У Windows 10 RTM і Windows 8.1 були доступні всього два режими налаштування параметрів меню Пуск і початкового екрана (Start Layout) на комп'ютерах користувачів домену: можна було або повністю заблокувати користувачеві можливість зміни будь-яких елементів стартового екрану, або користувач міг змінювати будь-які параметри макета (описано тут). У Windows 10 версії 1511 з'явилася можливість часткової блокування елементів макета стартового екрану, що дозволяє адміністратору вибрати які групи користувач не може змінити. Таким чином, користувачі тепер можуть змінити будь-які елементи макета стартового екрана крім групи корпоративних додатків і ярликів. Розглянемо особливості управління стартовим екраном, меню Пуск і значками таскбара в Windows 10 за допомогою GPO.
Експорт / імпорт макета стартового екрана за допомогою PowerShell
Найпростіший спосіб отримати шаблон макета стартового екрану - вручну налаштувати зовнішній вигляд і елементи робочого столу на якомусь еталонному ПК з Windows 10 (закріпити значки додатків, згрупувати їх і т.д.) і експортувати отримані настройки в xml файл.
Експортувати поточні настройки можна за допомогою PowerShell командлет Export-StartLayout:
Export-StartLayout -path c: \ ps \ StartLayoutW10.xml
Надалі даний макет можна вручну імпортувати на іншій системі таким чином:
Import-StartLayout -LayoutPath c: \ ps \ StartLayoutW10.xml -MountPath з: \
Примітка. Параметр MountPath вказує на шлях, куди змонтований .wim файл образу системи.
Після виконання команди в каталозі C: \ Users \ Default \ AppData \ Local \ Microsoft \ Windows \ Shell \ з'явиться файл Layoutmodification.xml, який буде містити установки макета робочого столу системі. Дані настройки не застосовуються для поточних користувачів, шаблон з цими настройками буде застосований до профілю будь-якого нового користувача при першому вході в систему.
Поширення макета стартового екрану на ПК користувачів за допомогою GPO
Щоб поширити файл з макетом стартового екрану на комп'ютери домену за допомогою групових політик (GPO), потрібно скопіювати отриманий файл в якийсь загальнодоступний мережевий каталог (у користувача повинні бути права на читання). Потім відкрийте консоль управління доменними груповими політиками Group Policy Management Console (GPMC.msc) і створіть нову або відредагуйте існуючу політику і призначте її на OU з користувачами.
Відкрийте політику, включіть її (Enabled) і в полі Start layout file вкажіть UNC шлях до xml файлу, що містить макет стартового екрану Windows 10 (наприклад, \\ srv1 \ share \ StartLayoutW10.xml).
Важливо. За замовчуванням при завданні параметром стартового екрану користувачів за допомогою GPO, користувачі не можу змінювати його елементи. Щоб дозволити користувачу змінювати елементи, потрібно скористатися можливість часткової блокування макета початкового екрана (Partial Lockdown), описаної в секції нижче.
Partial Lockdown - часткове блокування макета головного екрана
Режим Partial Lockdown, що з'явився в Windows 10 версії 1511 дозволяє вказати групи плиток початкового екрана, які будуть заблоковані для користувача Всі інші частини макета початкового екрану користувач може налаштовувати за власним бажанням.
Відкриємо наш файл StartLayoutW10.xml і знайдемо в ньому секцію
Збережіть зміни в xml файлі і розповсюдьте його на клієнтські ПК. Таким чином, будуть заблоковані тільки групи, зазначені в XML файлі. Всі інші групи, їх склад і параметри елементів можуть змінюватися користувачами.
АЛЕ! Працює ця фіча тільки в Windows 10 Enterprise і Education.
Управління набором додатків в таскбару за допомогою GPO
Ще одним з популярних вимог корпоративного сектора є необхідність управління набором закріплених іконок додатків в таскбару за допомогою групової політики. Список закріплених в таскбару іконок зберігається в системі в каталозі% APPDATA% \ Microsoft \ Internet Explorer \ Quick Launch \ User Pinned \ TaskBar
Для поширення даних налаштувань таскбара на комп'ютери компанії, потрібно експортувати вміст їх грона в reg файл:
reg export HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Taskband c: \ ps \ PinnedItem.reg
echo PinnedItemImported on .ate% at% time% >>% LogFile%
taskkill / IM explorer.exe / f
start explorer.exe
>
Примітка. У скрипт додана перевірка наявності файлу% AppData% \ pinned.log. Якщо файл є, значить даний скрипт вже відпрацював в системі і більш застосовувати його не потрібно, щоб користувач надалі міг видалити або додати власні ярлики в таскбару.
- Блокування вірусів і шифрувальників за допомогою Software Restriction Policies
- Налагоджувальний журнал обробки GPO на клієнтах - gpsvc.log
- Відновлення файлів після зараження шифрувальником зі знімків VSS
- Як змінити стандартні дозволу для нових GPO
- Чому перестали працювати деякі GPO після установки MS16-072
Відновлення файлів після зараження шифрувальником зі знімків VSS
MS Local Administrator Password Solution - управління паролями локальних адміністраторів в домені
Чому перестали працювати деякі GPO після установки MS16-072
Блокування вірусів і шифрувальників за допомогою Software Restriction Policies
Налаштування Mozilla Firefox для роботи в корпоративному середовищі
Методи захисту від mimikatz в домені Windows
Resolution: 1346 x 733 52 queries. 1,181 sec 23.72 MB
MAXCACHE: 0.41MB / 0.00037 sec