же значение, что и имя пользователя (UPN) или адрес электронной почты, но это не обязательно. Если имя пользователя указано с помощью его имя-пользователя или электронной почты, но его значение отличается от SIP-адреса, назначение политики для него не удастся. Если пакет содержит дубликатов пользователей, они будут удалены из пакета до обработки, а состояние будет предоставлено только для уникальных пользователей, оставшихся в пакете.

Пакет может содержать до 5 000 пользователей. Для получения наилучших результатов не от отправки нескольких пакетов за один раз. Разрешить обработку пакетов перед отправкой дополнительных пакетов.

Установка и подключение к Teams PowerShell

Чтобы установить модуль Microsoft Teams PowerShell,запустите следующую Microsoft Teams. Установите версию 1.0.5 или более поздней.

Чтобы подключиться к Teams и начать сеанс, Teams выполнить следующее:

Когда вам будет предложено, войте в учетные данные администратора.

Установка и подключение к Azure AD PowerShell для Graph (необязательно)

Кроме того, может потребоваться скачать и установить модуль Azure AD PowerShell для Graph (если вы еще не сделали этого) и подключиться к Azure AD, чтобы получить список пользователей в организации.

Чтобы подключиться к Azure AD, запустите следующую службу:

В окне запроса войтесь в учетные данные администратора, которые использовались для подключения к Teams.

Назначение политики установки для пакета пользователей

В этом примере с помощью нового CsBatchPolicyAssignmentOperation назначим политику настройки приложений с названием Политика настройки приложений для отдела кадров пакету пользователей, перечисленных в Users_ids.text file.

В этом примере мы подключаемся к Azure AD, чтобы получить набор пользователей, а затем назначим политику обмена сообщениями «Новая политика обмена сообщениями о приеме на работу» пакету пользователей, указанному с помощью их SIP-адреса.

Получить состояние пакета назначения

Чтобы получить состояние пакета назначения, где OperationId — это код операции, возвращаемый этим cmdlet для заданного пакета, запустите следующую операцию:

Если выходные данные показывают, что произошла ошибка, запустите следующую, чтобы получить дополнительные сведения об ошибках, которые находятся в свойстве.

Подробнее см. в get-CsBatchPolicyAssignmentOperation.

Дополнительная информация

Если сосредоточиться на локальном GPO с помощью оснастки редактора групповой политики MMC, то вполне нормально, что некоторые области политики, которые обычно можно увидеть при редактировании GPO на основе Active Directory, не присутствуют. Это ожидаемое поведение, так как локальное GPO поддерживает только подмножество компонентов в GPO на основе Active Directory. Однако иногда даже при сосредоточении внимания на GGP на основе Active Directory некоторые области политики, которые должны присутствовать, отсутствуют. В этом случае наиболее вероятной причиной является отсутствие регистраций для DLLs оснастки MMC, реализующих эту функцию, и путем повторной регистрации отсутствующих DLL и перезапуска редактора групповой политики проблема может быть решена.

Community Отказ от контента решений

Корпорация Майкрософт и/или соответствующие поставщики не делают представлений о пригодности, надежности или точности сведений и связанных с ними графических данных, содержащихся в этой записи. Вся такая информация и связанная графика предоставляются «как есть» без какой-либо гарантии. Корпорация Майкрософт и/или соответствующие поставщики тем самым отключили все гарантии и условия в отношении этой информации и связанной графики, включая все подразумеваемые гарантии и условия торговой доступности, пригодность для определенной цели, рабочий труд, название и неущемление. Вы соглашаетесь, что ни в каких событиях корпорация Майкрософт и/или ее поставщики не несут ответственности за любые прямые, косвенные, штрафные, случайные, специальные, сопутствующие повреждения или любые повреждения, включая без ограничений убытки за потерю использования, данных или прибыли, возникающие из-за использования или невозможности использования сведений и связанных с ними графических элементов, содержащихся в этом деле, независимо от того, были ли они связаны с контрактом, тортом, халатностью, строгой ответственностью или иным образом, даже если корпорации Майкрософт или любому из ее поставщиков было рекомендовано о возможности ущерба.

Расширенное управление групповой политикой

Microsoft также выпустила инструмент для внесения изменений в групповую политику под названием Advanced Group Policy Management (также известный как AGPM). Этот инструмент доступен для любой организации, имеющей лицензию на пакет Microsoft Desktop Optimization Pack (также известный как MDOP). Этот расширенный инструмент позволяет администраторам иметь процесс регистрации и возврата для изменения объектов групповой политики, отслеживать изменения в объектах групповой политики и реализовывать рабочие процессы утверждения для изменений в объектах групповой политики.

AGPM состоит из двух частей — серверной и клиентской. Сервер — это служба Windows, которая хранит свои объекты групповой политики в архиве, расположенном на том же компьютере или в общей сетевой папке. Клиент представляет собой оснастку консоли управления групповой политикой и подключается к серверу AGPM. Настройка клиента осуществляется через групповую политику.

Групповая политика Windows: что это?

Для начала ознакомимся с самим термином. Что такое групповая политика «Виндовс»? Это некий набор правил, применяемых к настройкам самой операционной системы или к установленным опциям для каждого конкретного пользователя, которые, грубо говоря, предопределяют его статус в плане изменения тех или иных параметров.

Таким образом, настройка групповой политики позволяет установить для каждого юзера свои приоритеты доступа к конфигурации системы, вызову определенных программ, маневрированию на уровне включения или отключения элементов управления системой или ее компонентами. Но! Не стоит путать сами политики и задаваемые предпочтения. Они были изначально разработаны как некое дополнение к опциям самих политик. В некоторых случаях они даже не зависят от политик, поскольку применяются в системах Windows с включенным доменом доступа Active Directory.

Настройка параметров для принтера для пользователей

  1. Выберите Начните, укажи программы, укажи на административные средства, а затем выберите пользователей и компьютеров Active Directory.

  2. Выберите контейнер Active Directory для домена, который вы хотите управлять (организационного подразделения или домена). Щелкните правой кнопкой мыши этот контейнер, а затем выберите Свойства.

  3. Выберите New для создания новой групповой политики.

  4. В редакторе групповой политики разложите следующие папки:

    • Пользовательская конфигурация
    • Административные шаблоны
    • Панель управления
    • Printers

Следующие параметры можно настроить в соответствии с конфигурацией пользователя:

  • Отключение удаления принтеров: предотвращает удаление локальных и сетевых принтеров пользователями. Если пользователь пытается удалить принтер, например с помощью команды Удалить в инструменте Принтеры в панели управления, Windows отображает сообщение, объясняя, что действие предотвращено политикой. Однако эта политика не мешает пользователям запускать программы для удаления принтера.

  • Отключение добавления принтеров: не позволяет пользователям использовать знакомые методы для добавления локальных и сетевых принтеров. Эта политика удаляет мастер добавления принтера из меню «Пуск» и из папки Принтеры в панели управления. Кроме того, пользователи не могут добавлять принтеры, перетаскив значок принтера в папку Принтеры. Если они пытаются использовать этот метод, появляется сообщение, объясняя, что действие отключено политикой.

    Эта политика не мешает пользователям использовать мастер add/Remove Hardware для добавления принтера. Это также не мешает пользователям запускать программы для добавления принтеров. Эта политика не удаляет принтеры, которые уже добавлены пользователями. Однако, если пользователи не добавили принтер при применении этой политики, они не могут распечатать.

    Примечание

    Вы можете использовать разрешения принтера, чтобы ограничить использование принтеров без установки политики. В папке Принтеры щелкните правой кнопкой мыши принтер, щелкните Свойства и нажмите вкладку Безопасность.

  • Отображение страницы вниз по уровню в мастере Добавить принтер: позволяет пользователям просматривать сеть для общих принтеров в мастере Добавить принтер. Если включить эту политику, когда пользователи щелкнуть Добавить сетевой принтер, но не ввести имя конкретного принтера, мастер добавить принтер отображает список всех общих принтеров в сети и подсказок пользователям выбрать принтер. Если отключить эту политику, пользователи не смогут просматривать сеть. Вместо этого они должны ввести имя принтера.

    Эта политика влияет только на мастера добавить принтер. Это не мешает пользователям использовать другие средства для просмотра общих принтеров или подключения к сетевым принтерам.

  • Путь Active Directory по умолчанию при поиске принтеров: указывает расположение Active Directory, в котором начинаются поиски принтеров.

    Мастер add Printer предоставляет пользователям возможность поиска Active Directory для общего принтера. Если вы включаете эту политику, эти поиски начинаются в том расположении, которое указано в поле путь Active Directory по умолчанию. В противном случае поиск начинается в корне Active Directory.

    Эта политика служит отправной точкой для поиска принтеров Active Directory. Это не ограничивает поиск пользователей через Active Directory.

  • Включить просмотр для интернет-принтеров: Добавляет путь к веб-странице Интернета или интрасети мастеру добавить принтер.

    Эту политику можно использовать для того, чтобы направлять пользователей на веб-страницу, с которой они могут устанавливать принтеры.

    Если включить эту политику и ввести адрес Интернета или интрасети в текстовом окне, Windows добавляет кнопку Просмотр страницы Найдите принтер в мастере добавить принтер. Кнопка Просмотр отображается рядом с Подключение принтером в Интернете или параметром Интрасети вашей компании. Когда пользователи нажимают кнопку Просмотр, Windows открывает браузер в Интернете и переходит на указанный адрес, чтобы отобразить доступные принтеры.

    Эта политика упрощает поиск принтеров, которые необходимо добавить.

Фильтры политик

Минусом редактора является отсутствие функции поиска. Существует множество различных настроек и параметров, их больше трех тысяч, все они разбросаны по отдельным папкам, а поиск приходится осуществлять вручную. Однако данный процесс упрощается благодаря структурированной группе из двух ветвей, в которых расположились тематические папки.

Например, в разделе «Административные шаблоны», в любой конфигурации, находятся политики, которые никак не связаны с безопасностью. В этой папке находится еще несколько папок с определенными настройками, однако можно включить полное отображение всех параметров, для этого нужно нажать на ветвь и выбрать пункт в правой части редактора «Все параметры», что приведет к открытию всех политик данной ветви.

Экспорт списка политик

Если все-таки появляется необходимость найти определенный параметр, то сделать это можно только путем экспорта списка в текстовый формат, а потом уже через, например Word, осуществлять поиск. В главном окне редактора есть специальная функция «Экспорт списка», он переносит все политики в формат TXT и сохраняет в выбранном месте на компьютере.

Применение фильтрации

Благодаря появлению ветви «Все параметры» и улучшению функции фильтрации поиск практически не нужен, ведь лишнее откидывается путем применения фильтров, а отображаться будут только необходимые политики. Давайте подробнее рассмотрим процесс применения фильтрации:

  1. Выберите, например, «Конфигурация компьютера», откройте раздел «Административные шаблоны» и перейдите в «Все параметры».

Разверните всплывающее меню «Действие» и перейдите в «Параметры фильтра».

Поставьте галочку возле пункта «Включить фильтры по ключевым словам». Здесь имеется несколько вариантов подбора соответствий. Откройте всплывающее меню напротив строки ввода текста и выберите «Любой» – если нужно отображать все политики, которые соответствуют хотя бы одному указанному слову, «Все» – отобразит политики, содержащие текст из строки в любом порядке, «Точный» – только параметры, точно соответствующие заданному фильтру по словам, в правильном порядке. Флажками снизу строки соответствий отмечаются места, где будет осуществляться выборка.

Нажмите «ОК» и после этого в строке «Состояние» отобразятся только подходящие параметры.

В том же всплывающем меню «Действие» ставится или убирается галочка напротив строки «Фильтр», если нужно применить или отменить заранее заданные настройки подбора соответствий.

Принцип работы с групповыми политиками

Рассматриваемый в этой статье инструмент позволяет применять множество самых разнообразных параметров. К сожалению, большинство из них понятно только профессионалам, использующим групповые политики в рабочих целях. Однако и обычному пользователю есть что настроить, используя некоторые параметры. Разберем несколько простых примеров.

Изменение окна безопасности Windows

Если в Виндовс 7 зажать сочетание клавиш Ctrl + Alt + Delete, то будет запущено окно безопасности, где осуществляется переход к диспетчеру задач, блокировка ПК, завершение сеанса системы, смена профиля пользователя и пароля.

Каждая команда за исключением «Сменить пользователя» доступна для редактирования путем изменения нескольких параметров. Выполняется это в среде с параметрами или путем изменения реестра. Рассмотрим оба варианта.

  1. Откройте редактор.
  2. Перейдите в папку «Конфигурация пользователя», «Административные шаблоны», «Система» и «Варианты действий после нажатия Ctrl + Alt + Delete».

Откройте любую необходимую политику в окне справа.

В простом окне управления состоянием параметра поставьте галочку напротив «Включить» и не забудьте применить изменения.

Пользователям, у которых нет редактора политик, все действия нужно будет выполнять через реестр. Давайте рассмотрим все действия пошагово:

  1. Перейдите к редактированию реестра.

Подробнее: Как открыть редактор реестра в Windows 7

Перейдите к разделу «System». Он находится по этому ключу:

Там вы увидите три строки, отвечающие за появление функций в окне безопасности.

Откройте необходимую строку и поменяйте значение на «1», чтобы активировать параметр.

После сохранения изменений деактивированные параметры больше не будут отображаться в окне безопасности Windows 7.

Изменения панели мест

Многие используют диалоговые окна «Сохранить как» или «Открыть как». Слева отображается навигационная панель, включая раздел «Избранное». Данный раздел настраивается стандартными средствами Windows, однако это долго и неудобно. Поэтому лучше воспользоваться групповыми политиками для редактирования отображения значков в данном меню. Редактирование происходит следующим образом:

  1. Перейдите в редактор, выберите «Конфигурация пользователя», перейдите к «Административные шаблоны», «Компоненты Windows», «Проводник» и конечной папкой будет «Общее диалоговое окно открытия файлов».

Здесь вас интересует «Элементы, отображаемые в панели мест».

Поставьте точку напротив «Включить» и добавьте до пяти различных путей сохранения в соответствующие строки. Справа от них отображается инструкция правильного указания путей к локальным или сетевым папкам.

Теперь рассмотрим добавление элементов через реестр для пользователей, у которых отсутствует редактор.

  1. Перейдите по пути:

Выберите папку «Policies» и сделайте в ней раздел comdlg32.

Перейдите в созданный раздел и сделайте внутри него папку Placesbar.

В этом разделе потребуется создать до пяти строковых параметров и назвать их от «Place0» до «Place4».

После создания откройте каждый из них и в строку введите необходимый путь к папке.

Слежение за завершением работы компьютера

Когда вы завершаете работу за компьютером, выключение системы происходит без показа дополнительных окон, что позволяет не быстрее выключить ПК. Но иногда требуется узнать почему происходит выключение или перезапуск системы. В этом поможет включение специального диалогового окна. Включается оно с помощью редактора или путем изменения реестра.

  1. Откройте редактор и перейдите к «Конфигурация компьютера», «Административные шаблоны», после чего выберите папку «Система».

В ней нужно выбрать параметр «Отображать диалог слежения за завершением работы».

Откроется простое окно настройки, где необходимо поставить точку напротив «Включить», при этом в разделе параметры во всплывающем меню необходимо указать «Всегда». После не забудьте применить изменения.

Данная функция включается и через реестр. Вам нужно совершить несколько простых действий:

  1. Запустите реестр и перейдите по пути:

Найдите в разделе две строки: «ShutdownReasonOn» и «ShutdownReasonUI».
Введите в строку с состоянием «1».

В этой статье мы разобрали основные принципы использования групповых политик Виндовс 7, объяснили значимость редактора и сравнили его с реестром. Ряд параметров предоставляет пользователям несколько тысяч различных настроек, позволяющие редактировать некоторые функции пользователей или системы. Работа с параметрами осуществляется по аналогии с приведенными выше примерами.

Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.

Использование элемента предпочтения групповой политики «Локальные пользователи и группы»

«Администраторы»«Управление групповой политикой»«Group Policy Preferences — 17»

Сценарий 1

Конфигурация компьютера\Настройка\Параметры панели управления\Локальные пользователи и группыComputer Configuration\Preferences\ Control Panel Setting\ Local Users and GroupsСоздать«Локальный пользователь»New >Local User)Рис. 1. Создание элемента предпочтений групповой политики локального пользователяСоздатьCreateОбновитьUpdateПользовательUser name«MBeasley»ПереименоватьRename to«Обновить» Update«Полное имя» (Full name«Michael Beasley»ОписаниеDescription«Новая учетная запись»ПарольПодтверждениеPasswordConfirm PasswordЕще раз про паролиP@ssw0rd«Требовать смену пароля при следующем входе в систему»User must change password at next logon«Срок действия учетной записи не ограничен»Account never expiresРис. 2. Диалоговое окно создания новой учетной записи локального пользователя

Сценарий 2

ОбновитьUpdateПереименоватьRename to«TrueAdmin»Требовать смену пароля при следующем входе в системуUser must change password at next logon«Запретить смену пароля пользователем»Usercannot change password«Срок действия пароля не ограничен»Password never expires«Срок действия пароля не ограничен» Password never expires)Отключить учетную записьAccount is disabled)«ОК»Рис. 3. Изменение встроенной учетной записи администратора

Сценарий 3

«Администраторы»Локальная группаLocal GroupОбновитьUpdateЗаменитьReplaceИмя группыGroup name«Администраторы»ПереименоватьRename to«Администраторы имеют полные, ничем не ограниченные права доступа на локальном компьютере»«Удалить всех пользователей-членов для этой группы»Delete all member users«Удалить все группы-члены для этой группы»Delete all member groupsЧлены группыДобавитьAdd«Builtin\Администратор»«ОК»Администраторы доменаРис. 4. Изменение членства в локальной группе администраторов