Назначение фильтров группы безопасности в объект групповой политикиassign security group filters to the gpo

ОБЪЯСНЕНИЕ 1

Режим обработки замыкания групповой политики (Loopback Policy Processing)
Если управлять пользовательскими профилями через групповые политики, то можно заметить, что некоторые настройки, например, перенаправление папок, располагаются в разделе User configuration (Конфигурация пользователя) политики.
А это значит, что если пользовательская учетная запись находится в организационном подразделении (Organization Unit, OU), на которое распространяется действие такой политики, то применяться эти настройки будут при входе пользователя в систему независимо от того, локальный это компьютер или сервер RDS. Такое поведение может быть нежелательным, вполне разумно иметь одни пользовательские настройки для сервера, другие — для локального компьютера.
Но если поместить политику с настроенными разделами User Configuration в раздел OU с серверами, то она не будет обрабатываться, так как учетные записи пользователей не находятся в этом OU.
Чтобы это произошло, существует специальная политика Loopback Policy Processing (Режим обработки замыкания пользовательской групповой политики), располагающаяся в разделе Computer Configuration (Конфигурация компьютера) -» Policies (Политики) -> Administrative Templates (Административные шаблоны) -> System (Система) -> Group Policy (Групповая политика).
У нее два режима работы — Replace (Замена) и Merge (Слияние). В первом случае происходит замещение пользовательских политик из OU пользователя, во втором — объединение с ними.

Например, на рис. 5 изображен домен с двумя организационными подразделениями — OU1 и OU2.
В первом находятся объекты учетных записей пользователей и их локальные компьютеры, во втором — объекты серверов RDS.
Если пользователь осуществляет вход в систему на локальном компьютере, то он оказывается под действием доменной групповой политики (Default domain policy), затем политики GP1 локального компьютера (которая была применена при его включении) и политики GP2 пользователя (примененной при входе в систему).
Если пользователь осуществляет вход на сервер RDS, то будут действовать доменная политика, политика сервера GP3 и политика пользователя GP2.
Если же включить Loopback Policy Processing, то при входе на сервер RDS будут действовать доменная политика, политика сервера GP3 и политика пользователя GP2+GP4 (в режиме Merge) или только GP4 (в режиме Replace).
При возникновении любых конфликтов настроек между политиками OU пользователя и OU сервера в режиме Merge политика в OU сервера будет иметь более высокий приоритет.

Используя несколько серверов RDS в кластере, просто необходимо управлять пользовательскими профилями. К счастью, для этого есть достаточно много возможностей со своими сильными и слабыми сторонами. Остается только выбрать то сочетание, которое лучше всего будет подходить для каждого конкретного случая.

( взято тут: http://www.xnets.ru/plugins/content/content.php?content.240.4  )

Для чего необходимы групповые политики

Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.

Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.

Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.

Как исправить «Не удается найти gpedit.msc» в Windows 7 и 8

Если gpedit.msc не найден в Windows 7 или 8, то причина, вероятнее всего, также в домашней или начальной редакции системы. Но предыдущий способ решения проблемы не сработает.

Для Windows 7 (8) можно скачать gpedit.msc в виде стороннего приложения, установить его и получить необходимые функции.

1. На сайте https://drudger.deviantart.com/art/Add-GPEDIT-msc-215792914 скачайте ZIP-архив (ссылка на скачивание находится справа на странице).
2. Распакуйте архив и запустите файл setup.exe (учитывая, что файл стороннего разработчика, безопасности я не гарантирую, однако по VirusTotal всё в порядке — одно обнаружение, вероятно, ложное, и отличный рейтинг).
3. Если компоненты .NET Framework 3.5 отсутствуют на вашем компьютере вам также будет предложено скачать и установить их. Однако, после установки .NET Framework, установка gpedit.msc в моем тесте показалась как завершенная, но по факту файлы скопированы не были — после перезапуска setup.exe всё прошло успешно.
4. Если у вас 64-разрядная система, после установки скопируйте папки GroupPolicy, GroupPolicyUsers и файл gpedit.msc из папки WindowsSysWOW64 в WindowsSystem32.

После этого редактор локальной групповой политики будет работать в вашей версии Windows. Недостаток способа: все пункты в редакторе отображаются на английском языке.

Более того, похоже, в gpedit.msc, установленном таким способом отображаются только параметры Windows 7 (большинство из них те же и в 8-ке, но некоторые, специфичные именно для Windows 8 не видны).

Примечание: этот способ иногда может вызвать ошибку «MMC не может создать оснастку» (MMC could not create the snap-in). Это можно исправить следующим способом:

1. Снова запустите установщик и не закрывайте его на последнем шаге (не нажимайте Finish).
2. Перейдите в папку C:WindowsTempgpedit
3. Если на вашем компьютера 32-битная Windows 7, кликните правой кнопкой мыши по файлу x86.bat и выберите пункт «Изменить». Для 64-разрядной — то же самое с файлом x64.bat
4. В этом файле, везде измените %username%:f на(т.е. добавьте кавычки) и сохраните файл.
5. Запустите измененный bat файл от имени администратора.
6. Нажмите Finish в программе установки gpedit для Windows 7.

Windows 10 не видит флешку

Не работают наушники на компьютере Windows 10

Ноутбук с Windows 10 не видит наушники

Для обхода некоторых ограничений требуется редактор групповых политик и иногда, в попытке его открыть, можно встретить ошибку gpedit msc не найден windows 10. Либо версия вашей ОС не поддерживает редактор групповых политик, либо это ошибка. Расскажем, почему не запускается gpedit msc на windows 10 и как решить эту проблему.

Редактор групповых политик — системная утилита для тонкой настройки ОС, пользователей и приложений. Данный функционал присутствует только на Pro и Enterprise версиях ОС. Для более простых версий (Домашняя и Домашняя для одного языка) этот функционал вырезан. Поэтому, пользователям этих версий невозможно решить некоторые проблемы, которые решаются только через редактор групповых политик.

Если на компьютере не открывается gpedit msc на windows 10 — вероятно, что его у Вас просто нет (если это Домашние версии ОС). Но не всё потеряно, есть несколько способов решения этой ситуации.

Примеры использования

Перейдем к использованию редактора локальной групповой политики. Я покажу несколько примеров, которые позволят увидеть, как именно производятся настройки.

Разрешение и запрет запуска программ

Если вы пройдете в раздел Конфигурация пользователя — Административные шаблоны — Система, то там вы обнаружите следующие интересные пункты:

• Запретить доступ к средствам редактирования реестра
• Запретить использование командной строки
• Не запускать указанные приложения Windows
• Выполнять только указанные приложения Windows

Два последних параметра могут быть полезными даже обычному пользователю, далекому от системного администрирования. Кликните дважды по одному из них.

В появившемся окне установите «Включено» и нажмите по кнопке «Показать» около надписи «Список запрещенных приложений» или «Список разрешенных приложений», в зависимости от того, какой из параметров меняется.

Укажите в строчках имена исполняемых файлов программ, запуск которых нужно разрешить или запретить и примените настройки. Теперь, при запуске программы, которая не разрешена, пользователь будет видеть следующее сообщение об ошибке «Операция отменена из-за ограничений, действующих на этом компьютере».

Изменение параметров контроля учетных записей UAC

В разделе Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности имеется несколько полезных настроек, одну из которых можно и рассмотреть.

Выберите параметр «Контроль учетных записей: поведение запроса на повышение прав для администратора» и дважды кликните по нему. Откроется окно с параметрами этой опции, где по умолчанию стоит «Запрос согласия для исполняемых файлов не из Windows» (Как раз поэтому, всякий раз, при запуске программы, которая хочет изменить что-то на компьютере, у вас запрашивают согласие).

Вы можете вообще убрать подобные запросы, выбрав параметр «Повышение без запроса» (только этого лучше не делать, это опасно) или же, напротив, установить параметр «Запрос учетных данных на безопасном рабочем столе». В этом случае, при запуске программы, которая может внести изменения в системе (а также для установки программ) каждый раз потребуется вводить пароль учетной записи.

Сценарии загрузки, входа в систему и завершения работы

Еще одна вещь, которая может оказать полезной — скрипты загрузки и выключения, которые вы можете заставить выполняться с помощью редактора локальной групповой политики.

Это может пригодиться, например, для запуска раздачи Wi-Fi с ноутбука при включении компьютера (если вы реализовывали ее без сторонних программ, а создав Wi-Fi сеть Ad-Hoc) или выполнения операций резервного копирования при выключении компьютера.

В качестве скриптов можно использовать командные файлы .bat или же файлы сценариев PowerShell.

Сценарии загрузки и выключения находятся в Конфигурация компьютера — Конфигурация Windows — Сценарии.

Сценарии входа в систему и выхода — в аналогичном разделе в папке «Конфигурация пользователя».

Например, мне нужно создать сценарий, выполняемый при загрузке: я дважды кликаю по «Автозагрузка» в сценариях конфигурации компьютера, нажимаю «Добавить» и указываю имя файла .bat, который следует выполнить. Сам файл должен находится в папке C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup (этот путь можно увидеть по нажатию кнопки «Показать файлы»).

В случае, если сценарий требует ввода каких-то данных пользователем, то на время его исполнения дальнейшая загрузка Windows будет приостановлена, до завершения работы скрипта.

Изменение настроек для пользовательских учетных записей

User Account Control позволяет оптимизировать функционал программного обеспечения, обезопасить ее. Впервые функция появилась на Windows Vista и применялась уже на всех ПК. Изначально UAK имела основную функцию – проверку установки неизвестных компонентов и процессов. Юзер вынужден был постоянно подтверждать свои действия. Функция мешала при работе многим и пользователи стали искать способы ее отключения.

Разработчики «семерки» пошли навстречу пользователям, благодаря чему ограничение прав пользователя в Windows 7 стал не таким жестким. Появились дополнительные настраиваемые уровни доступа. Теперь число запросов для подтверждения значительно сократилось.

Параметры локальной политики безопасности

С целью изменить настройки безопасности Windows 7, щелкните Пуск. Оттуда перейдите на панель управления, а уже оттуда в «Учетные записи». Выбирайте «Изменение параметров контроля…». В развернувшемся меню Вам на выбор предложено четыре типа уровня доступа к работе.

Максимальный уровень безопасности дает возможность запретить установку программ на windows 7, изменение файлов и настроек в компонентах ОС. Средний уровень безопасности требует подтверждения при попытке внесения изменений в конфигурацию ОС и в пользовательские параметры, но не включает в себя запрет на установку программ windows 7. Минимальный уровень запрашивает подтверждение при изменении конфигураций ОС. С помощью четвертого пункта можно вовсе отключить параметры безопасности.

При желании же осуществить запрещенные манипуляции, юзер видит сообщение «Данная программа заблокирована групповой политикой. За подробностями обратитесь к администратору». Отключение групповой политики windows 7 также осуществляется исключительно администратором. Отключить групповую политику в windows 7 может понадобиться для установки какой либо программы, требующей расширенных прав.

Для изменения какого либо параметра для ОГП Windows на локальном компьютере, нужно проделать алгоритм действий. Однако Вы сможете сделать это только являясь администратором.

Перейдите на компонент Локальные параметры безопасности;

• Кликните по строчке Параметры безопасности;
• Перейдите в раздел Политика аккаунтов или учетных записей;

• Во вкладке Локальная политика Вы сможете изменить Параметры безопасности и Прав пользователя;
• Щелкните по области сведений раздела;
• Развернется консоль, где изменяется какая либо настройка параметра или конфигурация;
• Измените настройки так, как необходимо;

Щелкните клавишу «ОК».

Данный алгоритм подходит только при работе с локального ПК. Отличается при проведении изменений с рабочей станции, прикрепленной к домену.

Применение групповых политик Править

Работая с групповыми политиками, следует учитывать, что:

• объекты GPO применяются в отношении контейнеров, а не замыкающих объектов;
• один контейнер может быть связан с несколькими объектами GPO;
• объекты GPO, связанные с одним и тем же контейнером, применяются в отношении этого контейнера в том порядке, в котором они были назначены;
• объект GPO включает в себя две составляющие: параметры, относящиеся к компьютеру, и параметры, относящиеся к пользователю;
• обработку любой из этих составляющих можно отключить;
• наследование объектов GPO можно блокировать;
• наследование объектов GPO можно форсировать;

Настройки групповой политики Windows 8

Групповая политика в Windows 8 мало чем отличается от аналогичного инструмента в «десятке». Рассмотрим его на примере Windows 10, подразумевая что в «восьмёрке» он ничем не отличается, за исключением наличия нескольких дополнительных опций.

Что это за инструмент

Групповая политика – это обширный набор плавил, опций и настроек, посредством которых системный администратор может конфигурировать параметры компьютера. Сюда относится возможность изменять различные значения, устанавливать всевозможные ограничения, отключать или активировать функции. В общем, групповая политика предоставляет пользователю возможность редактировать записи системного реестра посредством удобного и понятного инструмента, в котором каждый параметр имеет название с кратким описанием, чего не предоставляет редактор реестра.

Эта оснастка доступна только для пользователей, которые установили на свои компьютеры Windows 10 профессиональную (Pro) или для бизнеса (Enterprise). В ином случае придется обновлять операционную систему или остаться без нижеописанных возможностей.

Запуск редактора

Прежде чем ознакомиться с функционалом редактора, необходимо выяснить, каким образом он запускается, и как быстрее вызвать оснастку.

Выполняем команду «gpedit.msc», скопировав или вбив ее в поисковую строку начального экрана, или «Пуск» в Windows 10, или текстовую форму командного интерпретатора (вызывается на экран посредством Win + R).

Добавление редактора в Виндовс Домашняя

Если появилось сообщение, оповещающее о невозможности запустить редактор, или используете домашнюю версию Windows 10 или «восьмерки», тогда придется выполнить интеграцию инструмента в операционную систему.

Внимание! Редактор групповой политики в домашнюю версию Виндовс не добавляется с XP, и Виндовс 10 не стала исключением. Посмотрите ещё: Как переустановить Windows 8

Посмотрите ещё: Как переустановить Windows 8

• При использовании операционной системы разрядностью x32 бит закрываем окно, нажав «Finish», в 64-х битной редакции Виндовс 10 и 8 эту кнопку ни в коем случае не трогаем.
• Заходим в папку «Temp», расположенную в директории «Windows» системного тома.
• Копируем туда динамические библиотеки (файлы с расширением dll) gpedit, fde,gptext, appmgr, fdeploy с распакованного архива.
• Копируем файл «gpedit.msc» в директорию «System32», которая находится в той же системной папке «Windows».

• Создаем копии GroupPolicy, GPBAK файлов GroupPolicyUsers иmsc, расположенных в «SysWOW64», в папке «System32».
• Если все прошло успешно, жмем «Finish» и перезагружаем Windows 10.

При возникновении ошибки в случае копирования документов придется подождать около минуты и повторить попытку или освободить проблемные файлы от использования их запущенными приложениями при помощи Unlocker.

Бывает, что при точном выполнении всех пунктов инструкции появляется ошибка с текстом о невозможности создания оснастки MMC. Тогда идем в каталог «Temp\gpedit», расположенный в «Windows», и запускаем командный файл x86.bat при использовании 32-х битной Виндовс 10, или x64.bat, если на компьютере используется 64-х разрядная ОС.

Как ни печально, но ни одна новая политика для «восьмерки» и «десятки» не будет доступной, ведь инструмент разрабатывался для «семерки» и был лишь незначительно подкорректирован для поддержания «десяткой».

Работаем в редакторе

Внешний вид окна редактора политики мало чем отличается от классического проводника и редактора реестра концептуально. Здесь присутствует все та же иерархическая структура каталогов с подкаталогами (аналогично разделам реестра и папкам в проводнике) и параметрами (файлы в проводнике и ключи в реестре) с подробной информацией о каждом из них.

Аналогично кустам реестра, список доступных опций в редакторе политики разделен на две части, первая из которых применима для активного пользователя, а вторая – для всех юзеров компьютера. В каждом разделе содержится ещё по три подраздела:

• «Конфигурация программ» — настройки, касающиеся ограничений на запуск приложений на компьютере;
• «Конфигурация Windows» — перечень групповых политик, влияющих на безопасность, позволяющих внедрять пользовательские скрипты для их выполнения во время запуска ПК;
• «Административные шаблоны» — пункт содержит перечень всех настроек, которые доступны для пользователя через «Панель управления».

Посмотрите ещё: Восстановление системы Windows 8

Пользователя, владеющего базовыми знаниями о возможностях, которые предоставляют групповые политики, ждет приятное открытие – доступ к массе спрятанных в дебрях системы и даже недоступных посредством графического интерфейса функциям.

Настройка параметра с помощью консоли локальной политики безопасностиTo configure a setting using the Local Security Policy console

1. Чтобы открыть локальную политику безопасности, на начальном экране введите secpol. mscи нажмите клавишу ВВОД.To open Local Security Policy, on the Start screen, type secpol.msc, and then press ENTER.

2. В разделе Параметры безопасности в дереве консоли выполните одно из указанных ниже действий.Under Security Settings of the console tree, do one of the following:

   • Нажмите политики учетных записей , чтобы изменить политику паролей или политику блокировки учетных записей.Click Account Policies to edit the Password Policy or Account Lockout Policy.
   • Щелкните Локальные политики , чтобы изменить политику аудита, Назначение прав пользователяи Параметры безопасности.Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.

3. Когда вы найдете параметр политики в области сведений, дважды щелкните политику безопасности, которую вы хотите изменить.When you find the policy setting in the details pane, double-click the security policy that you want to modify.

4. Измените параметр политики безопасности, а затем нажмите кнопку ОК.Modify the security policy setting, and then click OK.

   Примечание

   • В некоторых параметрах политики безопасности требуется, чтобы устройство было переустановлено, прежде чем установка вступит в силу.Some security policy settings require that the device be restarted before the setting takes effect.
   • Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Фильтры политик

Минусом редактора является отсутствие функции поиска. Существует множество различных настроек и параметров, их больше трех тысяч, все они разбросаны по отдельным папкам, а поиск приходится осуществлять вручную. Однако данный процесс упрощается благодаря структурированной группе из двух ветвей, в которых расположились тематические папки.

Например, в разделе «Административные шаблоны», в любой конфигурации, находятся политики, которые никак не связаны с безопасностью. В этой папке находится еще несколько папок с определенными настройками, однако можно включить полное отображение всех параметров, для этого нужно нажать на ветвь и выбрать пункт в правой части редактора «Все параметры», что приведет к открытию всех политик данной ветви.

Экспорт списка политик

Если все-таки появляется необходимость найти определенный параметр, то сделать это можно только путем экспорта списка в текстовый формат, а потом уже через, например Word, осуществлять поиск. В главном окне редактора есть специальная функция «Экспорт списка», он переносит все политики в формат TXT и сохраняет в выбранном месте на компьютере.

Применение фильтрации

Благодаря появлению ветви «Все параметры» и улучшению функции фильтрации поиск практически не нужен, ведь лишнее откидывается путем применения фильтров, а отображаться будут только необходимые политики. Давайте подробнее рассмотрим процесс применения фильтрации:

1. Выберите, например, «Конфигурация компьютера», откройте раздел «Административные шаблоны» и перейдите в «Все параметры».

Разверните всплывающее меню «Действие» и перейдите в «Параметры фильтра».

Поставьте галочку возле пункта «Включить фильтры по ключевым словам». Здесь имеется несколько вариантов подбора соответствий. Откройте всплывающее меню напротив строки ввода текста и выберите «Любой» – если нужно отображать все политики, которые соответствуют хотя бы одному указанному слову, «Все» – отобразит политики, содержащие текст из строки в любом порядке, «Точный» – только параметры, точно соответствующие заданному фильтру по словам, в правильном порядке. Флажками снизу строки соответствий отмечаются места, где будет осуществляться выборка.

Нажмите «ОК» и после этого в строке «Состояние» отобразятся только подходящие параметры.

В том же всплывающем меню «Действие» ставится или убирается галочка напротив строки «Фильтр», если нужно применить или отменить заранее заданные настройки подбора соответствий.

Где в windows 7 локальная политика безопасности

В редакторе существуют административные шаблоны. Это настройки, выстраивающиеся на базе данных реестра. Найти их можно в одноименном узле, как в узле конфигураций юзера, так и ПК. В шаблон входят такие параметры как панели управления и задач, некоторые сетевые параметры, настройки рабочего стола и т.д.

Такие шаблоны являются текстовыми документами. Они предназначены для создания пользовательского интерфейса для настройки административного шаблона через Редактор ОГП. Указывает на изменение некоторых параметров реестра. Шаблоны позволяют быстро вносить изменения в групповые политики windows.

Для добавления шаблона, нужно кликнуть два раза на Active Directory на панели ГП. Выбирайте запись, для которой будете создавать шаблон и нажимайте Свойства, потом Групповая. С целью осуществлять управление групповой политикой, укажите в свойствах групповой политики ОГП. Кликните Изменить и работайте в раскрывшейся консоли.

Групповая политика