Ще се занимаваме с много важна тема за администраторите на домейни и това са групови политики или GPO, но:
Какво е GPO (обект на групова политика)? За какво са те?GPO, както подсказва името им, са директиви, които можем да приложим към компютър или потребител за изпълнение на определени задачи или за прилагане на промените, които искаме да бъдат отразени, например, можем да приложим GPO, така че корпоративният тапет да се отразява на всички машини на потребителите или да приложим GPO, така че в определени машини да стартират конкретно програма, следователно GPO ни позволява като администратори да задаваме параметри в нашата мрежа от домейни.
В този урок ще обясним как създаване, редактиране или изтриване на групови правила GPO.
1. Как да създадете GPO
Ще знаем процедурата за създайте основен GPO на Windows Server 2008 R2 (Същата схема се използва в Windows Server 2012). Трябва да влезем в панела Управление на груповите политики, за това имаме две възможности, първата, влизаща през:
- Старт
- Инструменти за управление
- Администриране на груповите правила:
Друга възможност за въвеждане е чрез командата Run:
Windows + R
Пишем следното:
gpmc.mscВъведете ключ и влизаме в панела за GPO:
След като в прозореца за администриране на групови правила, показваме домейна, в който работим, щракнете с десния бутон и изберете Създайте GPO и го свържете тук:
Можем също да извършим това действие, като изберете домейна, изберете от менюто за действие Създайте GPO и го свържете тук
Следващата стъпка е да дадем име на нашия GPO, за да идентифицираме действието, което да предприеме този GPO:
Кликваме върху Да приеме.
2. Конфигурирайте оборудването и потребителските настройки
Както виждаме, се показва прозорец с два параметъра, за да се посочат ограничения или модификации.
Настройка на оборудванетоТя ни позволява да ограничим достъпа или да предотвратим модификации на оборудването, независимо кой потребител е влязъл в това устройство.
Потребителски настройкиПозволява ви да правите промени или да ограничавате разрешенията до конкретен потребител, независимо от това на кое устройство са влезли.
3. Редактирайте всеки параметър в устройство или потребителски GPO
Първо трябва да сме наясно какво ограничение или политика ще прилагаме (екип или потребител). Нека да видим някои практически примери:
Те искат от нас като администратори да деактивираме автоматичното възпроизвеждане на компютър, за тях трябва да следваме следния маршрут.
След като щракнем с десния бутон върху нашия GPO и натиснем Edit, продължаваме да търсим опцията Configuration Configuration, за това имаме 2 възможности:
Да предположим, че избираме опция 1, разположена в десния панел, трябва да кликнете два пъти върху Настройка на оборудването, След това в Директиви, по -късно през Административни шаблони и там потърсете желаната опция, както виждаме имаме няколко опции:
- Системни компоненти:
Конфигуриране на компонентите на операционната система (Windows Explorer, Календар и др.).
- Принтери:
Управлява конфигурацията на принтери в домейна.
- Контролен панел:
Управлява контролния панел, който позволява да се показват или не елементи.
- Мрежа:
Конфигурирайте мрежови параметри, включително DNS.
- Система:
Управлявайте различни опции в системните компоненти.
- Всички стойности:
Показва всички некатегоризирани опции.
В нашия пример трябва да въведем компонентите на Windows и след това да изберем опцията Правила за автоматично пускане:
Щракваме двукратно върху него и избираме необходимата опция, в този случай, Деактивирайте автоматичното възпроизвеждане:
Щракваме два пъти, избираме опцията Активиранеи можем да изберем в кои единици да деактивираме възпроизвеждането:
За да завършим, кликваме върху Приложи и след това в Да приеме.
Трябва да вземем предвид нещо много важно, GPO могат да се прилагат към целия домейн или към конкретно подразделение (организационна единица).
В нашия пример ще приложим GPO Test GPO към OU Test Equipment (Този OU е създаден в домейна), за това в Управление на груповите политики, намираме OU, към което искаме да приложим нашия GPO (В този случай Тестова екипировка).
Щракваме с десния бутон върху OU и избираме Свържете съществуващ GPO.
Избираме създадения от нас GPO и кликваме върху него Да приеме.
С това към оборудването или обектите, които са в OU "Тестова екипировка" Ограничението на автоматичното пускане ще важи за тях.
Ако, напротив, това, което ни питат като администратори, е да управляваме параметър за потребител, процесът е идентичен с описания по -горе, с тази разлика, че опциите на потребителско ниво са много по -широки.
Да предположим, че трябва да скрием всички елементи на работния плот. За да направим това, трябва да редактираме нашия GPO (щракнете с десния бутон, редактирайте) и изберете Потребителски настройки:
Щракваме два пъти и избираме, Директиви и впоследствие Административни шаблони. Показват се различните опции, които имаме на ниво потребител.
- Споделени папки:
Управлявайте параметрите на споделените папки.
- Компоненти на Windows:
Управлявайте компоненти в конфигурацията на операционната система.
- Бюро:
Управлявайте както работния плот на Windows, така и иконите на него.
- Старт менюто и лентата на задачите:
Позволява ви да управлявате всички опции в менюто "Старт" и в лентата на задачите.
- Контролен панел:
Тя ви позволява да управлявате това, което се показва и какво не се показва в контролния панел.
- Мрежа:
Управление на мрежовите параметри.
- Система:
Задава опции в системните настройки.
За нашия случай трябва да въведем опцията Бюро и там изберете опцията „Скриване и деактивиране на всички елементи на работния плот".
Щракваме два пъти и избираме опцията Активиране, след което кликваме върху Приложи и след това в Да приеме.
И накрая, за да може GPO да изпълнява своята функция в потребителския профил, трябва да знаем в коя OU (организационна единица) е потребителят, след като сме наясно с тази информация, поставяме OU в прозореца Управление на груповите политики, щракваме с десния бутон, избираме опцията Свържете съществуващ GPO.
Избираме GPO и кликваме върху Да приеме.
Това е процедурата за създаване и свързване на GPO на компютър или потребител в Windows Server
4. Как да редактирате GPO
Процесът на редактиране на GPO е много прост, трябва да отворим прозореца „Администриране на групови правила“ чрез опцията:
- Старт
- Инструменти за управление
- Управление на груповите политики
Или можем да го отворим по -бързо чрез командата Run, която се появява, като натиснете:
Windows + R
И пиши gpmc.msc и натиснете Enter или Accept:
След като се намираме в прозореца на Управление на груповите политики Ще видим, че в левия панел са създадени GPO:
Можем просто да щракнем с десния бутон Редактиране:
Или като изберете GPO и от менюто Действие, избирам редактиране:
Там коригираме желаните промени според изискването и приемаме.
ОценкиОбърнете внимание на тези указания относно GPO:
- Много е важно да не променяте GPO по подразбиране на контролера на домейна "Политика за домейн по подразбиране ” тъй като ако направим промени в този GPO, можем да имаме нестабилни резултати в целия ни домейн, което ще ни донесе проблеми и лоши моменти.
- За да има GPO желания ефект, трябва да го свържем с домейн или OU (организационна единица).
- Трябва да имаме администраторски права, за да създаваме, променяме или изтриваме GPO в нашия домейн.
Има някои класове GPO, които трябва да вземем предвид в нашите роли като администратори или помощници:
- GPO на ниво местен екип:
Те се отнасят само за устройството, което ги е назначило, независимо от домейна, към който е свързано.
- GPO на ниво сайт:
Настоящият GPO се прилага за потребители и / или устройства на сайт, независимо към кой домейн принадлежите.
- GPO на ниво домейн:
Този GPO се прилага за всички (без изключение) устройства и потребители на домейна, върху който работим.
- GPO на ниво OU (организационна единица):
Този GPO се прилага за потребители и устройства в дадено подразделение.
Всички тези видове GPO се основават, както споменахме по -горе, на изискванията и нуждите на организацията. Днес има повече от 3668 политики на разположение от Microsoft както на ниво потребители, така и на екипи, трябва да бъдем изключително внимателни в начина, по който редактираме и прилагаме тези GPO в нашия домейн.
5. Как да намеря GPO в моя домейн
В допълнение към това, което видяхме, можем да търсим GPO, това в случай, че имаме много GPO, създадени в нашия домейн, за това следваме следния процес:
Етап 1
Отваряме Мениджър на групови правила, търсим домейна и щракваме с десния бутон върху Търсене:
В показания прозорец трябва да въведем следните стойности:
- Домейн за търсене
- Елемент за търсене (Име на GPO, връзка и т.н.)
- Състояние (ако желаем)
- Стойност (Конкретно име търсим)
Кликваме върху Добавяне и по -късно в Потърсете:
Там можем да кликнете върху редактиране така че системата да ни отведе директно да редактираме споменатия GPO или да запазим резултатите за бъдещо търсене. В допълнение към това, което споменахме, имаме следните опции за редактиране на GPO чрез опцията Menu или щракнете с десния бутон върху GPO:
- Редактиране:
Както видяхме по -рано, тази опция ни кара да редактираме параметрите на нашия GPO (ограничения или настройки).
- Състояние на GPO:
След като го свържем със сайт, домейн или подразделение, състоянието по подразбиране е Enabled, има и опции За деактивиране на споменатия GPO, ако поставим отметка на Disable, ще оставим споменатия GPO без действие.
- Направете резервно копие:
Позволява ни да направим резервно копие на избрания GPO.
- Възстановяване от резервно копие:
Тя ни позволява да възстановим GPO от копие, записано на по -ранна дата.
- Импортиране на конфигурация:
Тя позволява импортиране на конфигурацията на GPO в определена папка за сигурност (За това е важно предварително да сте създали резервно копие).
- Запазване на отчета:
Запазва отчет за GPO във формат HTML.
- Нов прозорец от тук:
Отворете нова продажба.
- Копие:
Копирайте избрания GPO.
- Премахване:
Изтрийте избрания GPO.
- Преименувайте:
Преименувайте избрания GPO.
- Актуализация:
Актуализира направените промени в GPO.
- Помогне:
Показва помощ за Windows.
Също така, ако искаме да добавим коментар към GPO, е възможно, за това трябва да преминем към следния маршрут:
Избираме GPO, към който искаме да добавим коментар, щракваме с десния бутон редактиранеили чрез менюто Действие, опция редактиране:
След като прозорецът се покаже, избираме опцията Свойства (редактиране) от менюто Действие.
Там се разгръщаме към раздела Коментари, въвеждаме коментара си и кликваме върху Приложи и след това в Да приеме.
6. Как да изтриете GPO
Има моменти, когато е необходимо да деактивирате и изтриете някои GPO. За да изтрием съществуващ GPO, можем да го направим по два начина.
Начин 1Първо може да се даде щракнете с десния бутон върху GPO и изберете опцията Премахване:
След това кликнете върху Да приеме.
Начин 2И втората алтернатива е чрез менюто Действие, опция Премахване.
Накрая кликнете върху Да приеме.
