Windows group policy folder

Содержание
  1. Общие сведения о перенаправлении папок, автономных файлах и перемещаемых профилях пользователей Folder Redirection, Offline Files, and Roaming User Profiles overview
  2. Описание технологий Technology description
  3. Практическое применение Practical applications
  4. Новые и измененные функции New and changed functionality
  5. Постоянный автономный режим Always Offline mode
  6. Какую пользу дает постоянный автономный режим? What value does Always Offline mode add?
  7. Как изменяет ситуацию постоянный автономный режим? How has Always Offline mode changed things?
  8. Экономная синхронизация Cost-aware synchronization
  9. Какую пользу приносит экономная синхронизация? What value does cost-aware synchronization add?
  10. Как изменяет ситуацию экономная синхронизация? How has cost-aware synchronization changed things?
  11. Основные компьютеры для перемещаемых профилей пользователей и перенаправления папок Primary computers for Folder Redirection and Roaming User Profiles
  12. Какую пользу приносят основные компьютеры? What value do primary computers add?
  13. Как изменяют ситуацию основные компьютеры? How have primary computers changed things?
  14. Требования к оборудованию Hardware requirements
  15. Требования к программному обеспечению Software requirements
  16. Дополнительные сведения More information
  17. Using Folder Redirection in Group Policy
  18. Overview
  19. Folders that can be redirected
  20. Advantages of Folder Redirection
  21. Selecting a Folder Redirection target
  22. Configuring additional settings for the redirected folder
  23. How to specify the location of folders in a user profile
  24. To specify the location of folders in a user profile
  25. Погружение в шаблоны и приручение GPO Windows
  26. Освежаем память
  27. Административные шаблоны
  28. Создаем свой шаблон
  29. Автоматическое управление

Общие сведения о перенаправлении папок, автономных файлах и перемещаемых профилях пользователей Folder Redirection, Offline Files, and Roaming User Profiles overview

Применяется к: Windows 10, Windows 8, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 Applies to: Windows 10, Windows 8, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2

В этом разделе рассматриваются технологии автономных файлов (кэширование на стороне клиента, или CSC), перемещаемых профилей пользователей (также известных как RUP) и перенаправления папок, в том числе новые возможности и поиск дополнительных сведений. This topic discusses the Folder Redirection, Offline Files (client-side caching or CSC), and Roaming User Profiles (sometimes known as RUP) technologies, including what’s new and where to find additional information.

Описание технологий Technology description

Технологии автономных файлов и перенаправления папок при совместном использовании позволяют перенаправлять путь к локальным папкам (например, к папке документов) в какое-либо место в сети. При этом для увеличения скорости и улучшения доступности кэширование содержимого производится локально. Folder Redirection and Offline Files are used together to redirect the path of local folders (such as the Documents folder) to a network location, while caching the contents locally for increased speed and availability. Технология перемещаемых профилей пользователей позволяет перенаправлять профиль пользователя в какое-либо место в сети. Roaming User Profiles is used to redirect a user profile to a network location. Эти возможности раньше назывались IntelliMirror. These features used to be referred to as Intellimirror.

Практическое применение Practical applications

С помощью технологий автономных файлов, перемещаемых профилей пользователей и перенаправления папок администраторы могут организовывать централизованное хранение данных и настроек пользователей, а также обеспечивать возможность доступа к данным при автономной работе, отказе сети или сервера. Administrators can use Folder Redirection, Offline Files, and Roaming User Profiles to centralize storage for user data and settings and to provide users with the ability to access their data while offline or in the event of a network or server outage. Некоторые частные случаи применения: Some specific applications include:

Новые и измененные функции New and changed functionality

В следующей таблице описаны некоторые основные изменения в технологиях автономных файлов, перемещаемых профилей пользователей и перенаправления папок, реализованные в данной версии. The following table describes some of the major changes in Folder Redirection, Offline Files, and Roaming User Profiles that are available in this release.

Компонент или функция Feature/functionality Новый или обновленный компонент New or updated? Описание Description
Постоянный автономный режим Always Offline mode Создать New Обеспечивает более быстрый доступ к файлам и снижает уровень использования пропускной способности за счет постоянной автономной работы даже при высокоскоростном сетевом подключении. Provides faster access to files and lower bandwidth usage by always working offline, even when connected through a high-speed network connection.
Экономная синхронизация Cost-aware synchronization Создать New Позволяет сократить стоимость синхронизации данных при использовании лимитных подключений или перемещении в сеть стороннего поставщика. Helps users avoid high data usage costs from synchronization while using metered connections that have usage limits, or while roaming on another provider’s network.
Поддержка основного компьютера Primary Computer support Создать New Позволяет применять технологии перемещаемого профиля и перенаправления папок (совместно или раздельно) только на основных компьютерах пользователей. Enables you to limit the use of Folder Redirection, Roaming User Profiles, or both to only a user’s primary computers.

Постоянный автономный режим Always Offline mode

Начиная с Windows 8 и Windows Server 2012, администраторы могут настроить систему так, чтобы работающие с автономными файлами пользователи всегда находились в автономном режиме, даже если они располагают высокоскоростным сетевым подключением. Starting with Windows 8 and Windows Server 2012, administrators can configure the experience for users of Offline Files to always work offline, even when they are connected through a high-speed network connection. Windows по умолчанию обновляет автономные файлы в кэше посредством почасовой фоновой синхронизации. Windows updates files in the Offline Files cache by synchronizing hourly in the background, by default.

Какую пользу дает постоянный автономный режим? What value does Always Offline mode add?

Постоянный автономный режим дает следующие преимущества: The Always Offline mode provides the following benefits:

Как изменяет ситуацию постоянный автономный режим? How has Always Offline mode changed things?

До появления ОС Windows 8 и Windows Server 2012 переход между сетевым и автономным режимами осуществлялся в зависимости от доступности и условий сети даже при включении режима медленного подключения с пороговым значением задержки в 1 миллисекунду. Prior to Windows 8, Windows Server 2012, users would transition between the Online and Offline modes, depending on network availability and conditions, even when the Slow-Link mode (also known as the Slow Connection mode) was enabled and set to a 1 millisecond latency threshold.

Экономная синхронизация Cost-aware synchronization

При экономной синхронизации Windows отключает фоновую синхронизацию, когда пользователь, выбравший сеть с лимитным тарифным планом (например, мобильную сеть 4G), достиг или почти достиг предела пропускной способности, либо в сеть стороннего поставщика. With cost-aware synchronization, Windows disables background synchronization when the user is using a metered network connection, such as a 4G mobile network, and the subscriber is near or over their bandwidth limit, or roaming on another provider’s network.

Как правило, в ОС Windows 8, Windows Server 2019, Windows Server 2016 и Windows Server 2012 для лимитных сетевых подключений автономный режим (режим медленного подключения) включается при увеличении задержки кругового пути до 35 миллисекунд. Metered network connections usually have round-trip network latencies that are slower than the default 35 millisecond latency value for transitioning to Offline (Slow Connection) mode in Windows 8, Windows Server 2019, Windows Server 2016, and Windows Server 2012. Поэтому данные подключения переводятся в автономный режим (режим медленного подключения) автоматически. Therefore, these connections usually transition to Offline (Slow Connection) mode automatically.

Какую пользу приносит экономная синхронизация? What value does cost-aware synchronization add?

Экономная синхронизация помогает пользователям сократить стоимость использования данных при лимитных подключениях или перемещении в сеть стороннего поставщика. Cost-aware synchronization helps users avoid unexpectedly high data usage costs while using metered connections that have usage limits, or while roaming on another provider’s network.

Как изменяет ситуацию экономная синхронизация? How has cost-aware synchronization changed things?

До появления Windows 8 и Windows Server 2012 пользователям, желавшим сократить расходы при работе с автономными файлами на лимитных сетевых подключениях, приходилось отслеживать использование данных с помощью средств, предлагаемых поставщиком мобильной связи. Prior to Windows 8 and Windows Server 2012, users who wanted to minimize fees while using Offline Files on metered network connections had to track their data usage by using tools from the mobile network provider. Затем при приближении к пределу пропускной способности или его превышении можно было переключиться на автономный режим вручную. The users could then manually switch to Offline mode when they were roaming, near their bandwidth limit, or over their limit.

При использовании экономной синхронизации Windows автоматически отслеживает пределы перемещения и использования пропускной способности на лимитных подключениях. With cost-aware sync, Windows automatically tracks roaming and bandwidth usage limits while on metered connections. Когда пользователь перемещается, приближается к пределу пропускной способности или превышает его, Windows переключается в автономный режим и препятствует любой синхронизации. When the user is roaming, near their bandwidth limit, or over their limit, Windows switches to Offline mode and prevents all synchronization. Тем не менее синхронизация по-прежнему запускается вручную, а администраторы могут переопределить экономную синхронизацию для конкретных пользователей, например руководителей организации. Users can still manually initiate synchronization, and administrators can override cost-aware synchronization for specific users, such as executives.

Основные компьютеры для перемещаемых профилей пользователей и перенаправления папок Primary computers for Folder Redirection and Roaming User Profiles

Теперь вы можете для каждого пользователя домена назначить набор компьютеров, которые называются основными, что позволяет контролировать использование технологий перемещаемого профиля и (или) перенаправления папок. You can now designate a set of computers, known as primary computers, for each domain user, which enables you to control which computers use Folder Redirection, Roaming User Profiles, or both. Назначение основных компьютеров — простой и эффективный способ сопоставления данных и настроек пользователя с конкретными компьютерами или устройствами. Это упрощает контроль со стороны администратора, повышает безопасность данных и позволяет защитить профили пользователей от повреждения. Designating primary computers is a simple and powerful method to associate user data and settings with particular computers or devices, simplify administrator oversight, improve data security, and help protect user profiles from corruption.

Какую пользу приносят основные компьютеры? What value do primary computers add?

Назначение основных компьютеров для пользователей дает четыре ключевых преимущества. There are four major benefits to designating primary computers for users:

Как изменяют ситуацию основные компьютеры? How have primary computers changed things?

Чтобы ограничить загрузку личных данных пользователей на основные компьютеры, с помощью технологий перемещаемых профилей и перенаправления папок производятся следующие проверки логики при входе: To limit downloading private user data to primary computers, the Folder Redirection and Roaming User Profiles technologies perform the following logic checks when a user signs in to a computer:

Требования к оборудованию Hardware requirements

Технологии автономных файлов, перемещаемых профилей пользователей и перенаправления папок реализуются на компьютерах под управлением 32- или 64-разрядной операционной системы и не поддерживаются на компьютерах под управлением Windows на ARM (WOA). Folder Redirection, Offline Files, and Roaming User Profiles require an x64-based or x86-based computer, and they are not supported by Windows on ARM (WOA)-based computers.

Требования к программному обеспечению Software requirements

Для назначения основных компьютеров среда должна соответствовать следующим требованиям. To designate primary computers, your environment must meet the following requirements:

Дополнительные сведения More information

Дополнительные сведения по данной теме см. на следующих ресурсах. For additional related information, see the following resources.

Источник

Using Folder Redirection in Group Policy

This topic presents conceptual information about folder redirection and procedures using the GPMC.

Folder Redirection enables you to redirect the location of specific folders within user profiles to a new location, such as a shared network location. Folder redirection is used in the process of administering user profiles and roaming user profiles. You can configure Folder Redirection using the Group Policy Management Console to redirect specific user profile folders, as well as edit Folder Redirection policy settings.

Overview

User settings and user files are typically stored in the local user profile, under the Users folder. The files in local user profiles can be accessed only from the current computer, which makes it difficult for users who use more than one computer to work with their data and synchronize settings between multiple computers. Two technologies exist to address this problem: Roaming Profiles and Folder Redirection. Both technologies have their advantages, and they can be used separately or together to create a seamless user experience from one computer to another. They also provide additional options for administrators managing user data.

Folder Redirection lets administrators redirect the path of a folder to a new location. The location can be a folder on the local computer or a directory on a network file share. Users can work with documents on a server as if the documents were based on a local drive. The documents in the folder are available to the user from any computer on the network. Folder Redirection is located under Windows Settings in the console tree when you edit domain-based Group Policy by using the Group Policy Management Console (GPMC). The path is [Group Policy Object Name]\User Configuration\Policies\Windows Settings\Folder Redirection.

Folders that can be redirected

You can use the GPMC to redirect the following folders:

AppData/Roaming

Contacts

Desktop

Documents

Downloads

Favorites

Links

Music

Pictures

Saved Games

Searches

Start Menu

Videos

Advantages of Folder Redirection

Even if users log on to different computers on the network, their data is always available.

Offline File technology (which is turned on by default) gives users access to the folder even when they are not connected to the network. This is especially useful for people who use portable computers.

Data that is stored in a network folder can be backed up as part of routine system administration. This is safer because it requires no action by the user.

If you use Roaming User Profiles, you can use Folder Redirection to reduce the total size of your Roaming Profile and make the user logon and logoff process more efficient for the end-user. When you deploy Folder Redirection with Roaming User Profiles, the data synchronized with Folder Redirection is not part of the roaming profile and is synchronized in the background by using Offline Files after the user has logged on. Therefore, the user does not have to wait for this data to be synchronized when they log on or log off as is the case with Roaming User Profiles.

Data that is specific to a user can be redirected to a different hard disk on the user’s local computer from the hard disk that holds the operating system files. This makes the user’s data safer in case the operating system has to be reinstalled.

As an administrator, you can use Group Policy to set disk quotas, limiting how much space is taken up by user profile folders.

Selecting a Folder Redirection target

The Target tab of the folder’s Properties box enables you to select the location of the redirected folder on a network or in the local user profile. You can choose between the following settings:

Basic—Redirect everyone’s folder to the same location. This setting enables you to redirect everyone’s folder to the same location and is applied to all users included in the Group Policy Object. For this setting, you have the following options in specifying a target folder location:

Redirect to the following location. This option uses an explicit path for the redirection location. This can cause multiple users to share the same path for the redirected folder.

Redirect to the local user profile location. This option moves the location of the folder to the local user profile under the Users folder.

Configuring additional settings for the redirected folder

In the Settings tab in the Properties box for a folder, you can enable these settings:**В **

Grant the user exclusive rights. This setting is enabled by default and is a recommended setting. This setting specifies that the administrator and other users do not have permissions to access this folder.

Move the contents of [FolderName] to the new location. This setting moves all the data the user has in the local folder to the shared folder on the network.

Policy Removal option

Redirect the folder back to the user profile location when policy is removed

Enabled

The folder returns to its user profile location.

The contents are copied, not moved, back to the user profile location.

The contents are not deleted from the redirected location.

The user continues to have access to the contents, but only on the local computer.

Redirect the folder back to the user profile location when policy is removed

Disabled

The folder returns to its user profile location.

The contents are not copied or moved to the user profile location.

If the contents of a folder are not copied to the user profile location, the user cannot see them.

Leave the folder in the new location when policy is removed

Either Enabled or Disabled

The folder remains at its redirected location.

The contents remain at the redirected location.

The user continues to have access to the contents at the redirected folder.

How to specify the location of folders in a user profile

You can use Group Policy to specify another location (in other words, «redirect» the location) for folders within user profiles. You can redirect folders either to one location for everyone or to different locations based on the security group membership of users. You can also configure additional settings for the redirected folder. The settings that you can configure include whether to grant exclusive user rights to the folder, move the contents of the folder to the new location, apply redirection policy to earlier Windows operating systems, or specify system behavior if the policy is removed.

To specify the location of folders in a user profile

In the GPMC console tree, right-click the Group Policy Object that is linked to the site, domain, or organizational unit that contains the users whose user profile folders you want to redirect, and then click Edit.

In the Group Policy Management Editor window, right-click the user profile folder that you want to redirect. The path of the user profile folder is User Configuration\Policies\Windows Settings\Folder Redirection\UserProfileFolderName

In the Target tab, under Settings, choose one of the following settings, follow the steps for that setting, and then click OK:

Basic—Redirect everyone’s folder to the same locationВ

Under Target folder location, select a location.

If you want to redirect the folder to a specific location, select Create a folder for each user under the root path or Redirect to the following location, and then click Browse to specify a location.

If you want to specify additional redirection settings for the folder, click the Settings tab to configure any of the following settings, and then click OK:

Grant the user exclusive rights to the folder (selected by default).

Move the contents of the folder to the new location (selected by default).

Specify policy removal settings (Leave the folder in the new location when policy is removed is selected by default).

Advanced—Specify locations for various user groups

Under Security Group Membership, click Add.

Under Security Group Membership, click Browse to find the security group.

Under Target folder location, select a location.

If you want to redirect the folder to a specific location, select Create a folder for each user under the root path or Redirect to the following location, and then click Browse to specify a location.

If you want to specify additional redirection settings for the folder, click the Settings tab to configure any of the following settings, and then click OK:

Grant the user exclusive rights to [FolderName] (selected by default).

Move the contents of [FolderName] to the new location (selected by default).

Specify Policy Removal settings (Leave the folder in the new location when policy is removed is selected by default).

Follow the documents folder

Not configured

This is the default setting. No changes are made to the current location of this folder.

Additional considerations

You can also use the GPMC to configure the following Folder Redirection policy settings:

Use localized subfolder names when redirecting Start and My Documents—This policy is located in the following paths: Computer Configuration\Policies\Administrative Templates\System\Folder Redirection, or User Configuration\Policies\Administrative Templates\System\Folder Redirection.

Do not automatically make redirected folders available offline—This policy is located in the following path: User Configuration\Policies\Administrative Templates\System\Folder Redirection.

Источник

Погружение в шаблоны и приручение GPO Windows

В очередной статье из цикла «конспект админа» мне хотелось бы освежить в памяти несколько нюансов использования групповых политик. Заодно поразвлекаемся с созданием своих шаблонов и с автоматизацией работы с этими самыми политиками.

Освежаем память

Я не буду рассказывать, что такое групповые политики, и остановлюсь лишь на основных моментах, которые стоит иметь в виду при работе с ними.

В системах Windows помимо доменных существуют и локальные групповые политики ― управлять ими можно при помощи оснастки gpedit.msc на системах редакции Professional и выше. Часто считается, что без домена можно настраивать локальные групповые политики только для всех пользователей на компьютере. Это не совсем верно ― с выходом Windows Vista появилась возможность использовать множественную локальную групповую политику или MLGPO. Этот механизм позволяет настраивать отдельные политики для разных пользователей.

Добраться до него можно через вызов консоли mmc: при добавлении оснастки «Управление объектами групповой политики» нажать кнопку «Обзор». Далее на вкладке «Пользователи» уже можно выбрать конкретного пользователя или группу «Администраторы» и «Не администраторы». К сожалению, управление для группы пользователей не реализовано.


Управление групповой политикой для отдельных пользователей.

Бывало и так, что на отдельностоящем терминальном сервере разворачивали Active Directory только для того, чтобы отдельному пользователю настроить поведение драйвера для EasyPrint. Не надо так.

При добавлении доменных групповых политик стоит помнить про порядок их применения ― политика, примененная последней, будет обладать наивысшим приоритетом (да и на собеседованиях часто спрашивают).

Итак, предположим, что у нас есть компьютер в домене и четыре групповые политики: локальная на этом компьютере; политика на подразделение, в котором находится компьютер; политика на домен и политика на лес. Порядок их применения будет следующим:

То есть чем ближе к объекту, тем приоритетнее, за исключением локальной групповой политики. Если надо отключить применение вышестоящих политик, то ставьте блокировку наследования.


Блокировка наследования.

Любую групповую политику можно условно разделить на две конфигурации ― пользователя и компьютера. Обычно политики с настройками компьютеров назначаются на подразделение, в котором находятся компьютеры. А политики с настройками пользователей ― на пользователей.

Если надо применить настройки компьютера к подразделению с пользователями и наоборот, используют так называемое замыкание групповой политики. Например, такая настройка пригодится, когда нужно применить специфические политики к пользователям для работы на терминальных серверах.

Работа замыкания настраивается непосредственно в политике ― «Настройка компьютера ― Административные шаблоны ― Система ― Режим обработки замыкания пользовательской групповой политики». Подробнее про механизм уже писали в статье про использование Merge\Replace в GPO. Я лишь добавлю, что режим замыкания групповой политики ― тоже частый вопрос на собеседовании.


Настройка замыкания групповой политики.

Физически доменные групповые политики находятся в папке SYSVOL на контроллерах домена. Папка реплицируется между контроллерами. Каждая групповая политика выглядит как папка с именем в виде GUID.


Групповые политики домена.

Правила фильтрации, настраиваемые через редактор групповой политики, соответствуют настройкам прав NTFS на соответствующую подпапку.

Говоря о правилах фильтрации, нельзя не упомянуть обновление MS16-072, которое «сломало» групповые политики. Теперь для того чтобы работали правила фильтрации, надо добавлять к каждому фильтру правило «на чтение», но не «на применение» группе Domain Computers.

В каждой папке с групповой политикой существуют подпапки Machine и User, соответствующие настройкам пользователя и компьютера. Если углубиться в подпапки, можно легко понять структуру групповой политики:

Подробнее про структуру можно почитать в материале Group Policy Basics, поэтому перейдем сразу к шаблонам.

Административные шаблоны

По сути своей административные шаблоны ― это специальные файлы с инструкциями по изменению клиентского реестра (ветки HKCU или HKLM) и настройками отображения изменяемых параметров через «Управление групповой политикой». В принципе, реестр можно менять и через «Предпочтения групповых политик». Но разница здесь не только в красивом интерфейсе.

Note
Способ изменения реестра Как ведет себя при удалении политики со стандартными настройками Можно ли изменить параметр вручную Можно ли изменить параметр через приложение
Шаблоны Параметр реестра восстанавливается на значение «по умолчанию», если настройки по умолчанию есть в шаблоне
Предпочтения политик Параметр реестра не изменяется + +

Сравнение предпочтения групповых политик и административных шаблонов.

Другими словами, настройка реестра через шаблоны групповых политик более строгая. Тогда как настройка через предпочтения групповых политик напоминает периодическое применение reg-файла. Конечно, предпочтения позволяют не только менять параметры реестра, но и довольно гибко настраиваются. Тем и ценны.

Это актуально при изменении ветки Policies, и настраиваемое приложение должно хранить свои настройки в реестре. Простое изменение параметров через Предпочтения и Шаблоны будет работать схожим образом, только шаблоны могут оказаться удобнее.

Не обошлось без ложки дегтя ― теперь содержимое файла представляет собой популярный в индустрии формат XML. И создавать новые шаблоны в блокноте стало уже не так удобно.

Под большинство параметров, которые могут понадобиться, шаблоны уже существуют. Кроме того, многие производители приложений выпускают свои административные шаблоны. Вот несколько примеров:

Создаем свой шаблон

Для начала разберем простой пример. Создадим шаблон групповой политики, который позволит нам включать и выключать отображение скрытых и системных файлов, а заодно и отображение расширений.

Сразу скажу, что это можно провернуть через «Предпочтения групповых политик» ― в параметрах панели управления ― опции папки. Но мы легких путей не ищем и заодно не хотим, чтобы параметры отображения можно было менять вручную.

За необходимые нам параметры отвечают три ключа в реестре:

Разберем подробнее синтаксис файла.

Помимо задействованных опций есть и другие, например:

Подробнее со всеми параметрами можно ознакомится в разделе MSDN ADM Format.

Установить новый шаблон не просто, а очень просто ― достаточно щелкнуть правой кнопкой мыши по пункту «Административные шаблоны», выбрать «Добавление и удаление шаблонов» и добавить наш свежесозданный шаблон.


Добавленный шаблон.

После установки шаблона он отобразится в ветке «Классические административные шаблоны».


Конвертируем шаблон.

Конечно же, можно обойтись без вот-этого-всего и разобраться самостоятельно ― оставлю это в качестве домашнего задания. Благо на портале MSDN есть подробное описание XML-схемы, и есть неплохие материалы с примерами в сети. Например, «Административные шаблоны групповой политики».

Теперь перейдем к автоматизации.

Автоматическое управление

Работать с групповыми политиками из командной строки довольно тоскливо. Основных инструментов можно выделить три.

PowerShell. Есть набор командлетов для резервного копирования, восстановления и управления групповыми политиками. Создание новых политик ограничено ― можно лишь изменять реестр. Впрочем, в большинстве случаев и этого достаточно. В качестве примера создадим групповую политику, которая отключит автоматическое обновление Adobe Reader DC.

За отключение автоматического обновления отвечает ключ реестра bUpdater в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown]. Установив параметр в 0, мы отключим опцию.

Создание групповой политики на PowerShell будет выглядеть так:

Свежесозданная групповая политика.

Полный список и описание командлетов доступны в материале Technet Group Policy Cmdlets in Windows PowerShell.

Интерфейс COM к GPMC (консоли управления групповой политикой). Способ позволяет сделать с политиками многое, на любом языке программирования, поддерживающим COM-интерфейсы. К сожалению, популярность он не приобрел и примеров в сети довольно мало, несмотря на богатое описание методов интерфейса на портале MSDN. Немногочисленные примеры использования доступны для загрузки в галерее Technet.

LGPO.exe. Не так давно Microsoft заменил набор утилит для работы с локальными групповыми политиками на единую утилиту. Скачать ее можно на официальном сайте. Утилита удобна для копирования и развертывания локальных групповых политик. Заявлена и поддержка MLGPO. Создавать свои политики тоже можно. Также программа удобна для создания и изменения файлов реестра registry.pol. Для примера изменим локальную групповую политику, добавив в нее отключение обновления несчастного Acrobat Reader DC.

Сделаем бэкап локальной групповой политики командой

В папке C:\Temp появится подпапка с GUID по структуре схожая с доменными групповыми политиками:

Теперь развернем registry.pol в текстовый файл:

Синтаксис текстового файла очевиден. Добавим в него значения реестра для отключения автоматического обновления «Акробата»:


Добавленный в файл параметр реестра.

Теперь останется завернуть наш reg.txt обратно в registry.pol и импортировать изменившийся файл обратно в локальную групповую политику:

Все эти махинации, конечно же, можно завернуть в один скрипт и использовать для массового изменения локальной групповой политики привычным инструментом для запуска команд на удаленных компьютерах. Подробнее про методы запуска команд можно почитать в нашей статье «1000++ способ запуска команд на удаленном компьютере».

Конечно же, зная структуру доменной групповой политики, ничто не мешает сделать удобный именно вам инструмент для создания и управления политиками. Поделитесь в комментариях, есть ли у вас свои способы настройки реестров пользовательских машин?

Источник

Читайте также:  Duke nukem для windows 10
Поделиться с друзьями
Советы экспертов и специалистов
Adblock
detector