Работа с предпочтениями групповой политики: управление ini-файлами

Устанавливаем редактор на Windows 10 Home

Теперь разберемся с домашней версией «десятки». В ней нет локальных политик по умолчанию, то есть нет редактора с доступным графическим интерфейсом. Все изменения, которые доступны в редакторе, нужно делать через реестр. А это менее наглядно и неудобно.

Но попробуем установить редактор на Home-версию. Для этого запускаем командную строку от имени администратора. Здесь подробно описано, как это сделать.

Нам нужно прописать по очереди две команды:

• FOR %F IN («%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~*.mum») DO (DISM /Online /NoRestart /Add-Package:»%F»)
• FOR %F IN («%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~*.mum») DO (DISM /Online /NoRestart /Add-Package:»%F»)

Кому-то легче будет создать текстовый файл, скопировать обе команды и сохранить его под любым именем с расширением .bat. Затем данный файл запустить от имени администратора и дождаться выполнения команд.

После установки пакетов редактора попробуйте его открыть. Воспользуйтесь любым вышеописанным способом.

Обратите внимание! Многие параметры, даже при успешной установке редактора, будут недоступны в Home версии

Редактор групповой политики

В Windows 7 Домашняя Базовая/Расширенная и Начальная редактор групповых политик просто отсутствует. Разработчики
позволяют использовать его только в профессиональных версиях Виндовс, например, в Windows 7 Максимальная. Если
вы не обладаете этой версией, то те же действия вам придется выполнять через изменения параметров реестра.
Давайте подробнее рассмотрим редактор.

Запуск редактора групповой политики

Переход к среде работы с параметрами и настройками осуществляется за несколько простых действий. Вам только
необходимо:

1. 1. Зажать клавиши Win + R, чтобы открыть «Выполнить».

1. 1. Напечатать в строке gpedit.msc и подтвердить действие,
      нажав «ОК». Далее запустится новое окно.

Теперь можно приступать к работе в редакторе.

Работа в редакторе

Разделяется главное окно управления на две части. Слева располагается структурированные категории политик. Они в
свою очередь делятся еще на две различные группы – настройка компьютера и настройка пользователя.

В правой части отображается информация о выбранной политике из меню слева.

Из этого можно сделать вывод, что работа в редакторе осуществляется путем перемещения по категориям для поиска
необходимой настройки. Выберите, например, «Административные
шаблоны» в «Конфигурации пользователя» и перейдите в
папку «Меню «Пуск» и диспетчер задач». Теперь справа отобразятся параметры
и их состояния. Нажмите на любую строку, чтобы открыть ее описание.

Открытие оснастки и изменение пользовательского интерфейса

Также есть альтернативный способ установки данного компонента – использование командной строки и утилиты управления конфигурацией сервера. В командной строке, запущенной с правами администратора введите ServerManagerCmd -install gpmc. При желании вы можете вывести результат установки в xml файл, используя параметр –resultPath.

Для того чтобы открыть оснастку «Управление групповой политикой», выполните любое из следующих действий:

• Нажмите на кнопку «Пуск», выберите меню «Администрирование», а затем откройте «Управление групповой политикой»;
• Воспользуйтесь комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите gpmc.msc и нажмите на кнопку «ОК»;
• Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Управление групповой политикой и откройте приложение в найденных результатах;
• Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Управление групповой политикой» и нажмите на кнопку «Добавить», а затем нажмите на кнопку «ОК».

На следующей иллюстрации изображена оснастка «Управление групповой политикой»:

Рис. 1. Оснастка «Управление групповой политикой»

Содержимое оснастки «Управление групповой политикой» предоставляет множество средств, предназначенных для обеспечения централизованного управления инфраструктурой организации. Но если вас не устраивает интерфейс данной оснастки, вы можете его изменить, используя функционал редактирования параметров пользовательского интерфейса. Для того чтобы изменить отображение некоторых элементов оснастки, откройте меню «Вид» и выберите команду «Параметры». В диалоговом окне «Параметры» вы можете настроить элементы, параметры которых располагаются в следующих вкладках:

• Вкладка «Столбцы». На этой вкладке вы можете изменить отображение и порядок столбцов для основных таблиц текущей оснастки, а именно: «Наследование групповой политики», «Начальные объекты групповой политики», «Объекты групповой политики», «Связанные объекты групповой политики» и «Фильтры WMI». Вам достаточно просто выбрать из раскрывающегося списка редактируемую таблицу, в поле «Столбцы отображаются в следующем порядке» снять флажки с наименований лишних столбцов и установить их порядок, используя кнопки «Вверх» или «Вниз». Также вы можете изменять порядок столбцов непосредственно из таблицы, меняя их местами так, как вам удобно. Для того чтобы ваши изменения были сохранены при повторном открытии оснастки, в окне параметров установите флажок «Сохранять порядок и размеры изменяемых столбцов», как показано на следующей иллюстрации:

Рис. 2. Вкладка «Столбцы» параметров оснастки

Вкладка «Отчет». Используя эту вкладку, вы можете изменить папку, которая используется по умолчанию для расположения ADM-файлов. Следует помнить, что изменения, которые проводятся на данной вкладке, будут распространяться только на устаревшие ADM-файлы, а расположение файлов ADMX, которые используются в операционных системах Windows Vista и Windows 7 останется без изменений. Если переключатель будет установлен на параметре «По умолчанию», то поиск файлов ADM изначально будет проводиться в папке Windows и в том случае, если файл не будет найден, консоль GPMC будет просматривать папку объектов групповой политики (GPO), находящуюся в папке Sysvol. Если установить переключатель на параметр «настраиваемое», то консоль GPMC изначально будет искать файлы adm в той папке, которая будет указана вами, а затем в расположениях по умолчанию. Настройки данной вкладки изображены ниже:

Рис. 3. Вкладка «Отчет» параметров оснастки

Вкладка «Общие». На вкладке «Общие» настраиваются параметры, которые распространяются на отображение лесов и доменов только с двухсторонними отношениями доверия, отображения имени контроллеров домена, а также для отображения диалогового окна подтверждения для различия между объектами групповой политики и связи этих объектов. Эта вкладка отображена на следующей иллюстрации:

Рис. 4. Вкладка «Общие» параметров оснастки

Узел предпочтений групповой политики «INI-файлы»

«INI-файлы»operaprefs.ini

Первым делом, в оснастке «Управление групповой политикой» создаем объект групповой политики, который будет называться «Opera INI-files Preferences» и будет отвечать исключительно за настройки INI-файла этого браузера, сразу связываем сам объект со всем доменом (изменения, правда, будут вноситься только лишь в конфигурацию пользователя, но для простоты сейчас будет выполнено именно так), ну а после этого уже откроем редактор управления групповыми политиками.
Следовательно, находясь в узле «Конфигурация Windows» (Windows Settings) конфигурации пользователя, выберем узел «INI-файлы» (INI files), а затем, как видно из следующей иллюстрации, из контекстного меню, как обычно, выберем команду «Создать», а затем «Файл .ini» («Ini file»):Рис. 3. Создание элемента предпочтений групповой политики «INI-файл»

Так как будут всего лишь видоизменяться некоторые значения уже существующих свойств, достаточно остановиться на действии «Обновить» (Update). В текстовом поле «File Path» следует указать точный путь и имя самого файла. В нашем случае, как уже известно, это C:\Users\Администратор\AppData\Roaming\Opera\Opera\operaprefs.ini. Но ведь если подумать, далеко не каждый юзер обладает профилем с именем «Администратор», поэтому, чтобы у вас при использовании этого элемента предпочтения не было никаких проблем, я рекомендую вам использовать переменные

Обязательно обратите внимание на то, что при использовании предпочтений групповой политики нельзя использовать общепринятые переменные. Следовательно, придется воспользоваться тем, что предоставляют возможности предпочтений

Здесь есть такая переменная, как %LogonUser%, которая подставляет в строку имя выполнившего вход в систему пользователя. Именно по этой причине и нужно создавать наши элементы предпочтения в узле конфигурации пользователя. В общем, у нам должно получиться следующее значение: C:\Users\%LogonUser%\AppData\Roaming\Opera\Opera\operaprefs.ini. Так как мы хотим изменить значения трех свойств в известном нам разделе User Prefs, его и необходимо указать в текстовом поле «Имя раздела», то есть «Section name», без квадратных скобок. Переходим к самому свойству: в соответствующем текстовом поле следует указать значение «Chat Room Splitter», так как именно это свойство и необходимо изменить. Ну а в текстовое поле «Значение свойства», что в оригинале идет как «Property Value», мы указываем наше новое значение, то есть, 80. Диалоговое окно свойств данного элемента предпочтения можно увидеть ниже:Рис. 4. Диалоговое окно свойств элемента предпочтения INI-файла

Так как объект групповой политики привязан ко всему домену, применяться этот элемент предпочтений будет на каждый компьютер компании. Ну а если не на всех компьютерах установлена Opera, то просто у пользователей на компьютерах с распространением объекта групповой политики будет зря создаваться ненужный файл. Такого быть не должно, и этого можно избежать, если воспользоваться нацеливанием на уровень элемента. В диалоговом окне редактора нацеливания необходимо выбрать элемент «Соответствие файлов» («File Match») из раскрывающегося списка «Тип соответствия», то есть «Match type», остановиться на типе «Файл существует» («file exists»), а затем в соответствующем текстовом поле локализовать файл с настройками этого браузера, то есть файл operaprefs.ini. Вот только если вы выбираете файл при помощи соответствующего диалогового окна, обязательно обратите внимание на то, чтобы в текстовом поле с путями вместо учетной записи текущего пользователя было прописано %LogonUser%. В противном случае будет выполняться поиск файла для указанной вами учетной записи, что практически во всех случаях приведет к ошибке. Диалоговое окно редактора нацеливания изображено на следующей иллюстрации:Рис. 5. Диалоговое окно редактора нацеливания

• В первом элементе предпочтения имя свойства должно быть Click to Minimize, а его значение должно быть 1;
• Во втором элементе предпочтения имя свойства — Cookies Directory, а значение — {SmallPreferences}Cookies.

Рис. 6. Редактор управления групповыми политиками после создания всех элементов предпочтенийgpupdateРис. 7. Измененный файл operaprefs.ini

Запретить запуск определенных приложений

Групповая политика также позволяет создать список приложений, чтобы предотвратить их запуск. Он идеально подходит для того, чтобы пользователи не тратили время на известные приложения. Перейдите в указанное ниже место и откройте опцию Не запускать указанные приложения Windows.

Конфигурация пользователя → Административные шаблоны → Система

Включите эту опцию и нажмите кнопку Показать ниже, чтобы начать создание списка приложений, которые вы хотите заблокировать.

Чтобы создать список, вы должны ввести имя исполняемого файла приложения, чтобы иметь возможность заблокировать его; тот, у которого .exe в конце, например, CCleaner.exe, CleanMem.exe или launcher.exe. Лучший способ найти точное имя исполняемого файла приложения – это найти папку приложения в проводнике Windows и скопировать точное имя исполняемого файла (вместе с его расширением .exe).

Введите имя исполняемого файла в список и нажмите ОК, чтобы начать его блокировку.

Результирующий набор инструментов политики

Самый простой способ увидеть все параметры групповой политики, которые вы применили к компьютеру или учетной записи пользователя, – использовать инструмент «Результирующий набор политик».

Он не покажет последнюю политику, примененную к вашему компьютеру, – для этого вам нужно будет использовать командную строку, как мы опишем в следующем разделе. Тем не менее, он показывает практически все политики, которые вы настроили для регулярного использования. И предоставляет простой графический интерфейс для просмотра параметров групповой политики, действующих на вашем ПК, независимо от того, входят ли эти параметры в групповую политику или локальную групповую политику.

Чтобы открыть инструмент, нажмите «Поиск», введите «rsop.msc» → нажмите на предложенный вариант.

Инструмент «Результирующий набор политик» начнёт сканирование вашей системы на примененные параметры групповой политики.

После того, как сканирование будет выполнено, инструмент покажет вам консоль управления, которая очень похожа на редактор локальной групповой политики, за исключением того, что она отображает только использованные параметры и несколько неустановленных настроек безопасности.

Это позволяет легко просматривать и видеть, какие политики действуют. Обратите внимание, что вы не можете использовать инструмент «Результирующая политика» для изменения этих параметров. Вы можете дважды щелкнуть параметр, чтобы просмотреть детали, но если вы хотите отключить или внести изменения в параметр, вам придется использовать редактор локальных групповых политик

Для чего необходимы групповые политики

Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.

Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.

Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.

Как исправить ошибки gpedit.msc всего за несколько шагов?

Помните, прежде чем предпринимать какие-либо действия, связанные с системными файлами, сделайте резервную копию ваших данных!

Ошибки файла gpedit.msc могут быть вызваны различными причинами, поэтому полезно попытаться исправить их различными способами.

Шаг 1.. Сканирование компьютера на наличие вредоносных программ.

Файлы Windows обычно подвергаются атаке со стороны вредоносного программного обеспечения, которое не позволяет им работать должным образом. Первым шагом в решении проблем с файлом gpedit.msc или любыми другими системными файлами Windows должно быть сканирование системы на наличие вредоносных программ с использованием антивирусного инструмента.

Если по какой-либо причине в вашей системе еще не установлено антивирусное программное обеспечение, вы должны сделать это немедленно

Незащищенная система не только является источником ошибок в файлах, но, что более важно, делает вашу систему уязвимой для многих опасностей. Если вы не знаете, какой антивирусный инструмент выбрать, обратитесь к этой статье Википедии — сравнение антивирусного программного обеспечения

Шаг 2.. Обновите систему и драйверы.

Установка соответствующих исправлений и обновлений Microsoft Windows может решить ваши проблемы, связанные с файлом gpedit.msc. Используйте специальный инструмент Windows для выполнения обновления.

1. Откройте меню «Пуск» в Windows.
2. Введите «Центр обновления Windows» в поле поиска.
3. Выберите подходящую программу (название может отличаться в зависимости от версии вашей системы)
4. Проверьте, обновлена ​​ли ваша система. Если в списке есть непримененные обновления, немедленно установите их.
5. После завершения обновления перезагрузите компьютер, чтобы завершить процесс.

Помимо обновления системы рекомендуется установить последние версии драйверов устройств, так как драйверы могут влиять на правильную работу gpedit.msc или других системных файлов. Для этого перейдите на веб-сайт производителя вашего компьютера или устройства, где вы найдете информацию о последних обновлениях драйверов.

Шаг 3.. Используйте средство проверки системных файлов (SFC).

Проверка системных файлов — это инструмент Microsoft Windows. Как следует из названия, инструмент используется для идентификации и адресации ошибок, связанных с системным файлом, в том числе связанных с файлом gpedit.msc. После обнаружения ошибки, связанной с файлом %fileextension%, программа пытается автоматически заменить файл gpedit.msc на исправно работающую версию. Чтобы использовать инструмент:

1. Откройте меню «Пуск» в Windows.
2. Введите «cmd» в поле поиска
3. Найдите результат «Командная строка» — пока не запускайте его:
4. Нажмите правую кнопку мыши и выберите «Запуск от имени администратора»
5. Введите «sfc / scannow» в командной строке, чтобы запустить программу, и следуйте инструкциям.

Шаг 4. Восстановление системы Windows.

Другой подход заключается в восстановлении системы до предыдущего состояния до того, как произошла ошибка файла gpedit.msc. Чтобы восстановить вашу систему, следуйте инструкциям ниже

1. Откройте меню «Пуск» в Windows.
2. Введите «Восстановление системы» в поле поиска.
3. Запустите средство восстановления системы — его имя может отличаться в зависимости от версии системы.
4. Приложение проведет вас через весь процесс — внимательно прочитайте сообщения
5. После завершения процесса перезагрузите компьютер.

Если все вышеупомянутые методы завершились неудачно и проблема с файлом gpedit.msc не была решена, перейдите к следующему шагу. Помните, что следующие шаги предназначены только для опытных пользователей

Компоненты GPO

Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.

Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей”  называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.

Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.

Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

• Централизованная настройка пакета программ Microsoft Office.
• Централизованная настройка управлением питанием компьютеров.
• Настройка веб-браузеров и принтеров.
• Установка и обновление ПО.
• Применение определенных правил в зависимости от местоположения пользователя.
• Централизованные настройки безопасности.
• Перенаправление каталогов в пределах домена.
• Настройка прав доступа к приложениям и системным программам.

Управляем обновлениями

И давайте рассмотрим, как можно более гибко управлять обновлениями в Windows 10.

На официальном сайте есть целая заметка по этой теме — https://docs.microsoft.com

В этой статье подробно рассказываться о том, как можно запланировать установку обновления, настроить политики перезапуска, указать период активности с помощью групповых политик.

В первую очередь необходимо зайти в раздел Настройка автоматического обновления. Это раздел можно найти по адресу Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows. Выбираем параметр 4 — Загружать автоматически и вносить установки в расписание.

Это важно сделать, так как иначе управлять перезагрузкой компьютера после установки обновления мы не сможем.

Теперь можно переходить к настройке перезагрузки. Мы можем либо отключить перезагрузку компьютера во время периода активности, либо не выполнять перезагрузку компьютера, если в системе работают пользователи

Периоду активности была посвящена предыдущая заметка. Если ваш режим работы за компьютером укладывается в период активности, то можно использовать эти настройки. Если же вы хотите предотвратить перезагрузку компьютера в том случае, когда вы за ним не находитесь, но какая-то программа на нем запущена и работает, то второй вариант будет более предпочтителен.

Но обратите внимание на то, что если время перезапуска задано в параметрах, то компьютер все равно перезагрузится!

Таким образом можно отложить обновления хоть на месяц, но все же не стоит с перезагрузкой затягивать, так как появятся новые обновления и процесс их установки не только будет более продолжительным, но и совместная установка нескольких обновлений может привести к проблемам.

Политика установки обновлений WSUS для рабочих станций

Мы предполагаем, что обновления на клиентские рабочие станции, в отличии от серверной политики, будут устанавливаться автоматически ночью сразу после получения обновлений. Компьютеры после установки обновлений должны перезагружаться автоматически (предупреждая пользователя за 5 минут).

В данной GPO (WorkstationWSUSPolicy) мы указываем:

• Allow Automatic Updates immediate installation (Разрешить немедленную установку автоматических обновлений): Disabled — запрет на немедленную установку обновлений при их получении;
• Allow non-administrators to receive update notifications (Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях): Enabled — отображать не-администраторам предупреждение о появлении новых обновлений и разрешить их ручную установку;
• Configure Automatic Updates: Enabled. Configure automatic updating: 4 — Auto download and schedule the install. Scheduled install day: 0 — Every day. Scheduled install time: 05:00 – при получении новых обновлений клиент скачивает в локлаьный кэш и планирует их автоматическую установку на 5:00 утра;
• Target group name for this computer: Workstations – в консоли WSUS отнести клиента к группе Workstations;
• No auto-restart with logged on users for scheduled automatic updates installations: Disabled — система автоматически перезагрузится через 5 минут после окончания установки обновлений;
• Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates: https://srv-wsus.winitpro.ru:8530, Set the intranet statistics server: https://srv-wsus.winitpro.ru:8530 –адрес корпоративного WSUS сервера.

В Windows 10 1607 и выше, несмотря на то, что вы указали им получать обновления с внутреннего WSUS, все еще могут пытаться обращаться к серверам Windows Update в интернете. Эта «фича» называется Dual Scan. Для отключения получения обновлений из интернета нужно дополнительно включать политику Do not allow update deferral policies to cause scans against Windows Update (ссылка).

Совет. Чтобы улучшить «уровень пропатченности» компьютеров в организации, в обоих политиках можно настроить принудительный запуск службы обновлений (wuauserv) на клиентах. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services найдите службу Windows Update и задайте для нее автоматический запуск (Automatic).

Локальная групповая политика

Локальная групповая политика (LGP или LocalGPO) — это более базовая версия групповой политики для автономных и не входящих в домен компьютеров, которая существует, по крайней мере, с Windows XP Home Edition , и может применяться к компьютерам домена. До Windows Vista LGP ​​могла принудительно применять объект групповой политики для одного локального компьютера, но не могла создавать политики для отдельных пользователей или групп. Начиная с Windows Vista, LGP позволяет управлять локальной групповой политикой для отдельных пользователей и групп, а также позволяет выполнять резервное копирование, импорт и экспорт политик между автономными компьютерами с помощью «пакетов групповой политики» — контейнеров групповой политики, которые включают файлы, необходимые для импорта политики. на машину назначения.