Для чого необхідні групові політики
Говорячи простою мовою, групова політика - це інструмент архітектури Active Directory, який дозволяє керувати налаштуваннями серверів і робочих терміналів, підключених до домену, централізовано. Також, за допомогою групових політик досить просто поширити програмне забезпечення. Адміністратор може вказати політики для групи в одному місці, а потім застосувати їх до цільової групи користувачів.
У багатьох компаніях, як правило, застосовується поділ на відділи: відділ кадрів, бухгалтерія, юристи, відділ системного адміністрування. Припустимо, що кожному відділу необхідний власний мінімальний набір програмного забезпечення, а робочі станції повинні бути налаштовані для конкретних потреб і під конкретні завдання. Завдяки груповим політикам з'являється можливість створити налаштування для конкретних груп користувачів у домені. За допомогою Active Directory GPO адміністратор може встановлювати та керувати стандартизованими наборами налаштувань, конкретно для бухгалтерії або відділу кадрів.
Налаштувати робочі місця (комп'ютерів і користувачів) простіше і ефективніше тому що розташовані за тим, що розташовуються централізовано і вимагають дублювання на кожному ПК.
Політика встановлення оновлень WSUS для робочих станцій
Ми припускаємо, що оновлення на клієнтські робочі станції, на відміну від серверної політики, будуть встановлюватися автоматично вночі відразу після отримання оновлень. Комп'ютери після встановлення оновлень повинні перезавантажуватися автоматично (попереджаючи користувача за 5 хвилин).
У цій GPO (WorkstationWSUSPolicy) ми вказуємо:
- Allow Automatic Updates immediate installation (Дозволити негайне встановлення автоматичних оновлень): Disabled - заборона на негайне встановлення оновлень при їх отриманні;
- Allow non-administrators to receive update notifications (Дозволити користувачам, які не є адміністраторами, отримувати повідомлення про оновлення): Enabled - відображати не-адміністраторам попередження про появу нових оновлень і дозволити їх ручну установку;
- Configure Automatic Updates: Configure automatic updating: 4 — Auto download and schedule the install. Scheduled install day: 0 — Every day. Scheduled install time: 05:00 - при отриманні нових оновлень клієнт скачує в локлаьний кеш і планує їх автоматичну установку на 5:00 ранку;
- Target group name for this computer: Workstations - у консолі WSUS віднести клієнта до групи Workstations;
- No auto-restart with logged on users for scheduled automatic updates installations: Disabled - система автоматично перезавантажиться через 5 хвилин після закінчення встановлення оновлень;
- Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates: https://srv-wsus.winitpro.ru:8530, Set the intranet statistics server: https://srv-wsus.winitpro.ru:8530 - адрес корпоративного WSUS сервера.
У Windows 10 1607 і вище, незважаючи на те, що ви вказали їм отримувати оновлення з внутрішнього WSUS, все ще можуть намагатися звертатися до серверів Windows Update в інтернеті. Ця «фіча» називається Dual Scan. Для відключення отримання оновлень з інтернету потрібно додатково включати політику Do not allow update deferral policies to cause scans against Windows Update (посилання).
Порада. Щоб поліпшити «рівень пропатченості» комп'ютерів в організації, в обох політиках можна налаштувати примусовий запуск служби оновлень (wuauserv) на клієнтах. Для цього в розділі Computer Configuration - > Policies- > Windows Setings - > Security Settings - > System Services знайдіть службу Windows Update і задайте для неї автоматичний запуск (Automatic).
Компоненти GPO
Виділяють два компоненти групових політик - клієнтський і серверний, тобто формується структура «клієнт-сервер».
Серверний компонент представляє оснастка MMC (Microsoft Management Console), призначена для налаштування групової політики. MMC можна використовувати для створення політик, а також для контролю і управління адміністративними шаблонами, налаштуваннями безпеки (установка ПЗ, скрипти тощо). Узагальнена назва «можливостей» називається розширенням. Кожне розширення може мати дочірнє розширення, яке дозволяє додавання нових або видалення старих компонентів, а також їх оновлення.
Клієнтський компонент отримує і застосовує налаштування групової політики. Клієнтські розширення є компонентами, що запускаються на клієнтській ОС, які відповідають за інтерпретацію та обробку об'єктів групової політики.
Для адміністрування GPO використовують оснастки MMC - Group Policy Management Console (GPMC) і Group Policy Management Editor.
Скрипти використання Active Directory GPO:
- Централізоване налаштування пакета програм Microsoft Office.
- Централізоване налаштування керуванням харчуванням комп'ютерів.
- Налаштування веб-переглядачів та принтерів.
- Встановлення та оновлення ПЗ.
- Застосування певних правил залежно від розташування користувача.
- Централізовані параметри безпеки.
- Переспрямування тек у домені.
- Налаштування прав доступу до програм і системних програм.
Оснастка управління груповими політиками
Спочатку слід встановити роль сервера Active Directory Domain Service (AD DS) на контролер домену. Після цього буде доступна оснастка Group Policy Management, для її запуску викликаємо вікно «Виконати» (Windows + R). У вікні, що відкрилося, вводимо команду:
gpmc.msc
І натискаємо «OK».
Можливо оснастка не зможе відкритися тому що не була встановлена раніше. Виправимо це.
1. Відкриваємо менеджер серверів і вибираємо встановлення ролей і компонентів.
"