- Доменні об'єкти групових політик. які використовуються для централізованого управління конфігурацією комп'ютерів і користувачів, що входять до складу домену Active Directory. Ці об'єкти зберігаються тільки на контролері домену;
- Локальні об'єкти групових політик. які дозволяють налаштовувати конфігурацію локального комп'ютера, а також всіх користувачів, створених на цьому комп'ютері. Ці об'єкти зберігаються тільки в локальній системі. Локальні об'єкти групових політик можуть застосовуватися, навіть якщо комп'ютер входить до складу домену.
У цій статті мова піде про управління локальними об'єктами групових політик.
Управління локальними об'єктами групових політик
Ви можете відкрити дану оснастку декількома способами:
вузли оснащення
- Конфігурація комп'ютера. який призначений для настройки параметрів комп'ютера. У цьому вузлі розташовані параметри, які застосовуються до комп'ютера, незважаючи на те, під який обліковим записом користувач увійшов в систему. Ці параметри застосовуються при запуску операційної системи і оновлюються у фоновому режимі кожні 90-120 хвилин.
- Конфігурація користувача. який призначений для налаштувань параметрів користувачів. Параметри, які знаходяться в цьому вузлі, застосовуються при вході конкретного користувача в систему. Так само, як і параметри, розташовані у вузлі конфігурації комп'ютера, параметри, розташовані у вузлі конфігурації користувача оновлюються у фоновому режимі кожні 90-120 хвилин.
У цих основних вузлах ви можете знайти по три дочірніх вузла, за допомогою яких настроюються всі параметри локальних об'єктів групових політик.
конфігурація програм
конфігурація Windows
Вузол «Конфігурація Windows» в основному призначений для забезпечення безпеки комп'ютера і облікового запису, для якої застосовуються дані політики. У конфігурації Windows ви можете знайти кілька вузлів:
Політика дозволу імен
Цей вузол надає можливість керуванням розширенням таблиці політик дозволу імен (NRTP), яка зберігає параметри конфігурації для безпеки DNS (DNSSEC). Політика дозволу імен - це об'єкт групової політики, в якому зазначено відомості про політику, які відображаються в NRTP. Це розширення варто налаштовувати тільки в тому випадку, якщо ваш комп'ютер входить до складу домену Active Directory. Ця політика розташована тільки в вузлі «Конфігурація комп'ютера».
При створенні правила вам слід звернути увагу на наступні моменти:
Правила можна створювати для наступних частин простору DNS:
В поле «Центр сертифікації» ви можете вказати ЦС, який використовується для створення цифрових підписів. Можна вводити ЦС вручну або вибрати потрібний, скориставшись кнопкою «Обзор».
На вкладці «DNSSEC» ви можете включити DNSSEC для створюваного правила і вказати примусову перевірку конфігурації для безпеки DNS, а також вибрати тип шифрування, який буде використовуватися для даного правила. Доступні значення: «Без шифрування (тільки цілісність)». «Потрійний DES (3DES)». «Advanced Encryption Standard (AES)» з довжиною ключа 128, 192 або 256 біт, або AES з довжиною ключа 192 і 256 біт.
На вкладці «Параметри DNS для прямого доступу» ви можете вказати сервери, які клієнт DNS буде використовувати при відповідність зазначеного імені; проксі-сервер, який буде використовуватися для підключення до Інтернету; і можете вказати тип шифрування для використання IPSec при взаємодії між клієнтом і сервером DNS.
Якщо ви натиснете на кнопку «Додаткові параметри глобальної політики». то зможете налаштувати параметри роумінгу, параметри помилки запиту і дозволу запиту.
Після того як всі параметри будуть вказані, натисніть на кнопку «Створити». Після чого створене правило відобразиться в таблиці політик дозволу імен. Зміни політики не будуть збережені, поки ви не натиснете на кнопку «Застосувати».
Для того щоб призначити сценарій для автозавантаження або завершення роботи, виконайте наступні дії:
При призначенні кількох сценаріїв вони будуть застосовуватися в заданому порядку. Щоб перемістити сценарій в списку вгору, виберіть його і натисніть на кнопку «Вгору». Для того щоб перемістити сценарій в списку вниз, виберіть його і натисніть на кнопку «Вниз». Для того щоб змінити сценарій, натисніть на кнопку «Змінити». Кнопка «Видалити» призначена для видалення сценарію зі списку.
На вкладці «Сценарій PowerShell» ви можете додати сценарії з розширенням * .ps1. Також, ви можете вибрати порядок виконання звичайних сценаріїв і сценаріїв PowerShell із списку.
Політика безпеки
Цей вузол дозволяє налаштовувати безпеку засобами GPO. У цьому вузлі для конфігурації комп'ютера доступні наступні настройки:
Політики облікових записів. які дозволяють встановлювати політику паролів і блокування облікових записів. Цей функціонал буде розглядатися в одній з наступних статей.
Локальні політики. що відповідають за політику аудиту, параметри безпеки і призначення прав користувача. Цей функціонал буде розглядатися в одній з наступних статей.
Брандмауер Windows в режимі підвищеної безпеки. за допомогою яких ви можете створювати правила вхідних і вихідних підключень, а також правила безпеки підключень так само, як і в однойменній оснащенні. Різниця лише в тому, що після створення правила, його налаштування можна буде змінити, а також в оснащенні «Брандмауер Windows в режимі підвищеної безпеки» у вас не буде прав для видалення поточного правила. На наступному скріншоті ви побачите правило безпеки підключення тунельного режиму, створеного засобами групових політик і відкритого в оснащенні «Брандмауер Windows в режимі підвищеної безпеки»:
Політики диспетчера списку мереж. що дозволяють управляти всіма вашими мережевими профілями.
Політики відкритого ключа. які дозволяють:
- налаштовувати комп'ютери на автоматичне відправлення запитів в центр сертифікації підприємства та установку видаються сертифікатів;
- створювати і поширювати список довіри сертифікатів (CTL);
- додавати агенти відновлення шифрованих даних і зміна параметрів політики відновлення шифрованих даних;
- додавати агенти відновлення даних шифрування диска BitLocker.
Про політиків відкритого ключа буде детально розказано в статті про локальні політиках безпеки.
Політики обмеженого використання програм. що дозволяють здійснювати ідентифікацію програм і управляти можливістю їх виконання на локальному комп'ютері, в підрозділі, домені і вузлі.
Політики управління додатками. що відповідають за створення і управління правилами і властивостями функціоналу AppLocker, який дозволяє керувати установкою додатків і сценаріїв.
Політики IP-безпеки на «Локальний комп'ютер». які дозволяють створювати політику IP-безпеки локального комп'ютера і керувати списками IP-фільтрів. Більш докладно буде розказано в статті про локальні політиках безпеки.
Конфігурація розширеного аудиту. який надає доповнюють локальні політики, що відповідають за аудит. Про ці параметри мова піде у статті, пов'язаної з політиками аудиту.
Журнал подій. який дозволяє налаштовувати параметри журналів подій додатків, системних подій і подій безпеки.
Групи з обмеженим доступом. які дозволяють включати користувачів в окремі групи. Про ці параметри буде детально розповідатиметься в статті про делегування прав групових політик.
Системні служби. що визначають типи запуску і дозволу доступу для системних служб.
Реєстр. який задає дозволу контролю доступу до окремих розділів системного реєстру.
Файлова система. що визначають дозволу контролю доступу для файлів і папок NTFS.
Політики провідної мережі (IEEE 802.3). які керують налаштуваннями дротових мереж.
Політики бездротової мережі (IEEE 802.11). які керують налаштуваннями бездротових мереж.
Network Access Protection. які дозволяють створювати політики захисту мережевого доступу.
QoS на основі політики
Цей вузол визначає політики, керуючих мережевим трафіком, які дозволяють налаштовувати провідні мережі. Параметри QoS на основі політик дозволяють налаштовувати пріоритети і управляти швидкістю передачі для вихідного трафіку на основі наступних чинників:
Створення політик QoS буде детально розглянуто в одній з наступних статей.
розгорнуті принтери
Ця функція корисна, коли принтер використовується спільно в закритому середовищі, такий як школа, де всі комп'ютери в аудиторії або офісі повинні мати доступ до одного принтера або коли користувачеві при переміщенні в інше місце розташування необхідно автоматичне підключення принтера.
Налаштування Internet Explorer
Найчастіше ці параметри використовуються для настройки зовнішнього вигляду браузера і його функцій для застосування стандартів організації, пов'язаних з Інтернетом, а також, щоб надати користувачам загальний інтерфейс браузера. За допомогою цього функціоналу ви можете налаштовувати заголовки браузера, панелі інструментів, рядка User-Agent, зон безпеки, оцінки вмісту і багато іншого. Детально ці параметри будуть розглядатися в одній з наступних статей.
