SCROLL

Посты с тэгом: GPO

Windows Server Update Services (WSUS) — сервер обновлений операционных систем и других продуктов Microsoft. WSUS позволяет централизованно управлять обновлениями программных продуктов MS Windows, Office и т.д.

 

Роль WSUS будет подниматься на Windows Server 2012 R2.

 

 

Установка роли сервера обновлений WSUS

В Server Manager (Диспетчер серверов) переходим в Tools (Управление) — Add Roles and Features Wizard (Добавить роли и компоненты). Выбираем роль Windows Server Update Services (Службы Windows Server Update Services) и добавляем все предлагаемые к установке компоненты.

Разберем как модифицировать шаблон прав доступа, применяемых по-умолчанию к создаваемым групповым политикам. Этот шаблон хранится в AD Schema в объекте Group-Policy-Container, атрибуте defaultSecurityDescriptor.

 

По умолчанию, права на групповые политики предоставлены следующим группам:

Authenticated Users
Domain Admins
Enterprise Admins
ENTERPRISE DOMAIN CONTROLLERS
SYSTEM

Добавим в шаблон, права для группы Domain Computers, с разрешением Read.

[stextbox id=’info’]Информация: Для внесения изменений в Active Directory Schema ваша учетная запись должна входить в группу Schema Admins[/stextbox]

После установки системы Windows 7 Professional (х64) на одну из пользовательских машин, появились проблемы с применением групповых политик, на данной машине. В роли домен контроллера выступает Windows Server 2008 R2, ошибок в его работе не наблюдается, да и все остальные пользователи сети, не испытывают подобных затруднений с применением групповых политик.

 

При тестировании результатов применения групповых политик на проблемной машине, видно что часть групповых политик применяется, а часть нет. Групповые политики которые не применяются помечены как Inaccessible (Недоступные).

При работе с почтовым сервером Zimbra Collaboration, возникает проблема с самоподписанным сертификатом, почтовые клиенты и браузеры каждый раз выдают сообщение об ошибке проверки сертификата и угрозе безопасности. Это создает неудобство в работе, т.к. каждый раз пользователям приходится игнорировать непроверенный сертификат. Разберем как исправить эту ситуацию.

 

Вот такое предупреждение безопасности мы наблюдаем при попытке подключится к серверу с самоподписанным сертификатом.

WMI (Windows Management Interface) фильтрация в GPO позволяет создавать условия на кого будет распространятся групповая политика. WMI работает на всех версиях Windows начиная с Windows 2000 и Windows XP.

 

WMI фильтрация хороший инструмент в руках системного администратора, которая позволит более гибко применять групповые политики. Вот и я столкнулся с задачей, которая легко решалась с помощью WMI фильтра. Рассмотрим ниже примеры применения WMI фильтров.

 

Создание WMI фильтров

Создать WMI  фильтр можно с помощью оснастки управления групповыми политиками (Group Policy Management). Переходим в раздел WMI filters. С помощью контекстного меню выбираем New.

Не редко возникают ситуации когда пользователи сбивают ассоциацию файлов и после этого у них возникает проблема с открытием того или иного файла. В моем случае пользователи чаще всего сбивают ассоциации файлов .doc, .docx, .xls, .xlsx. Зачем и почему они это делают остается догадкой, но проблема имеет место быть, поэтому решим ее с помощью групповых политик (GPO) на базе Windows Server 2008 R2. Разберем на примере расширений .doc и .docx

 

Задание ассоциации с помощью параметра Open With (Открыть с помощью)

Создаем новую групповую политику и редактируем ее параметры.

Создание бекапов неотъемлемая часть повседневной работы в IT сфере. Имеющийся в наличии бекап всегда может восстановить работоспособность того или иного узла. Сегодня мы разберем как автоматизировать процесс создания бекапов Групповых политик (GPO) на Windows Server 2008 R2. Делать бекапы мы будем с помощью скрипта для PowerShell.

 

По-умолчанию в PowerShell включена максимальная политика безопасности, которая позволяет выполнять команды PowerShell в командной строке, но не позволяет в той же командной строке выполнить скрипт с командами PowerShell. Чтобы рез решить выполнение PowerShell скриптов, выполним команду либо в CMD либо в самом PowerShell:

powershell -Command Set-ExecutionPolicy RemoteSigned

 

Теперь можно приступать к написанию скрипта, который будет выполнять бекап GPO. В ходе работы над написанием скрипта, у меня получилось два варианта скрипта:

  1. Автоматическое создание бекапа всех GPO, размещение их на сетевом ресурсе в архивированном виде.
  2. Автоматическое первоначальное создание бакапа всех GPO, последующие запуски скрипта будут бекапить GPO только если в них были сделаны какие либо изменения.

Все скрипты с комментариями, поэтому разобраться в них не составит труда.

В этой статье мы рассматривали как задать настройки прокси-сервера на доменных рабочих станциях пользователей. Теперь появилась необходимость запретить изменения данных параметров без прав администратора.

Запрещать изменения мы будем через групповые политики домена путем изменения параметров реестра. Используемые домен контроллер на базе Windows server 2008 R2. Создаем GPO политику и в разделе User Configuration (или Computer Configuration) — PreferencesWindows Settings политики используем параметр Registry.

gpo7

Появилась необходимость задать настройки прокси-сервера для пользователей компании. Подходить к каждому ПК и ручками задавать эти настройки как то не практично, да и долгое это занятие. Т.к. все ПК находятся в домене, то логично задать настройки прокси-сервера путем Групповых политик домена. Имеется домен контроллер на базе Windows server 2008 R2. Но как выяснилось в Windows server 2008 R2 возможность настройки Internet Explorer только версий 5,6,7,8. Для старших версий настройки не применяться.

gpo1