Групповые политики являются одним из самых эффективных способов управления компьютерной сетью, построенной на базе Windows-сетей. Групповые политики используют для упрощения администрирования, предоставляя администраторам централизованное управление привилегиями, правами и возможностями как пользователей, так и компьютеров сети.
При помощи политики возможно:
- назначать сценарии пользователя и сценарии компьютера, запускающиеся в конкретно указанное время;
- определять политики параметров пароля учетных записей, блокировку пользователей;
- распространять программное обеспечение на компьютеры сети при помощи публикации или назначения;
- выполнять набор настроек безопасности для удаленных машин;
- ввести контроль над доступом к windows-компонентам, системным ресурсам, сетевым ресурсам, утилитам панели управления, рабочему столу и экрану;
- проводить настройку по распределению прав на доступ к файлам и папкам;
- настраивать перенаправление определенных папок из профиля пользователя.
Групповые политики возможно применять сразу на нескольких доменах, на отдельных доменах, на подгруппах в домене, на отдельных системах.
Групповые политики Windows Server. Настройка групповых политик. Редактор групповых политик.
Политики, применяемые к отдельным системам, называются локальными групповыми политиками. Такие политики хранятся только на локальном компьютере. Остальные групповые политики соединены в объекты и хранятся в хранилище данных Active Directory.
Управление групповых политик имеется только в профессиональных и серверных версиях Windows.
Для каждой новой версии Windows вносились новые изменения в групповую политику. В некоторых случаях старые политики не применяются на новые версии Windows.
Обычно большинство политик прямо совместимы. Это означает, что, как правило, политики, предоставленные в Windows Server 2003, могут использоваться на Windows 7 и более поздних, а также на Windows Server 2008 и более поздних. Однако, политики для Windows 8/10 и Windows Server 2012/2016 обычно не применимы к более ранним версиям Windows. Для того, чтобы узнать какие версии поддерживает политика, можно открыть окно ее свойств – там посмотреть на поле Требование к версии или поддерживается. В нем указаны версии ОС, на которых эта политика будет работать:
Редактирование групповых политик
Консоль редактирования групповой политики входит в состав сервера, ее требуется установить в диспетчере сервера как дополнительный компонент управления групповыми политиками:
После этого в составе программ меню Администрирование появляется задача Управление групповыми политиками.
В оснастке Управление групповой политикой назначаются политики к подразделениям, а благодаря иерархической структуре можно визуально понять к какой группе относятся какая-либо политика:
Групповые политики (GPO) [Администрирование Windows Server]
Групповая политика изменяется в редакторе управления групповыми политиками – для этого требуется выбрать команду Изменить в меню Действия. Так же новую групповую политику можно создать либо «с нуля», для этого выбираем Объекты групповой политики выбираем команду Создать в меню Действие. Записываем новое имя объекта групповой политики после этого нажимаем ОК. Можно скопировать в нее параметры уже существующей политики в зависимости от требуемой задачи.
Чтобы применить созданную политику, требуется установить для нее связь с соответствующим объектом службы каталогов в оснастке Управление групповой политикой:
Примененную политику можно настроить по фильтру безопасности. Таким способом параметры данного объекта групповой политики возможно разделить только для заданных групп, пользователей и компьютеров, входящих в домен:
Рекомендации по применению политик
Главное заключается в том, чтобы не изменять политику по умолчанию. Потому как если в политике возникнет какая-либо серьезная ошибка, то возврат к начальному состоянию приведет к удалению не только последних настроек, но и всех других параметров. Поэтому для административных действий по управлению системой создавайте новые политики, тогда для изменения настроек вам потребуется только отключать/включать привязку политик к организационной структуре.
Обработка одной политики с наибольшим числом назначенных параметров, не отличается по времени от обработки нескольких политик, в каждой из которых назначается только часть этих параметров. Поэтому удобнее создавать несколько политик, чем включать все изменения в одну.
Не стоит удалять ранее созданные групповые политики – желательно просто отключить привязку их от объекта службы каталогов. Они могут потребоваться в дальнейшем для анализа в случае каких-либо проблем.
В рамках нашей услуги ИТ-обслуживание мы не только настраиваем групповые политики, но и берем на себя обслуживание всей ИТ-структуры клиента, включая все настройки, обновления ПО и поддержку в режиме 24/7.
Источник: efsol.ru
Записки IT специалиста
Бывают ситуации, когда необходимо установить определенные приложения на большое количество компьютеров за минимальное количество времени. Можно конечно же обойти все компьютеры и установить все вручную. Можно также подключиться с помощью утилит удаленного управления и не отходя от своего рабочего места решить эту задачу.
Но все это отнимет у нас огромное количество времени (представим, что у нас 300 компьютеров. решить эту задачу нам помогут групповые политики.
1. Создаем папку общего доступа, куда мы будем «складывать» установочные пакеты. Помним, что файлы установки должны быть в виде пакетов .msi.
2. Выбираем нужный нам объект групповой политики и открываем «Редактор управления групповыми политиками». Нам нужна ветка: Конфигурация компьютера -> Политики -> Конфигурация программ -> Установка программ -> пр.кн.м -> Создать -> Пакет (Рис.1):
Рис.1 Создание пакета установки.
3. Выбираем нужный нам пакет установки для развертывания и выбираем метод развертывания (особый или назначенный) (Рис.2):
Рис.2 Выбор файлов установки для дальнейшего развертывания.
4. Пакет успешно добавлен. При первом обновлении групповых политик, приложение будет установлено на клиентские компьютеры (Рис.3):
Источник: sergeykovarsky.blogspot.com
Автоматическая установка приложений
Осуществлять автоматическую установку приложения можно разными способами:
- С помощью скриптов ( .vbs, .js )
- Пакетных файлов (. bat, .com )
Скрипты и пакетные файлы могут запускаться как вручную, так и с помощью различных инструментов:
- Групповых политик (назначение или публикация приложения, выполнение скрипта во время входа в систему или во время выхода)
- System Center Configuration Manager
В этой лекции хотелось бы рассказать о способе автоматической установки приложений (публикация и назначение) при помощи групповых политик.
Групповые политики (Group Policy) – набор правил, в соответствии с которыми производится настройка рабочей среды Windows. Групповые политики создаются в домене и реплицируются в рамках домена.
Групповые политики поддерживают 2 типа приложений:
- Приложения, устанавливаемые при помощи WindowsInstaller (. MSIпакеты ).
- Приложения, устанавливаемые любым другим способом (. ZAPприложения ).
Если с .MSI пакетами все понятно – для автоматической установки необходимо просто указать путь к установочному файлу. Данный файл , как вы понимаете, должен быть в формате .MSI. Для каждого такого файла создается специальный пакет. Это не удобно, если установка приложения требует использовать несколько .MSI пакетов.
В этом случае к нам на помощь приходят . ZAP пакеты.
ZAP пакет – конфигурационный файл, предназначенный для публикации приложений при помощи групповых политик домена Windows (Active Directory).
Минимальная конфигурация . ZAP пакета выглядит следующим образом:
[Application] FriendlyName = «Office 2003 SP 3» SetupCommand = \remote_serverinstallAutoInstallOffice_2003.bat
В качестве устанавливаемого приложения может использоваться любой исполняемый файл (. msi, .exe, .vbs, .js, .bat, .com ).
Более полная конфигурация выгладит следующим образом:
[Application] ; Только параметры FriendlyName и SetupName являются обязательными. ; Oстальные параметры являются необязательными. ; Параметр FriendlyName задает имя приложения, отображающееся ; в расширении «Установка программ», а также в компоненте панели управления ; «Установка и удаление программ». ; Обязательный параметр FriendlyName = «Office 2003» ; Параметр SetupCommand обозначает командную строку, которая ; используется для запуска установки приложения. ; Если это относительный путь, то расположение программы ; установки указывается относительно ZAP-файла. ; Путь необходимо заключить в кавычки, если в нем содержатся пробелы, либо ; если названия файлов или папок имеют длину более восьми символов. ; Также можно использовать полный сетевой путь к программе установки. ; Например: ; SetupCommand = «long foldersetup.exe» /unattend ; Обязательный параметр SetupCommand = setup.exe ; Версия приложения, которая будет отображена в расширении : «Установка программ», а также в компоненте панели управления ; «Установка и удаление программ». ; Необязательный параметр DisplayVersion = 8.0 ; Название компании, являющейся производителем приложения. ; Это название будет отображено в расширении «Установка программ», ; а также в компоненте панели управления ; «Установка и удаление программ». ; Необязательный параметр Publisher = Microsoft ; Адрес в сети Интернет для получения дополнительной ; информации о приложении. Он отображается в расширении ; «Установка программ», а также в компоненте панели управления ; «Установка и удаление программ» ; Необязательный параметр URL = http://www.microsoft.com/office ; Параметр, указывающий язык приложения. ; В нашем примере указан русский язык. ; Необязательный параметр LCID = 1049 ; Архитектура (в нашем случае – Intel). ; Необязательный параметр Architecture = intel ; В разделах [ext] [CLSIDs] и [progIDs] все ; параметры являются необязательными. [ext] ; Расширения файлов, связанные с приложением ; и инициализирующие его автоматическую установку. ; Эти параметры не потребуются, если у Вас нет необходимости ; в автоматической установке приложения. ; Весь раздел является необязательным. ; Примечание. Вы можете указать в начале расширения точку. ; Текст, следующий после первого символа «=», является ; необязательным и будет проигнорирован. ; Символ «=» является обязательным. В случае его отсутствия ; вся строка будет проигнорирована. XLS= [CLSIDs] ; Идентификатор CLSID, который будет использован ; при автоматической установке приложения. ; Весь раздел является необязательным. ; После идентификатора CLSID ставится символ «=», ; затем через запятую перечисляются параметры ; LocalServer32, InprocServer32 и/или InprocHandler32. [progIDs] ; Идентификатор progID, который будет использован ; при автоматической установке приложения. ; Весь раздел является необязательным. ; После идентификатора CLSID ставится символ » http://www.intuit.ru/2010/edi» >
Опубликованные приложения выглядят следующим образом рис. 5.5.
Рис. 5.5.
К преимуществам . ZAP пакетов можно отнести возможность установки приложений, запакованный инсталлятором, отличным от Windows Installer ; использование ключей автоустановки; возможность задать для одного опубликованного приложения несколько исполняемых файлов (компонентов). К недостаткам относится невозможность удалить такие пакеты.
К достоинствам .MSI пакетов относится простота установки и удаления приложений, установленных с помощью групповых политик, а также возможность назначения приложений.
Типы размещения устанавливаемых пакетов:
- Назначение. Назначенный пакет будет установлен автоматически.
- Публикация. Для установки опубликованного приложения необходимо самостоятельно начать процесс, т.е. нажать кнопку «Добавить».
.MSI пакеты можно как назначать, так и публиковать. ZAP пакеты – только публиковать.
Для публикации или назначения приложения необходимо на контроллере домена открыть редактор групповой политики и пройти по следующему пути:
- Для публикации приложений на пользователя: «Конфигурация пользователя» -> «Конфигурация программ» -> «Установка программ».
- Для публикации приложения на компьютер: «Конфигурация компьютера» -> «Конфигурация программ» -> «Установка программ».
Затем нажать правой кнопкой мыши на пункте » Установка программ » и выбрать «Новый» -> «Пакет».
Указываем путь до пакета и в зависимости от типа пакета либо опубликовываем, либо назначаем приложение .
Рекомендуется публиковать или назначать приложения либо на компьютер , либо на пользователя. При использовании одновременно двух способов возможны появления ошибок.
Источник: intuit.ru