Использование групповой политики для удаленной установки программного обеспечения

Политики приложений

С помощью Group Policy можно реализовать два варианта развертывания приложений:

  • Публикация — приложение появляется в оснастке Add or Remove Programs панели управления, так что вопрос о том, следует ли устанавливать данное приложение, решает сам пользователь.
  • Назначение — приложение появляется в меню Start на рабочем столе пользователя, как если бы оно уже было установлено. Затем, когда пользователь запускает приложение в первый раз, программа установки выполняет процедуру оперативной инсталляции (just-in-time — JIT- installation) программы из сетевой общедоступной дистрибутивной папки.

Методы активации режима разработчика

После активации режима вы сможете инсталлировать на компьютер любое ПО (даже не имеющее подписи Microsoft), локально запускать сценарии PowerShell и пользоваться оболочкой разработки Bash. Это лишь малая часть всех возможностей. Теперь поговорим о самих методах активации. Всего можно выделить 4 способа, позволяющих правильно задействовать режим разработчика.

Способ 1: «Параметры» ОС

Начнем с самого легкодоступного и очевидного метода. Для его реализации мы будем использовать окно основных параметров Виндовс 10. Выполните следующие действия:

  1. Разверните окно «Параметры» путем нажатия комбинации клавиш «Win+I». Из него перейдите в категорию «Обновление и безопасность».

Далее зайдите в подраздел «Для разработчиков». Список подразделов вы увидите в левой половине окна. Затем поставьте отметку возле строки «Режим разработчика».

На экране появится уведомление о преимуществах и недостатках включаемого режима. Для продолжения операции нажмите «Да» в окне уведомления.

Способ 2: «Редактор локальной политики»

Сразу отметим, что данный метод не подойдет пользователям, которые используют Windows 10 Home. Дело в том, что в этой редакции попросту отсутствует нужная утилита. Если вы в их числе, просто используйте другой способ.

  1. Запустите окно утилиты «Выполнить», нажав одновременно «Win»и «R». В него введите команду gpedit.msc , после чего кликните по кнопке «OK», расположенной ниже.

Ссылки

Сеть

Оборудование  СХД • Cisco • 3G модем • Vyatta
Active Directory  Group Policy (GPO) • LOCAL.RSU.EDU.RU • MSI • Windows Server 2008 • Миграция учетных записей
Службы  MnoGoSearch • Установка Netatalk (AFP) на OpenSUSE • Сервер точного времени ntp.rsu.edu.ru • Резервное копирование • Обновление Консультант+ через интернет • Pdns • Nslookup • IIS • Group Policy (GPO) • DNS & DHCP • BGP • OSPF
Программное обеспечение  Консоль управления PERCo-S-20 • Антивирус Касперского • Windows XP • Windows Server 2008 • Vyatta • Google Chrome • Communigate Pro • Bacula • Ulteo Open Virtual Desktop • 1C
Настройка  Типичная настройка сети университета • Подключение к сети университета через VPN • Публичная Wi-Fi сеть РГУ • Настройка сетевого оборудования • Настройка сервера DNS • Настройка web-сервера • Настройка proxy-сервера • Автоматическая настройка прокси • Внедрение IPv6

Windows

Операционная система  Windows XP • Windows 7 (Seven) • Windows 8 • Windows Server 2008 • Windows Azure
Настройка  Windows Update • Система точного времени NTP • Автоматическая настройка прокси • Принтеры • IIS • Внедрение IPv6
Программное обеспечение  Office 365 • LibreOffice • Google Chrome • Mozilla Firefox • Internet Explorer • Антивирус Касперского • Tesseract • OpenOCR (CuneiForm) • Ulteo • 1C • MarcSQL
Active Directory  Group Policy (GPO) • Active Directory
Советы  Windows tips. Be more friendly to Linuxoids. • How to Autostart a CD with an HTML-document • Документы в формате ODT / ODF / DOCX • Автономные файлы Windows (CSC) • Создание скриншота ошибки

Через проводник

Файловый менеджер в виде специальной панели, расположенной в левой части окна, предоставляет быстрый доступ к файловой системе устройства, в том числе к меню Редактора.

Воспользоваться Проводником можно по следующей схеме:

Нажать клавиши: «Win E».

  • Вставить: C:WindowsSystem32gpedit.msc.
  • Нажать «Enter».

Эти действия позволят сразу запустить системный инструмент. Если юзеру нужен доступ к его файлу, тогда потребуется ввести значение: C:WindowsSystem32, затем прокрутить курсор мыши в самый низ перечня. В нем отобразится наименование gpedit.msc.

Не обязательно вводить полный модуль, достаточно указать значение: gpedit.msc, и оно также найдет Редактор, который отобразится в результатах.

Импорт групповых политик

Настройки для политик импортируются по одной. Массовой загрузки не предусмотрено.

В консоли управления политиками создаем первый объект:

Для удобства, желательно дать такое же название политики, как на первом контроллере:

Кликаем правой кнопкой по созданной политики — Импорт параметров…:

В открывшемся окне кликаем Далее — еще раз Далее — выбираем папку с архивом:

… и Далее. В списке политик выбираем нужную, которую хотим восстановить:

Ставим галочку Показывать только последние версии объекта групповой политики:

Нажимаем Далее — еще раз Далее — если для восстанавливаемой политики будут найдены индивидуальные настройки, система предложит восстановить все как есть или воспользоваться файлом импорта — выбираем файл, который создавали на шаге 2:

Далее и Готово.

Повторяем действия для каждого объекта групповой политики.

Резервное копирование

Ещё одним способом восстановить доступ к редактору групповой локальной политики является резервное копирование. Инструкция приведена ниже:

  1. Зайдите в папку «GPBAK». На скриншоте показан путь к данной папке для 32-битных версий ОС. Если у вас 64-битная, то «GPBAK» вы сможете найти не в папке «System32», а в папке «SysWOW64».
  2. В открытой вами папке будет содержаться несколько файлов. Выделите их все и скопируйте.
  3. Откройте папку «Windows».
  4. Зайдите в папку «System32».
  5. Вставьте скопированные файлы в эту папку, предварительно переместив курсор на свободное место. Как и в предыдущем случае, выбирайте вариант «Копировать с заменой», как только увидите соответствующее окно.

После копирования файлов перейдите в «Редактор политики». Если ошибки не возникло, то миссия выполнена.

Как менять?

Нужно заметить, что таблица от Майкрософт сводная. Туда входят многие операционные системы, в том числе XP, который более не поддерживается. Следует ориентироваться на строку, где указана совместимость. Это сложный путь, но мы в начале предупредили, что он не для простых смертных. Теперь, зная эту информацию, не сложно создать своими руками ключ в нужном месте. Вот как это делается:

Вызываем редактор реестра, если он ещё не открыт.
Находим нужную папку (если не имеется, создаём её вручную).

Осталось ввести в нужно месте тип и имя ключа. Многие параметры, как две капли воды похожи друг на друга. Поэтому можно пользоваться шаблонами.

настройка брандмауэра Windows в правилах исходящего трафика с повышенной безопасностью

В консоли редактор «Управление групповыми политиками» щелкните правой кнопкой мыши правила исходящих подключенийи выберите команду создать правило. Откроется мастер создания правила для исходящего трафика.

В поле тип правилащелкните предопределенный, разверните список вариантов, а затем щелкните BranchCache — получение содержимого (используется HTTP)

Щелкните Далее.

В окне предопределенные правиланажмите кнопку Далее.

В поле действиеубедитесь, что выбран параметр Разрешить подключение , а затем нажмите кнопку Готово.

Важно!
Необходимо выбрать параметр Разрешить клиенту BranchCache подключение для отправки трафика через этот порт.

Чтобы создать исключение WS-Discovery брандмауэра, щелкните правой кнопкой мыши правила исходящих подключенийи выберите команду создать правило. Откроется мастер создания правила для исходящего трафика.

В поле тип правилащелкните предопределенный, разверните список вариантов, а затем щелкните BranchCache — обнаружение кэширующих узлов (использует WSD)

Щелкните Далее.

В окне предопределенные правиланажмите кнопку Далее.

В поле действиеубедитесь, что выбран параметр Разрешить подключение , а затем нажмите кнопку Готово.

Важно!
Необходимо выбрать параметр Разрешить клиенту BranchCache подключение для отправки трафика через этот порт.

Основные проблемы

  1. Остановите Службу репликации файлов (FRS) на всех контроллерах домена.
  2. Скопируйте все файлы и папки из каталога SYSVOL во временную папку на эталонном контроллере домена. Временная папка должна быть на том же разделе, что и каталог SYSVOL.
  3. Сверьте точки соединения NTFS на каждом контроллере домена.
  4. Перезапустите FRS на эталонном контроллере домена с параметром D4 в реестре.
  5. Перезапустите FRS на всех остальных контроллерах домена с параметром D2 в реестре.
  6. На эталонном контроллере домена переместите все папки и файлы в корневую папку реплекации. По умолчанию это папка C:\Windows\Sysvol\Domain.
  7. Проверьте согласованность файлов и папок на всех контроллерах домена.

Проверка точкек соединения NTFS

На всех контроллерах домена проверьте состав дерева в SYSVOL:
Verify that the following folders exist in the SYSVOL tree :
\SYSVOL
\SYSVOL\domain
\SYSVOL\staging\domain
\SYSVOL\staging areas
\SYSVOL\domain\Policies
\SYSVOL\domain\scripts
\SYSVOL\SYSVOL
Проверьте, существуют ли точки соединения NTFS:

\SYSVOL\SYSVOL\<dns_domain_name> > \SYSVOL\domain
\SYSVOL\staging areas\<dns_domain_name> > \SYSVOL\staging\domain

командой:

linkd "%systemroot%\SYSVOL\SYSVOL\<dns_domain_name>"
linkd "%systemroot%\SYSVOL\staging areas\<dns_domain_name>"

Задать перенаправление можно той же командой:

linkd "%systemroot%\SYSVOL\SYSVOL\<dns_domain_name>" "%systemroot%\SYSVOL\domain"
linkd "%systemroot%\SYSVOL\staging areas\<dns_domain_name>" "%systemroot%\SYSVOL\staging\domain"

Утилита linkd.exe находится в пакете Windows Server 2003 Resource Kit Tools.

Эталонный контроллер домена

ВНИМАНИЕ!Перед этим шагом выполните архивацию объектов групповой политики без относительно того, что мы с вами об этом думаем.

На эталонном контроллере домена должен быть собран актуальный набор объектов групповой политики. Для этого откройте Active Directory — Пользователи и компьютеры. Включите Дополнительные параметры в меню Вид. В домене найдите контейнер System, а в нем Policies.

С правой стороны представлены объекты групповой политики, которые должны один в один соответсвовать обьектам в дереве SYSVOL.

Для этого:

  • Если в дереве SYSVOL встречается папка с именем GUID, который не встречается в Active Directory, вы можете безопасно ее удалить из папки.
  • Если в Active Directory встречается обьект групповой политики с GUID не отраженный в SYSVOL\domain\policies, то вы можете безопасно удалить ее из Active Directory.

На эталонном контроллере домена удалите любые файлы и папки из корня SYSVOL. По умолчанию нужно очистить следующие папки:

C:\WINDOWS\SYSVOL\domain 
C:\WINDOWS\SYSVOL\staging\domain

В редакторе реестра найдите следующие ключи:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID

Где GUID is the GUID of the domain system volume replica set that is shown in the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID

Задайте значение параметра BurFlags D4 (HexaDecimal).

Остальные контроллеры домена

Удалите все файлы и папки из дерева SYSVOL, очистив его таким образом от мусора.

В редакторе реестра найдите следующие ключи:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID

Где GUID is the GUID of the domain system volume replica set that is shown in the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID

Задайте значение параметра BurFlags D2 (HexaDecimal).

Проверка

Для получения списка общих ресурсов на каждом контроллере выполните команду:

net share

На основном контроллере домена и через некоторое время на резервном появится следующая строчка выводла этой команды

SYSVOL       C:\Windows\SYSVOL\sysvol        Общий сервер входа

В логе событий системы будет получено сообщение о восстановлении репликации. На всех контроллерах домена, кроме эталонного, это займет некоторое время.

Не подключается сетевой диск

Если групповая политика сопоставления диска применяется, но на клиентском ПК диск не подключается, проблема может быть в следующем.
Вероятнее всего, на компьютере под управлением Windows XP отключена служба автоматического обновления. Включите службу и обновите ОС до актуального состояния. Критическое обновление, отвечающее за подключение сетевых дисков KB943729.

Что делать, если программам пользователей надо писать данные в Programm Files, но пользоватлям нельзя давать права Администратора?

Как работает применение групповой политики

Применение групповой политики

Вкратце, собственно сам механизм применения групповой политики выглядит следующим образом. Вначале администратор создает объект групповой политики (GPO), содержащий определенный набор параметров рабочей среды. Этот объект может содержать настройки, применяемые как компьютеру, так и к пользователю. Далее, с помощью связывания (или привязки, linking) этот объект ассоциируется с одним или несколькими элементами дерева Active Directory. При загрузке компьютера, входящего в домен, выполняется запрос списков групповой политики у контроллера домена. Контроллер пересылает необходимые списки в том порядке, в котором они должны применяться на компьютере. Когда пользователь осуществляет вход в систему, выполняется еще один запрос о необходимых объектах групповой политики, которые затем применяются к пользователю, выполнившему вход в систему.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Ваша ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: