Различия

Показаны различия между двумя версиями страницы.

--- for_students:os:gpo [2022/03/15 15:36]
ejlka
+++ for_students:os:gpo [2022/03/16 10:36] (текущий)
ejlka
@@ Строка 7: / Строка 7: @@
 Создавать свои политики безопасности вы можете или же в корне, или же в каком-либо конкретном контейнере. Область применения будет зависеть от фильтров безопасности, которые вы укажете в самой политике. \\
 Рассмотрим несколько примеров:
-  - вам необходимо запретить редактирование реестра пользователям, находящимся в подразделении Manager. Это можно сделать 2 способами - создать GPO в корне и указать в фильтрах группу managers или же создать GPO сразу в подразделении Manager. Удобнее (на мой взгляд) это сделать непосредственно в подразделении (в том случае, если понадобиться распространить эту политику на другие подразделения, ее всегда можно переместить или же прикрепить к нескольким подразделениям сразу). [{{:for_students:os:130.jpg |}}]  [{{:for_students:os:131.jpg}}] \\ Называть политику безопасности лучше так, чтобы вам самим было понятно, для чего она создана (т.к. политик может быть достаточно много и в них легко запутаться). В самой политики стоит особое внимание обратить на вкладку Scope - в ней прописана локация политики (в данном случае, это подразделение manager) и Security Filternig (в данном случае - прошедшие проверку). Во вкладке Settings указаны непосредственно настройки самой политики безопасности. По умолчанию включены обе конфигурации - компьютера и пользователя, но они не настроены. Редактирование реестра - это настройка пользователя, так как достаточно странно было бы запретить редактировать реестр вообще. Запоминать, где находятся те или иные настройки дело бесполезное, поэтому смотрите в Интернете где находятся интересующие вас параметры. Для редактирования политики необходимо кликнуть по ней правой клавишей мыши и выбрать Edit после чего откроется редактор политики. По умолчанию все параметры находятся в статусе not configured и для включения их нужно перевести в статус Enable [{{:for_students:os:132.jpg?}}]
+  - вам необходимо запретить редактирование реестра пользователям, находящимся в подразделении Manager. Это можно сделать 2 способами - создать GPO в корне и указать в фильтрах группу managers или же создать GPO сразу в подразделении Manager. Удобнее (на мой взгляд) это сделать непосредственно в подразделении (в том случае, если понадобиться распространить эту политику на другие подразделения, ее всегда можно переместить или же прикрепить к нескольким подразделениям сразу). [{{:for_students:os:130.jpg |}}]  [{{:for_students:os:131.jpg}}] \\ Называть политику безопасности лучше так, чтобы вам самим было понятно, для чего она создана (т.к. политик может быть достаточно много и в них легко запутаться). В самой политики стоит особое внимание обратить на вкладку Scope - в ней прописана локация политики (в данном случае, это подразделение manager) и Security Filternig (в данном случае - прошедшие проверку). Во вкладке Settings указаны непосредственно настройки самой политики безопасности. По умолчанию включены обе конфигурации - компьютера и пользователя, но они не настроены. Редактирование реестра - это настройка пользователя, так как достаточно странно было бы запретить редактировать реестр вообще. Запоминать, где находятся те или иные настройки дело бесполезное, поэтому смотрите в Интернете где находятся интересующие вас параметры. Для редактирования политики необходимо кликнуть по ней правой клавишей мыши и выбрать Edit после чего откроется редактор политики. По умолчанию все параметры находятся в статусе not configured и для включения их нужно перевести в статус Enabled [{{:for_students:os:132.jpg?}}]\\ Внимательно читайте описание параметра![{{:for_students:os:133.jpg?}}] \\ После внесения изменений необходимо обновить политику безопасности, для этого в командной строке выполните ''gpupdate /force'' (обновить групповую политику немедленно) и можно на клиентском ПК заходить под доменным пользователем из подразделения Manger и проверить, удалось ли запретить использование редактора реестра.
-  -
+  - вам необходимо установить программное обеспечение на некоторые компьютеры. Данная политика безопасности является конфигурацией ПК и поэтому создавать ее логично в корне домена, а в фильтрах безопасности указать те ПК (или группы ПК), на которые необходимо установить ПО. Обратите внимание на то, что установщик должен быть с расширением .msi и располагаться в директории, которая доступна на клиентских ПК. [{{:for_students:os:134.jpg?}}] \\ Для установки ПО необходимо создать пакет, который будет распространяться на ПК, указанные в фильтрах безопасности. [{{:for_students:os:135.jpg}}]
+Обратите внимание на расположение пакета! Пакет должен иметь сетевой путь (начинающийся с \\), иначе каждый клиентский ПК будет искать установщик у себя локально. После обновления групповой политики и перезагрузки клиентского ПК на нем появится 7zip. \\
+----
+=== Область действия GPO, приоритеты ===
+Порядок применения групповых политик:
+  - локальная групповая политика (gpedit.msc) на локальном компьютере
+  - уровень сайта
+  - уровень домена
+  - уровень подразделения
+Последний имеет наибольший приоритет. Однако, можно использовать опцию Forced и тогда данная политика будет в приоритете независимо от местоположения.\\
+Также возможно включить настройку Loopback Processing mode, которая позволяет применять настройки из конфигурации пользователя к объекту компьютера. Это можно включить с помощью ''Computer Configuration → Policies → Administrative Templates → System → Group Policy → Configure user Group Policy Loopback Processing mode''. Такой режим имеет 2 возможных значения:
+  - Merge («Слияние») – сначала к пользователю применяется объект групповой политики на основе местоположения пользователя, а затем применяется объект групповой политики, связанный с компьютером. В случае конфликта политик OU пользователя и компьютера, политика компьютера будет иметь более высокий приоритет.
+  - Replace («Замена») – к пользователю будут применяться только политики, назначенные подразделению, содержащему компьютер, на котором пользователь вошёл в систему.