Windows

Групповые политики windows server 2019 настройка: Использование групповая политика для настройки клиентских компьютеров членов домена

30.05.2002

Содержание

Использование групповая политика для настройки клиентских компьютеров членов домена

в этом разделе вы создадите объект групповая политика для всех компьютеров в организации, настроили клиентские компьютеры-члены домена с режимом распределенного кэша или режимом кэширования, а также настроим Windows брандмауэр в режиме повышенной безопасности, чтобы разрешить трафик BranchCache.

Этот раздел содержит следующие процедуры.

Совет

В следующей процедуре показано, как создать объект групповая политика в политике домена по умолчанию. Однако можно создать объект в подразделении (OU) или другом контейнере, подходящем для вашего развертывания.

Для выполнения этих процедур необходимо быть членом группы «Администраторы домена»или эквивалентными.

  • На компьютере, на котором установлена роль сервера домен Active Directory Services, в диспетчер сервера выберите Сервис, а затем щелкните Управление Групповая политика. Откроется консоль управления групповая политика.

  • В консоли управления групповая политика разверните следующий путь:

    лес:example.com, домены, example.com, Групповая политика объекты, где example.com — это имя домена, в котором находятся учетные записи клиентского компьютера BranchCache, которые требуется настроить.

  • Щелкните правой кнопкой мыши Объекты групповой политики, а затем выберите команду Создать. Откроется диалоговое окно Создание объекта групповой политики . В поле имявведите имя нового объекта Групповая политика (GPO). Например, если вы хотите присвоить имя объекту клиентские компьютеры BranchCache, введите »

    клиентские компьютеры BranchCache«. Нажмите кнопку ОК.

  • В консоли управления групповая политика убедитесь, что выбран параметр Групповая политика объекты , и в области сведений щелкните правой кнопкой мыши только что созданный объект групповой политики. Например, если вы наназвали клиентские компьютеры BranchCache объекта групповой политики, щелкните правой кнопкой мыши клиентские компьютеры BranchCache. Нажмите кнопку Изменить. Откроется консоль редактор «Управление групповыми политиками».

  • В консоли редактор «Управление групповыми политиками» разверните следующий путь: Конфигурация компьютера

    , политики, Административные шаблоны: определения политик (ADMX-файлы), полученные с локального компьютера, сети, BranchCache.

  • Щелкните BranchCache, а затем в области сведений дважды щелкните включить BranchCache. Откроется диалоговое окно «параметр политики».

  • В диалоговом окне Включение BranchCache щелкните включено, а затем нажмите кнопку ОК.

  • Чтобы включить режим распределенного кэша BranchCache, в области сведений дважды щелкните установить режим распределенного кэша BranchCache

    . Откроется диалоговое окно «параметр политики».

  • В диалоговом окне Установка режима распределенного кэша BranchCache установите флажок включенои нажмите кнопку ОК.

  • При наличии одного или нескольких филиалов, где вы развертываете BranchCache в режиме размещенного кэша и развернули серверы размещенного кэша в этих офисах, дважды щелкните включить автоматическое обнаружение размещенного кэша по точке подключения службы. Откроется диалоговое окно «параметр политики».

  • В диалоговом окне Включение автоматического обнаружения размещенного кэша по точке подключения службы

    щелкните включено, а затем нажмите кнопку ОК.

    Примечание

    Если включить режим распределенного кэша BranchCache и включить автоматическое обнаружение размещенного кэша по параметрам политики точки подключения службы , клиентские компьютеры работают в режиме распределенного кэша BranchCache, если только они не находят сервер размещенного кэша в офисе филиала, и на этом этапе они работают в режиме размещенного кэша.

  • Используйте приведенные ниже процедуры для настройки параметров брандмауэра на клиентских компьютерах с помощью групповая политика.

  • В консоли управления групповая политика разверните следующий путь:

    лес:example.com, домены, example.com, Групповая политика объекты, где example.com — это имя домена, в котором находятся учетные записи клиентского компьютера BranchCache, которые требуется настроить.

  • В консоли управления групповая политика убедитесь, что выбран параметр Групповая политика объекты , и в области сведений щелкните правой кнопкой мыши объект групповой политики «клиентские компьютеры BranchCache», созданный ранее. Например, если вы наназвали клиентские компьютеры BranchCache объекта групповой политики, щелкните правой кнопкой мыши клиентские компьютеры BranchCache. Нажмите кнопку

    Изменить. Откроется консоль редактор «Управление групповыми политиками».

  • в консоли редактор «Управление групповыми политиками» разверните следующий путь: конфигурация компьютера, политики, Windows Параметры, Параметры безопасности, Windows брандмауэр сповышенной безопасностью, Windows брандмауэр с расширенной безопасностью — LDAP, правила для входящих подключений.

  • Щелкните правой кнопкой мыши элемент Правила для входящих подключений и выберите команду Новое правило. Откроется мастер создания правила для нового входящего подключения.

  • В поле тип правилащелкните предопределенный, разверните список вариантов, а затем щелкните BranchCache — получение содержимого (используется HTTP). Нажмите кнопку Далее.

  • В окне предопределенные правиланажмите кнопку Далее.

  • В поле действиеубедитесь, что выбран параметр Разрешить подключение , а затем нажмите кнопку Готово.

    Важно!

    Необходимо выбрать параметр Разрешить клиенту BranchCache подключение к этому порту получать трафик.

  • Чтобы создать исключение WS-Discovery брандмауэра, снова щелкните правой кнопкой мыши правила для входящих подключенийи выберите команду создать правило. Откроется мастер создания правила для нового входящего подключения.

  • В поле тип правилащелкните предопределенный, разверните список вариантов, а затем щелкните BranchCache — обнаружение кэширующих узлов (использует WSD). Нажмите кнопку Далее.

  • В окне предопределенные правиланажмите кнопку Далее.

  • В поле действиеубедитесь, что выбран

    параметр Разрешить подключение , а затем нажмите кнопку Готово.

    Важно!

    Необходимо выбрать параметр Разрешить клиенту BranchCache подключение к этому порту получать трафик.

  • В консоли редактор «Управление групповыми политиками» щелкните правой кнопкой мыши правила исходящих подключенийи выберите команду создать правило. Откроется мастер создания правила для исходящего трафика.

  • В поле тип правилащелкните предопределенный, разверните список вариантов, а затем щелкните BranchCache — получение содержимого (используется HTTP). Нажмите кнопку

    Далее.

  • В окне предопределенные правиланажмите кнопку Далее.

  • В поле действиеубедитесь, что выбран параметр Разрешить подключение , а затем нажмите кнопку Готово.

    Важно!

    Необходимо выбрать параметр Разрешить клиенту BranchCache подключение для отправки трафика через этот порт.

  • Чтобы создать исключение WS-Discovery брандмауэра, щелкните правой кнопкой мыши правила исходящих подключенийи выберите команду создать правило. Откроется мастер создания правила для исходящего трафика.

  • В поле тип правила

    щелкните предопределенный, разверните список вариантов, а затем щелкните BranchCache — обнаружение кэширующих узлов (использует WSD). Нажмите кнопку Далее.

  • В окне предопределенные правиланажмите кнопку Далее.

  • В поле действиеубедитесь, что выбран параметр Разрешить подключение , а затем нажмите кнопку Готово.

    Важно!

    Необходимо выбрать параметр Разрешить клиенту BranchCache подключение для отправки трафика через этот порт.

  • Windows Server 2019. Квоты, Групповые политики, Создание ярлыков и сетевых дисков.

    Продолжаем изучать WIndows Server. И сегодня мы поговорим о том как настраивать доменные компьютеры с помощью групповых политик.

    В предыдущей статье мы создали сетевую папку для пользователей. Хотелось бы теперь автоматически создать ярлык или сетевой диск на всех компьютерах которые входят в домен. Собственно Active Directory и предназначен для администрирования этих компьютеров и обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики и т.д.

    Создания ярлыка.

    Создавать ярлык на сетевую папку мы будем через групповую политику домена. Тут есть два варианта : Мы изменяем Default Domain Policy, и правело будет действовать для всего домена.

    Или создать новую групповую политику в нашем Тестовом подразделение.

    Переходим в Конфигурацию пользователя — Кон. WIndows и выбираем Ярлыки и создаем новый.

    Давайте немного поговорим о настройках.

    Действие :
    • Создать — Создание нового ярлыка для компьютеров или пользователей.
    • Заменить — Удаление и повторное создание ярлыков для пользователей и компьютеров. Конечным результатом действия Заменить является перезапись существующего ярлыка. Если ярлык не существует, то действие Заменить создает новый ярлык.
    • Обновить — Изменение параметров существующего ярлыка для пользователей или компьютеров. Это действие отличается от Заменить тем, что оно обновляет только параметры ярлыка, определенные в элементе настройки. Все остальные параметры ярлыка остаются прежними. Если ярлык не существует, то действие Обновить создает новый ярлык.
    • Удалить — Удаление ярлыка для компьютеров или пользователей.
    Расположение :

    Здесь мы указываем точно расположение созданного Ярлыка.

    Выполнение:

    Здесь мы выбираем размер окна при открытие созданного Ярлыка.

    Сетевые диски.

    Можно для удобства вместо папки смонтировать сетевой диск. И опять же это не сложно сделать с помощью групповых политик. Собственно тут все очень похоже на создание Ярлыков.

    Выбираем Сопоставление дисков , задаем путь к сетевой папке и букву диска.

    Если по какой-то причине политики не применяются, можно на локальной машине в ручную обновить групповые политики из консоли.

    gpupdate

    Квоты.

    Как говориться : Места много не бывает ) Логично что мы захотим ограничить размер сетевых ресурсов (папки). В Windows Server это сделать достаточно легко с помощью Квот.

    Первым делом нам потребуется Роль «Файловые службы и службы хранилища» . А если точнее то конкретный компонент «Диспетчер ресурсов файлового сервера»

    Заходим в Диспетчер ресурсов — Создаем новый шаблон квот. Квоты могут быть Жёсткими( превысить объем нельзя) или мягкими (вас просто уведомят о приведение квоты)

    Так же вы можете настроить всякие сценарии для уведомления о превышение квоты. Теперь выбираем наш Шаблон, кликаем правой кнопкой мыши и создаем Квоту на основе шаблона.

    Вот и все хитрости . Успехов.

    Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

    ⚙КАК ИЗМЕНИТЬ РЕГИОНАЛЬНЫЕ НАСТРОЙКИ С ПОМОЩЬЮ GPO НА СЕРВЕРЕ WINDOWS

    В повседневных задачах компании в качестве персонала в области ИТ, будь то помощники, начальники, координаторы, администраторы, мы должны постоянно взаимодействовать с пользователями домена и с настройкой своего оборудования. Если мы переместимся с нашим оборудованием в другой часовой пояс, новое администрирование этого будет отличаться, потому что мы не будем в тех же условиях, и это то, что сервер должен был определить в своей конфигурации.

    Таким образом, Windows Server 2016 является идеальным инструментом для управления серверами, усиленным последними разработками этой последней версии в отношении Active Directory. Благодаря функциональности этой операционной системы мы можем управлять компьютерами как физически, так и удаленно, и, как мы увидим в этом руководстве, также персонализированы.

    Что мы видим по умолчанию

    Что-то очень распространенное в управлении пользователями возникает, когда приходит новое оборудование и его конфигурация на другом языке, чем у нас в компании, наиболее распространенным является то, что предопределенным языком является английский, а у нас в испанской компании. Если мы увидим эти устройства, мы увидим следующее по умолчанию.

    В этом руководстве мы увидим, как определить язык по умолчанию для новых компьютеров с помощью групповых политик в Windows Server 2016.

    Зачем использовать групповую политику для создания региональной зоны

    Основной фактор связан с тем, что иногда, это не является распространенным явлением, несколько пользователей могут обращаться к определенной области компании, и нашим административным функциям гораздо проще установить объект групповой политики или политику, чтобы при входе каждого пользователя он настраивался региональная область команды, чтобы команда работала командой для выполнения ручного процесса (Панель управления / Региональные настройки и т. д.).

    В этом уроке мы увидим, как создать групповую политику в Windows Server 2016 для определения региональной зоны для пользователей в нашей компании.

    Создание групповой политики для установки региональной зоны Windows Server 2016


    Как всегда, мы говорим, что важно быть осторожным с параметрами, которые мы определяем через объекты групповой политики, в случае, если они влияют на все команды в организации, поэтому лучше всего определить, что это влияет только на некоторые конкретные.

    Шаг 1
    Мы создали организационную единицу под названием Solvetic Zone. В качестве первого шага мы откроем менеджер групповой политики, используя путь:

    • инициирование
    • Все приложения
    • Административные инструменты
    • Диспетчер групповой политики

    Шаг 2
    В отображаемом окне мы можем создать политику для двух разных функций:

    • Политика для всех компьютеров домена: мы должны выбрать локальный сервер и связать политику там.
    • Политика для конкретной организационной единицы: мы должны развернуть локальный сервер и найти организационную единицу, с которой мы должны связать групповую политику.
    В этом случае мы свяжем политику с организационной единицей Zona Solvetic, поэтому мы выбираем ее и нажимаем на нее правой кнопкой мыши. Там мы выберем опцию Создать объект групповой политики в этом домене и свяжем его здесь.

    Шаг 3
    Мы увидим следующее окно, где мы должны назначить имя для политики.

    Шаг 4
    Нажмите Принять, и мы увидим, что политика была создана в выбранной организационной единице. Выберите политику, щелкните правой кнопкой мыши и выберите Изменить.

    Шаг 5
    В появившемся окне мы должны перейти к маршруту:

    • Конфигурация оборудования
    • предпочтения
    • Настройки панели управления
    • Региональные настройки

    Шаг 6
    В этом варианте мы щелкнем правой кнопкой мыши на «Региональные настройки » и выберите « Создать» > « Региональные настройки»

    Шаг 7
    Откроется следующее окно.

    Шаг 8
    Там мы должны выбрать язык, который нам нужно установить (в данном случае это будет испанский, Испания), и мы увидим следующее.

    $config[ads_text6] not found

    примечание

    Мы можем наблюдать что-то интересное в этой конфигурации. Когда мы открываем региональную конфигурацию, мы можем видеть красную пунктирную линию, если мы нажимаем принять изменения, они не будут отражены, поэтому мы должны нажать клавишу F5, чтобы увидеть, как линия меняется на зеленую. Таким образом, мы можем сохранить изменения, чтобы они отражались.

    Шаг 9
    Мы можем настроить другие параметры, такие как валюта, время и т. Д. После определения этих параметров нажмите Применить, а затем Принять . Мы видим, что политика была создана правильно.

    Шаг 10
    Теперь в командах пользователей мы можем форсировать политики, используя:

     gpupdate / force 
    Или когда вы перезагрузите машину, и мы сможем ввести региональные настройки, и мы увидим, что изменения были внесены.$config[ads_text5] not found

    Таким образом, мы можем просто определить, на каком языке настраивать наших пользователей или компьютеры, используя групповую политику в Windows Server, что значительно сократит время настройки оборудования каждого пользователя в нашей организации. Хорошо, что мы в полной мере используем все возможности, которые мы имеем через групповые политики или GPO в Windows Server 2016.

    Если в дополнение к пользовательским настройкам вы хотите, чтобы ваши компьютеры были хорошо защищены, чтобы не подвергать опасности информацию, которую вы сохранили, мы советуем вам посмотреть, как зашифровать диски с помощью BitLocker в Windows Server 2016.

    $config[ads_text5] not found

    Шифровать диски BitLocker

    Настройка политик аудита событий безопасности в Windows

    С помощью аудита событий безопасности администратор может получать достоверную информацию обо всех событиях в системе, контролировать действия пользователей, и использовать информацию для выявления уязвимых мест в системе безопасности сервера или AD. В Windows такие события записываются в журнал Security операционной системы. В этой статье мы покажем, как настраивать политики аудита безопасности в Windows на примере настройки аудит доступа к файлам и папкам.

    Для настройки политик аудита в Windows используется консоль настройки групповых политик. Если вы настраиваете политики для компьютеров/серверов домена, используйте Group Policy Management Console (gpmc.msc). При настройке политики аудита на отдельном сервере можно использовать консоль Local Group Policy Editor (gpedit.msc).

    В консоли GPO есть две секции, в которых находятся политики аудита базовая и расширенная.

    Базовая политика аудита находится в разделе Computer Configuration –> Windows Settings -> Security Settings -> Local Policies -> Audit Policy. В ней доступны следующие категории событий:

    • Audit account logon events
    • Audit account management
    • Audit directory service access
    • Audit logon events
    • Audit object access
    • Audit policy change
    • Audit privilege use
    • Audit process tracking
    • Audit system events

    Расширенные политики аудита находятся в секции: Computer Configuration -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration. Здесь находится 60 различных политик аудита, разделенные на 10 категорий:

    • Account Logon
    • Account Management
    • Detailed Tracking
    • DS Access
    • Logon/Logoff
    • Object Access
    • Policy Change
    • Privilege Use
    • System
    • Global Object Access Auditing

    В большинстве случаев нужно использовать политики аудита из секции Advanced Audit Policy Configuration. Они позволяют настроить аудит более тонко и исключить ненужные события безопасности.

    Прежде чем включать политики аудита в Windows рекомендуем увеличить максимальный размер журнала Security со 128 Mb (по-умолчанию в Windows Server)

    Запустите консоль Event Viewer (eventvwr.msc), разверните Windows Logs и откройте свойства журнала Security. Увеличьте значение в поле Maximum log size (KB).

    Теперь нужно настроить политику аудита доступа пользователей к файлам и папкам в сетевой папке. Перейдите в секцию Advanced Audit Policy -> Object Access. Откройте свойства подкатегории Audit File Share и Audit File System.

    Включите политику: Configure the following audit events.

    Укажите, какие события нужно записывать в журнал Security:

    • Success – успешный доступ пользователя к объектам в сетевой папке
    • Failure – события неуспешного доступа к папкам.

    В нашем случае достаточно вести аудит только Success событий.

    Теперь нужно назначить политику аудита к сетевой папке (создать системные списки управления доступом – SACL).

    Откройте свойства сетевой папки, перейдите на вкладку Security -> Advanced -> Auditing tab -> Continue.

    Нажмите кнопку Add -> Select a principal и добавьте субъекты – это пользователи или группы (локальные или из Active Directory), чьи действия нужно аудировать. Я добавил группы Domain Users или Everyone (это значит, я буду вести аудит доступа к сетевой папке для всех пользователей).

    Далее в секции Permissions укажите, какие действия пользователей нужно записывать в журнал. Я выбрал события из категории Delete.

    Сохраните изменения и обновите политики на компьютере с помощью команды:

    gpupdate /force

    Теперь, если любой пользователь удалит файл или папку в вашей сетевой папке, в журнале Security появится событие c EventID 4660 от источника Microsoft Windows security с Task Сategory File System: An object was deleted.

    В событии указан пользователь, который удалил файл (Account Name).

    Не рекомендуется включать много событий аудита сразу – это может вызвать повышенную нагрузку на компьютер. Кроме того, в большом количестве событий безопасности сложно искать.

    Также вы можете управлять политиками аудита через утилиту командной строки auditpol.exe.

    Чтобы вывести информацию о всех включенных политиках аудита, выполните:

    auditpol /get /category:*


    Чтобы включить определенную политику аудита, используется такой синтаксис:

    auditpol /set /subcategory:"Registry" /success:enable

    Для сброса политик аудита в исходное состояние, используется команда:

    AuditPol /clear

    Создание и настройка групповых политик в Windows Server 2008 R2

    Данное руководство представляет собой пошаговую инструкцию по созданию и настройке локальной групповой политики, а также групповых политик на уровне доменов и подразделений в Windows Server 2008 R2.

    Групповые политики – это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object).

     

    I. Область действия групповых политик

    Все групповые политики имеют свою область действия (scope), которая определяет границы влияния политики. Области действия групповых политик условно можно разделить на четыре типа:

    Локальные групповые политики

    Групповые политики, применяемые к локальному компьютеру, или локальные групповые политики. Эти политики настраиваются в оснастке «Редактор локальных групповых политик» и применяются только к тому компьютеру, на котором они были настроены. Они не имеют механизма централизованного развертывания и управления и, по сути, не являются групповыми политиками.

    Групповые политики доменов

    Объекты групповых политик, применяемые к домену Active Directory (AD) и оказывающие влияние на все объекты, имеющие отношение к данному домену. Поскольку в рамках домена работает механизм наследования, то все политики, назначенные на домен, последовательно применяются и ко всем нижестоящим контейнерам.

    Групповые политики подразделения

    Политики, применяемые к подразделению (Organizational Unit policy, сокр. OU) и оказывающие влияние на все содержимое данного OU и дочерних OU (при их наличии).

    Групповые политики сайтов

    Сайты в AD используются для представления  физической структуры организации. Границы сайта определяются одной или несколькими IP-подсетями, которые объединены высокоскоростными каналами связи. В один сайт может входить несколько доменов и наоборот, один домен может содержать несколько сайтов. Объекты групповой политики, примененные к сайту AD, оказывают влияние на все содержимое этого сайта. Следовательно, групповая политика, связанная с сайтом, применяется ко всем пользователям и компьютерам сайта независимо от того, к какому домену они принадлежат.

     

    II. Порядок применения и приоритет групповых политик

    Порядок применения групповых политик напрямую зависит от их области действия. Первыми применяются Локальные политики, затем Групповые политики сайтов, затем отрабатывают Доменные политики и затем OU политики. Если на одну OU назначено несколько GPO, то они обрабатываются в том порядке, в котором были назначены (Link Order).

    Приоритет GPO напрямую зависит от порядка их применения — чем позднее применяется политика, тем выше ее приоритет. При этом нижестоящие политики могут переопределять вышестоящие — например Локальная политика будет переопределена Доменной политикой сайта, Доменная политикаполитикой OU, а политика вышестоящего OU — нижестоящими политиками OU.

     

    III. Создание локальной групповой политики

    1. Для создания локальной групповой политики зайдите на рабочую станцию, нажмите Пуск, в поле поиска введите Выполнить, затем, в поисковой выдаче, выберите Выполнить (Рис.1).

    Рис.1

    .

    2. В открывшемся окне введите в поле gpedit.msc, затем нажмите OK (Рис.2).

    Рис.2

    .

    3. В открывшемся окне Вы увидите две основные категории параметров групповой политики — параметры конфигурации компьютера и параметры конфигурации пользователяПараметры конфигурации компьютера применяются к компьютеру в целом, то есть действуют в отношении всех пользователей, входящих в систему на данном компьютере, без различия, гости они, пользователи или администраторы. Параметры конфигурации пользователя действуют только в отношении конкретно заданных пользователей (Рис.3).

    Рис.3

    .

    4. Выберите: Конфигурация пользователя > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.4).

    Рис.4

    .

    5. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:\Green_Local.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер (Рис.5).

    Рис.5

    .

    6. После перезагрузки компьютера Вы увидите, что политика отработала и фон рабочего изменился (Рис.6).

    Рис.6

    .

    IV. Создание и настройка групповой политики на уровне домена

    1. Для создания групповой политики на уровне домена зайдите на сервер, выберите Пуск > Администрирование > Управление групповой политикой (Рис.7).

    Рис.7

    .

    2. Выберите домен (прим. в данном руководстве это example.local), через правую кнопку мыши вызовите меню, в котором выберите Создать объект групповой политики в этом домене и связать его… (Рис.8).

    Рис.8

    .

    3. В появившемся окне выберите, в соответствующем поле, имя новой групповой политики (прим. в данном руководстве это GPO-1), затем нажмите ОК (Рис.9).

    Рис.9

    .

    4. Выберите созданную групповую политику (прим. GPO-1), через правую кнопку мыши вызовите меню, в котором выберите Изменить (Рис.10).

    Рис.10

    .

    5. Выберите: Конфигурация пользователя > Политики > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.11).

    Рис.11

    .

    6. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:\Yellow_Domain_GPO-1.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (Рис.12).

    Рис.12

    .

    7. После перезагрузки компьютера Вы увидите, что групповая политика домена отработала и фон рабочего стола на компьютере изменился (прим. на компьютере доменные политики успешно применились и переопределили настройки, задаваемые локальными политиками. Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым) (Рис.13).

    Рис.13

    .

    V. Создание и настройка групповой политики на уровне подразделения

    1. Для создания групповой политики на уровне подразделения (Organizational Unit policy, сокр. OU) зайдите на сервер, выберите Пуск > Администрирование > Управление групповой политикой (Рис.14).

    Рис.14

    .

    2. Выберите домен (прим. в данном руководстве это example.local), через правую кнопку мыши вызовите меню, в котором выберите Создать подразделение (Рис.15).

    Рис.15

    .

    3. В появившемся окне выберите, в соответствующем поле, имя нового подразделения (прим. в данном руководстве это OU-1), затем нажмите ОК (Рис.16).

    Рис.16

    .

    4. Выберите созданное подразделение (прим. OU-1), через правую кнопку мыши вызовите меню, в котором выберите Создать объект групповой политики в этом домене и связать его… (Рис.17).

    Рис.17

    .

    5. В появившемся окне выберите, в соответствующем поле, имя новой групповой политики (прим. в данном руководстве это GPO-2), затем нажмите ОК (Рис.18).

    Рис.18

    .

    6. Выберите созданную групповую политику (прим. GPO-2), через правую кнопку мыши вызовите меню, в котором выберите Изменить (Рис.19).

    Рис.19

    .

    7. Выберите: Конфигурация пользователя > Политики > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.20).

    Рис.20

    .

    8. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это Red_OU_OU-1_GPO-2.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (прим. на этом же компьютере она была переопределена доменной групповой политикой) (Рис.21).

    Рис.21

    .

    9. После перезагрузки компьютера Вы увидите, что доменная политика (GPO-1) переопределена политикой (GPO-2), назначенной на OU. (Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым, после чего доменная политика была переопределена политикой OU и фон стал красным) (Рис.22).

    Рис.22

    .

    VI. Наследование в групповых политиках

    1. На все политики в домене распространяется наследование, т.е. политики, назначенные на родительский контейнер (домен или OU), последовательно применяются ко всем дочерним контейнерам. При необходимости это можно изменить, отключив наследование для отдельно взятого OU. Для этого необходимо перейти в управление групповой политикой (прим. Пуск > Администрирование > Управление групповой политикой), выбрать нужное OU (прим. в данном руководстве это OU-1), кликнуть на нем правой клавишей мыши и в контекстном меню отметить пункт Блокировать наследование. После этого для данного OU и его дочерних OU (при их наличии) отменяется воздействие всех вышестоящих политик (Рис.23).

    Примечание! Политика Default Domain Policy содержит настройки, определяющие политику паролей и учетных записей в домене. Эти настройки не могут быть заблокированы.

    Рис.23

    .

    VII. Форсирование применения групповых политик

    1. Форсирование применения групповых политик применяется тогда, когда данная политика должна отработать независимо от остальных политик. Если политика форсирована, то, вне зависимости от своей области действия она получает наивысший приоритет. Это значит, что ее настройки не могут быть переопределены нижестоящими политиками, а также на нее не действует отмена наследования. Чтобы форсировать политику, необходимо перейти в управление групповой политикой (прим. Пуск > Администрирование > Управление групповой политикой), выбрать нужную политику (прим. в данном руководстве это GPO-1), кликнуть на ней правой клавишей мыши и в контекстном меню отметить пункт Принудительный (Рис.24).

    Рис.24

    .

     Надеемся, что данное руководство помогло Вам! 

    .

    Поделиться ссылкой:

    Похожее

    Устанавливаем домашнюю страницу для Internet Explorer через групповые политики

    Active Directory, Windows 10, Windows 7, Windows 8, Windows Server, Windows Vista, Windows XP, Программное обеспечение
    • Recluse
    • 28.04.2017
    • 9 170
    • 0
    • 18.03.2019
    • 1
    • 1
    • 0
    • Содержание статьи

    Если вам необходимо поменять домашнюю страницу для Internet Explorer, то нужно сделать следующее:

    Если нужно, чтобы пользователи МОГЛИ менять домашнюю страницу:

    (подходит для тех случаев, когда вас не устраивает открываемая по умолчанию страница в виде msn.com)

    Внимание! После проделанных выше манипуляций, домашние страницы у всех пользователей сбросятся на указанную вами!

    В Редакторе групповых политик переходим по следующему пути: Конфигурация пользователя — Настройка — Конфигурация Windows — Реестр (в английской версии этот путь выглядит как «User Configuration — Preferences — Windows Settings — Registry«.

    Затем, нажимаем правой кнопкой мыши либо по правой части консоли редактора групповых политик, либо по пункту «Реестр«, и выбираем пункт «Создать — Элемент реестра» (в английской версии — «New — Registry Item«).

    В открывшемся окне выбираем:

    • Действие: Обновить
    • Куст = HKEY_CURRENT_USER
    • Путь раздела = Software\Microsoft\Internet Explorer\Main
    • Имя параметра = Start Page
    • Тип параметра = REG_SZ
    • Значение = введите нужный адрес (например http://sysadmin.ru)

    Затем, переходим на вкладку «Общие параметры» ставим галочку «Применить один раз и не применять повторно». Делается это для того, чтобы данный параметр реестра не применялся каждый раз и не затирал установленную пользователем домашнюю страницу.

    Если нужно, чтобы пользователи НЕ МОГЛИ менять домашнюю страницу:

    Открываем или создаем нужную групповую политику, и переходим в её настройки по следующему пути: Конфигурация пользователя — Политики — Административные шаблоны — Компоненты Windows — Internet Explorer (в английской версии этот путь выглядит как «User Configuration — Policies — Administrative Templates — Windows Components — Internet Explorer«).

    ниже, в строке «Домашняя страница» указываем желаемую домашнюю страницу.

    LDAP Policy в Active Directory

    Привет.

    Я часто пишу про тюнинг Active Directory – данная тема интересна тем, что практически на каждом предприятии данная инфраструктурная служба есть, и в большинстве случаев из её возможностей используется малая толика. В данной статье я расскажу про редкий и не освещаемый в простеньких авторизованных курсах функционал – LDAP-политики или Query Policy. Причина забвения данной темы, которая существует с Windows 2000 Server, тривиальна – и без настройки LDAP-политик всё работает с Default Query Policy. Однако в высоконагруженных или требующих взаимодействия с внешними LDAP-сервисами применениях знать, как работают LDAP-политики – надо.

    Я предполагаю, что вы знаете, что такое CN, DN, RDN, LDAP, DC, GC, не путаете сайты Active Directory и то, что в IE, а также прониклись Active Directory настолько, что браузер для вас – это вначале ADSI.msc и только после – всё остальное. Наличие знаний хотя бы на уровне MCSA Windows Server 2012 обязательно.

    Сразу предупреждение – не надо сразу бежать и применять то, что тут написано, на практике не спланировав и не подумав. Ряд приведённых настроек при быстром и решительном применении могут превратить процесс тюнинга службы каталогов в доработку резюме на сайте хехе.ру. Подумайте, спланируйте, продумайте последовательное применение и аккуратно, понемногу проводите изменения.

    Мы будем изучать все существующие в природе Query Policy – начиная с Windows 2000 Server и заканчивая доступной на данный момент версией Windows Server 2016.

    LDAP-политики (Query Policy) в Active Directory

    • Что такое политики LDAP в Active Directory и зачем они нужны
    • Базовые операции с политиками
    • Как узнать, какие политики Query Policy поддерживаются
    • Настраиваем параметры фильтрации доступа к LDAP
    • Параметры функционирования LDAP
    • Настраиваем параметры функционирования LDAP в Windows Server 2016
    • Формат Query Policy
    • Параметры, существующие с Windows 2000 Server
      • Параметр Query Policy – MaxActiveQueries
      • Параметр Query Policy – InitRecvTimeout
      • Параметр Query Policy – MaxConnections
      • Параметр Query Policy – MaxConnIdleTime
      • Параметр Query Policy – MaxDatagramRecv
      • Параметр Query Policy – MaxNotificationPerConn
      • Параметр Query Policy – MaxPoolThreads
      • Параметр Query Policy – MaxReceiveBuffer
      • Параметр Query Policy – MaxPageSize
      • Параметр Query Policy – MaxQueryDuration
      • Параметр Query Policy – MaxResultSetSize
      • Параметр Query Policy – MaxTempTableSize
    • Параметры, существующие с Windows Server 2003
      • Параметр Query Policy – MaxValRange
    • Параметры, существующие с Windows Server 2008 R2
      • Параметр Query Policy – MaxResultSetsPerConn
      • Параметр Query Policy – MinResultSets
    • Параметры, существующие с Windows Server 2012
      • Параметр Query Policy – MaxBatchReturnMessages
    • Параметры, существующие с Windows Server 2016
      • Параметр Query Policy – MaxDirSyncDuration
    • Отключаем жестко заданные лимиты настроек
    • Создаём новую Query Policy

    Начнём.

    Что такое политики LDAP в Active Directory и зачем они нужны

    Под термином “политики” в связи с Active Directory обычно имеются в виду групповые политики – мощное и легко расширяемое средство для централизованного управления многими настройками ОС и приложений. Некоторые ещё вспоминают “политики паролей” – PSO, которые появились с Windows Server 2008.

    Однако, есть ещё одно применение термина “политики Active Directory” – благодаря объектам, которые относятся к классу queryPolicy, существует возможность тонкой настройки работы контроллеров домена (DC) и серверов глобального каталога (GC), а также ощутимого повышения скорости, надёжности и безопасности их функционирования. Все эти параметры будут относиться именно к клиентским запросам по LDAP и ограничивать размер ответа, занимаемую память, диапазон значений, тайм-ауты и другие подобные свойства. Давайте разберёмся что это, и как это можно (и нужно) эффективно использовать.

    Базовые операции с политиками

    Query Policy хранятся в специальных объектах класса queryPolicy. Сам класс queryPolicy представляет из себя объект, содержащий в себе “пачку” настроек, которые читаются LDAP-серверами. Пачка реализована как многострочные атрибуты lDAPAdminLimits и lDAPIPDenyList, которые можно редактировать вручную, прямо в объекте AD, а можно “по-красивому”, через утилиту dsmgmt (ранее – через ntdsutil).

    Утилита dsmgmt идеологически “более правильная” по причине, что ntdsutil изначально предназначался для работы именно с Active Directory, а dsmgmt позиционируется как более общее решение, которое должно работать со всеми службами LDAP-каталогов, включая AD LDS. А вообще, можно это всё править и через оснастку ADSI Editor. И через вкладку “Attributes” у объекта queryPolicy. И через древнюю утилиту ldp.exe. Особой разницы нет – LDAP – достаточно демократичная штука.

    Объекты этого класса находятся в специальном контейнере, который расположен в разделе леса Configuration по DN-адресу CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=контекст-Вашего-леса-Active-Directory. Вы можете увидеть их глазами, если откроете стандартную оснастку Active Directory Sites and Services и не забудете включить отображение ветки лесных сервисов – View / Show Services Node:

    Достаточно логично, что эти объекты находятся в разделе configuration, который реплицируется на все контроллеры в лесу. Ведь данные политики применяются не только на контроллеры конкретного домена, а и на GC, и на сайты, которые привязки к доменам не имеют.

    Изначально в Active Directory создан единственный объект LDAP-политик с именем Default Query Policy, который содержит настройки “по умолчанию”. Вы его видели на первом скриншоте – а вот так выглядят его настройки для новорожденного DC на Windows Server 2016:

    Этот объект надо никогда не трогать. Почему – будет видно далее, а теперь мы поговорим о том, как эти объекты применяются на свою “целевую аудиторию” (DC/GC), редактируются и создаются.

    Схема применения LDAP-политик

    Объекты queryPolicy могут привязываться к сайту Active Directory, а могут и (что неочевидно) к конкретному контроллеру. Какая же будет логика применения нескольких политик queryPolicy?

    1. Контроллер домена смотрит раздел леса Configuration, открывает там контейнер Sites, находит себя и в своём дочернем объекте c CN=NTDS Settings и типом nTDSDSA смотрит на атрибут queryPolicyObject. Если там есть DN политики – настройки применяются и обработка прекращается. Т.е. не как в групповой политике, когда результирующая политика представляет собой “сумму наложений” всех политик на объекте, а сразу – раз политику нашёл, то применил и обработку остановил.
    2. Если своей политики у контроллера домена нет, он берёт свой сайт, открывает его дочерний объект с CN=NTDS Settings и типом ntDSSiteSettings, находит там атрибут queryPolicyObject (у которого там может и не быть значения, он опциональный), и, в случае наличия, берёт DN объекта LDAP-политики из него. В этом случае обработка также останавливается.
    3. Если не нашлось ничего – контроллер не унывает и идёт читать дефолтный объект с именем Default Query Policy. Поэтому, если Вы придумали свои новые и отличные настройки – всегда делайте новый объект, а не редактируйте дефолтный, чтобы иметь возможность лёгкого возврата настроек (что-то не работает – удалили ссылку на свой объект, контроллер стал читать дефолтный).

    Добавлю, что, несмотря на одинаковое название – NTDS Settings, у сайта и у DC объект имеет разные типы – Site Settings (nTDSSiteSettings) и Domain Controller Settings (nTDSDSA).

    По сути работа Query Policy ещё проще, чем в случае с групповыми политиками, где стандартную схему применения модицифируют многочисленные дополнительные инструменты. Теперь перейдём к самим настройкам, которые будут разделяться на две части (т.к. атрибута, в которых они задаются, тоже два – lDAPIPDenyList и lDAPAdminLimits.

    Как узнать, какие политики Query Policy поддерживаются

    Параметры меняются от версии к версии – и каждый контроллер с удовольствием расскажет вам, какие параметры QueryPolicy он знает и умеет обрабатывать. Для этого в LDAP 3.0 объявлен специальный объект root DSA-specific Entry (RootDSE), и у него есть multivalued атрибут supportedLDAPPolicies – вы увидите эти данные, просто подключившись к контроллеру, например, при помощи ldp.exe:

    У некоторых параметров есть жестко зафиксированные, на уровне программного кода ядер NT 6.0 и старше, максимальные значения. В этом случае я это адресно указываю – мол, в любом случае, что бы Вы не выставили, параметр будет интерпретироваться как такой-то.

    Замечу, что аутентификация не нужна – по RFC 2251 данный объект, описывающий возможности LDAP-сервера, поддерживающего LDAP 3.0, должен быть доступен любому.

    Ну а теперь можно и понастраивать.

    Настраиваем параметры фильтрации доступа к LDAP

    Первое и самое простое – фильтрация доступа к контроллерам. Благодаря политикам LDAP Вы можете выбрать IP-адреса, доступ с которых будет заблокирован. Делается это достаточно просто – в каждом объекте queryPolicy есть атрибут lDAPIPDenyList, в котором можно указать нужное количество блокируемых адресов. Формат атрибута – массив строк, а каждая строка должна выглядеть просто – IPv4 адрес, пробел и маска. Например строка:

    172.16.0.0 255.240.0.0

    заблокирует все обращения к контроллеру с частных IPv4-адресов сетей класса B. Для IPv6 данный механизм не реализован. В устаревшей документации можно встретить утверждение, что данный атрибут работает только для дефолтного объекта LDAP-политик, с CN=Default Query Policy. Это не так – работает и в других.

    Думаю, что использование такого параметра вполне очевидно – в случае теоретической доступности контроллера со стороны “ненужных” сетей доступ можно заблокировать. Хотя на данный момент в Windows Server имеется Advanced Firewall, который сам может это сделать, функционал блокировки адресов именно на уровне LDAP-запроса присутствует. Во многом по причине того, что когда данный функционал появился (в 1999 году, вместе с рождением Active Directory), встроенного Firewall в Windows Server не было.

    Настраиваем параметры функционирования LDAP в Windows Server 2016

    Теперь перейдём к основному массиву настроек. Мы разобьём их список по версиям серверной ОС – от Windows 2000 Server до Windows Server 2016.

    Формат Query Policy

    Все параметры LDAP-политик имеют формат вида “Имя=Значение”. То есть если нужно присвоить атрибуту Parameter значение 7, результирующая строка будет Parameter=7.

    Параметры, существующие с Windows Server 2000

    Параметр Query Policy – MaxActiveQueries

    Поддерживается версиями ОС
    Только Windows 2000 Server; начиная с Windows Server 2003 параметр игнорируется.
    Значение по умолчанию
    20
    Что делает

    Когда использовался, указывал максимальное количество параллельно работающих операций поиска в LDAP на конкретном DC. По достижению этого числа DC выдавал при попытке “заказать” операцию поиска ошибку ERROR_DS_ADMIN_LIMIT_EXCEEDED. Сейчас не используется, потому что есть более “умная” настройка, ограничивающая количество параллельных операций не для DC, а для ядра процессора.

    Параметр Query Policy – InitRecvTimeout

    Поддерживается версиями ОС

    С Windows 2000 Server.

    Значение по умолчанию
    120
    Что делает

    Устанавливает время в секундах, за которое клиент после подключения (фактически, после bind) должен отправить первый рабочий запрос на LDAP-операцию. Если тайм-аут проходит, а клиент молчит, его отключают.

    Модифицируем, например, в случае использования внешнего ПО, которое любит “подключиться и думать, что сказать для начала”. К такому ПО относится ряд продуктов IBM (например, Lotus Domino), а также продуктов Microsoft – тот же ILM 2007 и FIM 2010. Ситуация достаточно проста – если у Вас есть такое ПО, то, возможно, Вам имеет смысл увеличить тайм-аут хотя бы до 240 секунд (я увеличивал в случае с FIM 2010 до 600, это давало плюсы). Это не приведёт к какой-то дополнительной нагрузке на DC, скорее, наоборот – если ПО разработано так, что оно вначале находит ближайший/лучший DC и “цепляется” за него, после где-то у себя в голове ставит галочку “ОК, подключились, теперь будем, если что, запросы кидать”, и далее штатно делает с AD операции, то не имеет смысла держать тайм-аут таким, чтобы он регулярно сбрасывал подключение этого ПО, приводя ситуацию к “странно, вроде подключились, запрос кидать пробую – ошибка. наверное, AD нерабочая…”. Это может привести в хорошем варианте к повторной аутентикации ПО, в плохом – к неработоспособности и достаточно смутным ошибкам. Учитывайте, что существование данного параметра в не-дефолтном значении будет отрабатываться только в хорошо спроектированном ПО, которое работает с LDAP достаточно качественно. Поэтому в общем случае лучше увеличить этот параметр для “доверенного” ПО – пусть подключается и висит, нагрузки от единичных пустых LDAP-сессий нет, а траблшутить Лотус, который вначале подключается и через полчаса лезет почитать, что там интересного в Active Directory, дело очень унылое.

    Данный механизм предназначен для защиты от DDoS, а не для воспитательно-карательных мер в отношении легального ПО. Не имеет смысла “наказывать” специфично спроектированное ПО тем, что сбрасывать его сессию.

    Но в случае контроллера, работа с которым ведётся исключительно короткими сессиями (на нём не сидит админ с открытой консолью Active Directory Users & Computers весь день, с него лишь периодически “подкачивают” политику клиентские системы), имеет смысл понизить этот тайм-аут в целях своевременного “сброса” непонятных подключений. Нормальные клиенты подключаются и сразу же делают нужные операции. Опыт настройки в различных инсталляциях показал, что снижение до 15 секунд в такой ситуации является вполне эффективным и никак не влияет на применение групповых политик и LDAP-операции клиентов (даже географически удалённых и с медленными каналами связи).

    Ещё раз – это ограничение стартового тайм-аута – т.е. ожидания первой операции клиента. Idle timeout рассматривается дальше.

    Параметр Query Policy – MaxConnections

    Поддерживается версиями ОС

    С Windows 2000 Server.

    Значение по умолчанию
    5000
    Что делает
    Обозначает максимально возможное количество одновременных LDAP-подключений на DC. Заметьте – не после ldap bind, а вообще, т.е. в случае с обычным DC это будет математическая сумма подключений по портам TCP 389 и TCP 636. Что интересно, при появлении “лишнего” подключения (в дефолтном случае – 5001го) контроллером будет сброшено какое-то из существующих. Критерий сброса в документации не указан, эксперименты показали, что вроде как сбрасывается самое “старое” подключение, однако не всегда – на одной и той же инсталляции DC иногда сходил с ума и начинал дропить без видимой логики выбора.

    Меняем это значение, если думаем о безопасности Active Directory. По сути, данный параметр надо увеличивать хотя бы раз в 10 сразу, потому что иначе атака вида DoS на контроллер домена может быть вполне успешно и оперативно реализована – подключаясь в цикле (даже авторизуясь при этом – кто мешает, читать-то AD могут Authenticated Users, а RootDSE и Everyone) можно легко “догнать” суммарное количество сессий до лимита, а после, продолжая инициировать подключения, заставить контроллер сбрасывать рабочие сессии. При этом с точки зрения системы DC загружен не будет (процессор не нагружен, память не кончилась, сетевой интерфейс не загружен, очереди диска нет), а легальные клиенты испытают проблемы. Правда, когда легальный клиент переподключится, то он “выбьет” одну из фейковых сессий LDAP и, в зависимости от нагрузки, может успеть сделать что-то полезное, пока его, в свою очередь, не “выбьет” скрипт, генерящий фейковые сессии.

    Параметр Query Policy – MaxConnIdleTime

    Поддерживается версиями ОС

    С Windows 2000 Server.

    Значение по умолчанию
    900
    Что делает

    Устанавливает время бездействия, после которого подключение штатно разрывается со стороны сервера. Важно: время бездействия – это время от поступления на сервер последнего запроса клиента (т.е. если время бездействия выставить в 30 секунд, а клиент запросил выборку, которая по медленному каналу качалась бы больше 30 секунд, контроллер не даст команде корректно отработать – проверено).

    В случае наличия ПО, которое постоянно держит открытой подключение на контроллеры домена (тот же Exchange) тайм-аут можно и увеличить, но 15 минут обычно вроде как достаточно. Замечу, что этот тайм-аут сбрасывает только уже аутентицированного клиента. Поэтому в случае, например, “жесткой” привязки Exchange на DC/GC вполне можно этот тайм-аут увеличить – уменьшите количество переподключений. В случае же работы с внешними сервисами (трудно придумать сходу – ну, например, реализуя публично доступный LDAP-каталог (lol)) тайм-аут можно сократить в разы, хоть до 15 секунд – обычно в таких сценариях клиент подключается, делает штучный запрос, и всё – его можно отключать. Надо – ещё раз придёт.

    Параметр Query Policy – MaxDatagramRecv

    Поддерживается версиями ОС
    С Windows 2000 Server.
    Значение по умолчанию
    4096 байт
    Что делает

    Устанавливает максимальный размер UDP-датаграммы, которую обрабатывает DC. Т.е. если придёт датаграмма размером больше указанного, контроллер должен её отбросить.

    Надо ли править? Обычно нет по банальной причине – LDAP в Active Directory работает по TCP. Никакого особого КПД найти в ограничении размера UDP-пакета не получится, а раз не получится – то надо взять за правило не трогать параметры без явно подтверждённых на то причин. Есть сценарий, в котором повышение этого размера до 64K может быть позитивным, но он мало относится к теме статьи.

    Кстати, ранее (в Windows 2000 Server) это значение было меньше в 4 раза, 1024 байта.

    Параметр Query Policy – MaxNotificationPerConn

    Поддерживается версиями ОС

    С Windows 2000 Server.

    Значение по умолчанию
    5
    Что делает

    Определяет максимальное количество стоящих в очереди запросов клиента. Т.е. суть проста – клиент подключается, авторизируется, и делает запрос. Клиенту подтверждают, что запрос начинает выполняться, а клиент уже запрашивает следующий. Формируется очередь LDAP-запросов, а данный параметр ограничивает её. Очередь работает по логике FIFO, а действие этого параметра – обычный tail drop, а клиент получает не подтверждение о постановке запроса в очередь, а ERROR_DS_ADMIN_LIMIT_EXCEEDED.

    Модифицируем очень осторожно; с одной стороны – снижение этого числа может достаточно эффективно ликвидировать возможность хитрого DoS’а – фейковый клиент подключается, подтверждает подлинность и начинает доставать сервер запросами – “хочу всех пользователей, у которых поле X похоже на Y”, специально подбирая запросы по таким полям, которые и индексируются, и содержат наиболее обширные данные. Да и ANR тут только ухудшит ситуацию. Вопрос вообще достаточно тонкий, требует понимания и тюнинга всей системы индексации атрибутов объектов в Active Directory и в отрыве от этого рассматриваться не должен. Но в общих чертах – да, уменьшение этого числа для DC, с которыми не работают сервисы типа Exchange, а только обычные клиенты, может оказаться превентивной мерой для описаных выше специфических атак.

    Параметр Query Policy – MaxPoolThreads

    Поддерживается версиями ОС
    С Windows 2000 Server.
    Значение по умолчанию
    4
    Что делает

    Определяет количество потоков на одном логическом процессоре, доступном DC/GC. Это будут как потоки для обслуживания входящих из сети запросов, так и потоки для обработки LDAP-поиска. То есть, говоря проще, если Вы поставите DC/GC в виртуальную машину и дадите этой виртуальной машине 2 процессора, данный параметр ограничит число параллельных потоков выполнения до 2*4=8. Потоков, заметьте, а не процессов.

    Вполне разумно увеличить этот параметр, если у Вас достаточно производительные процессоры. Теоретически можно придумать DoS-атаку, которая выдаст столько запросов (и достаточно “долгоиграющих”), что контроллер запустит их параллельно, и их количество будет достаточно, чтобы “положить” систему. Смотрите и думайте сами, я лишь могу предложить увеличивать этот параметр для систем с быстрыми CPU – до 10 потоков на процессор.

    Параметр Query Policy – MaxReceiveBuffer

    Поддерживается версиями ОС

    С Windows 2000 Server.

    Значение по умолчанию
    10,485,760 (10 МБайт)
    Что делает

    Это – размер буфера для одиночного запроса клиента. Если думаете, что это много, просто вспомните, что запрос – это не обязательно текстовая строчка вида (&(l=Кремль)(|(givenName=Дима)(givenName=Вова))), это может быть и масштабная выборка вида “надо все поля всех клиентов, у кого почта на .ru заканчивается”.

    Данный параметр тесно связан с количеством одновременно возможных запросов. По сути, вся его оптимизация – это экономия потенциально выделенной памяти в количестве MaxReceiveBuffer * MaxConnections. Заметьте, память выделяется динамически, поэтому наличие этого буфера в 10МБ и количества подключений в 5000 не говорит о том, что DC/GC попытается выделить 50ГБ под буферизацию LDAP-запросов. Т.е. такое возможно в теории, на практике под каждый запрос сразу 10МБ не выделяется. Лучший вариант – мониторинг Вашей инсталляции Active Directory и, в случае отсутствия запросов подобных размеров, снижение этого числа (которое в реальности сделано с большим запасом). На практике в достаточно больших инсталляциях (несколько тысяч хостов, порядка 20 серверов Exchange) данный параметр, будучи установленым в 1МБ, не вызывал никаких проблем.

    Кстати, в своё время (в Windows Server 2003) была ошибка, связаннае с тем, что сервер некорректно выделял память под буфер, если его размер в байтах больше странного числа 10737418. Ошибку давно поправили, лечилась она форсированной установкой буфера в 10485760 байт.

    У этого параметра есть верхний лимит – 20971520 (в случае попытки выставить параметр выше по факту будет применено это значение).

    Параметр Query Policy – MaxPageSize

    Поддерживается версиями ОС

    С Windows 2000 Server.

    Значение по умолчанию
    1000
    Что делает

    Этот параметр достаточно неочевиден по своей настройке. Суть в том, что это не максимальный размер возвращаемых запросом результатов, а размер одной страницы с этими результатами. Если при поиске будет возвращено большее количество объектов, то они будут возвращаться блоками, которые и называются страницами. Сервер держит эти блоки в RAM пока клиент не заберёт их все либо не сделает unbind.

    Модифицируем в случае, если хорошо понимаем LDAP и то, что этот параметр, по сути, меняет баланс между “сформировать много страниц ответа и отдавать по одной быстро” vs “сформировать мало страниц и отдавать подольше, но реже”. Интересным является тот факт, что “родной” клиент LDAP в Windows всегда делает paged-запросы, поэтому в принципе сломать что-то этим параметром трудно. Учтите, что тут есть строгая зависимость от того, какие запросы делает клиент – т.е. в случае наличия “глупого” ПО, которое делает не-paged запросы, Вы реально можете ему помешать работать. Если такого ПО нет, я бы рекомендовал снизить этот параметр до 100 исключительно по причине того, что очень малое число запросов к AD возвращают более 100 объектов, а выделять лишнюю память для буферизации смысла нет. Верхний лимит параметра – 20000 (в случае попытки выставить параметр выше по факту будет применено это значение).

    Вообще, нужно учитывать достаточно простую логику Microsoft – все ldap-запросы должны быть с поддержкой paging, поэтому не-paged запросы в общем-то являются потенциально unsupported. Подробнее, если Вы разработчик, можно найти в документации на ldap_create_page_control.

    Параметр Query Policy – MaxQueryDuration

    Поддерживается версиями ОС

    С Windows 2000 Server.

    Значение по умолчанию
    120
    Что делает

    То, что и в названии – максимальное время обработки одиночного запроса. Считается от момента поступления оного, а не от подключения клиента, что логично. Как только время закончится – запрос будет остановлен и клиенту будет возвращена ошибка ERROR_INVALID_PARAMETER.

    Тонкость – это произойдёт только если запрос всё выполняется. Если же он уже выполнен, вернул много результатов и их постранично забирает клиент, то клиента не отключат. Т.е. цель этого механизма – отключать запросы, которые “перегревают” DC, а не стирать через 2 минуты результаты уже готовых, которые сформированы и лежат в буфере.

    На практике этот параметр можно реально уменьшить, и сильно. Две минуты на формирование результатов запроса – это надо иметь огромный лес, сложнейший запрос к GC и очень медленный сервер. Если это не так, запрос даже в 10 секунд – сложная в реальности штука. Опять же – измеряйте Вашу реальную ситуацию и модифицируйте настройки в случае необходимости. Верхний лимит параметра: 1200 (в случае попытки выставить параметр выше по факту будет применено это значение. хотя трудно себе представляю штатный запрос к DC/GC, который в норме выполняется дольше 20 минут).

    Параметр Query Policy – MaxResultSetSize

    Поддерживается версиями ОС

    С Windows 2000 Server.

    Значение по умолчанию
    262,144
    Что делает

    Устанавливает размер памяти в байтах (в байтах, а не как иногда пишут – “в объектах”), выделяемых на все результаты всех активных сейчас paged-запросов. Т.е. ещё раз – на вообще все, которые на сервере сейчас уже выполнены, и клиенты их забирают. И именно на paged, которые постранично забирают клиенты. Если места на кэширование результатов нового запроса не хватает, то (ключевое) удаляются результаты старого. И если клиент продолжит его забирать, то надо бы его выполнить повторно.

    Лучше всего увеличить этот параметр хотя бы до мегабайта. В крупных инсталляциях хорошо срабатывает увеличение до 16 (число выбрано по причине мониторинга и обнаружения ситуаций, когда в буфере лежало до 10МБ результатов и взято с небольшим запасом). Цель – отсутствие ситуации, когда результаты нового paged-запроса затирают недополученные клиентом результаты более старого paged-запроса.

    Кстати, в документации Microsoft есть опечатка – там параметр иногда называется MaxResultSize. Такого параметра нет, можете проверить. Вообще, конечно, параметр логичнее было бы назвать MaxResultSetsSize или какой-нибудь MaxTotalResultSetsSize, но увы.

    Параметр Query Policy – MaxTempTableSize

    Поддерживается версиями ОС

    С Windows 2000 Server.

    Значение по умолчанию
    10000
    Что делает

    Достаточно интересный параметр. Суть его в следующем – когда выполняете достаточно сложный запрос, в котором есть логические операции (например, объединения или пересечения множеств), то возникает необходимость в формировании промежуточных таблиц с результатами выборок. В них лежат так называемые candidate object’ы – объекты, часть из которых попадёт в результат. Если размер промежуточной таблицы превзойдёт указанное число записей, то система перестанет обрабатывать запрос пошагово (выбрать множество -> выделить подмножество -> из него выбрать по критерию -> и т.д.) а перейдёт к т.н. direct scan (будет обрабатывать потенциальные объекты по-одному). Вот этот параметр – это максимальный размер такой таблицы для каждого из запросов.

    Подумайте, будут ли у Вас запросы, промежуточные результаты которых будут превышать это число, и, в случае наличия оных, увеличьте этот параметр. И обломайтесь – по факту он не увеличится. Производительность таких запросов серьёзно упадёт и Вы ничего сделать не сможете – в Windows Server 2008 R2 максимальное значение этого параметра как раз 10000. Увы, как ни странно, в Windows Server 2003 это можно было регулировать гибче. Т.е. верхний лимит параметра как раз и есть его значение по умолчанию, 10000 – в случае попытки выставить параметр выше по факту будет применено это значение.

    Параметры, существующие с Windows Server 2003

    Параметр Query Policy – MaxValRange

    Поддерживается версиями ОС

    С Windows Server 2003.

    Значение по умолчанию
    1500
    Что делает

    Устанавливает максимальное число результатов, являющихся полями одного атрибута одного объекта, которые может вернуть один LDAP запрос. В общем-то ключевое, под что параметр заточен – это атрибут members у группы. Политика появилась в Windows Server 2003 вместе с изменениями в репликации multivalued-атрибутов (если помните, именно тогда и при помощи LVR был убран штатный для Windows 2000 Server конфликт репликации multivalued-атрибутов). Ранее, в Windows 2000 Server, значение было установлено на 1000 и не могло быть изменено штатным способом.

    Модифицируем, например, в случае наличия групп с количеством участников выше 1500. Хитрый DoS, блокируемый этим параметром, придумать можно, но вот проблемы с отправкой почты на адрес “Все сотрудники” в случае линейного включения всех учетных записей пользователей в группу придумываются ощутимо быстрее. Хотите упростить ситуацию – ставьте сразу на 5000 – это верхний лимит параметра.

    Параметры, существующие с Windows Server 2008 R2

    Параметр Query Policy – MaxResultSetsPerConn

    Поддерживается версиями ОС
    С Windows Server 2008 R2.
    Значение по умолчанию
    10
    Что делает

    Устанавливает максимальное число хранимых со стороны сервера результатов поисковых запросов клиента. Модифицируем в случае, если у нас очень много параллельных запросов. Фактически, в хостинговых сценариях (например, хостинг Exchange). Кстати, в случае, если Ваш домен был установлен не сразу как Windows 2008 R2, параметр будет равен нулю (что по факту опять-таки превратит его на поддерживающих этот параметр контроллерах в 10).

    Параметр Query Policy – MinResultSets

    Поддерживается версиями ОС

    С Windows Server 2008 R2.

    Значение по умолчанию
    3
    Что делает

    Задаёт минимальное число параллельных запросов для включения режима оптимизации paged-запросов, доступного в NT 6.1. Модифицируем просто – если поставить единицу, тогда режим оптимизации будет инициироваться всегда, и отработка запросов ускорится.

    Параметры, существующие с Windows Server 2012

    Параметр Query Policy – MaxBatchReturnMessages

    Поддерживается версиями ОС
    С Windows Server 2016.
    Значение по умолчанию
    1100
    Что делает

    Задаёт максимальное число ответов при заказе расширенной операции с полем “хочу пачкой (batch)” – LDAP_SERVER_BATCH_REQUEST_OID. Эти операции – это, допустим, расширенный поиск с флагами LDAP_SERVER_DOMAIN_SCOPE_OID, LDAP_SERVER_SHOW_DELETED_OID, LDAP_SERVER_SHOW_RECYCLED_OID и подобными. В ответ на такой запрос может быть отдано много одиночных LDAP Message – вот как раз их максимальное количество, которое надо закэшировать и отдавать клиенту, здесь и задаётся. Параметр можно увеличить в больших инсталляциях – но надо, конечно, для начала мониторить происходящее, чтобы увидеть, есть ли такие запросы на практике.

    Параметры, существующие с Windows Server 2016

    Параметр Query Policy – MaxDirSyncDuration

    Отключаем жестко заданные лимиты настроек

    В многих настройках я указывал, что они жёстко ограничены – можно указать любое значение, просто если оно больше некого X, то оно будет расцениваться как X.

    Это появилось с Windows Server 2008 и – что удивительно – это можно отключить. Последовательность действий для этого проста:

    1. Открываете редактор – подойдёт ADSI;
    2. Открываете редактор атрибутов для объекта CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ваш лес – именно для него, для контейнера!
    3. Берёте атрибут dSHeuristic и выставляете ему значение 000000000100000001, если атрибут пустой; этим выставляется битовый флаг fLDAPBypassUpperBoundsOnLimits, который читается DC с Windows Server 2008 и старше;

    Делайте это крайне осторожно – это атрибут масштабов леса, у него каждый бит делает что-то определённое – не ошибитесь.

    Создаём новую Query Policy

    Это достаточно тривиальная задача – откроем ADSI, подцепимся к разделу Configuration, откроем последовательно CN=Services, потом CN=Windows NT, потом CN=Directory Service, потом CN=Query-Policies, и, увидев одинокую политику по умолчанию, создадим новый объект queryPolicy:

    У объекта надо будет только задать CN – остальные параметры правятся уже просто, редактированием соответствующего атрибута. Так как он один и в начале статьи приведён, дублировать тут не буду.

    Я всё прочитал и поменял все параметры. Что теперь?

    Теперь, если всё продолжает работать, можно измерить производительность того, что мы наделали. Не наоборот. Т.е. после тюнинга LDAP-политик в первую очередь всё должно продолжить функционировать, а во вторую – улучшить какие-либо характеристики.

    Надеюсь, что данный материал поможет Вам эффективнее работать с инфраструктурой на базе Active Directory, а также покажет, что в данном сервисе есть достаточно много такого, что гораздо интереснее, чем унылые инструкции про “Next->Next->Finish->вроде-кое-как-заработало”.

    Техники атаки и защиты LDAP-хранилищ достаточно оригинальны и разнообразны (например, неавторизованный пользователь может заказать априори огромный по количеству результатов запрос, притом запросить, чтобы он (результат запроса) ещё и был отсортирован по неиндексированному атрибуту), поэтому грамотный инженер должен хорошо понимать возможности Active Directory по тюнингу такого функционала.

    Удач!

    Дата последнего редактирования текста: 2015-08-23T07:12:52+08:00

    Возможно, вам будет также интересно почитать эти статьи с нашей Knowledge Base

    Как создать объект групповой политики в Windows Server 2019.

    Привет, в сегодняшней статье мы рассмотрим объекты групповой политики в Windows Server 2019. Объект групповой полиции — это набор политик, которые можно создавать в разных областях сервера. Кроме того, эти правила направлены на достижение ряда целей. Например, чтобы запретить пользователям выполнять действие. Или также, чтобы компьютеры разрабатывали автоматические действия. Следовательно, это отличный инструмент для управления корпоративной средой при использовании Windows Server.Точно так же эти политики могут применяться ко всему домену или к организационному подразделению. Таким образом можно ограничить доступ к определенным параметрам. Или принудительно задайте специальную конфигурацию для всех клиентских компьютеров. По этой причине сегодня мы увидим, как создать объект групповой политики в Windows Server 2019.

    Предпосылки

    • Локальная сеть должна быть структурирована в Active Directory. То есть хотя бы на одном из серверов должна быть установлена ​​Active Directory. Чтобы узнать, как это сделать, взгляните на этот пост.
    • Управляемые компьютеры должны быть связаны с доменом. Кроме того, их пользователи должны использовать свои учетные данные домена для входа на компьютеры.
    • Вам необходимы права на редактирование групповой политики в вашем домене. Следовательно, пользователь должен быть частью группы администраторов политик.

    Давайте создадим объект групповой полиции на Windows Server 2019

    Во-первых, введите Dashboard Server. Оказавшись там, нажмите Tools .Затем нажмите Диспетчер групповой политики .

    Войдите в диспетчер групповой политики.

    Сразу появится окно с менеджером групповой политики. Обратите внимание, что эти шаги просты, но их следует выполнять в указанном порядке. Ну и в левой колонке надо выбрать ранее созданный лес. Сразу ниже находится назначенный домен. Щелкните его правой кнопкой мыши и выберите параметр: Создайте объект групповой политики в этом домене и привяжите его сюда.

    Создание объекта групповой политики в домене

    Затем присвойте объекту групповой политики имя по вашему выбору.

    Назовите объект групповой политики по своему усмотрению.

    Наконец, вы можете увидеть фактически созданный объект групповой политики. Кроме того, вы можете увидеть все настройки, которые были сделаны.

    Заключение

    Таким простым способом мы увидели, как создать объект групповой политики на Windows Server. Этот инструмент является отличным вариантом для управления несколькими компьютерами, подключенными к каталогу. Это позволяет назначать задачи и общее поведение. Таким образом, вам не придется настраивать каждый компьютер индивидуально. В последующих постах мы продолжим углубляться в эти политики.Ладно, это пока. Увидимся!

    Создание объекта групповой политики (Windows) — безопасность Windows

    • Статья
    • 2 минуты на чтение
    • 8 участников

    Полезна ли эта страница?

    Да Нет

    Любая дополнительная обратная связь?

    Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

    Представлять на рассмотрение

    В этой статье

    Относится к

    • Windows 10
    • Windows 11
    • Windows Server 2016 и выше

    Чтобы создать новый объект групповой политики, используйте оснастку MMC «Пользователи и компьютеры Active Directory».

    Учетные данные администратора

    Для выполнения этой процедуры вы должны быть членом группы администраторов домена или иным образом делегировать права на создание новых объектов групповой политики.

    Для создания нового объекта групповой политики

    1. Откройте консоль управления групповыми политиками.

    2. В области навигации разверните Forest: YourForestName , разверните Domains , разверните YourDomainName , а затем щелкните Объекты групповой политики .

    3. Щелкните Действие , а затем щелкните Создать .

    4. В текстовом поле Имя введите имя нового объекта групповой политики.

      Примечание

      Обязательно используйте имя, которое четко указывает назначение объекта групповой политики. Проверьте, есть ли в вашей организации соглашение об именовании объектов групповой политики.

    5. Оставьте Source Starter GPO равным (нет) , а затем нажмите OK .

    6. Если ваш объект групповой политики не будет содержать никаких пользовательских настроек, вы можете повысить производительность, отключив раздел Конфигурация пользователя объекта групповой политики. Для этого выполните следующие действия:

      1. В области навигации щелкните новый объект групповой политики.

      2. В области сведений щелкните вкладку Подробности .

      3. Измените Статус GPO на Параметры конфигурации пользователя отключены .

    Использование групповой политики для настройки клиентских компьютеров-членов домена

    В этом разделе вы создадите объект групповой политики для всех компьютеров в вашей организации, настроите клиентские компьютеры-члены домена в режиме распределенного или размещенного кэша, а также настроите брандмауэр Windows. с расширенной безопасностью, чтобы разрешить трафик BranchCache.

    Этот раздел содержит следующие процедуры.

    Наконечник

    В следующей процедуре вам предлагается создать объект групповой политики в политике домена по умолчанию, однако вы можете создать объект в организационном подразделении (OU) или другом контейнере, который подходит для вашего развертывания.

    Для выполнения этих процедур вы должны быть членом администраторов домена или аналогичного.

  • На компьютере, на котором установлена ​​роль сервера доменных служб Active Directory, в диспетчере серверов щелкните Инструменты , а затем щелкните Управление групповыми политиками .Откроется консоль управления групповыми политиками.

  • В консоли управления групповыми политиками разверните следующий путь: Лес: example.com , Домены , example.com , Объекты групповой политики , где example.com — имя домен, в котором расположены учетные записи клиентских компьютеров BranchCache, которые вы хотите настроить.

  • Щелкните правой кнопкой мыши Объекты групповой политики и выберите Создать .Откроется диалоговое окно New GPO . В Имя введите имя для нового объекта групповой политики (GPO). Например, если вы хотите назвать объект «Клиентские компьютеры BranchCache», введите «Клиентские компьютеры BranchCache» . Нажмите OK .

  • В консоли управления групповыми политиками убедитесь, что выбрано Объекты групповой политики , и в области сведений щелкните правой кнопкой мыши только что созданный объект групповой политики. Например, если вы назвали свои клиентские компьютеры BranchCache GPO, щелкните правой кнопкой мыши Клиентские компьютеры BranchCache .Нажмите Редактировать . Откроется консоль редактора управления групповыми политиками.

  • В консоли редактора управления групповыми политиками разверните следующий путь: Конфигурация компьютера , Политики , Административные шаблоны: определения политик (файлы ADMX), полученные с локального компьютера , Сеть , BranchCache .

  • Щелкните BranchCache , а затем в области сведений дважды щелкните Включить BranchCache .Откроется диалоговое окно настройки политики.

  • В диалоговом окне Включить BranchCache щелкните Включено , а затем щелкните OK .

  • Чтобы включить режим распределенного кэша BranchCache, в области сведений дважды щелкните Установить режим распределенного кэша BranchCache . Откроется диалоговое окно настройки политики.

  • В диалоговом окне Задать режим распределенного кэша BranchCache щелкните Включено , а затем щелкните OK .

  • Если у вас есть один или несколько филиалов, в которых вы развертываете BranchCache в режиме размещенного кэша, и вы развернули серверы размещенного кэша в этих офисах, дважды щелкните Включить автоматическое обнаружение размещенного кэша с помощью точки подключения службы . Откроется диалоговое окно настройки политики.

  • В диалоговом окне Включить автоматическое обнаружение размещенного кэша с помощью точки подключения службы щелкните Включено , а затем щелкните OK .

    Примечание

    При включении параметров политики Установить режим распределенного кэша BranchCache и Включить автоматическое обнаружение размещенного кэша с помощью точки подключения службы клиентские компьютеры работают в режиме распределенного кэша BranchCache, если они не найдут сервер размещенного кэша в филиале по адресу в какой момент они работают в режиме размещенного кэша.

  • Используйте приведенные ниже процедуры для настройки параметров брандмауэра на клиентских компьютерах с помощью групповой политики.

  • В консоли управления групповыми политиками разверните следующий путь: Лес: example.com , Домены , example.com , Объекты групповой политики , где example.com — имя домен, в котором расположены учетные записи клиентских компьютеров BranchCache, которые вы хотите настроить.

  • В консоли управления групповыми политиками убедитесь, что выбрано Объекты групповой политики , и в области сведений щелкните правой кнопкой мыши объект групповой политики клиентских компьютеров BranchCache, созданный ранее.Например, если вы назвали свои клиентские компьютеры BranchCache GPO, щелкните правой кнопкой мыши Клиентские компьютеры BranchCache . Нажмите Редактировать . Откроется консоль редактора управления групповыми политиками.

  • В консоли редактора управления групповыми политиками разверните следующий путь: Конфигурация компьютера , Политики , Параметры Windows , Параметры безопасности , Брандмауэр Windows в режиме повышенной безопасности , Брандмауэр Windows в режиме повышенной безопасности — LDAP , Входящие правила .

  • Щелкните правой кнопкой мыши Правила для входящих подключений и выберите Новое правило . Откроется мастер создания нового правила для входящих подключений.

  • В типе правила щелкните Предопределенный , разверните список вариантов, а затем щелкните BranchCache — Получение содержимого (использует HTTP) . Нажмите Далее .

  • В разделе Предопределенные правила нажмите Далее .

  • В Действие убедитесь, что выбрано Разрешить подключение , а затем нажмите Готово .

    Важно

    Необходимо выбрать Разрешить подключение , чтобы клиент BranchCache мог получать трафик через этот порт.

  • Чтобы создать исключение брандмауэра WS-Discovery, снова щелкните правой кнопкой мыши Inbound Rules и выберите New Rule . Откроется мастер создания нового правила для входящих подключений.

  • В правиле введите , щелкните Предопределенный , разверните список вариантов, а затем щелкните BranchCache — обнаружение одноранговых узлов (использует WSD) .Нажмите Далее .

  • В разделе Предопределенные правила нажмите Далее .

  • В Действие убедитесь, что выбрано Разрешить подключение , а затем нажмите Готово .

    Важно

    Необходимо выбрать Разрешить подключение , чтобы клиент BranchCache мог получать трафик через этот порт.

  • В консоли редактора управления групповыми политиками щелкните правой кнопкой мыши Outbound Rules и выберите New Rule .Откроется мастер создания нового исходящего правила.

  • В типе правила щелкните Предопределенный , разверните список вариантов, а затем щелкните BranchCache — Получение содержимого (использует HTTP) . Нажмите Далее .

  • В разделе Предопределенные правила нажмите Далее .

  • В Действие убедитесь, что выбрано Разрешить подключение , а затем нажмите Готово .

    Важно

    Необходимо выбрать Разрешить подключение , чтобы клиент BranchCache мог отправлять трафик на этот порт.

  • Чтобы создать исключение брандмауэра WS-Discovery, снова щелкните правой кнопкой мыши Outbound Rules и выберите New Rule . Откроется мастер создания нового исходящего правила.

  • В правиле введите , щелкните Предопределенный , разверните список вариантов, а затем щелкните BranchCache — обнаружение одноранговых узлов (использует WSD) . Нажмите Далее .

  • В разделе Предопределенные правила нажмите Далее .

  • В Действие убедитесь, что выбрано Разрешить подключение , а затем нажмите Готово .

    Важно

    Необходимо выбрать Разрешить подключение , чтобы клиент BranchCache мог отправлять трафик на этот порт.

  • Шаг 4. Настройка параметров групповой политики для автоматических обновлений

    • Статья
    • 38 минут на чтение
    • 17 участников

    Полезна ли эта страница?

    Да Нет

    Любая дополнительная обратная связь?

    Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

    Представлять на рассмотрение

    В этой статье

    Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

    В среде Active Directory можно использовать групповую политику, чтобы определить, как компьютеры и пользователи могут взаимодействовать с Центром обновления Windows для получения автоматических обновлений от служб обновления Windows Server (WSUS).В этой статье эти компьютеры и пользователи называются клиентами WSUS .

    Эта статья состоит из двух основных разделов:

    Параметры групповой политики для обновлений клиента WSUS

    В этом разделе содержится информация о следующих трех расширениях групповой политики. В этих расширениях вы найдете параметры, которые можно использовать для настройки взаимодействия клиентов WSUS с Центром обновления Windows для получения автоматических обновлений.

    Примечание

    В этой статье предполагается, что вы уже используете групповую политику и знакомы с ней.Если вы не знакомы с групповой политикой, рекомендуем ознакомиться с информацией в разделе «Дополнительная информация» этой статьи, прежде чем пытаться настроить параметры политики для WSUS.

    Конфигурация компьютера > Параметры политики Центра обновления Windows

    В этом разделе приведены сведения о следующих параметрах политики для компьютера:

    В редакторе управления групповыми политиками политики Центра обновления Windows для конфигурации на основе компьютера расположены по пути Имя_политики > Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Центр обновления Windows .

    Примечание

    По умолчанию эти параметры не настроены.

    Разрешить немедленную установку автоматических обновлений

    Указывает, будут ли автоматические обновления автоматически устанавливать обновления, которые не прерывают работу служб Windows и не перезапускают Windows.

    Примечание

    Если для параметра политики Настройка автоматических обновлений установлено значение Отключено , эта политика не действует.

    Состояние настройки политики Поведение
    Не настроено Указывает, что обновления не устанавливаются сразу.Локальные администраторы могут изменить этот параметр с помощью редактора локальной групповой политики.
    Включено Указывает, что автоматические обновления немедленно устанавливают обновления после их загрузки и готовности к установке.
    Отключено Указывает, что обновления не устанавливаются сразу.

    Опции: Для этой настройки нет опций.

    Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях

    Указывает, будут ли пользователи без прав администратора получать уведомления об обновлениях на основе параметра политики Настройка автоматических обновлений .

    Поддерживается на За исключением
    Windows Server 2012 R2, Windows 8.1 и более ранние версии ноль

    Примечание

    Если параметр политики Настройка автоматических обновлений отключен или не настроен, этот параметр политики не действует.

    Важно

    Начиная с Windows 8 и Windows RT этот параметр политики включен по умолчанию. Во всех предыдущих версиях Windows он по умолчанию отключен.

    Состояние настройки политики Поведение
    Не настроено Указывает, что пользователи всегда будут видеть окно контроля учетных записей, и для выполнения этих задач им потребуются повышенные разрешения. Локальный администратор может изменить этот параметр с помощью редактора локальной групповой политики.
    Включено Указывает, что автоматическое обновление Windows и Центр обновления Майкрософт будут включать пользователей, не являющихся администраторами, при определении того, кто из вошедших пользователей будет получать уведомления об обновлениях.Пользователи без прав администратора смогут установить все необязательные, рекомендуемые и важные обновления, для которых они получили уведомление. Пользователи не увидят окно контроля учетных записей. Пользователям не требуются повышенные разрешения для установки этих обновлений, за исключением обновлений, содержащих изменения пользовательского интерфейса, условий лицензионного соглашения на использование программного обеспечения Microsoft или настроек Центра обновления Windows.

    В двух случаях действие этого параметра зависит от работающего компьютера:

    Скрыть или Восстановить обновлений
    Отменить установку обновления

    В Windows Vista или Windows XP, если этот параметр политики включен , пользователи не увидят окно контроля учетных записей.Этим пользователям не нужны повышенные разрешения, чтобы скрывать, восстанавливать или отменять обновления.

    В Windows Vista, если этот параметр политики включен, пользователи не увидят окно контроля учетных записей. Этим пользователям не нужны повышенные разрешения, чтобы скрывать, восстанавливать или отменять обновления. Если этот параметр политики не включен, пользователи всегда будут видеть окно контроля учетных записей, и им потребуются повышенные разрешения для скрытия, восстановления или отмены обновлений.

    В Windows 7 этот параметр политики не действует.Пользователи всегда будут видеть окно контроля учетных записей, и им требуются повышенные разрешения для выполнения этих задач.

    В Windows 8 и Windows RT этот параметр политики не действует.

    Отключено Указывает, что уведомления об обновлениях получают только администраторы, вошедшие в систему. Обратите внимание, что в Windows 8 и Windows RT этот параметр политики включен по умолчанию. Во всех предыдущих версиях Windows он по умолчанию отключен.

    Опции: Для этой настройки нет опций.

    Разрешить подписанные обновления из расположения службы обновлений Майкрософт в интрасети

    Указывает, принимает ли служба автоматического обновления обновления, подписанные организациями, отличными от корпорации Майкрософт, если обновление находится в расположении службы обновлений Майкрософт в интрасети.

    Примечание

    Обновления из службы, отличной от службы обновлений Майкрософт в интрасети, всегда должны быть подписаны корпорацией Майкрософт. Этот параметр политики не влияет на них.

    Примечание

    Эта политика не поддерживается в Windows RT.Включение этой политики никак не повлияет на компьютеры под управлением Windows RT.

    Опции: Для этой настройки нет опций.

    Состояние настройки политики Поведение
    Не настроено Указывает, что обновления из расположения службы обновлений Майкрософт в интрасети должны быть подписаны корпорацией Майкрософт.
    Включено Указывает, что служба автоматического обновления принимает обновления, полученные через расположение службы обновлений Майкрософт в интрасети, если они подписаны сертификатом, найденным в хранилище сертификатов доверенных издателей на локальном компьютере.
    Отключено Указывает, что обновления из расположения службы обновлений Майкрософт в интрасети должны быть подписаны корпорацией Майкрософт.

    Опции: Для этой настройки нет опций.

    Всегда автоматически перезапускаться в запланированное время

    Указывает, будет ли таймер перезапуска всегда запускаться сразу после того, как Центр обновления Windows установит важные обновления, вместо того, чтобы сначала уведомлять пользователей на экране входа в систему в течение как минимум двух дней.

    Примечание

    Если параметр политики Без автоматического перезапуска с вошедшими в систему пользователями для запланированных автоматических установок обновлений включен, эта политика не действует.

    Состояние настройки политики Поведение
    Не настроено Указывает, что Центр обновления Windows не будет изменять поведение компьютера при перезагрузке.
    Включено Указывает, что таймер перезапуска всегда будет запускаться сразу после того, как Центр обновления Windows установит важные обновления, вместо того, чтобы сначала уведомлять пользователей на экране входа в систему в течение как минимум двух дней.

    Таймер перезапуска можно настроить для запуска с любым значением от 15 до 180 минут. Когда таймер истечет, перезагрузка продолжится, даже если на компьютере есть пользователи, выполнившие вход.

    Отключено Указывает, что Центр обновления Windows не будет изменять поведение компьютера при перезагрузке.

    Параметры: Если этот параметр включен, вы можете указать время, по истечении которого после установки обновлений произойдет принудительная перезагрузка компьютера.

    Частота обнаружения автоматических обновлений

    Указывает часы, которые Windows будет использовать для определения времени ожидания перед проверкой доступных обновлений. Точное время ожидания определяется путем использования часов, указанных здесь, минус 0–20 процентов указанных часов. Например, если эта политика используется для указания 20-часовой частоты обнаружения, все клиенты, к которым применяется эта политика, будут проверять наличие обновлений где-то между 16 и 20 часами.

    Примечание

    Параметр Указать расположение службы обновлений Майкрософт в интрасети должен быть включен, чтобы эта политика действовала.

    Если параметр Настройка политики автоматического обновления отключен, эта политика не действует.

    Примечание

    Эта политика не поддерживается в Windows RT. Включение этой политики никак не повлияет на компьютеры под управлением Windows RT.

    Состояние настройки политики Поведение
    Не настроено Указывает, что Windows будет проверять наличие доступных обновлений с интервалом по умолчанию в 22 часа.
    Включено Указывает, что Windows будет проверять наличие доступных обновлений с заданным интервалом.
    Отключено Указывает, что Windows будет проверять наличие доступных обновлений с интервалом по умолчанию в 22 часа.

    Параметры: Если этот параметр включен, можно указать интервал времени (в часах), в течение которого Центр обновления Windows ожидает перед проверкой обновлений.

    Настройка автоматического обновления

    Указывает, включены ли на этом компьютере автоматические обновления.

    Если этот параметр групповой политики включен, необходимо выбрать один из четырех параметров, предоставляемых этим параметром.

    Чтобы использовать этот параметр, выберите Enabled . Затем в Параметры под Настройка автоматического обновления выберите один из вариантов ( 2 , 3 , 4 или 5 ).

    Состояние настройки политики Поведение
    Не настроено Указывает, что использование автоматических обновлений не указано на уровне групповой политики.Однако администратор компьютера по-прежнему может настроить автоматические обновления в панели управления.
    Включено Указывает, что Windows распознает, когда компьютер находится в сети, и использует подключение к Интернету для поиска доступных обновлений в Центре обновления Windows.

    Если этот параметр включен, локальным администраторам будет разрешено использовать элемент панели управления Центра обновления Windows для выбора параметра конфигурации по своему выбору. Однако локальным администраторам не разрешается отключать конфигурацию автоматического обновления.

    2 — Уведомлять о загрузке и уведомлять об установке
    Когда Центр обновления Windows находит обновления, применимые к компьютеру, пользователи будут уведомлены о том, что обновления готовы к загрузке. Затем пользователи могут запустить Центр обновления Windows, чтобы загрузить и установить любые доступные обновления.

    3 — Автоматическая загрузка и уведомление об установке (настройка по умолчанию)
    Центр обновления Windows находит подходящие обновления и загружает их в фоновом режиме. Пользователь не уведомляется и не прерывается во время процесса.Когда загрузка завершена, пользователи уведомляются о том, что обновления готовы к установке. Затем пользователи могут запустить Центр обновления Windows, чтобы установить загруженные обновления.

    4 — Автоматическая загрузка и установка по расписанию
    Расписание можно указать с помощью параметров этого параметра групповой политики. Если расписание не указано, расписанием по умолчанию для всех установок будет каждый день в 3:00. Если какие-либо обновления требуют перезагрузки для завершения установки, Windows автоматически перезагрузит компьютер.(Если пользователь вошел в систему, когда Windows готова к перезагрузке, пользователь получит уведомление и получит возможность отложить перезагрузку.)

    Обратите внимание, что при запуске Windows 8 вы можете установить обновления для установки во время автоматического обслуживания вместо этого. использования определенного расписания, привязанного к Центру обновления Windows. Автоматическое обслуживание будет устанавливать обновления, когда компьютер не используется, и не будет устанавливать обновления, когда компьютер работает от батареи. Если автоматическое обслуживание не может установить обновления в течение нескольких дней, Центр обновления Windows установит обновления сразу.Затем пользователи будут уведомлены о предстоящем перезапуске. Отложенный перезапуск произойдет только в том случае, если нет возможности случайной потери данных.

    Вы можете указать параметры расписания в настройках планировщика обслуживания GPME. Эти параметры расположены по пути Имя Политики > Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Планировщик обслуживания > Граница активации автоматического обслуживания .Подробные сведения о настройке см. в разделе «Параметры планировщика обслуживания» этой статьи.

    5 — Разрешить локальному администратору выбирать параметр
    Указывает, разрешено ли локальным администраторам использовать элемент панели управления «Автоматическое обновление» для выбора параметра конфигурации по своему выбору. Например, параметром конфигурации может быть возможность выбора локальными администраторами запланированного времени установки.

    Локальные администраторы не могут отключать конфигурацию автоматического обновления.

    Отключено Указывает, что любые клиентские обновления, доступные в общедоступной службе Центра обновления Windows, должны быть загружены из Интернета и установлены вручную.
    Отложенный перезапуск для запланированных установок

    Указывает время, в течение которого автоматические обновления будут ждать, прежде чем приступить к запланированному перезапуску.

    Примечание

    Эта политика применяется только в том случае, если автоматическое обновление настроено на выполнение запланированных установок обновлений.Если параметр политики Настройка автоматических обновлений отключен, эта политика не действует.

    Состояние настройки политики Поведение
    Не настроено Указывает, что после установки обновлений время ожидания по умолчанию, равное 15 минутам, истечет до любого запланированного перезапуска.
    Включено Указывает, что после завершения установки запланированный перезапуск произойдет по истечении указанного количества минут.
    Отключено Указывает, что после установки обновлений время ожидания по умолчанию, равное 15 минутам, истечет до любого запланированного перезапуска.

    Параметры: Если этот параметр включен, вы можете указать количество времени (в минутах), в течение которого функция автоматического обновления ожидает, прежде чем продолжить запланированный перезапуск.

    Не настраивать параметр по умолчанию для установки обновлений и завершения работы в диалоговом окне завершения работы Windows

    Этот параметр политики позволяет указать, разрешен ли параметр Установить обновления и завершить работу в качестве выбора по умолчанию в диалоговом окне Завершение работы Windows .

    Примечание

    Этот параметр политики не влияет, если PolicyName > Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Не отображать параметр «Установить обновления и завершить работу» в завершении работы Параметр политики диалогового окна Windows включен.

    Состояние настройки политики Поведение
    Не настроено Указывает, что Установка обновлений и завершение работы будет параметром по умолчанию в диалоговом окне Завершение работы Windows , если обновления доступны для установки в момент выбора пользователем параметра Завершение работы для выключения компьютера.
    Включено Если этот параметр политики включен, последний вариант выключения пользователя (например, Гибернация или Перезагрузка ) является параметром по умолчанию в диалоговом окне Завершение работы Windows , независимо от того, включен ли параметр Установить обновления и завершить работу доступен на Что вы хотите, чтобы компьютер делал? меню.
    Отключено Указывает, что Установка обновлений и завершение работы будет параметром по умолчанию в диалоговом окне Завершение работы Windows , если обновления доступны для установки в момент выбора пользователем параметра Завершение работы для выключения компьютера.

    Опции: Для этой настройки нет опций.

    Не подключаться ни к каким веб-сайтам Центра обновления Windows

    Даже если Центр обновления Windows настроен на получение обновлений из службы обновлений в интрасети, он будет периодически получать информацию из общедоступной службы Центра обновления Windows. Эта информация позволит в будущем подключаться к Центру обновления Windows и другим службам, таким как Центр обновления Майкрософт или Магазин Microsoft.

    Примечание

    Эта политика применяется только в том случае, если компьютер настроен для подключения к службе обновлений в интрасети с помощью параметра политики Указать расположение службы обновлений Майкрософт в интрасети .

    Поддерживается на За исключением
    Начиная с Windows Server 2012 R2, Windows 8.1 или Windows RT 8.1, операционные системы Windows, которые все еще находятся в пределах жизненного цикла поддержки продуктов Microsoft ноль
    Состояние настройки политики Поведение
    Не настроено Указывает, что компьютеры могут получать информацию из общедоступных служб обновлений, таких как Центр обновления Windows и Microsoft Store.
    Включено Указывает, что Windows больше не будет подключаться к общедоступным службам обновлений, таким как Центр обновления Windows или Microsoft Store. Это приведет к тому, что большая часть функций приложения Microsoft Store перестанет работать.

    Пользователи, которые ищут обновления с помощью приложения Settings или панели управления, будут видеть обновления только из службы обновлений в интрасети. Они не будут представлены с параметром Проверить наличие обновлений из Центра обновления Windows в Интернете.

    Программы, использующие API-интерфейсы агента обновления Windows, не смогут искать обновления для какой-либо службы, кроме службы обновлений интрасети.

    Отключено Указывает, что компьютеры могут получать информацию из общедоступных служб обновлений.

    Опции: Для этой настройки нет опций.

    Не отображать параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows»

    Указывает, отображается ли параметр Установить обновления и завершить работу в диалоговом окне Завершение работы Windows .

    Состояние настройки политики Поведение
    Не настроено Указывает, что параметр Установить обновления и завершить работу доступен в диалоговом окне Завершение работы Windows , если обновления доступны, когда пользователь выбирает параметр Завершение работы для выключения компьютера. Локальный администратор может изменить этот параметр с помощью локальной политики.
    Включено Указывает, что Установка обновлений и завершение работы не будет отображаться в диалоговом окне Завершение работы Windows , даже если обновления доступны для установки, когда пользователь выбирает параметр Завершение работы для выключения компьютера.
    Отключено Указывает, что параметр Установить обновления и завершить работу будет параметром по умолчанию в диалоговом окне Завершение работы Windows , если обновления доступны для установки в момент выбора пользователем параметра Завершение работы для выключения компьютера.

    Опции: Для этой настройки нет опций.

    Включить таргетинг на стороне клиента

    Указывает имя или имена целевой группы, настроенные в консоли WSUS, которые будут получать обновления от WSUS.

    Примечание

    Эта политика применяется только в том случае, если этот компьютер настроен на поддержку указанных имен целевых групп в WSUS. Если имя целевой группы не существует в WSUS, оно будет игнорироваться до тех пор, пока не будет создано. Если параметр политики Указать расположение службы обновлений Майкрософт в интрасети отключен или не настроен, эта политика не действует.

    Примечание

    Эта политика не поддерживается в Windows RT. Включение этой политики никак не повлияет на компьютеры под управлением Windows RT.

    Состояние настройки политики Поведение
    Не настроено Указывает, что информация о целевой группе не отправляется в WSUS. Локальный администратор может изменить этот параметр с помощью локальной политики.
    Включено Указывает, что указанная информация о целевой группе отправляется службе WSUS, которая использует ее для определения того, какие обновления следует развернуть на этом компьютере.Если WSUS поддерживает несколько целевых групп, вы можете использовать эту политику для указания нескольких имен групп, разделенных точкой с запятой, если вы добавили имена целевых групп в список групп компьютеров в WSUS. В противном случае необходимо указать одну группу.
    Отключено Указывает, что информация о целевой группе не отправляется в WSUS.

    Опции: Используйте это пространство, чтобы указать одно или несколько имен целевых групп.

    Включение управления питанием Центра обновления Windows для автоматического пробуждения компьютера для установки запланированных обновлений

    Указывает, будет ли Центр обновления Windows использовать функции управления питанием Windows или параметры электропитания для автоматического вывода компьютера из режима гибернации, если запланирована установка обновлений.

    Компьютер автоматически выйдет из спящего режима, только если Центр обновления Windows настроен на автоматическую установку обновлений. Если компьютер находится в спящем режиме, когда наступает запланированное время установки и есть обновления, которые необходимо применить, Центр обновления Windows будет использовать функции управления питанием Windows или параметры электропитания, чтобы автоматически вывести компьютер из спящего режима для установки обновлений. Центр обновления Windows также выведет компьютер из спящего режима и установит обновление, если наступит крайний срок установки.

    Компьютер не выйдет из спящего режима, пока не будут установлены обновления.Если компьютер работает от батареи, когда Центр обновления Windows выведет его из спящего режима, он не будет устанавливать обновления. Компьютер автоматически вернется в спящий режим через две минуты.

    Поддерживается на За исключением
    Начиная с Windows Vista и Windows Server 2008 (Windows 7), операционные системы Windows, которые все еще находятся в пределах жизненного цикла поддержки продуктов Microsoft ноль
    Состояние настройки политики Поведение
    Не настроено Центр обновления Windows не выводит компьютер из спящего режима для установки обновлений.Локальный администратор может изменить этот параметр с помощью локальной политики.
    Включено Центр обновления Windows выводит компьютер из спящего режима для установки обновлений в соответствии с указанными выше условиями.
    Отключено Центр обновления Windows не выводит компьютер из спящего режима для установки обновлений.

    Опции: Для этой настройки нет опций.

    Нет автоматического перезапуска с вошедшими в систему пользователями для запланированных автоматических установок обновлений

    Указывает, что для завершения запланированной установки служба автоматического обновления будет ожидать перезагрузки компьютера любым пользователем, вошедшим в систему, вместо автоматического перезапуска компьютера.

    Примечание

    Эта политика применяется только в том случае, если автоматическое обновление настроено на выполнение запланированных установок обновлений. Если параметр политики Настройка автоматических обновлений отключен, эта политика не действует.

    Состояние настройки политики Поведение
    Не настроено Указывает, что функция автоматического обновления уведомит пользователя о том, что компьютер автоматически перезагрузится через пять минут для завершения установки.
    Включено Некоторые обновления требуют перезагрузки компьютера, прежде чем обновления вступят в силу. Если статус установлен на Enabled , автоматические обновления не будут автоматически перезапускать компьютер во время запланированной установки, если пользователь вошел в систему на компьютере. Вместо этого автоматические обновления уведомят пользователя о необходимости перезагрузки компьютера.
    Отключено Указывает, что функция автоматического обновления уведомит пользователя о том, что компьютер автоматически перезагрузится через пять минут для завершения установки.

    Опции: Для этой настройки нет опций.

    Повторный запрос на перезагрузку с запланированными установками

    Указывает время ожидания автоматических обновлений перед повторным запросом при запланированном перезапуске.

    Важно

    Эта политика применяется только в том случае, если автоматическое обновление настроено на выполнение запланированных установок обновлений. Если параметр политики Настройка автоматических обновлений отключен, эта политика не действует.

    Примечание

    Эта политика не действует на компьютеры под управлением Windows RT.

    Состояние настройки политики Поведение
    Не настроено Запланированный перезапуск происходит через 10 минут после отклонения сообщения о запросе на перезапуск. Локальный администратор может изменить этот параметр с помощью локальной политики.
    Включено Указывает, что после отсрочки запроса на перезагрузку запланированная перезагрузка произойдет по истечении указанного количества минут.
    Отключено Запланированный перезапуск происходит через 10 минут после отклонения сообщения о запросе на перезапуск.

    Параметры: Если этот параметр включен, вы можете указать количество времени (в минутах), по истечении которого пользователям снова будет выдаваться запрос о запланированном перезапуске.

    Изменить расписание автоматических обновлений по расписанию

    Указывает время ожидания автоматического обновления после запуска компьютера, прежде чем приступить к запланированной установке, которая ранее была пропущена.

    Если установлено состояние Не настроено , пропущенная запланированная установка произойдет через одну минуту после следующего запуска компьютера.

    Примечание

    Эта политика применяется только в том случае, если автоматическое обновление настроено на выполнение запланированных установок обновлений. Если параметр политики Настройка автоматических обновлений отключен, эта политика не действует.

    Состояние настройки политики Поведение
    Не настроено Указывает, что пропущенная запланированная установка произойдет через одну минуту после следующего запуска компьютера.
    Включено Указывает, что запланированная установка, которая ранее не выполнялась, произойдет через указанное количество минут после следующего запуска компьютера.
    Отключено Указывает, что пропущенная запланированная установка произойдет при следующей запланированной установке.

    Параметры: Если этот параметр политики включен, можно указать количество минут, через которое после следующего запуска компьютера будет выполнена запланированная установка, которая не выполнялась ранее.

    Укажите расположение службы обновлений Майкрософт в интрасети

    Указывает сервер интрасети для размещения обновлений из Центра обновления Майкрософт. Затем вы можете использовать WSUS для автоматического обновления компьютеров в вашей сети.

    Этот параметр позволяет указать сервер WSUS в вашей сети, который будет функционировать как внутренняя служба обновлений. Вместо использования общедоступных служб Центра обновления Windows и Центра обновления Майкрософт в Интернете клиенты WSUS будут искать в этой службе применимые обновления.Включение этого параметра означает, что пользователям в вашей организации не нужно проходить через брандмауэр для получения обновлений. Это также дает вам возможность тестировать обновления перед их развертыванием.

    Чтобы использовать этот параметр, необходимо задать два значения имени сервера: сервер, с которого клиент обнаруживает и загружает обновления, и сервер, на который обновленные рабочие станции загружают статистику. Значения не обязательно должны быть разными, если обе службы настроены на одном сервере.

    Примечание

    Эта политика не поддерживается в Windows RT.Включение этой политики никак не повлияет на компьютеры под управлением Windows RT.

    Состояние настройки политики Поведение
    Не настроено Указывает, что клиенты подключаются напрямую к сайту Центра обновления Windows в Интернете.
    Включено Указывает, что клиент подключается к указанному серверу WSUS вместо Центра обновления Windows для поиска и загрузки обновлений.

    Если автоматическое обновление не отключено политикой или предпочтениями пользователя, автоматическое обновление будет искать, загружать и/или устанавливать обновления с указанного сервера WSUS, а не из Центра обновления Windows.

    Пользователи страницы Параметры Центра обновления Windows (или страницы Центра обновления Windows в панели управления в более старых версиях Windows) обычно видят обновления с указанного сервера WSUS, а не из Центра обновления Windows. Пользователи также увидят опцию Проверить наличие обновлений в Центре обновления Windows , которая позволяет им использовать общедоступные службы обновлений в Интернете.Вы можете удалить этот параметр с помощью политики Не подключаться ни к каким Интернет-сайтам Центра обновления Windows .

    Приложения, использующие API-интерфейсы агента обновления Windows для поиска, загрузки и/или установки обновлений, обычно работают с указанным сервером WSUS. Приложения могут специально запрашивать использование общедоступных служб обновлений в Интернете. Вы можете удалить этот параметр с помощью политики Не подключаться ни к каким Интернет-сайтам Центра обновления Windows .

    Отключено Указывает, что клиенты подключаются напрямую к сайту Центра обновления Windows в Интернете.

    Параметры: Если этот параметр политики включен, необходимо указать службу обновления интрасети, которую клиенты WSUS будут использовать при обнаружении обновлений, и сервер интернет-статистики, на который обновленные клиенты WSUS будут загружать статистику. Пример значений:

    Вариант настройки: Пример значения:
    Настройка службы обновлений интрасети для обнаружения обновлений http://wsus01:8530
    Установить сервер статистики интрасети http://IntranetUpd01
    Включить рекомендуемые обновления с помощью автоматических обновлений

    Указывает, будут ли автоматические обновления доставлять важные и рекомендуемые обновления из WSUS.

    Состояние настройки политики Поведение
    Не настроено Указывает, что автоматические обновления будут продолжать доставлять важные обновления, если они уже настроены для этого.
    Включено Указывает, что автоматические обновления будут устанавливать рекомендуемые обновления и важные обновления из WSUS.
    Отключено Указывает, что автоматические обновления будут продолжать доставлять важные обновления, если они уже настроены для этого.

    Опции: Для этой настройки нет опций.

    Включить уведомления программного обеспечения

    Этот параметр политики позволяет контролировать, видят ли пользователи подробные расширенные уведомления о рекомендуемом программном обеспечении из службы Центра обновления Майкрософт. Усовершенствованные уведомительные сообщения передают ценность и способствуют установке и использованию дополнительного программного обеспечения. Этот параметр политики предназначен для свободно управляемых сред, в которых вы разрешаете пользователю доступ к службе Центра обновления Майкрософт.

    Если вы не используете службу Microsoft Update, параметр политики Software Notifications не действует.

    Если параметр политики Настройка автоматических обновлений отключен или не настроен, параметр политики Уведомления о программном обеспечении не действует.

    Поддерживается на За исключением
    Начиная с Windows Server 2008 (Windows Vista) и Windows 7, операционные системы Windows, которые все еще находятся в пределах жизненного цикла поддержки продуктов Microsoft ноль

    Примечание

    По умолчанию этот параметр политики отключен.

    Состояние настройки политики Поведение
    Не настроено Пользователям компьютеров под управлением Windows 7 не предлагаются сообщения для дополнительных приложений. Пользователям компьютеров под управлением Windows Vista не предлагаются сообщения о дополнительных приложениях или обновлениях. Локальный администратор может изменить этот параметр с помощью панели управления или локальной политики.
    Включено Если этот параметр политики включен, на компьютере пользователя появится уведомление, когда будет доступно рекомендуемое программное обеспечение.Пользователь может выбрать уведомление, чтобы открыть Центр обновления Windows и получить дополнительную информацию о программном обеспечении или установить его. Пользователь также может выбрать Закрыть это сообщение или Показать позже , чтобы отложить уведомление по мере необходимости.

    В Windows 7 этот параметр политики управляет только подробными уведомлениями для дополнительных приложений. В Windows Vista этот параметр политики управляет подробными уведомлениями для дополнительных приложений и обновлений.

    Отключено Указывает, что пользователям Windows 7 не будут предлагаться подробные уведомления для дополнительных приложений.Он также указывает, что пользователям Windows Vista не будут предлагаться подробные уведомления для дополнительных приложений или дополнительных обновлений.

    Опции: Для этой настройки нет опций.

    Конфигурация компьютера > Параметры политики планировщика обслуживания

    В параметре Настройка автоматических обновлений , если вы выбрали параметр 4 — Автоматическая загрузка и планирование установки , вы можете указать параметры планировщика обслуживания в консоли управления групповыми политиками (GPMC) для компьютеров под управлением Windows 8 и Windows RT.Если вы не выбрали вариант 4 в параметре Настройка автоматических обновлений , вам не нужно настраивать эти параметры для автоматического обновления.

    Параметры планировщика обслуживания находятся по пути Имя политики > Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Планировщик обслуживания . Расширение планировщика обслуживания групповой политики содержит следующие параметры:

    .
    Граница активации автоматического обслуживания

    Эта политика позволяет настроить границу активации автоматического обслуживания.

    Граница активации — это запланированное ежедневное время запуска автоматического обслуживания.

    Примечание

    Этот параметр связан с опцией 4 в Настройка автоматического обновления . Если вы не выбрали вариант 4 в Настройка автоматических обновлений , вам не нужно настраивать этот параметр.

    Состояние настройки политики Поведение
    Не настроено Если этот параметр политики не настроен, будет применяться ежедневное запланированное время, указанное на клиентских компьютерах в Панели управления > Центр поддержки > Автоматическое обслуживание .
    Включено Включение этого параметра политики переопределяет любые параметры по умолчанию или измененные параметры, настроенные на клиентских компьютерах в Панели управления > Центр поддержки > Автоматическое обслуживание (или в некоторых версиях клиентов Обслуживание ).
    Отключено Если для этого параметра политики установлено значение Отключено , будет применяться ежедневное запланированное время, указанное в Панели управления > Центр уведомлений > Автоматическое обслуживание .
    Автоматическое обслуживание Произвольная задержка

    Этот параметр политики позволяет настроить произвольную задержку для активации автоматического обслуживания.

    Случайная задержка обслуживания — это время, на которое автоматическое обслуживание будет откладывать запуск от границы активации. Этот параметр полезен для виртуальных машин, где произвольное обслуживание может быть требованием производительности.

    Примечание

    Этот параметр связан с опцией 4 в Настройка автоматического обновления .Если вы не выбрали вариант 4 в Настройка автоматических обновлений , вам не нужно настраивать этот параметр.

    По умолчанию, когда этот параметр включен, случайная задержка регулярного обслуживания составляет PT4H .

    Состояние настройки политики Поведение
    Не настроено Случайная четырехчасовая задержка применяется к Автоматически .
    Включено Автоматическое обслуживание будет откладывать запуск от границы активации до указанного периода времени.
    Отключено К автоматическому обслуживанию не применяется случайная задержка.
    Политика автоматического пробуждения

    Этот параметр политики позволяет настроить политику пробуждения для автоматического обслуживания.

    Политика пробуждения указывает, должно ли автоматическое обслуживание отправлять запрос на пробуждение работающему компьютеру для ежедневного планового обслуживания.

    Примечание

    Если политика пробуждения рабочего компьютера явно отключена, этот параметр не действует.

    Примечание

    Этот параметр связан с опцией 4 в Настройка автоматического обновления . Если вы не выбрали вариант 4 в Настройка автоматических обновлений , вам не нужно настраивать этот параметр.

    Состояние настройки политики Поведение
    Не настроено Если не настроить этот параметр политики, будет применяться параметр пробуждения, указанный в Панели управления > Центр поддержки > Автоматическое обслуживание .
    Включено Если вы включите этот параметр политики, автоматическое обслуживание попытается установить политику пробуждения операционной системы и, если необходимо, отправить запрос на пробуждение в запланированное ежедневное время.
    Отключено Если отключить этот параметр политики, будет применяться параметр пробуждения, указанный в Панели управления > Центр поддержки > Автоматическое обслуживание .

    Конфигурация пользователя > Параметры политики Центра обновления Windows

    В этом разделе представлены сведения о следующих параметрах политики на основе пользователей:

    В консоли управления групповыми политиками пользовательские настройки для автоматического обновления компьютера находятся по пути Имя политики > Конфигурация пользователя > Политики > Административные шаблоны > Компоненты Windows > Центр обновления Windows .Параметры перечислены в том же порядке, в котором они отображаются в расширениях «Конфигурация компьютера» и «Конфигурация пользователя» в групповой политике, когда выбрана вкладка Параметры политики Центра обновления Windows для сортировки параметров в алфавитном порядке.

    Примечание

    По умолчанию, если не указано иное, эти параметры не настроены.

    Для каждого из этих параметров можно использовать следующие шаги для включения, отключения или перемещения между параметрами.

    Не отображать параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows»

    Указывает, отображается ли параметр Установить обновления и завершить работу в диалоговом окне Завершение работы Windows .

    Состояние настройки политики Поведение
    Не настроено Указывает, что параметр Установить обновления и завершить работу будет отображаться в диалоговом окне Завершение работы Windows , если обновления доступны, когда пользователь выбирает параметр Завершение работы для выключения компьютера.
    Включено Указывает, что Установка обновлений и завершение работы не будет отображаться в диалоговом окне Завершение работы Windows , даже если обновления доступны для установки, когда пользователь выбирает параметр Завершение работы для выключения компьютера.
    Отключено Указывает, что параметр Установить обновления и завершить работу будет отображаться в диалоговом окне Завершение работы Windows , если обновления доступны, когда пользователь выбирает параметр Завершение работы для выключения компьютера.

    Опции: Для этой настройки нет опций.

    Не настраивать параметр по умолчанию для установки обновлений и завершения работы в диалоговом окне «Завершение работы Windows»

    Указывает, разрешен ли параметр Установить обновления и завершить работу в качестве выбора по умолчанию в диалоговом окне Завершение работы Windows .

    Примечание

    Этот параметр политики не влияет, если PolicyName > Конфигурация пользователя > Политики > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Не отображать параметр «Установить обновления и завершить работу» в завершении работы Диалоговое окно Windows включено.

    Состояние настройки политики Поведение
    Не настроено Указывает, будет ли параметр Установить обновления и завершить работу параметром по умолчанию в диалоговом окне Завершение работы Windows , если обновления доступны для установки в момент выбора пользователем параметра Завершение работы для выключения компьютера.
    Включено Указывает, является ли последний вариант завершения работы пользователя (например, Hibernate или Restart ) параметром по умолчанию в диалоговом окне Shut Down Windows , независимо от того, доступен ли параметр Install Updates and Shut Down на Что вы хотите, чтобы компьютер делал? меню.
    Отключено Указывает, будет ли параметр Установить обновления и завершить работу параметром по умолчанию в диалоговом окне Завершение работы Windows , если обновления доступны для установки в момент выбора пользователем параметра Завершение работы для выключения компьютера.

    Опции: Для этой настройки нет опций.

    Удалить доступ для использования всех функций Центра обновления Windows

    Этот параметр позволяет удалить клиентский доступ WSUS к Центру обновления Windows.

    Состояние настройки политики Поведение
    Не настроено Пользователи могут подключаться к веб-сайту Центра обновления Windows.
    Включено Все функции Центра обновления Windows удалены.Это включает в себя блокировку доступа к веб-сайту Центра обновления Windows по гиперссылке Центра обновления Windows в меню «Пуск» или на экране запуска, а также в меню Инструменты в Internet Explorer.

    Автоматические обновления Windows также отключены. Пользователь не будет ни уведомлен, ни получит критические обновления из Центра обновления Windows. Этот параметр также запрещает диспетчеру устройств автоматически устанавливать обновления драйверов с веб-сайта Центра обновления Windows.

    Вы можете настроить один из следующих параметров уведомлений:

    0 — Не показывать никаких уведомлений
    Этот параметр удалит весь доступ к функциям Центра обновления Windows, и никакие уведомления не будут отображаться.

    1 — Показать уведомления о необходимости перезагрузки
    Этот параметр отображает уведомления о перезагрузке, необходимой для завершения установки. Обратите внимание, что на компьютерах под управлением Windows 8 и Windows RT будут отображаться только уведомления, связанные с перезагрузкой и невозможностью обнаружения обновлений. Параметры уведомления не поддерживаются. Уведомления на экране входа отображаются всегда.

    Отключено Пользователи могут подключаться к веб-сайту Центра обновления Windows.

    Опции: См. Enabled в таблице для этой настройки.

    Дополнительная информация

    В этом разделе содержится дополнительная информация об использовании, открытии и сохранении параметров WSUS в групповой политике, а также определения терминов, используемых в этой статье. Для администраторов, знакомых с прошлыми версиями WSUS (WSUS 3.2 и предыдущие версии), в таблице приведены различия между версиями WSUS.

    Доступ к параметрам Центра обновления Windows в групповой политике

    Следующие процедуры описывают, как работать с объектами групповой политики (GPO) и другими параметрами групповой политики.

    Примечание

    Для выполнения этих процедур вы должны быть членом группы Администраторы домена или ее эквивалента.

    Чтобы открыть объект групповой политики
    1. На контроллере домена перейдите в раздел Диспетчер серверов > Инструменты > Управление групповыми политиками . Откроется консоль управления групповыми политиками.

    2. На левой панели разверните свой лес. Например, дважды щелкните лес : пример.ком .

    3. На левой панели дважды щелкните Домены , а затем дважды щелкните домен, для которого вы хотите управлять объектом групповой политики. Например, дважды щелкните example.com .

    4. Выполните одно из следующих действий:

    Чтобы открыть расширения Windows Update или планировщика обслуживания групповой политики

    В редакторе управления групповыми политиками выполните одно из следующих действий:

    • Открыть Конфигурация компьютера > Расширение Центра обновления Windows для групповой политики .Затем перейдите к Имя Политики > Конфигурация компьютера > Политики / Административные шаблоны > Компоненты Windows > Центр обновления Windows .

    • Открыть Конфигурация пользователя > Расширение Центра обновления Windows для групповой политики . Затем перейдите к Имя Политики > Конфигурация пользователя > Политики > Административные шаблоны > Компоненты Windows > Центр обновления Windows .

    • Открыть Конфигурация компьютера > Расширение планировщика обслуживания групповой политики . Затем перейдите к Имя Политики > Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Планировщик обслуживания .

    Дополнительные сведения о групповой политике см. в разделе Обзор групповой политики.

    Чтобы настроить параметры групповой политики

    После того, как вы открыли нужное расширение групповой политики, вы можете использовать следующие шаги для включения, отключения или перемещения между параметрами:

    1. В ExtensionOfGroupPolicy дважды щелкните параметр, который требуется просмотреть или изменить.

    2. Выполните одно из следующих действий:

      • Чтобы сохранить неуказанное состояние параметра по умолчанию, выберите Не настроено .

      • Чтобы включить настройку, выберите Enabled .

      • Чтобы отключить настройку, выберите Disabled .

    3. В параметрах , если указаны какие-либо параметры, сохраните значения по умолчанию или измените их по мере необходимости.

    4. Выполните одно из следующих действий:

      • Чтобы сохранить изменения и перейти к следующей настройке, выберите Применить , а затем выберите Следующая настройка .

      • Чтобы сохранить изменения и закрыть диалоговое окно, выберите OK .

      • Чтобы отменить все несохраненные изменения и закрыть диалоговое окно, выберите Cancel .

    Изменения в WSUS

    В следующей таблице приведены основные различия между текущей и предыдущей версиями WSUS, имеющие отношение к этой статье.

    Версии Windows Server и WSUS Описание
    Windows Server 2012 R2 с WSUS 6.0 и последующие версии Начиная с Windows Server 2012, роль сервера WSUS интегрирована с операционной системой. Связанные параметры групповой политики для клиентов WSUS по умолчанию включены в групповую политику.
    Windows Server 2008 (и более ранние версии Windows Server) с WSUS 3.2 и более ранними версиями В Windows Server 2008 (и более ранних версиях Windows Server) с использованием WSUS версии 3.2 (и более ранних) параметры групповой политики, управляющие клиентами WSUS, не включены в операционную систему.Параметры политики находятся в административном шаблоне WSUS wuau.adm . В этих версиях сервера административный шаблон WSUS необходимо добавить в консоль управления групповыми политиками, прежде чем можно будет настроить параметры клиента WSUS.

    Термины и определения

    В этой статье использовались следующие термины:

    Срок Определение
    Автоматические обновления и автоматические обновления Автоматические обновления : Компонент клиентского компьютера, встроенный в операционные системы Microsoft Windows Vista, Windows Server 2003, Windows XP и Windows 2000 с пакетом обновления 3 (SP3), для получения обновлений из Центра обновления Майкрософт или Центра обновления Windows.

    автоматические обновления : Обычный термин, используемый для описания того, когда агент обновления Windows автоматически планирует и загружает обновления.

    автономный сервер Нижестоящий сервер WSUS, на котором администраторы могут управлять компонентами WSUS.
    подчиненный сервер Сервер WSUS, который получает обновления с другого сервера WSUS, а не из Центра обновления Майкрософт или Центра обновления Windows.
    Расширение групповой политики или расширение групповой политики Набор параметров групповой политики, которые управляют тем, как пользователи и компьютеры (к которым применяются политики) могут настраивать и использовать различные службы и функции Windows.Администраторы могут использовать WSUS с групповой политикой для настройки клиента автоматического обновления на стороне клиента, чтобы гарантировать, что пользователи не смогут отключить или обойти корпоративные политики обновлений.

    WSUS не требует использования Active Directory или групповой политики. Конфигурацию клиента также можно применить с помощью локальной групповой политики или путем изменения реестра Windows.

    внутренняя служба обновления Случайная ссылка на сетевую инфраструктуру, использующую один или несколько серверов WSUS для распространения обновлений.
    сервер реплик Нижестоящий сервер WSUS, отражающий утверждения и параметры вышестоящего сервера, к которому он подключен. Вы не можете управлять WSUS на сервере-реплике.
    Центр обновления Майкрософт Интернет-сайт Microsoft, на котором хранятся и распространяются обновления для компьютеров Windows (драйверы устройств), операционных систем Windows и других программных продуктов Microsoft.
    Службы обновления программного обеспечения (SUS) Предшествующий продукт для WSUS.
    обновления Любая коллекция версий программного обеспечения, исправлений, пакетов обновления, пакетов функций и драйверов устройств, которые можно установить на компьютер для расширения функциональных возможностей или повышения производительности и безопасности.
    файлы обновления Файлы, необходимые для установки обновления на компьютер.
    обновить информацию или обновить метаданные Информация об обновлении, в отличие от бинарных файлов в пакете обновления.Например, метаданные предоставляют информацию о свойствах обновления, чтобы вы могли узнать, для чего оно полезно. Метаданные также включают Условия лицензионного соглашения на использование программного обеспечения Microsoft. Пакет метаданных, загруженный для обновления, обычно намного меньше, чем пакет файла обновления.
    источник обновления Расположение, с которым синхронизируется сервер WSUS для получения файлов обновлений. Это место может быть Центром обновления Майкрософт или вышестоящим сервером WSUS.
    восходящий сервер Сервер WSUS, предоставляющий файлы обновлений другому серверу WSUS (нижестоящему серверу).
    Службы обновления Windows Server (WSUS) Программа роли сервера, работающая на одном или нескольких компьютерах Windows Server в корпоративной сети. Инфраструктура WSUS позволяет управлять установками обновлений для компьютеров в сети.

    Вы можете использовать WSUS, чтобы утверждать или отклонять обновления перед выпуском, принудительно устанавливать обновления к определенной дате и получать подробные отчеты о том, какие обновления требуются каждому компьютеру в вашей сети. Вы можете настроить WSUS для автоматического утверждения определенных классов обновлений (включая критические обновления, обновления для системы безопасности, пакеты обновлений и драйверы).WSUS также позволяет одобрять обновления только для обнаружения, чтобы вы могли видеть, для каких компьютеров потребуется конкретное обновление, не устанавливая его.

    В реализации WSUS по крайней мере один сервер WSUS в сети должен иметь возможность подключения к Центру обновления Майкрософт для получения доступных обновлений. В зависимости от безопасности и конфигурации сети администратор может определить, сколько других серверов напрямую подключаются к Центру обновления Майкрософт.

    Вы можете настроить сервер WSUS для получения обновлений через Интернет из:

    — Microsoft Update
    — Windows Update
    — Microsoft Store

    Центр обновления Windows Интернет-сайт Microsoft, на котором хранятся и распространяются обновления для компьютеров Windows (драйверы устройств) и операционных систем Windows.

    Центр обновления Windows — это также название службы, которая работает на компьютерах с Windows и обнаруживает, загружает и устанавливает обновления.

    В зависимости от конфигурации компьютера и политики агент Центра обновления Windows может загружать обновления из:

    — Центра обновления Майкрософт
    — Центра обновления Windows
    — Магазина Microsoft
    — Службы обновлений в Интернете (сети) (WSUS)

    Неуправляемые компьютеры в среде на основе WSUS обычно используют Центр обновления Windows для прямого подключения (через Интернет) к Центру обновления Windows, Центру обновления Майкрософт или Магазину Microsoft для получения обновлений.

    Клиент WSUS Компьютер, который получает обновления от службы обновлений интрасети WSUS.

    В случае параметров групповой политики, управляющих взаимодействием пользователя с автоматическими обновлениями, он относится к пользователю компьютера в среде WSUS.

    Настройка групповых политик для установки безопасности — Windows Server

    • Статья
    • 2 минуты на чтение
    • 2 участника

    Полезна ли эта страница?

    Да Нет

    Любая дополнительная обратная связь?

    Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

    Представлять на рассмотрение

    В этой статье

    В этой статье описывается, как настроить групповые политики для установки безопасности для системных служб.

    Применяется к:   Windows Server 2003
    Исходный номер базы знаний:   324802

    Резюме

    В этой статье описывается, как использовать групповую политику для настройки безопасности системных служб для подразделения в Windows Server 2003.

    При реализации безопасности системных служб вы можете контролировать, кто может управлять службами на рабочей станции, рядовом сервере или контроллере домена. В настоящее время единственный способ изменить системную службу — это настроить компьютер в групповой политике.

    Если вы реализуете групповую политику в качестве политики домена по умолчанию, политика применяется ко всем компьютерам в домене. Если вы реализуете групповую политику в качестве политики контроллеров домена по умолчанию, политика применяется только к серверам в подразделении контроллера домена.Вы можете создавать организационные единицы, содержащие рабочие станции, к которым можно применять политики. В этой статье описываются шаги по реализации групповой политики в организационном подразделении для изменения разрешений на системные службы.

    Как назначить разрешения системной службе

    1. Нажмите «Пуск», выберите «Администрирование», а затем щелкните « Пользователи и компьютеры Active Directory» .

    2. Щелкните правой кнопкой мыши домен, в который вы хотите добавить организационное подразделение, выберите пункт Создать, а затем щелкните Организационное подразделение.

    3. Введите имя организационного подразделения в поле Имя и нажмите кнопку ОК.

      Новое организационное подразделение отображается в дереве консоли.

    4. Щелкните правой кнопкой мыши созданное вами новое организационное подразделение и выберите пункт Свойства.

    5. Перейдите на вкладку «Групповая политика» и нажмите «Создать». Введите имя для нового объекта групповой политики (например, используйте имя подразделения, для которого он реализован), а затем нажмите клавишу ВВОД.

    6. Щелкните новый объект групповой политики в списке Ссылки на объекты групповой политики (если он еще не выбран), а затем щелкните Изменить.

    7. Разверните узел Конфигурация компьютера, разверните Параметры Windows, разверните Параметры безопасности и щелкните Системные службы.

    8. На правой панели дважды щелкните службу, к которой вы хотите применить разрешения.

      Отображается параметр политики безопасности для этой конкретной службы.

    9. Щелкните, чтобы установить флажок Определить этот параметр политики .

    10. Щелкните Изменить безопасность.

    11. Предоставьте соответствующие разрешения нужным учетным записям пользователей и группам, а затем нажмите кнопку ОК.

    12. В разделе Выберите режим запуска службы , выберите нужный вариант режима запуска и нажмите кнопку ОК.

    13. Закройте Редактор объектов групповой политики , нажмите кнопку ОК, а затем закройте средство «Пользователи и компьютеры Active Directory».

    Примечание

    Вы должны переместить учетные записи компьютеров, которыми вы хотите управлять, в организационное подразделение. После того, как учетные записи компьютеров будут включены в организационную единицу, авторизованный пользователь или группы могут управлять службой.

    Как создать объект групповой политики и управлять им в Windows Server 2019

    Нет ничего более интересного, чем те инструменты и утилиты, которые облегчают задачу управления и контроля в корпоративной среде, а при использовании Windows Server мы очень хорошо знаем, что цели групповой политики или GPO (Group Объект политики) являются одним из лучших вариантов для использования, потому что благодаря им мы можем создать политику, которая может быть применена либо ко всему домену, либо к отдельному OU (организационному подразделению) в частности и, таким образом, ограничить использование или доступ к определенным параметрам. или, форсируя определенную конфигурацию на клиентских компьютерах..

    Microsoft со своим новым выпуском Windows Server 2019 продолжает предлагать нам эту функциональную практику для лучшего контроля над всеми элементами организации.

    Что такое объекты групповой политики?

    Объекты групповой политики (GPO) сами по себе представляют собой набор политик, которые могут быть созданы в различных областях сервера либо для предотвращения выполнения пользователями действия, например, доступа к диску C или подключения устройств USB, либо для выполнять определенные действия, такие как применение автоматических обновлений.

    Объект групповой политики — это виртуальный набор параметров политики, каждый из которых имеет уникальное имя, аналогичное GUID. Для корректного использования GPO необходимо учитывать следующее:

    • Локальная сеть должна быть структурирована в AD DS, так что хотя бы на одном из используемых серверов должна быть установлена ​​функция AD DS (Active Directory). .
    • Управляемые компьютеры должны быть присоединены к домену, и пользователи должны использовать учетные данные домена для входа на компьютеры.
    • Вам потребуются разрешения на редактирование групповой политики в домене, и это достигается путем вхождения в группу администраторов или администраторов групповой политики.

    Типы групповых политик

    Существует два основных типа групповых политик для Windows Server:
    • Политика домена по умолчанию: эта политика по умолчанию, и в ней мы находим параметры политики, которые могут применяться ко всем компьютерам и пользователям в текущей домен.
    • Политика контроллера домена по умолчанию: это еще одна политика, которая создается по умолчанию, и в ней у нас есть параметры политики, которые применяются исключительно к доступным контроллерам домена.

    Объявления Групповые политики разделены на разделы, и каждый из них имеет определенные элементы для управления, такие как:

    Параметры Windows

    На уровне конфигурации группы у нас есть:
    • Качество обслуживания на основе политик (QoS)

    Параметры Windows

    На уровне конфигурации пользователя у нас есть:
    • Качество обслуживания (QoS) на основе политик

    Теперь мы будем знать, как создать объект групповой политики в Windows Server 2019..


    1. Создайте объект групповой политики в Windows Server 2019

    Шаг 1


    Для этого у нас есть два варианта:
    • Используйте следующую комбинацию клавиш, выполните команду gpmc.msc и нажмите Enter или Accept

    + R

     gpmc .msc 
    • Перейдите в Диспетчер серверов и перейдите по пути «Инструменты / Управление групповой политикой»

    Шаг 2


    Появится следующее окно, где при развертывании нашего леса у нас будет структура домена :

    Шаг 3


    Чтобы создать новый объект групповой политики, щелкните правой кнопкой мыши домен и выберите параметр «Создать объект групповой политики в этом домене и свяжите его здесь». :

    Примечание

    Мы также можем связать объект групповой политики с существующим НУ, если это так.

    Шаг 4


    При выборе этой опции мы увидим следующее окно, в котором мы назначим имя указанному объекту групповой политики:

    Шаг 5


    Нажмите «Принять», и мы увидим, что наш объект групповой политики создан правильно:

    2. Редактирование групповой политики в Windows Server 2019

    Шаг 1


    Чтобы начать процесс редактирования нашего объекта групповой политики, щелкните его правой кнопкой мыши и выберите параметр «Редактировать»:

    Шаг 2


    Это приведет нас к консоль групповой политики, где мы увидим следующие параметры:

    Шаг 3


    Как мы видим, есть разделы, о которых мы упоминали ранее, «Конфигурация компьютера» и «Конфигурация пользователя».
    В каждом из этих разделов есть подраздел вариантов для выбора, и в каждом из них мы находим специальные политики:

    Шаг 5


    В каждом разделе есть ряд различных политик:

    Шаг 6


    Для редактирования и применения действия к созданному GPO, в этом случае мы перейдем в раздел «Конфигурация компьютера / Компоненты Windows / Меню «Пуск» и панель задач», где мы выберем политику под названием «Удалить и запретить доступ к командам выключения, перезагрузки, приостановки и гибернации:

    Шаг 7


    Мы дважды щелкаем по этой политике и в новом окне активируем поле «Включено»:

    Шаг 8


    В некоторых специальных политиках будут отображаться дополнительные параметры для ее настройки.Нажмите на кнопку «Применить и принять», чтобы сохранить изменения. Теперь на всех компьютерах в домене, включая сервер, мы увидим, что кнопки выключения недоступны:

    Шаг 9


    Это связано с тем, что объект групповой политики был создан непосредственно в домене, а не в одном OU. На уровне управления GPO у нас есть несколько вариантов, таких как:

    Искать

    Щелкнув правой кнопкой мыши по домену, мы можем выбрать параметр «Поиск», чтобы найти объект групповой политики на основе определяемого нами параметра, и это полезно, когда у нас есть множество политик. created

    В открывшемся окне мы введем параметры поиска для получения наилучших результатов:

    Общая конфигурация

    Щелкнув правой кнопкой мыши по нашей политике, мы можем увидеть ряд параметров, которые можно использовать как:
    • Изменить: позволяет нам внести изменения в выбранный объект групповой политики
    • Обязательное: Принудительное значение выбранного объекта групповой политики
    • Ссылка включена: Эта опция позволяет нам создать ссылку этого объекта групповой политики с доменом или другими существующими объектами групповой политики в локальной сети
    • Сохранить отчет: этот параметр отвечает за создание и сохранение HTML-файла с подробной информацией о созданной политике.
    • Переименовать: изменить имя текущей политики
    • Удалить: Удаляет выбранный GPO
    • Обновление: Обновить изменения в политике
    • Справка: Развернуть Справка GPOS в Windows Server 2019

    3. Удаление объекта групповой политики в Windows Server 2019

    Шаг 1


    Когда мы считаем, что объект групповой политики больше не нужен для того, чтобы иметь этот объект групповой политики, мы можем удалить его, и для этого мы щелкнем по нему правой кнопкой мыши. , как только мы получим доступ к диспетчеру политик и выберем опцию Удалить :

    Шаг 2


    Появится следующее сообщение.Там мы нажимаем OK, чтобы подтвердить удаление этого объекта групповой политики.

    Объекты групповой политики были разработаны с целью стать союзником всего процесса администрирования и контроля над различными элементами системы как на программном, так и на аппаратном уровне, что позволяет централизованно контролировать все эти этапы, не прибегая к ненужным затратам. времени или ненужных ресурсов.

    Параметры безопасности групповой политики Windows Server 2016/2019

    Административные шаблоны групповой политики позволяют настраивать сотни системных параметров как для компьютера, так и для пользователя.Сегодня я расскажу о настройках компьютера, которые напрямую влияют на безопасность системы и поверхность атаки.

    Леос начал работать в ИТ-индустрии в 1995 году. Последние 15 с лишним лет он занимался администрированием и безопасностью Windows Server, VMware. Леос — внештатный эксперт, работающий в банковских учреждениях. Он также руководит ИТ-аутсорсинговой компанией в Йичине, Чешская Республика.
    Последние сообщения Леоса Марека (посмотреть все)

    За последние несколько месяцев я написал несколько статей, посвященных рекомендациям по обеспечению безопасности Windows Server.Все они были основаны на рекомендациях организации Center for Internet Security (CIS). Последний из них был посвящен настройке политики аудита.

    Административные шаблоны помогают настроить поведение системных компонентов, таких как Internet Explorer, или взаимодействие с конечным пользователем, например макет меню «Пуск».

    Разрешить персонализацию ввода персонализация позволяет изучать речь, рисовать и печатать.

    Этот раздел по умолчанию не включен в групповую политику; вы должны загрузить его с веб-сайта Microsoft. После его загрузки вы можете найти файлы SecGuide.admx и SecGuide.adml в папке Templates. Чтобы импортировать файлы, скопируйте файл .admx в папку %SystemRoot%\PolicyDefinitions, а файл .adml — в папку %SystemRoot%\PolicyDefinitions\locale (в моем случае en-US). Снова откройте редактор групповой политики, и вы найдете новый раздел, который мы только что импортировали.

    Параметры MS Security Guide

    Настройка сервера SMB v1 : Отключено

    Настройка драйвера клиента SMB v1 : Включено: Отключение драйвера

    Оба параметра управляют поведением клиента и сервера Server Message Block v1 (SMBv1).SMBv1 — это протокол, которому около 30 лет, и поэтому он гораздо более уязвим, чем SMBv2 и SMBv3. Поэтому Microsoft рекомендует полностью отключить SMBv1 в вашей сети. Будьте осторожны с настройкой драйвера клиента — не устанавливайте для него значение «Отключено», поскольку это вызовет проблемы с системой. Правильная настройка — «Включено: отключить драйвер».

    Примечание: Если в вашей сети есть более старое устройство, например сетевой принтер, перед отключением SMBv1 убедитесь, что оно поддерживает SMBv2 или выше.Недавно у нас возникла проблема, из-за которой сканирование в общую папку не работало, поскольку принтер поддерживал только SMBv1.

    Применение ограничений UAC к локальным учетным записям при входе в сеть : Включено

    Локальные учетные записи представляют собой высокий риск, особенно если они настроены с одним и тем же паролем на нескольких серверах. Этот параметр определяет, можете ли вы использовать локальную учетную запись для подключения к удаленному серверу, например, к общему ресурсу C$. Когда этот параметр включен, контроль учетных записей (UAC) удаляет привилегии из полученного токена, запрещая доступ.

    Запретить установку и настройку сетевого моста в сети домена DNS : включено

    Сетевой мост может позволить пользователям соединять две или более физических сетей вместе и разрешать обмен данными между ними. Это может привести к несанкционированной загрузке данных или злонамеренным действиям из сети с мостовым соединением.

    Запретить использование общего доступа к Интернету в сети домена DNS : Включено

    Этот параметр применяется в Windows 10 и Windows Server 2016/2019 к функции мобильной точки доступа.Обычные пользователи не должны иметь возможности подключаться к Интернету через корпоративные устройства.

    Требовать повышения прав пользователей домена при настройке сетевого расположения : Включено

    Параметр сетевого расположения, также известный как сетевой профиль, определяет, какой профиль брандмауэра применять к системе. Если этот параметр включен, для такого изменения потребуется повышение прав администратора.

    Настроить обработку политики реестра: не применять во время периодической фоновой обработки изменено : Включено: ИСТИНА (отмечено)

    Эти два параметра управляют обработкой групповой политики.

    Отключить уведомления приложений на экране блокировки : Включено

    Уведомления приложений могут раскрывать конфиденциальные данные неавторизованным пользователям, например конфиденциальные уведомления по электронной почте. Включите этот параметр, чтобы отключить такие уведомления.

    Отключить вход с помощью графического пароля : Включено

    Включить удобный вход с помощью PIN-кода : Отключено

    Функция Windows Hello позволяет пользователям входить в систему с помощью графического жеста или PIN-кода, аналогичного кредитной карте .

    Запретить автозапуск для устройств, не являющихся томами : Включено

    Отключает автозапуск для внешних устройств, таких как камеры или телефоны, которые злоумышленник может использовать для запуска программы или повреждения системы.

    Добавить комментарий

    Ваш адрес email не будет опубликован.