Групповые политики Active Directory (GPO) позволяют централизованно управлять настройками компьютеров и пользователей в доменной среде, что значительно упрощает администрирование. Консоль Group Policy Management Console (GPMC.msc) — основной инструмент для управления групповыми политиками в Active Directory.
Приобрести оригинальные ключи активации Windows Server можно у нас в магазине от 1090 ₽
Скачать дистрибутивы Windows Server можно у нас в каталоге.
В операционных системах Windows 10 и 11 консоль GPMC включена в состав инструментов RSAT, и вы можете установить ее через панель Settings.
Перейдите в Settings => Apps => Optional Features => Add an optional feature, выберите в списке RSAT: Group Policy Management Tools и нажмите Install.
Также вы можете установить консоль управления групповыми политиками в Windows 10 и 11 с помощью PowerShell:
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
Или с помощью DISM:
DISM.exe /Online /add-capability /CapabilityName:Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
В Windows Server 2022/2019/2016/2012R2 вы можете установить консоль управления GPO через Server Manager:
Add Roles and Features => Features => Group Policy Management.
Также можно установить консоль GPMC в Windows Server с помощью командлета PowerShell:
Install-WindowsFeature GPMC
После установки проверьте, что ярлык Group Policy Management появился в разделе Administrative Tools в панели управления (Control Panel\System and Security\Administrative Tools). Ярлык ссылается на MMC оснастку:
%SystemRoot%\system32\gpmc.msc
Консоль GPMC позволяет управлять групповыми политиками на уровне сайтов AD, доменов и организационных подразделений (Organizational Unit).
Для запуска консоли выполните команду:
gpmc.msc
По умолчанию консоль подключается к контроллеру домена с ролью Primary Domain Controller Emulator (PDC). Вы можете подключиться к любому другому DC. Для этого щелкните правой кнопкой по имени домена и выберите Change Domain Controller.
Разверните Forest => Domain => Ваш домен.
На скриншоте консоли Group Policy Management выделены:
— Имя домена, к которому подключена консоль;
— Групповые политики, назначенные на различные OU;
— Полный список политик (GPO) в текущем домене доступен в разделе Group Policy Objects.
Чтобы создать новую GPO и сразу назначить ее на OU, щелкните правой кнопкой по нужному контейнеру и выберите Create a GPO in this domain, and Link it here.
Задайте имя GPO:
В консоли GPMC вы увидите новую GPO, которая сразу назначена на выбранный контейнер. Политика активна (Link Enabled = True), что означает, что ее настройки будут применяться ко всем объектам в OU.
Чтобы изменить настройки GPO, выберите Edit.
Перед вами откроется консоль редактора GPO, аналогичная локальному редактору GPO. Все настройки GPO разделены на две секции:
— Computer Configuration — параметры для компьютеров;
— User Сonfiguration — параметры для пользователей AD.
В каждой секции есть три подраздела:
Software Settings – используется для установки и обновления программ через GPO;
Windows Settings — здесь расположены основные параметры безопасности Windows: настройки политики паролей, блокировки аккаунтов, политики аудита, назначения прав пользователей и т.д;
Administrative Templates – содержит параметры различных компонентов Windows. Здесь доступны как стандартные административные шаблоны Windows, так и дополнительно admx шаблоны, установленные администратором (например, admx шаблоны для управления программами Microsoft Office или шаблоны для Google Chrome). Рекомендуем использовать центральное хранилище административных шаблонов GPO для удобства управления.
Также здесь есть отдельный раздел Preferences. Здесь содержится дополнительный набор настроек Group Policy Preferences (GPP), которые вы можете задать для клиентских устройств через GPO.
Закройте редактор политики и вернитесь в консоль GPMC. Все настройки, которые вы изменили в GPO будут применены на клиентах при следующем цикле обновления настроек групповых политик.
Выберите вашу GPO, чтобы вывести ее основные параметры. Здесь доступны 4 вкладки:
Scope – здесь видно на какие OU назначена эта политики. В разделе Security Filtering можно настроить группы безопасности, для членов которых должна
применяться политики (по умолчанию здесь задано Authenticated Users, это значит, что политика применяется ко всем объектам в OU). В параметре WMI
filtering можно задать дополнительные правила фильтрации объектов для которых должна применяться GPO (см. WMI фильтры GPO);
Details – содержится базовая информация о GPO (владелец, когда создана и изменена, версия, GUID);
Settings – содержится отчет о всех настроенных параметрах GPO (отчет похож на результаты команды gpresult);
Delegation – выводит текущие разрешения GPO, позволяет изменить их.
Active Directory хранит GPO хранятся в виде набора файлов и папок в каталоге SYSVOL, который реплицируется между DC. Вы можете найти каталог определенной GPO по ее GUID (на вкладке Details). Используйте следующий UNC путь: \\ваш-домен\sysvol\ваш-домен\Policies\{GUID}
Если вы хотите, чтобы политика перестала действовать на клиенты в данном OU, можно либо удалить ссылку ( Delete , при этом сама объект GPO не будет удален), либо временно отключить ее действие ( Link Enabled = False ).
Консоль GPMC также предоставляет возможности для:
— Импорта/экспорта, создания резервных копий и восстановления GPO;
— Создания результирующих отчетов политик — Resultant Set of Policy (RSoP);
— Удаленного обновления настроек GPO на компьютерах;
— Подготовки GPO к миграции между доменами.
Рекомендуем ознакомиться с принципами работы групповых политик для более эффективного их использования в управлении Active Directory.
