Поделиться через


Консоль управления групповыми политиками

Консоль управления групповыми политиками (GPMC) обеспечивает единое управление всеми аспектами групповой политики в нескольких лесах в пределах организации. GPMC позволяет управлять всеми объектами групповой политики (ГОП), фильтрами инструментария управления Windows (WMI) и разрешениями, связанными с групповой политикой в сети. Думайте о GPMC как основной точке доступа к групповой политике с всеми средствами управления групповыми политиками, доступными в интерфейсе GPMC.

GPMC состоит из набора скриптируемых интерфейсов для управления групповой политикой и пользовательского интерфейса на основе MMC. GPMC входит в состав Windows Server и средств удаленного администрирования сервера.

GPMC предоставляет следующие возможности:

  • Импортирование и экспортирование объектов групповой политики.
  • Копирование и вставка GPO (объектов групповой политики).
  • Резервное копирование и восстановление объектов групповой политики.
  • Найдите существующие объекты групповой политики.
  • Report capabilities.
  • Моделирование групповой политики. Позволяет имитировать результирующий набор данных политики (RsoP) для планирования развертываний групповой политики перед их реализацией в рабочей среде.
  • Результаты групповой политики. Позволяет просматривать взаимодействие групповой политики и устранять неполадки с развертываниями групповой политики.
  • Поддержка таблиц миграции для упрощения импорта и копирования GPO между различными доменами и лесами. Таблица миграции — это файл, который сопоставляет ссылки на пользователей, группы, компьютеры и UNC-пути в исходном объекте групповой политики на новые значения в целевом объекте групповой политики.
  • Создание отчетов о параметрах групповой политики и данных RSoP в отчетах HTML, которые можно сохранить и распечатать.
  • Скриптируемые интерфейсы, разрешающие все операции, доступные в GPMC. Скрипты нельзя использовать для изменения отдельных параметров политики в объекте групповой политики.

Prerequisites

Чтобы использовать GPMC, необходимо выполнить следующие предварительные требования.

  • Установите функцию управления групповыми политиками на компьютере под управлением Windows Server или клиентской операционной системы Windows.
  • Have Edit settings, delete, and modify security permissions on the GPO.
  • To link GPOs, you need the modify permission on that site, domain, or OU. По умолчанию у администраторов домена и администраторов предприятия есть это разрешение.
    • Пользователи и группы с разрешением на связывание объектов групповой политики с определенным сайтом, доменом или подразделением могут связывать объекты групповой политики, изменять порядок ссылок и задавать наследование блоков на этом сайте, домене или подразделении.

Создание несоединяемого объекта групповой политики

Чтобы создать объект групповой политики (GPO) без связи, выполните следующие действия.

  1. To open the GPMC, select Start, enter Group Policy Management in the search box, and then select Group Policy Management.
  2. В дереве консоли GPMC щелкните правой кнопкой мыши Объекты групповой политики в лесу и домене, где вы хотите создать новый непривязанный объект групповой политики.
  3. Select New.
  4. In the New GPO dialog box, specify a name for the new GPO, and then select OK.

Изменение существующего объекта групповой политики

Чтобы изменить параметры политики в существующем объекте групповой политики, выполните следующие действия.

  1. В дереве консоли GPMC разверните объекты групповой политики в лесу и домене, содержащие объект групповой политики, который требуется изменить.
  2. Right-click the GPO that you want to edit, and then select Edit.
  3. В дереве консоли редактора управления групповыми политиками разверните элементы по мере необходимости, чтобы найти элемент политики, содержащий параметры политики, которые необходимо изменить. Выберите элемент, чтобы просмотреть связанные настройки политики в панели сведений.
  4. В области сведений дважды щелкните имена параметра политики, который требуется изменить.
  5. In the Properties dialog box, modify policy settings as needed, and then select OK.
  6. Завершив необходимые изменения, закройте редактор управления групповыми политиками.

Основным способом применения параметров политики в объекте групповой политики для пользователей и компьютеров является связывание объекта групповой политики с контейнером в Active Directory. Объекты групповой политики могут быть связаны с тремя типами контейнеров в Active Directory: сайты, домены и организационные единицы (ОЕ). Объект групповой политики может быть связан с несколькими контейнерами Active Directory.

Объекты групповой политики хранятся на основе каждого домена. Например, если вы связываете объект групповой политики (ОГП) с организационным подразделением, ОГП не хранится в этом подразделении. Объект групповой политики — это объект, относящийся к домену, который может быть связан в любом месте в пределах леса. Пользовательский интерфейс в GPMC помогает уточнить различие между ссылками и фактическими объектами групповых политик.

В GPMC можно связать существующий объект групповой политики с контейнерами Active Directory с помощью любого из следующих методов:

  • Щелкните правой кнопкой мыши элемент сайта, домена или подразделения, а затем выберите ссылка на существующий объект GPO. Для этой процедуры требуется, чтобы объект групповой политики уже существовал в домене.
  • Перетащите объект GPO из раздела групповых политик в подразделение, к которому вы хотите его привязать. Эта функция перетаскивания работает только в одном домене.

В каждом сайте, домене и организационной единице (OU) порядок ссылок определяет очередность применения объектов групповой политики. Чтобы изменить приоритет ссылки, можно изменить порядок ссылок, переместив каждую ссылку вверх или вниз в списке в соответствующее расположение. Ссылки с наименьшим числом имеют более высокий приоритет для данного сайта, домена или подразделения.

Например, вы хотите, чтобы последний добавленный вами объект групповой политики имел наивысший приоритет. Вы можете изменить порядок ссылок объекта групповой политики на порядок ссылок 1, чтобы сделать его самым высоким. Чтобы изменить порядок ссылок на GPO для сайта, домена или подразделения, используйте GPMC.

Отмена связывания объекта групповой политики означает, что связанный объект групповой политики больше не применяется к расположению, где он был изначально связан. Чтобы отменить связь с объектом групповой политики, выполните приведенные действия.

  1. В дереве консоли GPMC разверните объекты групповой политики (GPO) в лесу и домене, где находится тот объект, который вы хотите отсоединить.
  2. Выберите ГПО, которое нужно отвязать.
  3. In the details pane, select the Scope tab.
  4. In the Links section, right-click the Active Directory object with the link you want to delete, and then select Delete Link(s).

Удаление ссылки на объект групповой политики отличается от удаления объекта групповой политики. Если ссылка на объект групповой политики остается доступным. Другие ссылки из других доменов на этот объект групповой политики (GPO) также остаются. При удалении объекта групповой политики вам будет предложено удалить объект групповой политики и все ссылки на него в выбранном домене. Выполнение операций с ОГП и все связанные ссылки не удаляют ссылки на ОГП из других доменов. Перед удалением этого объекта групповой политики из этого домена обязательно удалите ссылки на объект групповой политики в других доменах.

Отключение параметров конфигурации пользователя или компьютера в объекте групповой политики

Чтобы создать объект групповой политики для задания только параметров политики, связанных с пользователем, отключите параметры конфигурации компьютера в объекте групповой политики. Отключение конфигурации компьютера немного сокращает время загрузки, так как параметры конфигурации компьютера в GPO не должны оцениваться. Если вы настраиваете только параметры политики, связанные с компьютером, отключите параметры конфигурации пользователя в объекте групповой политики. Чтобы отключить конфигурацию пользователя или конфигурацию компьютера, выполните следующие действия.

  1. В дереве консоли GPMC разверните объекты групповой политики в лесу и домене, содержащий объект групповой политики, содержащий параметры политики, которые необходимо отключить.
  2. Щелкните правой кнопкой мыши объект групповой политики, содержащий параметры политики, которые вы хотите отключить.
  3. В списке состояния групповой политики выберите один из следующих параметров:
    • Все параметры политики отключены
    • Параметры конфигурации компьютера отключены
    • Enabled (default)
    • Параметры конфигурации пользователя отключены