Введение
В предыдущей части данной статьи, вы узнали о средстве, при помощи которого корпорация Microsoft позволяет рационально управлять всей инфраструктурой вашего предприятия, начиная от незначительных подразделений и групп, и заканчивая сайтами и доменами, а именно об оснастке «Управление групповой политикой». Вы узнали о том, как можно открыть данную оснастку, а также о создании, редактировании и удалении объектов групповой политики. Для правильного управления вашей организации одного лишь создания объектов GPO недостаточно, так как объект групповой политики – это только набор параметров настроек конфигурации пользователя или компьютера, которые обрабатываются расширениями клиентской стороны (Client-Side Extension — CSE). Чтобы ваши объекты GPO распространялись на клиентов, нужно настраивать связи объектов групповых политик с сайтами, доменами или подразделениями. В этой статье вы узнаете о связях объектов групповых политик.
Обзор
Фслогикс использует набор разделов реестра, которые должны быть включены и правильно настроены на виртуальных машинах пула узлов AVD.
полный список разделов реестра, которые можно применить, приведен в следующих справочных статьях по контейнерам профилей и контейнерам Office .
Существует несколько способов применения этих разделов реестра в зависимости от сценария и масштаба среды.
-
создание разделов реестра вручную с помощью редактора реестра Windows: не рекомендуется, так как подвержены ошибки и потенциально высокий риск. Требуется ручная работа и масштабирование на многих узлах сложно. Следует использовать только для тестирования и создания прототипов на одном компьютере.
-
локальные политики. можно использовать механизм групповая политика объектов (GPO) в Windows, чтобы применить набор параметров конфигурации (разделов реестра), используя объект, хранящийся локально на одном компьютере. Следует использовать только для тестирования и разработки объекта GPO, который применяется к крупному масштабу с помощью центрального хранилища.
-
Центральное хранилище для политик. Этот подход является рекомендуемым механизмом для применения фслогикс и любым другим параметром конфигурации в масштабе на всех виртуальных машинах пула узлов Avd. Централизованный репозиторий, размещенный на контроллерах домен Active Directory, используется для репликации всего домена Active Directory.
Chrome Browser quick start (Windows)
2. Set policies
Next: 3. Install apps
You can set up policy templates to control Chrome Browser on managed Windows computers. You use the Group Policy Management Editor to set up the policies.
Tip: For detailed steps, see the Chrome Browser Deployment Guide for Windows.
Step 1: Add the Chrome Browser policy template
You can currently use Group Policy to control over 200 policies in a chrome.admx file. When you load the file, each policy is active with a default setting (Not Configured) that can be modified at any time.
To add the policy template:
- Open the downloaded Chrome Browser bundle and go to Configuration admx.
- Copy the google.admx and chrome.admx files to your Policy Definition template folder. (Example: C:\Windows\PolicyDefinitions)
- In the admx folder, open the appropriate language folder. For example, if you’re in the U.S., open the en-US folder.
- Copy the google.adml and chrome.adml files to the matching language folder in your Policy Definition folder. (Example: C:\Windows\PolicyDefinitions\en-US)
- Open Group Policy to confirm the files loaded correctly. If an error occurs, it’s usually because the files are in an incorrect location. Check the locations and confirm again.
Step 2: Set policies
In Group Policy, you can set policies to control Chrome Browser on managed computers. To determine the default settings for a particular policy, open it in Group Policy.
- Open Group Policy and go to Administrative Templates Chrome.Note: Not all policies are in the root Google Chrome folder. Be sure to look in the subfolders.
- Find and open the policy you want to configure.
- Choose an option:
- Enable—Allows you to change the policy from the default setting.
- Disable—Prevents the policy from affecting Chrome Browser.
- Not Configured—Resets the policy to its default.
Here are a few policies to get you started.
Policy name (In Group Policy) |
Description |
---|---|
Show Home button on toolbar |
Shows the Home button on the toolbar |
Configure the home page URL (Home page folder) | Sets the default homepage URL. |
Enable reporting of usage and crash-related data | Determines if anonymous data is sent to Google |
Configure extension installation blocklist (Extensions Folder) | Specifies which extension users cannot install. Extensions already installed will be disabled if blocklisted |
Enable Safe Browsing | Enables the Google Safe Browsing feature and prevents users from changing any settings related to it. |
Управление правилами и расширениями Chrome в облаке
В облачной консоли администратора Google можно выполнять следующие действия:
- управлять браузером Chrome на всех компьютерах с Windows, Mac и Linux в организации;
- применять более 100 правил на уровне устройств – эти правила действуют, даже если пользователь не вошел в аккаунт;
- легко устанавливать и блокировать приложения и расширения Chrome;
- смотреть отчеты о версиях браузера, установленных приложениях и расширениях, а также действующих правилах;
- применять правила на уровне пользователя, действующие после входа в управляемый аккаунт Google на любом устройстве.
Регистрация и начало работы: настройка облачного управления браузером Chrome
Создание шаблона OneDrive
В этом разделе создается шаблон администратора OneDrive Intune для управления некоторыми настройками. Эти конкретные параметры выбраны, так как они обычно используются организациями.
-
Создайте другой профиль (профили > конфигурации устройств > Создайте профиль).
-
Введите следующие свойства:
- Платформа: Выберите Windows 10 и более поздней .
- Профиль. Выберите административные шаблоны.
-
Нажмите Создать.
-
В Basics введите следующие свойства:
- Имя. Введите шаблон администрирования — OneDrive политики, применимые к всем Windows 10 пользователям.
- Описание. Введите описание профиля. Этот параметр необязателен, но рекомендуется.
-
Нажмите кнопку Далее.
-
В параметрах Конфигурация настройте следующие параметры. Чтобы сохранить изменения, выберите ОК.
-
Конфигурация компьютера:
-
Автоматически выполнять вход пользователей в клиент синхронизации OneDrive с помощью учетных данных Windows
- Тип: Устройство
- Значение: Включено
-
Использовать функцию «Файлы из OneDrive по запросу»
- Тип: Устройство
- Значение: Включено
-
Автоматически выполнять вход пользователей в клиент синхронизации OneDrive с помощью учетных данных Windows
-
Конфигурация пользователя:
-
Запретить пользователям синхронизировать личные учетные записи OneDrive
- Тип: Пользователь
- Значение: Включено
-
Запретить пользователям синхронизировать личные учетные записи OneDrive
-
Ваши параметры похожи на следующие параметры:
Дополнительные сведения о параметрах OneDrive см. в см. в рублях Использование групповой политики для управления приложение синхронизации OneDrive параметров клиента.
Назначение шаблона
-
В шаблоне выберите Далее, пока не получите назначение. Выберите выберите группы, чтобы включить:
-
Показан список существующих пользователей и групп. Выберите группу Windows устройств, созданную ранее > Выберите.
Если вы используете этот учебник в производственной среде, подумайте о добавлении пустых групп. Цель состоит в том, чтобы на практике назначить шаблон.
-
Нажмите кнопку Далее. В обзоре + создание выберите Создать для сохранения изменений.
На этом этапе вы создали несколько административных шаблонов и написав их созданным группам. Следующий шаг — создание административного шаблона с Windows PowerShell и API microsoft Graph для Intune.
Блокировка расширений из определенного магазина или URL-адреса обновления
Чтобы заблокировать расширения из определенного магазина или URL-адреса, необходимо заблокировать update_url для этого магазина с помощью политики .
Используйте следующие действия в качестве руководства для блокировки расширений из определенного магазина или URL-адреса.
- Откройте редактор управления групповыми политиками и перейдите в раздел Административные шаблоны > Microsoft Edge > Расширения, а затем выберите Настройки управления расширениями.
- Включите политику, а затем введите разрешения, которые нужно разрешить или заблокировать, сжав их в одной строке JSON.
Пример JSON для блокировки по URL-адресу обновления
Примечание
Вы по-прежнему можете использовать ExtensionInstallForceList и ExtensionInstallAllowList, чтобы разрешить или принудить установить определенные расширения, даже если магазин заблокирован с помощью формата JSON в предыдущем примере.
Принудительная установка расширения
Чтобы управлять блокировкой и разрешением расширений, используйте политику . Используйте следующие действия в качестве руководства для принудительной установки расширения.
- В редакторе групповых политик перейдите в раздел Административные шаблоны > Microsoft Edge > Расширения, а затем выберите Определение автоматически устанавливаемых расширений.
- Выберите Включено.
- Щелкните Показать.
- Введите идентификатор приложения или идентификаторы для расширения или расширений, которые необходимо установить принудительно.
Расширение будет установлено автоматически без необходимости взаимодействия с пользователем. Пользователь также не сможет удалить или отключить расширение. Этот параметр переопределяет любую включенную политику списка блокировки.
Конфигурирование gpupdate[править]
По умолчанию, нет необходимости конфигурировать gpupdate.
Однако, в файле /etc/gpupdate/gpupdate.ini можно указать в явном виде следующие опции:
в разделе
backend = выбор способа получения настроек
local-policy = профиль локальной политики, который будет применен сразу после загрузки ОС.
в разделе
dc = контроллер домена, с которого нужно обновлять групповые политики
В данном примере указан пустой профиль локальной политики. Это бывает необходимо для тестирования групповых политик, чтобы они не наслаивались на локальные политики:
# cat /etc/gpupdate/gpupdate.ini backend = samba local-policy = /usr/share/local-policy/default dc = dc0.domain.alt
Как устроены групповые политики
При создании домена AD автоматически создаются два объекта групповой политики:Политика домена по умолчанию
устанавливает базовые параметры для всех пользователей и компьютеров в домене в трех плоскостях: политика паролей, политика блокировки учетных записей и политика Kerberos.
Политика контроллеров домена по умолчанию
устанавливает базовые параметры безопасности и аудита для всех контроллеров домена в рамках домена.
Для вступления настроек в силу, объект групповой политики необходимо применить (связать) с одним или несколькими контейнерами Active Directory: сайт, домен или подразделение (OU). Например, можно использовать групповую политику, чтобы потребовать от всех пользователей в определённом домене использовать более сложные пароли или запретить использование съемных носителей на всех компьютерах только в финансовом подразделении данного домена.
Объект групповой политики не действует, пока не будет связан с контейнером Active Directory, например, сайтом, доменом или подразделением. Любой объект групповой политики может быть связан с несколькими контейнерами, и, наоборот, с конкретным контейнером может быть связано несколько объектов групповой политики. Кроме того, контейнеры наследуют объекты групповой политики, например, объект групповой политики, связанный с подразделением, применяется ко всем пользователям и компьютерам в его дочерних подразделениях. Аналогичным образом, объект групповой политики, применяемый к OU, применяется не только ко всем пользователям и компьютерам в этом OU, но и наследуется всем пользователям и компьютерам в дочерних OU.
Настройки различных объектов групповой политики могут перекрываться или конфликтовать. По умолчанию объекты групповой политики обрабатываются в следующем порядке (причем созданные позднее имеют приоритет над созданными ранее):
- Локальный (индивидуальный компьютер)
- Сайт
- Домен
- Организационная единица
В эту последовательность можно и нужно вмешиваться, выполнив любое из следующих действий:Изменение последовательности GPO
. Объект групповой политики, созданный позднее, обрабатывается последним и имеет наивысший приоритет, перезаписывая настройки в созданных ранее объектах. Это работает в случае возникновения конфликтов.
Блокирование наследования
. По умолчанию дочерние объекты наследуют все объекты групповой политики от родительского, но вы можете заблокировать это наследование.
Принудительное игнорирование связи GPO
. По умолчанию параметры родительских политик перезаписываются любыми конфликтующими политиками дочерних объектов. Вы можете переопределить это поведение.
Отключение связей GPO
. По умолчанию, обработка включена для всех связей GPO. Вы можете предотвратить применение объекта групповой политики для конкретного контейнера, отключив связь с объектом групповой политики этого контейнера.
Иногда сложно понять, какие политики фактически применяются к конкретному пользователю или компьютеру, определить т.н. результирующий набор политик (Resultant Set of Policy, RSoP). Microsoft предлагает утилиту командной строки GPResult, который умеет генерировать отчет RSoP.
Для управления групповыми политиками Microsoft предоставляет консоль управления групповыми политиками (GPMC). Используя этот бесплатный редактор групповой политики, ИТ-администраторы могут создавать, копировать, импортировать, создавать резервные копии и восстанавливать объекты групповой политики, а также составлять отчеты по ним. Microsoft также предлагает целый набор интерфейсов GPMC, которые можно использовать для программного доступа ко многим операциям, поддерживаемым консолью.
По умолчанию любой член группы администраторов домена может создавать объекты групповой политики и управлять ими. Кроме того, существует глобальная группа под названием «Владельцы-создатели групповых политик»; его члены могут создавать объекты групповой политики, но они могут изменять только созданные ими политики, если им специально не предоставлены разрешения на редактирование других объектов групповой политики.
В этой же консоли можно делегировать вспомогательным ИТ-администраторам разрешения для различных действий: создание, редактирование и создание связей для определенных объектов групповой политики. Делегирование — ценный инструмент; например, можно предоставить группе, ответственной за управление Microsoft Office, возможность редактировать объекты групповой политики, используемые для управления настройками Office на рабочем столе пользователей.
Отключение групповых политик с помощью редактора реестра
Если запуск программ все еще заблокирован, попробуйте удалить все настроенные групповые политики в реестре Windows.
Откройте Редактор реестра командой regedit из диалогового окна Win + R.
В левой панели навигации перейдите в раздел: HKEY_LOCAL_MACHINE — Software — Policies
Щелкните правой кнопкой мыши на вложенный раздел Microsoft, выберите «Удалить» и подтвердите это действие на «ОК».
Тем же способом удалите раздел Microsoft в локации: HKEY_CURRENT_USER — Software — Policies
Затем перейдите по пути: HKEY_CURRENT_USER — Software — Microsoft — Windows — CurrentVersion
Найдите вложенный раздел Group Policy Objects, правым щелчком мыши по нему вызовите контекстное меню и выберите «Удалить». Этим же способом удалите Policies.
Подключение принтеров пользователям через GPO
Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:
New-ADGroup «prnHPColorSales» -path ‘OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru’ -GroupScope Global –PassThru
Запустите консоль редактора доменных политик (), создайте новую политику prnt_AutoConnect и прилинкуйте ее к OU с пользователями; Если у вас в домене используется небольшое количество сетевых принтеров (до 30-50), вы можете все их настраивать с помощью одной GPO. Если у вас сложная структура домена, есть сайты AD, используется делегирование прав администраторам филиалов, лучше создать несколько политик подключения принтеров, например по одной политике на сайт или OU.
Перейдите в режим редактирования политики и разверните секцию User Configuration -> Preferences -> Control Panel Setting -> Printers. Создайте новый элемент политики с именем Shared Printer; Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer.
Действие – Update. В поле Shared Path укажите UNC адрес принтера, например, \\msk-prnt\hpcolorsales (в моем примере все принтеры подключены к принт-серверу \\msk-prnt). Здесь же вы можете указать, нужно ли использовать этот принтер в качестве принтера по-умолчанию;
Перейдите на вкладку Common и укажите, что принтер нужно подключать в контексте пользователя (опция Run in logged-on user’s security context). Также выберите опцию Item-level targeting и нажмите на кнопку Targeting;
С помощью нацеливания GPP вам нужно указать, что данная политика подключения принтера применялась только для членов группы prn_HPColorSales
Для этого нажмите New Item -> Security Group -> в качестве имени группы укажите prn_HPColorSales; Обратите внимание, что данное ограничение не запрещает любому пользователю домена подключить это принтер вручную в проводнике Windows. Чтобы ограничить доступ к принтеру, нужно изменить права доступа к нему на принт-сервере, ограничив возможность печати определенными группам
Аналогичным образом создайте политики подключения принтеров для других групп пользователей.
Есть еще старый раздел политик для настройки принтеров — Computer Configuration -> Policies -> Windows Settings -> Deployed Printers, однако этот метод установки принтеров пользователям не такой гибкий, как рассмотренный ваше способ с помощью GPP.
Что значит ошибка — Администратор вашей сети применил групповую политику в Хром
Как следует из текста ошибки, она возникает в ситуации, когда администратор сети настроил групповые политики на ПК с целью воспрепятствовать установке нового софта (в частности, браузера Хром). Это довольно часто встречается в каких-либо государственных или муниципальных учреждениях, где админы сети стараются избежать заражения сети вирусами. Настройки групповых политик таких ПК блокируют установку сторонних программ, тем самым препятствуя потенциальному заражению сети.
Тем не менее часто ошибка «групповая политика не позволяет выполнить установку» фиксируется и на домашних ПК. Владелец такого ПК одновременно является и администратором сети, что вызывает множество вопросов при появлении данной ошибки. Её причинами в данном случае является:
- Некорректная работа недавно установленных на ПК программ. Такие программы меняют настройки ОС Виндовс (в частности системный реестр) на некорректные значения. В частности, в подобном замечен «AVG PC TuneUp», после которого рассматриваемая ошибка становится актуальной;
- Повреждение системного реестра;
- Сбой в работе ОС Виндовс.
Разберёмся, как исправить ошибку «групповая политика не позволяет выполнить установку» на вашем ПК.
Развёртывание клиентских средств применения групповых политик[править]
На текущий момент для включения инструмента групповых политик на клиентах AD необходимо установить пакеты из репозитория:
- oddjob-gpupdate
- gpupdate
Установка ПО производится командами:
apt-get update apt-get install gpupdate
Включение работы групповых политик и выбор умолчальной локальной политики выполняется командой от пользователя с правами администратора:
gpupdate-setup enable
и перезагрузите рабочую машину.
Также возможно дополнить инсталляцию графическими инструментами (модулями Alterator), чтобы выполнить аналогичные действия с помощью GUI:
apt-get install alterator-auth alterator-gpupdate
Несколько примеров того, что вы можете сделать с помощью редактора локальной групповой политики
Давайте перечислим несколько примеров того, что вы можете сделать с помощью редактора локальной групповой политики. Вы можете настроить параметры Windows и применить их так, чтобы пользователи на вашем компьютере не могли изменить их впоследствии. Вот несколько примеров:
- Разрешить пользователям доступ только к некоторым приложениям, найденным на вашем компьютере.
- Запретить пользователям использование на компьютере съемных устройств (например, USB-накопителей).
- Заблокируйте доступ пользователей к Панели управления и приложению Настройки.
- Скрыть определенные элементы из панели управления.
- Укажите обои, используемые на рабочем столе, и запретите пользователям изменять их.
- Запретить пользователям включение/отключение подключений к локальной сети или запретить им изменять свойства подключений компьютера (локальной сети).
- Запретить пользователям читать и/или записывать данные с CD, DVD, съемных дисков и т. д.
- Отключите все сочетания клавиш, которые начинаются с клавиши Windows. Например, Windows + R (который открывает окна «Выполнить») и Windows + X (который открывает меню опытного пользователя) перестают работать.
Шаг 2. Настройте автоматическое обновление
Как включить автоматическое обновление (рекомендуется)
Эти инструкции относятся к браузеру Chrome и всем приложениям, управляемым с помощью Google Update.
С помощью групповой политики
Мы рекомендуем не выключать автоматическое обновление, чтобы ваши пользователи своевременно получали новые функции и важные исправления системы безопасности.
В редакторе «Управление групповыми политиками» (папка Конфигурация компьютера):
- Выберите Google UpdateПриложения.
- Включите правило Изменить правила обновления по умолчанию.
- В разделе Параметры выберите Всегда разрешать обновления (рекомендуется).
- Откройте Google UpdateПриложенияGoogle Chrome и повторите действия в пунктах 2 и 3, чтобы автоматическое обновление также всегда было разрешено и для браузера Chrome.
Вы можете переопределить этот параметр для отдельного приложения с помощью правила Изменить правила обновления в папке приложения.
Как отключить обновление браузера Chrome
Чтобы исключить установку новых версий Chrome, нужно отключить автоматическое обновление и запретить пользователям обновлять браузер вручную. Даже если вы отключите автоматические обновления, Google Update продолжит проверять их наличие.
Внимание! Мы рекомендуем не отключать обновление, иначе для браузера Chrome не будут устанавливаться исправления системы безопасности и программного обеспечения. Кроме того, повышается риск возникновения сбоев и уязвимостей в системе безопасности
Если вам необходимо отключить функцию обновления, своевременно устанавливайте обновления в своей сети, но мы рекомендуем запланировать последующее включение этой функции.
В редакторе «Управление групповыми политиками» (папка Конфигурация компьютера):
- Откройте Google UpdateПриложенияGoogle Chrome.
- Включите параметр Изменить правила обновления.
- В разделе Параметры выберите Обновления отключены.
Если вы отключили обновление браузера Chrome, эту функцию нужно отключить и на компьютерах пользователей.
- На каждом пользовательском компьютере откройте браузер Chrome и в верхней части страницы нажмите на значок ЕщёНастройки.
- В левой части страницы нажмите на значок менюО браузере Chrome.
Должно появиться уведомление о том, что обновления отключены администратором.
Как отключить обновление всех приложений
Важно! Если вы отключите обновление, исправления программного обеспечения и системы безопасности не будут автоматически применяться к ПО Google. В редакторе «Управление групповыми политиками» (папка Конфигурация компьютера):
В редакторе «Управление групповыми политиками» (папка Конфигурация компьютера):
- Выберите Google UpdateПриложения.
- Включите правило Изменить правила обновления по умолчанию.
- В разделе Параметры выберите Обновления отключены.
Даже если вы отключите обновление, Google Update по-прежнему будет обновляться самостоятельно.
Как отключить обновление компонентов для браузера Chrome (необязательно)
Эти инструкции относятся только к компонентам браузера Chrome.
Даже если вы отключите обновление браузера Chrome, его компоненты, такие как Widevine DRM, по-прежнему будут обновляться.
В редакторе «Управление групповыми политиками» (папка Конфигурация компьютера):
- Выберите Google Chrome.
- Отключите правило Разрешить обновление компонентов Google Chrome.
- Нажмите Применить.
Примечание. Это правило не применяется к некоторым компонентам.