Групповая политика - это инструмент, позволяющий централизованно управлять пользователями и компьютерами, находящимися в AD. Этот инструмент (как и большинство) находится в меню Tools - Group policy management. Структура GPM повторяет структуру AD
Все созданные объекты групповой политики хранятся в Group Policy Object. В новом домене сразу же присутствуют 2 политики безопасности по умолчанию - Default Domain Policy и Default Domain Controllers Policy. Как следует из названия, это политики по умолчанию для всего домена и для самого контроллера домена.
Обратите внимание, что Default Domain Policy находится в корне домена и применяется ко всему что есть в вашем домене (и к вам в том числе!!!). Вносить изменения стоит крайне аккуратно! Default Domain Controllers Policy - применяется к самому контроллеру домена - ее вообще трогать не нужно!
Создавать свои политики безопасности вы можете или же в корне, или же в каком-либо конкретном контейнере. Область применения будет зависеть от фильтров безопасности, которые вы укажете в самой политике.
Рассмотрим несколько примеров:
Называть политику безопасности лучше так, чтобы вам самим было понятно, для чего она создана (т.к. политик может быть достаточно много и в них легко запутаться). В самой политики стоит особое внимание обратить на вкладку Scope - в ней прописана локация политики (в данном случае, это подразделение manager) и Security Filternig (в данном случае - прошедшие проверку). Во вкладке Settings указаны непосредственно настройки самой политики безопасности. По умолчанию включены обе конфигурации - компьютера и пользователя, но они не настроены. Редактирование реестра - это настройка пользователя, так как достаточно странно было бы запретить редактировать реестр вообще. Запоминать, где находятся те или иные настройки дело бесполезное, поэтому смотрите в Интернете где находятся интересующие вас параметры. Для редактирования политики необходимо кликнуть по ней правой клавишей мыши и выбрать Edit после чего откроется редактор политики. По умолчанию все параметры находятся в статусе not configured и для включения их нужно перевести в статус Enabled
Внимательно читайте описание параметра!
После внесения изменений необходимо обновить политику безопасности, для этого в командной строке выполните gpupdate /force
(обновить групповую политику немедленно) и можно на клиентском ПК заходить под доменным пользователем из подразделения Manger и проверить, удалось ли запретить использование редактора реестра.
Для установки ПО необходимо создать пакет, который будет распространяться на ПК, указанные в фильтрах безопасности.
Обратите внимание на расположение пакета! Пакет должен иметь сетевой путь (начинающийся с \\), иначе каждый клиентский ПК будет искать установщик у себя локально. После обновления групповой политики и перезагрузки клиентского ПК на нем появится 7zip.
Порядок применения групповых политик:
Последний имеет наибольший приоритет. Однако, можно использовать опцию Forced и тогда данная политика будет в приоритете независимо от местоположения.
Также возможно включить настройку Loopback Processing mode, которая позволяет применять настройки из конфигурации пользователя к объекту компьютера. Это можно включить с помощью Computer Configuration → Policies → Administrative Templates → System → Group Policy → Configure user Group Policy Loopback Processing mode
. Такой режим имеет 2 возможных значения: