Windows

Локальная групповая политика windows 10: Редактор групповых политик gpedit.msc в Windows 10 Home Edition

09.03.2005

Содержание

как открыть и 6 способов включения

Редактором локальной групповой политики в Виндовс 10 называют инструмент, позволяющий управлять функционированием системы. Служба контролирует широкий спектр параметров работы ПК, учетных записей. Разработчик выпустил четыре версии «десятки», но утилита доступна в двух из них: Профессиональной и Корпоративной. Существует несколько вариантов, как открыть Редактор локальной групповой политики ОС Windows 10.

СОДЕРЖАНИЕ СТАТЬИ:

О приложении gpedit.msc

Через утилиту можно расширить базовые надстройки операционки, отключить ненужные или поврежденные функции. Инструмент позволяет ограничить других пользователей гаджета в определенных действиях, начиная от простых манипуляций до блокировки подключения устройств, запуска приложений.

В основном, сервис используется в корпоративной среде, в Домашней версии такого контроля не требуется. Обычно на домашнем устройстве достаточно создать учетку, защищенную паролем.

Управление политикой выполняется с помощью встроенного Редактора gpedit.msc. Его можно запустить только через административный профиль. Поиск осуществляется через соответствующую строку, где требуется набрать запрос: gpedit.msc.

В меню Редактора отображаются два подраздела:

  1. конфигурация компьютера – необходим для изменения параметров работы ПК;
  2. конфигурация пользователя – работа с личными профилями на ПК.

В этих подразделах присутствуют параграфы, где происходят изменения настроек функционала «десятки». В этой части находится большинство возможностей изменения конфигурации Винды.

Как зайти в Редактор локальной групповой политики Windows 10

Чтобы внести корректировки в работу десятой версии Винды, потребуется запустить сервис. В программе представлено несколько методов, как это организовать.

В меню Пуск и Поиск

Самый короткий путь зайти в утилиту – воспользоваться меню Пуск. Чтобы попасть в раздел системного приложения, нужно воспользоваться пошаговой инструкцией:

  • Запустить Пуск нажатием значка ПКМ на панели и выбрать «Найти».

  • Ввести в строку поиска запрос: gpedit.msc.

  • Нажать значок лупы.
  • В появившемся списке выбрать искомый вариант.

Далее пользователю останется включить соответствующие настройки системы.

С помощью команды «Выполнить»

Считается самым простым вариантом для пользователей Виндовса версии Pro и Enterprise. Для запуска Local group policy editor достаточно воспользоваться следующей инструкцией:

  • Нажать: «Win + R».

  • Ввести в строку: gpedit.msc.

После выполнения действий на экране отобразится окно меню сервиса, в котором юзер может включить соответствующие параметры.

Через Проводник

Файловый менеджер в виде специальной панели, расположенной в левой части окна, предоставляет быстрый доступ к файловой системе устройства, в том числе к меню Редактора.

Воспользоваться Проводником можно по следующей схеме:

  • Нажать клавиши: «Win + E».

  • Вставить: C:\Windows\System32\gpedit.msc.
  • Нажать «Enter».

Эти действия позволят сразу запустить системный инструмент. Если юзеру нужен доступ к его файлу, тогда потребуется ввести значение: C:\Windows\System32\, затем прокрутить курсор мыши в самый низ перечня. В нем отобразится наименование gpedit.msc.

Не обязательно вводить полный модуль, достаточно указать значение: gpedit.msc, и оно также найдет Редактор, который отобразится в результатах.

Командная строка или PowerShell

Открыть утилиту возможно через встроенный сервис или в консоли Виндовс PowerShell. Результат поиска будет в обоих инструментах одинаковым.

Чтобы найти службу редактирования ОС, нужно следовать инструкции:

  • Нажать: «Win + X».

  • Выбрать соответствующий пункт из списка.

  • Ввести: gpedit.msc. Нажать «Enter».

После на экране отобразится меню искомого элемента.

Открыть Редактор локальной групповой политики в качестве оснастки консоли управления

Еще один метод запуска с использованием инструмента «Майкрософт». Здесь утилита запустится в качестве оснастки консоли.

Пошаговый процесс:

  • Нажать: «Win + R».

  • Ввести команду: mmc.

  • Нажать «Enter».
  • Зайти в «Файл», выбрать «Добавить или удалить оснастку».

  • В окне «Выбранные оснастки» включить «Редактор объектов групповой политики».
  • Нажать «Добавить».

  • В следующем окне тапнуть «Готово».

  • Подтвердить действие.

Чтобы войти в Редактор, юзер должен щелкнуть ЛКМ по «Политика» – «Локальный компьютер».

Открытие в Windows Home

По умолчанию Редактор политики установлен только в двух бизнес-версиях Виндовса. В Домашней ОС такой возможности нет.

Но пользователи могут вызвать утилиту и в этой версии, не используя сторонние приложения. Для запуска политики в версии Home достаточно воспользоваться одним пакетным файлом.

Пошаговая инструкция:

  • Распаковать данные в выбранную папку.

  • Нажать ПКМ по нему.
  • Выбрать «Запуск от имени Администратора».

Юзеру необходимо знать, что в этой версии не все политики будут доступны, так как функционал рассчитан на версии программы, для которых он предназначен.

Создание ярлыка для быстрого запуска

Если пользователю понадобится часто обращаться к системной оснастке, он может создать значок в главном меню. Это упростит запуск инструмента, при этом не нужно запоминать соответствующие команды.

Для создания ярлыка потребуется:

  • Щелкнуть ПКМ по Рабочему столу.
  • Во всплывшем окне выбрать «Создать», затем «Ярлык».

  • Указать путь: C:\Windows\System32\gpedit.msc.
  • Нажать «Далее».

  • Указать название.
  • Нажать «Готово».

На Рабочем столе появится значок, который можно открыть двойным нажатием ЛКМ. Пользователь сразу попадет в меню Редактора.

Инструмент владельцы гаджетов нередко используют для настроек операционки. Предпочтительный способ открытия Редактора каждый пользователь выбирает для себя сам. Несмотря на то, что утилита представлена в двух версиях, настройки дают возможность использовать ее и в Домашней версии, если это необходимо автору.

Управление локальными групповыми политиками сервера Windows

В инструкции описана процедура настройки и управления локальными групповыми политиками сервера Windows.

Что это такое?

Объект групповой политики является компонентом групповой политики, который используется в системах Microsoft для управления учетными записями пользователей и действиями пользователя. Редактор локальной групповой политики — это оснастка Microsoft Management Console (MMC), которая обеспечивает единый пользовательский интерфейс, с помощью которого можно управлять локальными групповыми политиками.

В редакторе локальной групповой политики администратор может редактировать локальные GPO, пользовательские настройки и определять сценарии для определенных задач и процессов.

О том как настроить GPO в домене Active Directory читайте инструкцию:
Управление групповыми политиками Active Directory (AD GPO)

Открытие редактора групповой политики Windows

Чтобы открыть консоль управления GP (Group Policy) откройте окно Run с помощью комбинации клавиш Win+R, в открывшемся окне введите:

gpedit.msc

В результате перед вами откроется редактор GP.

Использование локальных групповых политик

Пример 1 Настройка запрета установки программ для пользователей

Откройте редактор GPO, в древовидной структур найдите Computer ConfigurationAdministrative TemplatesWindows ComponentsWindows Installer. В правой части окна выберете Prohibit User Installs. С помощью двойного щелчка мыши откройте настройки.

В открывшемся окне выберете опцию Enabled, а в выпадающем списке Hide User Installs. В результате пользователей сервера пропадет возможность установки приложений и программ без прав администратора.

Пример 2 Настройка запрета запуска программ для пользователей

Откройте редактор GP, в древовидной структур найдите

User ConfigurationAdministrative TemplatesSystem. В правой части окна выберете Don’t run spicified Windows Applications. С помощью двойного щелчка мыши откройте настройки политики.

В открывшемся окне выберете опцию Enabled, а и нажмите кнопку Show. В открывшийся список введите приложения, запуск которых будет запрещен для пользователя от имени которого производятся настройки.

 

P. S. Другие инструкции:

Поделиться в соцсетях:

Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

ru

191014 Санкт-Петербург ул. Кирочная, 9

+7(812)313-88-33 235 70 1cloud ltd 2018-12-07 Управление локальными групповыми политиками

191014 Санкт-Петербург ул. Кирочная, 9

+7(812)313-88-33 235 70 1cloud ltd 2018-12-07 Управление локальными групповыми политиками 600 auto

Как применить локальную групповую политику к конкретным пользователям в Windows 10

Приложение «Настройки» и панель управления — это два пункта назначения для настроек и настроек Windows. Тем не менее Редактор локальной групповой политики вероятно, является домом для некоторых из самых продвинутых пользовательских настроек на вашем компьютере.

Групповая политика — это функция Windows, с помощью которой системные и сетевые администраторы могут контролировать безопасность рабочей среды пользователей компьютеров в Active Directory. Хотя модификации групповой политики в основном используются для групп пользователей, Windows 10 позволяет создавать оснастку локальной групповой политики для конкретных пользователей (LGPO) для применения параметров групповой политики к отдельным пользователям в общих системах.

Применение настроек локальной групповой политики к определенным пользователям

Чтобы применить параметры локальной групповой политики к пользователям, вошедшим в систему с определенной учетной записью, выполните следующие действия:

  1. Запустите консоль управления Microsoft.
  2. Добавьте оснастку редактора объектов групповой политики.
  3. Выберите пользователя, для которого вы хотите применить локальную групповую политику.
  4. Сохраните новую оснастку.
  5. Настройте политики в новой консоли.

Прочтите это руководство до конца, чтобы узнать о шагах, описанных выше.

Сначала вы должны открыть консоль управления Microsoft (MMC). Вы можете сделать это, просто выполнив поиск MMC в меню «Пуск» и выбрав его из результатов поиска. Если MMC не загружается, исправьте это с помощью этих решений.

В окне консоли управления Microsoft щелкните значок Файл меню и выберите Добавить / удалить оснастку вариант.

Находить Редактор объектов групповой политики от Доступные оснастки в новом открывшемся окне и нажмите Добавлять кнопку, чтобы выбрать оснастку.

Нажать на Просматривать кнопка в Выберите объект групповой политики окно и переключитесь на Пользователи вкладка в новом окне. Здесь выберите пользователя, к которому будут применяться параметры групповой политики, и нажмите Ok кнопка.

Нажмите на Заканчивать в предыдущем окне, и пользователь будет выбран.

Наконец, перейдите к Файл в окне MMC и щелкните Сохранить как. Назовите оснастку, выберите место, в котором вы хотите сохранить консоль, и нажмите Сохранять.

На этом этапе вы можете настроить новую консоль с групповыми политиками, которые применяются только при входе в систему с определенными учетными записями пользователей на компьютере.

Таким же образом вы установили параметры локальной групповой политики для применения только к определенным пользователям, вы также можете применить их к общим группам пользователей.

Мы также опубликовали еще одно подробное руководство, в котором показано, как применять параметры локальной групповой политики ко всем, не являющимся администраторами.

Групповые политики и их включение в Windows 10 Home

Групповая политика — это набор правил или параметров, в соответствии с которыми производится настройка Windows. Многие (или даже все) параметры Windows можно изменить в реестре, но групповые политики позволяют это делать с помощью консоли, визуально включая, отключая или изменяя значения параметра.

Вот только проблема заключается в том, что редактор локальной групповой политики доступен в Windows 10 Pro, Enterprise или Education, а в наиболее распространенной версии Home его нет.


Запускается редактор локальной групповой политики с помощью файла gpedit.msc. Нужно вызвать окно Выполнить (например, нажав сочетание клавиш Win + R) и ввести название команды.

В случае с Windows Home получим сообщение, что не удалось найти данный файл.

Это ограничение можно обойти и сейчас я расскажу как. Вот только нет гарантии, что абсолютно все настройки групповых политик будут применяться и работать как надо в домашней редакции.

Установка gpedit.msc в Windows Home

Итак, в первую очередь нам нужно установить файл gpedit.msc в систему. Сделать это можно с помощью командного файла, который создается очень просто. Например, на рабочем столе создаем пустой текстовый документ:

И вставляем в него следующий код:

@echo off
dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.>nul') do dism /online /norestart /add-package:"C:\Windows\servicing\Packages\%%i"
echo Gpedit ustanovlen.
pause

Далее переименовываем файл, а точнее меняем его расширение на bat.

С помощью контекстного меню запускаем его от имени администратора.

Произойдет установка необходимых компонентов. После завершения установки можно запустить редактор групповой политики.

Управляем обновлениями

И давайте рассмотрим, как можно более гибко управлять обновлениями в Windows 10.

На официальном сайте есть целая заметка по этой теме — https://docs.microsoft.com

В этой статье подробно рассказываться о том, как можно запланировать установку обновления, настроить политики перезапуска, указать период активности с помощью групповых политик.

В первую очередь необходимо зайти в раздел

Настройка автоматического обновления. Это раздел можно найти по адресу Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows. Выбираем параметр 4 — Загружать автоматически и вносить установки в расписание.

Это важно сделать, так как иначе управлять перезагрузкой компьютера после установки обновления мы не сможем.

Теперь можно переходить к настройке перезагрузки. Мы можем либо отключить перезагрузку компьютера во время периода активности, либо не выполнять перезагрузку компьютера, если в системе работают пользователи.


Периоду активности была посвящена предыдущая заметка. Если ваш режим работы за компьютером укладывается в период активности, то можно использовать эти настройки. Если же вы хотите предотвратить перезагрузку компьютера в том случае, когда вы за ним не находитесь, но какая-то программа на нем запущена и работает, то второй вариант будет более предпочтителен.

Но обратите внимание на то, что если время перезапуска задано в параметрах, то компьютер все равно перезагрузится!


Таким образом можно отложить обновления хоть на месяц, но все же не стоит с перезагрузкой затягивать, так как появятся новые обновления и процесс их установки не только будет более продолжительным, но и совместная установка нескольких обновлений может привести к проблемам.

⚙КАК ОТКРЫТЬ ЛОКАЛЬНЫЕ ГРУППОВЫЕ ПОЛИТИКИ GPO WINDOWS 10

Windows 10 — это операционная система, разработанная для обеспечения максимальной функциональности для всех типов пользователей, независимо от того, ищет ли она новый системный аспект, лучшую совместимость, лучшую производительность приложений и т. Д. Для всех пользователей Windows 10 есть что предложить, теперь, если мы являемся системными администраторами, интегрированы локальные политики, которые называются локальными групповыми политиками, которые скрыты системой безопасности, но благодаря этому можно будет контролировать различные параметры системы. система. Например, мы можем контролировать процессы входа или выхода, конфигурацию, службы и приложения, которые могут редактировать пользователи, зарегистрированные в системе, и многие другие аспекты.

Редактор локальной групповой политики доступен только в выпусках Windows 10 Pro и Windows 10 Enterprise, поскольку в этих выпусках применяется гораздо более технический и профессиональный подход, поэтому редактор политики предоставляет альтернативы для администраторов. или ИТ-персонал может управлять как аппаратными, так и программными ценностями.

На практике групповая политика является характеристикой системы Windows, благодаря которой можно будет централизованно управлять конфигурацией системы на общем уровне. Это включает в себя программы и пользовательские настройки в домене, но поскольку это локальная политика, это будет применяться только к компьютеру, на котором вносятся изменения.

В этом руководстве Solvetic расскажет о различных методах доступа к редактору локальной групповой политики в Windows 10, поскольку по умолчанию он не имеет ярлыка и, таким образом, управляет различными переменными среды гораздо более прямым способом.

1. Откройте групповые политики с помощью поиска Windows 10

Первый способ — получить доступ к окну поиска Windows 10 из меню «Пуск» и ввести «групповые политики или gpedit.msc». Ряд опций будет запущен автоматически, и там мы выбираем «Редактор групповой политики».

2. Откройте групповые политики с помощью панели управления Windows 10
Панель управления присутствует во всех операционных системах Windows, как в офисе, так и дома, и представляет собой центральную консоль, с которой можно будет легко управлять различными параметрами операционной системы.

Шаг 1
Чтобы использовать этот метод, мы пойдем по следующему маршруту:

  • Панель управления
  • Все элементы панели управления

Шаг 2
Там мы введем термин «политика» в поле поиска, расположенное вверху, и увидим следующее. Щелкаем по строке «Редактировать групповую политику».

3. Откройте групповые политики, используя настройки Windows 10
Начиная с Windows 10, Microsoft интегрировала еще одну утилиту для управления системными параметрами и является утилитой конфигурации, с помощью которой можно будет выполнять несколько управляющих действий в Windows 10.

Шаг 1
Чтобы использовать этот метод, мы перейдем в меню «Пуск», щелкните значок шестеренки («Настройки») и во всплывающем окне введите «групповая политика» в поле поиска, чтобы отобразить связанные результаты. Там мы нажимаем на «Изменить групповую политику».

4. Откройте групповые политики с помощью ярлыка Windows 10
Упрощенный способ доступа к групповым политикам в Windows 10 заключается в создании ярлыка на рабочем столе, с помощью которого двойным щелчком можно открыть редактор политик.

Шаг 1
Для этого мы щелкнем правой кнопкой мыши где-нибудь бесплатно на рабочем столе и там выберем опцию «Создать / Ярлык»:

Шаг 2
В появившемся окне мы введем команду «gpedit.msc»:

$config[ads_text5] not found

Шаг 3
Нажмите Далее и назначьте имя для этого доступа. Нажмите «Готово», и для этого достаточно будет дважды щелкнуть этот доступ, чтобы перейти непосредственно к редактору локальной политики в Windows 10.

5. Откройте групповые политики, используя Windows 10
Использование следующей комбинации клавиш активирует всплывающее окно в левом нижнем углу рабочего стола, где можно будет получить доступ к различным системным функциям, чтобы перейти к локальным групповым политикам, мы должны выполнить следующее:

+ R

 gpedit.msc 

$config[ads_text6] not found

6. Прикрепите редактор групповой политики к панели задач или к меню «Пуск» Windows 10.

Шаг 1
Этот метод обеспечивает гораздо более быстрый доступ к редактору, поскольку его доступ будет доступен непосредственно на панели задач или в меню «Пуск» Windows 10, чтобы выполнить этот процесс, мы должны создать ярлык в соответствии с указанным выше шагом и После создания мы щёлкнем по нему правой кнопкой мыши и там выберем опцию «Прикрепить к началу или Прикрепить к панели задач»:

7. Откройте групповые политики с помощью CMD или Windows PowerShell Windows 10.
Windows PowerShell и командная строка (CMD) — это две консоли управления, которые позволяют нам выполнять точные действия с различными значениями системы и их приложениями.

Шаг 1
Для обеих консолей мы должны получить к ним доступ и выполнить следующее:

 gpedit.msc 

Шаг 2
В случае использования командной строки:

Шаг 3
Если мы решим использовать Windows PowerShell. Нажмите Enter, чтобы получить доступ к редактору политики.

8. Откройте групповые политики с помощью диспетчера задач Windows 10.
С помощью диспетчера задач мы можем управлять процессами, услугами и производительностью системы, но это также дает нам возможность получить доступ к редактору групповой политики.

Шаг 1
Для этого мы получаем доступ к диспетчеру задач, щелкнув правой кнопкой мыши на панели задач и там, выбрав Администратора, и как только мы получим доступ, перейдем в меню «Файл / Выполнить новую задачу»:

Шаг 2
В появившемся окне введите команду «gpedit.msc». Нажмите «OK» или «Enter» для доступа к редактору.

$config[ads_text6] not found

9. Откройте групповые политики с помощью проводника Windows 10
При доступе к Проводнику файлов мы можем перейти ко всем нашим блокам хранения, сетевым блокам и системным библиотекам, но также там можно будет получить доступ к редактору групповой политики. Для этого мы обращаемся к проводнику и в адресной строке введите «gpedit.msc». Нажмите Enter, чтобы получить доступ к редактору.

10. Откройте групповые политики с помощью исполняемого файла Windows 10 $config[ads_text5] not found

Шаг 1
Будучи интегрированной функциональностью в Windows 10, редактор имеет исполняемый файл для получения заказов и доступа к их функциям, он находится в каталоге «C: \ Windows \ System32», и этого достаточно, чтобы найти исполняемый файл «gpedit». Мы дважды щелкнем по нему, чтобы получить доступ к редактору.

Шаг 2
С любой из указанных опций будет возможно получить доступ к редактору локальной политики с полной целостностью в Windows 10:

Этими различными способами мы можем легко получить доступ к групповым политикам в Windows 10.

$config[ads_text6] not found

Все, что вам нужно знать о групповой политике в Windows

Когда дело доходит до изменения некоторой расширенной конфигурации в Windows, почти в каждом учебнике предлагается изменить тот или иной параметр в Редактор групповой политики. Хотя групповая политика не выглядит так загадочно, как реестр Windows с его беспорядочными ключами и значениями, она может немного сбивать с толку. Позвольте мне объяснить, что такое групповая политика и как ее использовать.

Что такое групповая политика?

Групповая политика — это оснастка консоли управления Microsoft и центральное приложение, которое позволяет изменять различные расширенные параметры, относящиеся к операционной системе, различным пользователям и приложениям, всего за несколько щелчков мышью.

Как правило, редактор групповой политики бывает двух вариантов. Первый тип — это групповая политика Active Directory, а второй — локальная групповая политика.

Групповая политика Active Directory

Групповая политика Active Directory в основном используется администраторами сети для управления и настройки компьютеров в одном домене путем изменения элементов политики. Системные администраторы могут не только изменять дополнительные параметры, но и применять эти изменения с помощью групповой политики. Применение политики гарантирует, что другие пользователи не смогут изменять параметры без соответствующих разрешений.

Например, изменив одну политику под названием «Отключить установщик Windows», сетевой администратор может запретить всем пользователям на любом компьютере в том же домене устанавливать или обновлять любое программное обеспечение в Windows.

Локальная групповая политика

Локальная групповая политика не отличается от групповой политики Active Directory. В то время как групповая политика Active Directory используется в профессиональных средах, таких как офисы, для управления сетью компьютеров, локальная групповая политика используется для настройки параметров для пользователей на том же компьютере.

Конечно, чтобы вносить какие-либо изменения в локальную групповую политику, вам потребуются права администратора. В случае использования Group Policy Central или Active Directory у вас должны быть права сетевого администратора.

Учитывая объем контроля, который групповая политика предоставляет пользователю, эта функция предназначена для использования только профессионалами и опытными пользователями. Таким образом, эта функция доступна только для пользователей Pro и Enterprise.

Категории в редакторе локальной групповой политики

Когда дело доходит до внесения изменений в групповую политику, большинство из нас использует только редактор локальной групповой политики. В общем, локальная групповая политика делится на две основные категории: Конфигурация компьютера и Конфигурация пользователя.

Конфигурация компьютера: Политики этой категории применяются ко всему компьютеру, независимо от пользователя. Например, если вы хотите применить политику надежности пароля для всех пользователей на компьютере, вы можете изменить соответствующую политику в этой категории.

Конфигурация пользователя: Политики в этой категории применяются к пользователям, а не ко всему компьютеру. Поскольку политики применяются к пользователям, а не к компьютеру, независимо от того, на каком компьютере находится пользователь, политики автоматически применяются Windows.

Если вы просматривали эти категории раньше, возможно, вы видели одни и те же политики в обеих категориях, которые можно настроить независимо. В случае несоответствия политик между классами Конфигурация компьютера и Конфигурация пользователя Конфигурация компьютера переопределит Конфигурацию пользователя.

Используйте локальную групповую политику

По сравнению с редактором реестра использовать локальную групповую политику проще и проще. Кроме того, у каждой политики есть подробное описание ее действия и того, что происходит, когда политика отключена или включена.

Чтобы открыть локальную групповую политику, найдите «Изменить групповую политику» в меню «Пуск» или введите gpedit.msc в диалоговом окне «Выполнить» и нажмите кнопку «Ввод».

Открыв редактор, вы можете просматривать категории и их папки на правой панели. На правой панели вы увидите доступные политики. Если вы выберете вкладку «Расширенная», редактор отобразит описание политики при выборе. Чтобы изменить политику, дважды щелкните по ней.

Это действие откроет окно настроек политики. В этом окне вы можете увидеть описание политики в разделе «Помощь». Если у политики есть какие-либо дополнительные параметры, вы увидите их в разделе «Параметры».

Чтобы включить или отключить политику, просто выберите переключатель «Включить» или «Отключить» и нажмите кнопку «ОК». Если вы думаете, что забудете, почему была изменена конкретная политика, вы можете написать свое собственное описание в разделе комментариев.

Чтобы сбросить любую политику до состояния по умолчанию, выберите параметр «Не настроено».

Заключение

Это очень общий обзор групповой политики и того, как она используется. Вы можете многому научиться, время от времени исследуя групповую политику. Если вам есть что сказать по поводу с групповой политикой Прокомментируйте, пожалуйста, ниже.

Как сбросить настройки групповой политики в Windows 10

Конечно же, вы знаете, что многие тонкие настройки Windows 10 можно выполнить с помощью изменения локальных групповых политик системы. Увлекшись изменением различных системных параметров в соответствующем редакторе, пользователи иногда могут сделать лишние изменения, которые приведут впоследствии к нестабильности работы операционной системы. Попробуем разобраться, как можно откатить назад сделанные изменения.

Содержание статьи:

Обнуляем параметры групповых политик

В редакторе

Откатить изменения можно непосредственно в самом редакторе. Для этого запускаем его («Win-R»+gpedit.msc).

По очереди открываем следующие разделы:

  • Конфигурация компьютера;
  • Административные шаблоны;
  • Все параметры.

Для того чтобы было легче увидеть сделанные нами ранее изменения, включаем сортировку по столбцу «Состояние» (для этого просто кликаем на заголовок столбца).

Состояние измененных пользователем групповых политик будет установлено либо в положение «Выключено» либо «Включено». Чтобы откатиться к первоначальным значениям дважды щелкаем каждый измененный параметр, в новом окне выбираем опцию «Не задано».

Далее переходим в раздел «Конфигурация пользователя», затем снова раскрываем «Все параметры» и повторяем все описанные выше процедуры.

В командной строке

Восстановить значения параметров также можно буквально за три шага. Запускаем командную строку с правами администратора и, одну за другой по очереди выполняем три команды:

  1. RD /S /Q «%WinDir%\System32\GroupPolicy»
  2. RD /S /Q «%WinDir%\System32\GroupPolicyUsers»
  3. gpuрdаte /force

Для сохранения изменений потребуется перезагрузиться.

Сбрасываем локальные политики безопасности

После восстановления исходных параметров групповых политик Windows 10, желательно также вернуть настройки дополнительного инструмента — «Параметры безопасности»- («Win-R»+secpol.msc).

Данное действие выполняется в командной строке (администратор). Пишем в ней такую команду:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

После завершения выполнения перезагружаемся.

Вместо послесловия

Получилось ли у вас вернуть настройки групповых политик Windows 10 на значения по умолчанию?

Экспорт и копирование параметров групповой политики на другой ПК с Windows 10/11

Если вы хотите импортировать или экспортировать групповые политики с другого компьютера в свою систему, вот самый простой процесс, который вам нужен. Импорт или экспорт групповых политик сэкономит вам много времени и усилий, поскольку простое копирование и вставка этих политик на целевой компьютер позволит вам сохранить одну и ту же групповую политику на всех ваших устройствах с Windows 10.

Экспорт параметров групповой политики в Windows 10-

Вам потребуется дополнительный USB-накопитель для переноса файлов с одного компьютера на другой.

1. Сначала вам нужно будет подключить USB-накопитель к компьютеру.

2. Нажмите клавишу Windows+R , чтобы запустить окно Run на вашем компьютере.

3. В окне Запустите , скопируйте и вставьте или введите расположение этой папки, а затем нажмите Введите .

  C:\Windows\System32\GroupPolicy  

 

 

Папка групповой политики будет открыта.

4.Теперь нажмите Ctrl+A , чтобы выбрать все файлы папки Group Policy , а затем нажмите Ctrl+C , чтобы скопировать все файлы на USB-накопитель.

5. Затем извлеките USB-накопитель из компьютера.

 

 

Теперь перейдите к целевому компьютеру и подключите USB-накопитель.

6. Откройте USB-накопитель на этом компьютере. Теперь скопируйте файлы с USB-накопителя.

 

 

7.На целевом компьютере нажмите Клавиша Windows + R , чтобы запустить окно Выполнить на вашем компьютере.

8. В окне Выполнить введите расположение этой папки и нажмите Введите .

  C:\Windows\System32\GroupPolicy  

 

 

Папка групповой политики будет открыта на целевом компьютере.

9. Теперь нажмите Ctrl+V  , чтобы вставить папки в место назначения.

 

 

Теперь вам нужно принудительно установить Group Policy Update на целевом компьютере, чтобы изменения вступили в силу.

10. Найдите « cmd » в поле Search рядом со значком Windows.

11. Затем щелкните правой кнопкой мыши на « Командная строка » в результатах поиска с повышенными правами и выберите « Запуск от имени администратора ».

 

 

Командная строка с правами администратора будет открыта.

8. Чтобы принудительно обновить службы групповой политики, скопируйте и вставьте эту команду в окно Командная строка и нажмите Enter.

  gpupdate/форс  

 

 

9. Групповая политика будет обновлена.

По завершении принудительной адаптации групповой политики , появится это сообщение-

Обновление политики… Обновление политики пользователя успешно завершено.Обновление политики компьютера успешно завершено.

10. Перезагрузите компьютер, чтобы сохранить изменения на компьютере.

Вот оно! У вас одинаковые настройки групповой политики на обоих ваших компьютерах.

Самбит — инженер-механик по квалификации, который любит писать о Windows 10 и решениях самых странных проблем.

Как открыть редактор локальной групповой политики Windows 10

Локальная групповая политика — это консоль управления, которая позволяет любому легко управлять объектами групповой политики.С помощью этого инструмента администратор компьютера может, например, отключить параметры компьютера или пользователя в локальной групповой политике и использовать сценарии для определенных задач, включая запуск и завершение работы. Это довольно мощный инструмент, доступный в Windows 10. В этой последней части нашей серии по устранению неполадок мы покажем вам, как открыть редактор локальной групповой политики в Windows 10. 

Как открыть редактор локальной групповой политики Windows 10

Открыть с помощью поля Run

  • Нажмите клавишу Windows + R , чтобы открыть окно «Выполнить».
  • Введите «gpedit.msc» и нажмите Enter, чтобы открыть редактор локальной групповой политики.

Открыть с помощью панели поиска

  • Введите gpedit.msc в строке поиска.
  • Нажмите Изменить групповую политику и нажмите кнопку Да в UAC (Контроль учетных записей).

Открыть с помощью командной строки

  • Откройте окно командной строки , нажав клавишу Windows + R , чтобы открыть окно «Выполнить », затем введите «cmd» и нажмите . Введите , чтобы открыть окно командной строки.
  • В окне командной строки просто введите gpedit.msc и нажмите Введите , чтобы открыть редактор локальной групповой политики.

Открыть с помощью Powershell

  • Откройте Powershell, введя «powershell» в строке поиска и щелкнув Windows Powershell.
  • В Powershell введите «gpedit.msc» и нажмите Enter, чтобы открыть редактор локальной групповой политики.

Открыть с помощью панели управления

  • Нажмите клавишу Windows + R , чтобы открыть новое окно «Выполнить».
  • Введите «control» и нажмите Введите , чтобы открыть старое меню панели управления.
  • щелкните Инструменты администрирования , а затем дважды щелкните Редактор локальной групповой политики

Открыть с помощью настроек

  • Нажмите клавишу Windows + I , чтобы открыть приложение «Настройки» в Windows 10.
  • Затем используйте функцию поиска в приложении «Настройки», чтобы найти «групповая политика».
  • Щелкните Изменить групповую политику , чтобы открыть редактор локальной групповой политики.

Открыть вручную

  • Откройте Проводник Windows и перейдите к C:\Windows\System32.
  • Затем либо найдите gpedit.msc вручную, либо используйте функцию поиска (в верхнем правом углу) для его поиска.
  • Дважды щелкните gpedit.msc   и нажмите Да в ответ на приглашение UAC.

Как использовать редактор локальной групповой политики в Windows 10?

Редактор локальной групповой политики в Windows 10 позволяет вносить важные изменения в настройки без редактирования реестра.Он предоставляет общий графический интерфейс для конфигураций компьютера и настроек конфигурации пользователя.

Здесь конфигурации компьютера — это параметры, применяемые к компьютеру независимо от вошедшего в систему пользователя. В то время как конфигурации пользователей — это параметры, настроенные для отдельных пользователей. Редактор групповой политики в Windows 10 — это мощный инструмент с единым управлением настройками. Вы можете исправить такие ошибки, как Защитник Windows, заблокированный групповой политикой, изменив настройки в редакторе групповой политики.

Как открыть редактор локальной групповой политики в Windows 10 — Professional и Enterprise Edition

Редактор групповой политики доступен только для пользователей Windows 10 Professional или Enterprise.Если вы являетесь пользователем домашней версии Windows, возможно, на вашем компьютере нет редактора локальной групповой политики. Однако вы все равно можете выполнить необходимые настройки, отредактировав файлы реестра.

Изменение файла реестра — сложная задача для человека, не разбирающегося в технологиях. Если вы не привыкли к редактору реестра, то найти тот или иной параметр будет непростой задачей. Итак, если вы принадлежите к группе пользователей Windows Home и хотите, чтобы на вашем компьютере был редактор групповой политики, вы можете следовать решениям, упомянутым ниже.

В этом руководстве также рассказывается, как открыть редактор локальной групповой политики для пользователей Windows Professional и Enterprise. Пользователи Professional и Enterprise могут получить доступ к gpedit в Windows 10 8 различными способами.

1. Открыть редактор локальной групповой политики в Windows 10 через меню поиска

Один из самых простых способов получить доступ к редактору групповой политики — использовать поиск меню.

Введите gpedit в меню поиска и нажмите «Изменить групповую политику» в результатах поиска в системе Windows 10.Найдите gpedit в редакторе групповой политики

Теперь вы можете внести необходимые изменения в редакторе групповой политики.

2. Откройте консоль управления групповыми политиками с помощью командной строки

Командная строка может помочь вам открыть редактор групповых политик с помощью команды из одного слова. Чтобы получить доступ к редактору локальной групповой политики в Windows 10 в Windows 10, выполните действия, указанные ниже.

Введите cmd в меню поиска, щелкните правой кнопкой мыши командную строку и выберите «Запуск от имени администратора». Откройте командную строку от имени администратора

Когда откроется командная строка, введите gpedit и нажмите Enter.Открытие редактора локальной групповой политики с помощью команды

Вы можете выбрать этот способ, если вам удобнее работать с командной строкой.

3. Открыть групповую политику Windows 10 с помощью команды «Выполнить»

Если вам удобно открывать приложения или папки с помощью команды «Выполнить», вам может понравиться этот параметр для доступа к редактору локальной групповой политики в Windows 10.

  Клавиша Windows + R  

Теперь введите gpedit.msc в текстовое поле рядом с Открыть и нажмите ОК.Используйте «Выполнить», чтобы открыть редактор групповой политики

Здесь gpedit — это редактор групповой политики, а .msc — это расширение, используемое для файлов консоли управления Microsoft.

4. Откройте редактор локальной групповой политики в Windows 10 через настройки

Вы также можете найти редактор локальной групповой политики Windows 10 в настройках. Откройте «Настройки», нажав клавишу Windows + I. После открытия настроек введите «Изменить групповую политику» в поле поиска настроек и нажмите «Ввод», когда вы увидите «Изменить групповую политику» в результатах поиска.Найдите «Изменить групповую политику» в параметрах Windows

. Хотя в названии указано «изменить групповую политику», он откроет для вас редактор групповой политики.

5. Откройте настройки групповой политики Windows 10 через панель управления

Вы можете получить доступ к редактору локальной групповой политики в Windows 10 из панели управления точно так же, как через настройки.

Введите «Панель управления» в меню поиска и нажмите «Панель управления».

Найдите групповую политику в поле поиска и в разделе «Администрирование» нажмите «Изменить групповую политику».Групповая политика поиска в панели управления

Вы можете выбрать панель управления или приложение «Параметры Windows», чтобы открыть редактор локальной групповой политики, в зависимости от вашего удобства.

6. Создайте ярлык для редактора групповой политики

Ярлык на рабочем столе поможет вам без проблем получить доступ к групповой политике Windows 10. Следуйте инструкциям, чтобы получить ярлык для редактора групповой политики.

Перейти к

  C: WindowsSystem32  

Поиск

  gpedit.msc  

Щелкните правой кнопкой мыши файл gpedit.msc и выберите в контекстном меню Отправить на ➞ Рабочий стол (создать ярлык). Создание ярлыка редактора групповой политики

Теперь вы можете увидеть ярлык, созданный на рабочем столе.

7. Откройте редактор локальной групповой политики в Windows 10 с помощью PowerShell

Вы также можете открыть редактор групповой политики с помощью PowerShell. PowerShell — это расширенная версия командной строки. Вы можете запускать пакетные команды и команды PowerShell в среде PowerShell, предоставляемой Microsoft.С другой стороны, вы можете интерпретировать только пакетные команды в командной строке. Чтобы открыть редактор локальной групповой политики с помощью PowerShell в Windows 10, вы можете выполнить инструкции, указанные ниже.

Нажмите клавишу Windows + X, чтобы открыть меню опытного пользователя.

Затем нажмите Windows PowerShell (Admin) из него. Откройте Windows PowerShell (Admin)

Затем введите   gpedit в окне PowerShell и нажмите Enter. Выполните gpedit в PowerShell

Ну, это похоже на командную строку , отличается только терминал, используемый для выполнения команды.

8. Откройте редактор локальной групповой политики в Windows 10 с помощью файла gpedit.msc

Вы можете напрямую щелкнуть файл gpedit.msc в Windows 10, чтобы открыть редактор групповой политики. gpedit.msc находится в папке System32.

Перейдите к C: WindowsSystem32 и найдите в этой папке файл gpedit.msc . Найдя его, дважды щелкните по нему, чтобы открыть редактор групповой политики. Щелкните файл gpedit.msc

. Таким образом, вы можете напрямую получить доступ к редактору групповой политики из папки System32.

Как получить доступ к редактору локальной групповой политики в Windows 10 Домашняя

1. Используйте редактор реестра

Одним из наиболее распространенных способов доступа к редактору локальной групповой политики в версии Windows 10 Домашняя является использование редактора реестра. Тем не менее, мы предлагаем сделать резервную копию файлов реестра.

Выполните следующие действия, чтобы открыть редактор реестра.

Шаг 1: Введите редактор реестра в поле поиска и нажмите «Редактор реестра» в результатах поиска.

Шаг 2. Вы можете получить доступ к политике через значения реестра и перейти к соответствующим папкам через папки на левой панели.Доступ к редактору реестра

Если вы хотите изменить какую-либо политику, вам нужно знать соответствующую папку реестра, файл и ключ-значение для нее, вы можете получить все эти параметры в Интернете по вашему требованию. Вы должны быть очень осторожны при редактировании реестра, так как все параметры компьютера настраиваются в реестре.

Вы также можете воспользоваться приведенными ниже альтернативами для быстрого доступа к редактору локальной групповой политики в Windows 10.

2. Запустите сценарий

Как упоминалось выше, в версии Windows 10 Домашняя нет редактора локальной групповой политики.Однако, если он вам нужен для упрощения конфигурации компьютера и пользователей, вы можете попробовать запустить пакетный скрипт.

Пользователь Reddit опубликовал сценарий для включения редактора локальной групповой политики для пользователей Windows 10 Домашняя. Вы можете скопировать и вставить этот скрипт снизу и сохранить его в файле с расширением  .bat . Если вы не хотите сохранять скрипты самостоятельно, вы можете скачать их по ссылке, указанной ниже.

  Сценарий пакетного файла

@эхо выключено
pushd "%~dp0"

dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.>nul') сделать dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i"
Пауза

  

Загрузка файла сценария

После завершения загрузки или создания пакетного файла можно перейти к следующим шагам.

Шаг 1. Щелкните правой кнопкой мыши файл gpedit-install.bat и выберите «Запуск от имени администратора» в контекстном меню. любой ключ, чтобы завершить процесс.Командная строка, выполняющая сценарий

Шаг 3. Перейдите к C: WindowsSystem32 и дважды щелкните файл gpedit.msc, чтобы открыть редактор групповой политики.   Нажмите на файл gpedit

Теперь вы можете получить доступ к консоли управления групповыми политиками и в версии Windows 10 Домашняя.

Примечание. Если вы не видите gpedit.msc в папке System32, попробуйте перезагрузить компьютер. Некоторые компьютеры требуют перезагрузки после запуска этого пакетного файла сценария.

3. Скачать Policy Plus (стороннее программное обеспечение)

Если вы не хотите выполнять длительную процедуру запуска сценариев, вы можете попробовать Policy Plus.Это стороннее программное обеспечение для редактора групповой политики. Policy Plus — это бесплатное программное обеспечение с открытым исходным кодом, которое поможет вам с локальными политиками безопасности и многим другим в Windows 10.

Вы можете загрузить исполняемый файл (.exe) по ссылке ниже.

Это исполняемый файл, что означает отсутствие необходимости установки Policy Plus; вы можете использовать его одним щелчком мыши. Всякий раз, когда вы хотите изменить групповую политику в Windows 10, вам нужно щелкнуть исполняемый файл Policy Plus.

Загрузите Policy Plus здесь

Нажмите на ссылку выше и прокрутите вниз до раздела «Загрузка».Нажмите «Загрузить выпускную сборку», чтобы загрузить последнюю выпущенную версию Policy Plus. Загрузите стороннее приложение, чтобы получить доступ к редактору групповой политики в Windows 10 Home

После загрузки файла Policy Plus.exe нажмите на него.

Редактор групповой политики теперь доступен вам через Policy Plus.Policy Plus

Policy Plus также могут использовать пользователи Windows 10 Professional и Enterprise, поскольку он предлагает больше, чем стандартный редактор групповой политики.

Вы можете выполнять поиск тремя различными способами: по тексту, реестру и идентификатору.

Щелкните   Найти в строке меню и выберите любой параметр для поиска необходимых политик. Выполните поиск тремя различными способами

Многие административные шаблоны отсутствуют в версии Home; вы можете скачать эти административные шаблоны с помощью Policy Plus.

Перейдите в раздел «Справка» в строке меню и нажмите «Получить файлы ADMX». Этот параметр может помочь вам получить все отсутствующие административные файлы в выпуске Windows 10 Home. Получить все отсутствующие административные файлы с помощью Acquire ADMX files

Вы можете изменить групповую политику, и необходимые изменения будут наблюдаться в вашей системе Windows 10.Редактирование групповой политики аналогично редактору локальной групповой политики, доступному в версиях Windows 10 Professional и Enterprise.

В редакции Windows 10 Home может потребоваться перезагрузка ПК после внесения любых изменений с помощью Policy Plus. В то время как в Windows 10 Pro и Enterprise изменения могут быть видны сразу.

Заключение

Редактор локальной групповой политики является важным инструментом, когда речь идет об управлении конфигурациями компьютеров и пользователей. Приведенное выше руководство поможет вам со всеми возможными способами доступа к редактору локальной групповой политики в Windows 10.

Вы также можете найти различные способы доступа и управления групповой политикой Windows 10 в домашней версии, вместо того, чтобы выбирать традиционный редактор реестра. Policy Plus — это лучший способ редактирования групповых политик во всех выпусках Windows 10. В зависимости от технических особенностей и сложности вы можете использовать возможность открытия редактора локальной групповой политики в Windows 10.

Как включить локальную групповую политику на Windows 10 Домашняя

Как самая популярная операционная система в мире, Windows 10 была создана с множеством различных версий, чтобы удовлетворить самые разные группы пользователей…

Среди них Windows 10 Домашняя — самая базовая версия Windows 10, он предназначен для индивидуальных пользователей.

Windows 10 Домашняя была сокращена на некоторые системные компоненты, как правило, Локальная групповая политика и Локальная безопасность.

Подробнее:

Локальная групповая политика и локальная безопасность — это два инструмента, которые позволяют вам управлять и устанавливать важные параметры безопасности в Windows 10.

Нет смысла платить за обновление до новой версии Windows только для того, чтобы использовать присущие ей функции.Это правда?

Вот почему в этой статье я расскажу вам как включить локальную групповую политику и локальную политику безопасности в Windows 10 HOME очень просто!

#первый. Что такое локальная групповая политика и локальная политика безопасности?

Локальная групповая политика — это, вероятно, имя, которое уже знакомо читателям блога, потому что я часто использую его в руководствах по Windows.

Что касается локальной политики безопасности, то она используется реже, я раньше не знал и думал, что другие люди написали с ошибкой, но нет, после проверки еще раз, есть инструмент под названием «Локальная политика безопасности», ребята 😀

Локальная группа Политика — это просто инструмент, который поможет вам настроить и настроить функции операционной системы Windows 10.

Например, вы можете отключить Центр обновления Windows, отключить Cortana, отключить брандмауэр Windows.

Впервые появился в Windows 2000 и до сих пор существует в версиях Windows 10 Pro, Edu, Enterprise, кроме Windows 10 Home.

Что касается локальной политики безопасности, название говорит само за себя, оно дает вам подробные настройки, а также управление проблемами безопасности системы.

Такие вопросы, как пароли пользователей, требования к длине пароля, возможность использования специальных символов и т. д.

Кроме того, вы можете полностью использовать локальную политику безопасности для мониторинга активности пользователей и ограничения функций, которые им разрешено использовать.

Локальная группа безопасности также является компонентом групповой политики, как я подробно объясню позже для вас.

#2. Как включить редактор локальной групповой политики в Windows 10 Home

Чтобы включить локальную групповую политику в Windows 10 Home, мы будем использовать ряд довольно запутанных команд в командной строке.

Т.к. это довольно сложно, запаковал в файл *.BAT , чтобы вы могли быстро использовать его одним щелчком мыши, загрузите его, используя одну из ссылок ниже, чтобы загрузить файл BAT.

После загрузки щелкните правой кнопкой мыши файл gpe-enabler.bat и выберите Запуск от имени администратора , чтобы начать запуск.

Появится окно командной строки, и запустится ряд командных строк, вам не нужно будет нажимать никаких кнопок.

Процесс загрузки, установки и активации локальной групповой политики будет выполнен автоматически, вам просто нужно дождаться его завершения.

Пока не появится строка Операция завершена успешно Как показано на изображении ниже, это означает, что активация локальной групповой политики прошла успешно, вы можете нажать любую клавишу, чтобы закрыть это окно командной строки.

И теперь, без перезагрузки Windows 10, вы можете получить доступ к Локальной групповой политике в Windows 10 Home в порядке.

Выполните:

Откройте диалоговое окно RUN (Windows + R) => затем введите команду gpedit.msc => затем нажмите клавишу Enter

Я добавлю окно winver четко покажите версию как Windows 10 Home а то будет тяжело если вы мне еще раз головоломку скажете

# 3. Включить локальную политику безопасности в Windows 10 Home

Выше я упоминал, что локальная политика безопасности является частью локальной групповой политики , все настройки локальной политики безопасности можно найти в параметрах безопасности локальной групповой политики:

Конфигурация компьютера > Параметры Windows > Параметры безопасности

Сравните с изображением ниже, чтобы убедиться, что я говорю правду.

Это означает, что активация локальной групповой политики также активирует ее Локальная политика безопасности уже в Windows 10 Home, и вот результат.

Кстати, вы можете запустить команду secpol.msc в Windows RUN или поле поиска на панели задач, чтобы получить доступ к локальной групповой политике в Windows 10 Home!

#4. Эпилог

Ну, вот и все, я только что закончил показывать вам, как включить инструмент локальной групповой политики в Windows 10 Home , хорошо.

Повторяю, это очень мощные инструменты, которые помогут вам настроить и освоить операционную систему Windows 10. Если вы используете Windows 10 Домашняя, немедленно подайте заявку 🙂

Удачи!

CTV: Нгуен Тхань Тунг – techtipsnreview

Примечание: Была ли эта статья полезной для вас? Не забудьте оценить статью, поставить лайк и поделиться ею с друзьями и семьей!

Принцип работы: Кэширование групповой политики

(Последнее обновление 2 августа 2018 г. )

Выпуск Windows 8.1 и Server 2012 R2 представили новую концепцию групповой политики под названием Кэширование групповой политики . Его цель — сократить время, необходимое для выполнения определенных сценариев для s синхронного обновления групповой политики переднего плана . Вот недостаток: для каждого интервала обновления групповой политики Кэширование групповой политики загружает и сохраняет локальную копию всех групповых политик, которые применяются к компьютеру или пользователю. Даже если в групповую политику не было внесено никаких изменений и для параметров не установлено локальное клиентское расширение групповой политики (CSE), поведение останется прежним.

Вот проблема, связанная с политикой паролей Specops. Если оставить кэширование групповой политики в состоянии по умолчанию, будут загружены словари паролей и списки хэшей, хранящиеся в групповой политике. Это не проблема с точки зрения безопасности, а, очевидно, ненужная сетевая операция. Эти списки, размер которых может достигать сотен мегабайт, копируются на каждый интервал групповой политики на компьютеры.

Мы рекомендуем отключать кэширование на клиентах, если используются словари.Отключить эту функцию можно с помощью групповой политики из:

Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика

Фактический параметр называется Настройка кэширования групповой политики , и он должен быть установлен на Отключено .

Как только объект групповой политики достигает клиентов, любое фоновое кэширование прекращается.

Обработка групповой политики 101

Чтобы лучше понять проблему, необходимо понять различные разновидности обработки групповой политики.Существует два основных типа обработки: передний план и фоновый — оба из них существуют для политик пользователя и компьютера. Обработка переднего плана также бывает двух видов: синхронная , и синхронная .

Обработка групповой политики переднего плана происходит при запуске компьютера или при входе пользователя в систему. Каждая последующая обработка групповой политики выполняется в фоновом режиме. Еще во времена Windows 2000 каждый интервал приоритетной групповой политики был синхронным.При загрузке компьютера диалоговое окно входа в систему отображалось только после завершения полной обработки групповой политики переднего плана. То же самое относится и к входу пользователя в систему. Рабочий стол был представлен только после того, как для пользователя была завершена полная обработка переднего плана. Это замедлило процесс загрузки и входа на компьютер, управляемый групповой политикой.

Когда Microsoft представила Windows XP, была введена концепция асинхронной обработки переднего плана. Это заставляло обработку переднего плана работать так же, как фоновую обработку — обработка групповой политики не должна была быть завершена для отображения экрана входа в систему или рабочего стола пользователя.

Итак, почему синхронная обработка переднего плана все еще существует?

В некоторых сценариях Windows вернется к синхронной обработке переднего плана Windows 2000. Ниже приведены триггеры для синхронной обработки переднего плана в операционных системах, затронутых кэшированием групповой политики (например, система Windows 8.1/Server 2012 R2 или более поздней версии):

  1. Когда компьютер загружается после присоединения к новому домену Active Directory
  2. Первый раз пользователь входит в систему на новом компьютере
  3. Параметр Всегда ждать сети при запуске компьютера и вход в систему включен.
  4. Выполняется команда GPUpdate /Sync (или аналогичный инструмент).
  5. Объекты групповой политики либо с параметрами установки программного обеспечения (не Specops Deploy), либо с параметрами перенаправления папок, где прошел хотя бы один интервал фоновой групповой политики. Эти два расширения групповой политики могут работать только без входа пользователя в систему и поэтому требуют синхронной обработки переднего плана.

Теперь давайте сопоставим, как кэширование групповой политики связано с приведенными выше сценариями:

  • (1, 2) Примеры один и два относятся к событиям первого раза.Фоновая обработка, кэширующая групповую политику, не могла выполняться до этого, поэтому они не могут считывать какие-либо кэшированные объекты.
  • (3) Настройка политики на Всегда ждать, пока сеть принудительно активирует групповую политику переднего плана. Но этот параметр также неявно деактивирует функцию кэширования групповой политики.
  • (4) Принудительная ручная синхронизация, например. « GPUpdate / Sync » , для которого требуются локальные административные привилегии, заставит использовать кеш.
  • (5) Синхронная обработка переднего плана, запускаемая клиентским расширением групповой политики установки программного обеспечения или перенаправления папок, будет использовать кэш.

В большинстве сред синхронная обработка переднего плана встречается редко. Но преимущества кэширования групповой политики встречаются еще реже. Помимо принудительной синхронизации администратора, единственным реальным сценарием является изменение групповой политики установки программного обеспечения или групповой политики перенаправления папок во время следующей загрузки или входа в систему.

Кэширование групповой политики

Зная типы (синхронный приоритетный план, асинхронный приоритетный план и фоновый режим) обработки групповой политики, мы теперь можем лучше понять функцию кэширования групповой политики.

Для начала важно понять, что кэширование никоим образом не вводит какие-либо автономные возможности в групповую политику. Компьютер должен быть подключен к сети и иметь полный доступ к контроллеру домена для обработки групповой политики, как это было всегда.

При использовании кэширования групповой политики меняется только одно: во время синхронной обработки переднего плана файлы считываются из локального кэша групповой политики, а не из SYSVOL. Вместо поиска файлов групповой политики по пути, подобному этому \\acme.com\sysvol\acme.com\Policies , , будут использоваться следующие локальные каталоги:

Пользовательские настройки GPO %localappdata% \GroupPolicy\DataStore

Параметры объекта групповой политики компьютера %windir%\System32\GroupPolicy\DataStore

Информацию, связанную с GPC (AD/LDAP частью объекта групповой политики), можно найти в разделе HKEY_LOCALW_MACHINE \CurrentVersion\Group Policy\DataStore. Особенности этой части недокументированы, но чтение рабочего журнала для групповой политики показывает, что вызовы AD не выполняются при использовании кэша.

Этот процесс намного быстрее, чем чтение всех групповых политик по сети, особенно при медленном подключении к контроллеру домена. Помните, что кеш используется, если применяется перенаправление папок или установка программного обеспечения. В последнем случае велика вероятность того, что чтение групповой политики — это не трудоемкое действие, а скорее загрузка и установка программного обеспечения, поскольку установочные пакеты (обычно) находятся на сервере.Конечный пользователь по-прежнему будет заблокирован от доступа к своему рабочему столу, пока групповая политика не будет завершена.

Недостатки кэширования групповой политики

Как заполняется кэш групповой политики? Должен быть какой-то механизм, который загружает файлы. Это главный недостаток функции кэширования групповой политики; для каждого отдельного интервала фоновой обработки групповой политики, каждый отдельный файл из каждой применяемой групповой политики копируется в локальный кэш независимо от того, изменился ли объект групповой политики или нет. Каждая групповая политика, влияющая на пользователя или компьютер, загружается каждые 90–120 минут. Если сценарий заключается в поддержке пользователей и компьютеров за медленным сетевым подключением, стоимость периодической более быстрой обработки переднего плана связана с увеличением сетевого трафика через медленное подключение.

Еще один недостаток: если загруженная кэшированная групповая политика изменяется между обновлением в фоновом режиме и последующей обработкой переднего плана, где используется кэш, применяется кэшированная версия.Приоритетная обработка не обновляет локальный кэш, и компьютер должен выполнить еще одну приоритетную обработку перезагрузки/входа в систему, прежде чем будут применены правильные параметры.

Последний недостаток больше связан с реализацией. Кэширование групповой политики не оценивает примененные групповые политики так же, как реальный механизм групповой политики. Это важно понимать, когда речь идет о влиянии на политику паролей Specops, поскольку функция кэширования загружает групповые политики, которые она не должна загружать.Это упрощенный шаблон интервала групповой политики при определении применяемых групповых политик.

  1. Найти все объекты групповой политики, связанные с доменом; или любые подразделения, в которых находится пользователь/компьютер; или любые родительские подразделения.
  2. Сравните список объектов групповой политики с параметрами безопасности каждого объекта групповой политики — имеет ли пользователь/компьютер надлежащие разрешения для применения объекта групповой политики?
  3. Оценка фильтров WMI. Любой объект групповой политики, фильтр которого не возвращает значение true (например, любые объекты WMI), не включается.Например, следующий WQL в качестве фильтра WMI гарантирует, что объект групповой политики применяется только к компьютерам с Windows 10: « SELECT * FROM Win32_OperatingSystem WHERE Version LIKE «10.%» и ProductType = «1» ».
  4. Перепроверьте список объектов групповой политики для клиентских расширений на компьютере, который может обрабатывать параметры. Вы можете увидеть все установленные клиентские расширения в реестре по адресу: «HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions». Объекты групповой политики, не имеющие соответствующего клиентского расширения, удаляются из списка объектов групповой политики для обработки.

Эти четыре шага содержат объекты групповой политики, которые будут обрабатываться Windows. Однако, когда кэширование групповой политики определяет, что загружать, оно не будет работать таким же образом. Процесс оценки останавливается после второго маркера, загружая все содержимое, даже из объектов групповой политики, которые никогда не будут использоваться из-за отсутствия клиентского расширения групповой политики или фильтров WMI, которые не оцениваются как истинные. Хотя фильтры WMI теоретически могут быть динамическими, с разными результатами при каждом запуске, отсутствие расширения на стороне клиента означает, что соответствующие политики никогда не обрабатываются и не должны обрабатываться, поскольку групповые политики оцениваются на лету во время выполнения. изменение пароля на контроллерах домена.Этот сценарий особенно интересен, когда речь идет о политике паролей Specops и кэшировании групповой политики, поскольку именно это и происходит.

Кэширование групповой политики и политика паролей Specops

Как все это связано с политикой паролей Specops? Политика паролей Specops не имеет и не требует клиентского расширения групповой политики. Обработка и оценка групповых политик происходит в Specops Password Policy Sentinel на контроллерах домена. После установки Sentinel на контроллерах домена AD нет необходимости развертывать что-либо на клиентах и ​​серверах.Клиент Specops Password, который можно развернуть, не является клиентским расширением групповой политики, а скорее необязательным клиентом, который добавляет дополнительные функции в Windows, такие как информация о невыполненных правилах политики паролей во время смены пароля и ссылка на нашу веб-страницу сброса пароля. страница.

Теоретически кэширование групповой политики не должно иметь ничего общего с политикой паролей Specops. К сожалению, из-за расхождений между тем, как следует использовать групповые политики, и тем, как кэширование групповых политик вычисляет, что загружать, объекты групповой политики политики паролей Specops, которые применяются к пользователю, будут загружаться каждый интервал групповой политики.Обычно это не вызывает никаких проблем, поскольку это всего несколько килобайт данных. Но если в GPO используются большие словари, это может измениться. Представьте, что словарь объемом 100 МБ импортирован в объект групповой политики. Этот файл будет загружаться каждый интервал групповой политики, вызывая огромный объем сетевого трафика.

Мы рекомендуем отключать кэширование на клиентах, если используются словари. На самом деле, как я уже продемонстрировал в этой статье блога, было бы неплохо отключить кэширование групповой политики в любом случае.

Отключение функции можно выполнить с помощью групповой политики, этот параметр находится здесь:

Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика

Фактический параметр называется Настройка кэширования групповой политики и должен быть установлен на Disabled .

Как только объект групповой политики достигает клиентов, любое фоновое кэширование прекращается.

Кэширование групповой политики и другое программное обеспечение Specops, основанное на групповых политиках

Хотя основное внимание в этой статье уделяется описанию эффектов политики паролей Specops в сочетании с кэшированием групповой политики, давайте кратко рассмотрим, как это может повлиять на другие продукты Specops. товары.

Specops Password Reset, Specops uReset, Specops Password Sync и Specops Authentication

Продукты Specops Password и Authentication Management настраиваются с помощью групповой политики. Как и в случае с политикой паролей Specops, клиентское расширение групповой политики не требуется ни на клиентских компьютерах, ни на настольных компьютерах, ни на серверах. Поскольку разработчики функции кэширования групповой политики не учли наличие локального клиентского расширения групповой политики при определении того, что загружать, существует несоответствие между результатом политики кэширования групповой политики и результатом политики ядра групповой политики.

Specops Deploy

Поскольку Specops Deploy управляет программным обеспечением во время фоновой обработки, это устраняет необходимость выполнять синхронную обработку переднего плана для управления программным обеспечением с помощью групповой политики. Specops Deploy автоматически определяет на детальном уровне развертывания, настроен ли пакет для установки только на переднем плане. Следующая загрузка/вход в систему вызовет синхронную активную обработку, сократив объем приоритетной обработки до абсолютно возможного минимума.

Файлы конфигурации, используемые Specops Deploy, будут кэшироваться, если используется функция кэширования групповой политики, но выгода минимальна, так как фактическое программное обеспечение необходимо загружать в любом случае.

Specops Inventory и команда Specops

Если кэширование групповой политики включено во время синхронной обработки переднего плана, будут загружены файлы конфигурации Specops Inventory. Поскольку большая часть работы, выполняемой Specops Inventory, заключается в проведении фактической инвентаризации, выгода минимальна.

Specops Command имеет ту же историю, что и Specops Inventory, кэшированные файлы также будут включать в себя сценарии для выполнения, но если сценарии являются тяжелыми, время выполнения сценариев будет потреблять большую часть полученного.Кроме того, как и Specops Deploy, команда Specops разработана таким образом, что выполнение может выполняться в циклах фоновой обработки.

Теги: Кэширование групповой политики, Specops Password Policy

Автор:

Thorbjörn Sjövold

Руководитель отдела исследований, Specops Software

Другие статьи

Как управлять паролями пользователей Windows с помощью групповой политики

Вы можете применять различные политики, чтобы убедиться, что ваши пользователи соответствуют определенным требованиям к своим паролям Windows.Узнайте о некоторых параметрах, связанных с паролями, в групповой политике.

Пароли — это всегда неприятная уловка-22 для любой организации. Пользователи предпочитают использовать простые пароли Windows, которые легко запомнить и ввести, но вы хотите, чтобы эти пароли были надежными и сложными, чтобы защитить своих пользователей и бизнес. Если вы используете групповую политику в своей компании, вы можете по крайней мере установить определенные политики паролей, чтобы обеспечить минимальный уровень безопасности. Вот как. (Следующие политики могут быть применены к Windows 7, 8.1 и 10 клиентов.)

1. Откройте редактор групповой политики. Вы можете сначала проверить это на своем текущем компьютере с помощью редактора локальной групповой политики. Затем вы можете перейти к консоли групповой политики вашего домена, когда придет время создать и развернуть настройки для всех.

2. В поле поиска введите gpedit.msc .

3. В редакторе локальной групповой политики перейдите к следующему параметру: Конфигурация компьютера | Параметры Windows | Настройки безопасности | Политика учетной записи | Политика паролей.Вы найдете конкретные политики, которые вы можете установить. Давайте рассмотрим каждый из них.

SEE: Как уменьшить количество блокировок учетных записей пользователей и сбросов паролей (бесплатный PDF) (TechRepublic)

Применить историю паролей . Эта политика запрещает пользователям создавать пароли, которые они уже использовали. Цель состоит в том, чтобы предотвратить повторное использование любого предыдущего пароля, который потенциально мог стать предметом утечки или кражи. Если вы включите историю паролей, вы можете установить определенное количество предыдущих паролей, которые нельзя использовать повторно, от 1 до 24 ( Рисунок A ).

Рисунок А

Максимальный срок действия пароля . Эта политика заставляет пользователей регулярно менять свои пароли, срок действия которых истекает через определенный период времени. По умолчанию 42 дня, но вы можете установить любое значение от 1 дня (не рекомендуется!) до 999 дней ( Рисунок B ).

Рисунок В

Хотя политика истечения срока действия паролей используется во многих организациях, вы можете дважды подумать, прежде чем применять ее.Помните, что вашим пользователям не нравятся пароли, и вынуждать их создавать и запоминать новый пароль каждые несколько месяцев — еще одно бремя, которое может быть ненужным или неэффективным. Даже Microsoft выступила против этой политики, заявив, что хочет удалить ее в качестве базовой настройки в следующей версии Windows, в частности, в Windows 10 и Windows Server 1903, которые должны выйти в конце мая.

Как утверждает Microsoft, основная цель истечения срока действия пароля — гарантировать, что украденный или взломанный пароль больше нельзя будет использовать.Но если пароль никогда не был украден, зачем заставлять пользователей его менять? И если вы знаете, что определенный пароль был украден, вы должны немедленно изменить его, а не ждать, пока истечет срок его действия. Ваши усилия лучше потратить на настройку и включение других политик паролей.

Минимальный срок действия пароля . Эта политика не позволяет пользователю слишком быстро менять пароль после создания нового. В некотором смысле это продолжение настройки истории паролей. Цель состоит в том, чтобы запретить пользователям циклически перебирать все свои старые пароли, пока они не найдут тот, который разрешен политикой.Он также предназначен для предотвращения хакеров, которые могут получить существующий пароль, а затем сбросить его на один из них по своему выбору. Вы можете настроить его таким образом, чтобы пароль можно было изменить по прошествии от 1 до 998 дней ( Рисунок C ).

Рисунок С

Минимальная длина пароля : Эта политика определяет минимальное количество символов, необходимое для пароля Windows. Вы можете установить длину от 1 до 20 символов ( Рисунок D ). Чем длиннее пароль, тем сложнее хакеру подобрать его с помощью атак грубой силы и других средств.Многие эксперты рекомендуют, чтобы минимальная длина пароля составляла 12 символов, но не забывайте учитывать другие политики и методы паролей при выборе подходящей длины пароля для ваших пользователей.

Рисунок D

Пароль должен соответствовать требованиям сложности . Эта политика определяет, какие типы символов разрешены и необходимы для ваших пользовательских паролей ( Рисунок E ). Если включено, пароли пользователей должны быть:

  • Не содержать имя учетной записи пользователя или части полного имени пользователя, длина которых превышает два последовательных символа.
  • Длина не менее шести символов.
  • Содержит символы из трех из следующих четырех категорий:
    • Английские прописные буквы (от A до Z)
    • строчные буквы английского алфавита (от a до z)
    • Базовые 10 цифр (от 0 до 9)
    • Небуквенные символы (например, !, $, #, %)

При настройке этой политики в сочетании с минимальной длиной пароля необходимо добиться правильного баланса между безопасностью и простотой использования.Сложный пароль Windows обеспечивает лучшую защиту, но вашим пользователям может быть сложно запомнить его вместе со всеми другими паролями, которые они, вероятно, используют. Если вы устанавливаете минимальную длину и сложность пароля, вы должны предоставить помощь или советы своим пользователям о том, как создать безопасный пароль, который им будет легче запомнить и использовать.

Рисунок Е

Хранить пароли с помощью обратимого шифрования . Эта политика хранит надежные пароли с использованием обратимого шифрования, что может потребоваться для приложений, требующих знания паролей пользователей для проверки подлинности.Однако это делает ваши пароли более уязвимыми, поэтому вы можете оставить эту политику отключенной, если в этом нет крайней необходимости (рис. ).

Рисунок F

Это основные политики паролей, хотя вы найдете другие параметры, связанные с паролями, в групповой политике, в том числе для политики блокировки учетной записи и для параметров безопасности в разделе «Локальные политики».

SEE: Политика управления паролями (Tech Pro Research)

Кроме того, имейте в виду, что политики паролей, предлагаемые через групповую политику, не работают.В своем блоге о политике истечения срока действия паролей даже Microsoft признала, что «мы должны повторить, что мы настоятельно рекомендуем дополнительные меры защиты, даже если они не могут быть выражены в наших базовых показателях».

Добавить комментарий

Ваш адрес email не будет опубликован.