Как управлять параметрами ос windows 10 с помощью редактора групповой политики

Как выключить локальную политику безопасности

Необходимо выключить службу «Клиент групповой политики». Но она «вшита» в Windows 7/8/10 настолько прочно, что остановить и деактивировать её с помощью встроенного мастера настройки служб, вызываемого из диспетчера задач, нельзя.

Самый действенный способ — вмешаться в реестр системы. Сделайте следующее:

1. Войдите в уже знакомую строку запуска программ «Выполнить» и введите команду «regedit». Откроется редактор реестра.
2. Перейдите в директорию \HKLM\SYSTEM\CurrentControlSet\Services\gpsvc (процесс gpsvc.exe, видимый в диспетчере задач при работе «Клиента групповой политики», запускается реестром Windows из этого места).
3. Правый щелчок мышью откроет меню папки «gpsvc» — выберите «Разрешения».

   В редакторе реестра находим папку «gpsvc», нажимаем «Разрешения»

4. Выберите другого владельца, зайдя в дополнительные параметры безопасности.

   Без изменения имени вы не сможете добраться до полного доступа к процессу gpsvc

5. Отметьте все разрешения. Желательно удалить лишних пользователей из настройки неограниченного доступа к службе.

   Отметьте все разрешения, удалите лишних пользователей из настройки дополнительного доступа в графе «Группы или пользователи»

6. Вернитесь к папке gpsvc в данной директории реестра и измените ключ Start, введя значение 4 («Отключено»).

   В папке gpsvc измените ключ Start, введя значение 4, и система отключится

7. Закройте все окна, нажав OK, перезапустите компьютер.

Это ещё не всё! Вам будет мешать сообщение в трее о неработе службы «Клиент групповой политики».

Оно будет появляться каждый раз, уберите его

Чтобы его убрать, сделайте следующее:

Предварительно сохраните эту папку в отдельный файл реестра.
Это делается на случай, если работу службы нужно быстро восстановить, не переустанавливая Windows. После удаления папки перезапустите компьютер — уведомление больше не появится.

Как исправить отказ в доступе

Давайте перечислим способы, позволяющие избавиться от ошибки «Групповая политика препятствует входу в систему».

Отредактируйте системный реестр

Выполните следующее:

Нажмите Win+R, введите там regedit, нажмите Энтер. Перейдите по пути:

В панели справа поищите параметр «GPSvcGroup». Если его там нет, кликните правой клавишей мышки на пустом месте правого поля, кликните на «Создать» — «Мультистроковой параметр» и дайте ему имя (переименуйте) на GPSvcGroup.

• Если он там есть (или вы его создали), кликните ПКМ на данном параметре, выберите «Изменить», скопируйте значение GPSvc в поле «Значения» и нажмите на «Ок»;

  Введите указанное значение

• Вновь нажмите ПКМ на пустое место справа, выберите «Создать» – «Раздел», и дайте ему название GPSvcGroup.
• Кликните на новосозданной папке GPSvcGroup, затем кликните ПКМ на пустом месте справа, выберите создать «Параметр DWORD» и назовите его AuthenticationCapabilities.
• Нажмите ПКМ на AuthenticationCapabilities, выберите «Изменить», активируйте «Десятичная», введите 12320 и нажмите на «Ок».
• Создайте другой параметр DWORD с именем CoInitializeSecurityParam и установите ему значение 1.

  Создайте перечисленные параметры

• Перезагрузите ваш ПК и попытайтесь выполнить вход в оригинальный аккаунт.

Перезапустите службу групповых политик

• Нажмите на Win+R, введите там services.msc. Найдите в перечне служб «Клиент групповой политики», дважды кликаем на ней, устанавливаем тип запуска на «Автоматически», сохраняем изменения;
• Запускаем командную строку, там набираем:

И нажимаем ввод. После завершения процедуры перезагружаем ПК, это может помочь устранить ошибку «Клиент групповой политики препятствует входу в систему».

Введите данную команду

Проверьте систему на наличие зловредов

Во многих случаях причинами рассматриваемой проблемы являются вирусные зловреды, изменяющие системные настройки под свои нужны. Используйте ДокторВеб Кюрейт, Trojan Remover, AdwCleaner и другие онлайн аналоги для борьбы со зловредами — 7 лучших антивирусов.

Восстановите параметры безопасности

Для реализации данной операции нам понадобится загрузочная флешка с нашей версией ОС. Загрузитесь с её помощью, выбираем внизу «Восстановление», запускаем командную строку, и там вводим:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Перезагрузите ваш ПК, это поможет исправить проблему отказано в доступе.

Удалите файл NTUSER.DAT

Перейдите в директорию C:\Users, там найдите папку с названием вашего аккаунта, войдите в неё, и удалите там файл NTUSER.DAT, отвечающий за хранение настроек пользовательского профиля. Если ваш аккаунт повреждён, вы можете попробовать удалить данный файл, перезагрузить ваш ПК, и попытаться войти в систему.

Удалите указанную папку

Выполните системное восстановление

Переход к ранее стабильной точке работы вашего ПК (откат системы) является хорошей альтернативой для восстановления её работоспособности. При запуске системы быстро жмите на F8 и выберите «Загрузка последней удачной конфигурации». Это может помочь решить проблему отказано в доступе клиенту групповых политик.

Если же доступ к системе вовсе не возможен, попробуйте загрузиться с флешки с имеющейся на ней образом Виндовс 10, и после выбора языка кликнуть слева внизу на «Восстановление системы». В дополнительных параметрах необходимо будет вновь выбрать опцию «Восстановление системы», что позволит системе выполнить откат до прежней стабильной точки восстановления.

Появление рассматриваемого в статье сообщения обычно сигнализирует о наличии проблем со службой групповых политик «GPSVC», актуализированной в процессе SVCHOST. Выполните перечисленные выше советы, что позволит решить ошибку «Служба «Клиент групповой политики» препятствует входу в систему» на вашем ПК.

Редактор групповой политики

В Windows 7 Домашняя Базовая/Расширенная и Начальная редактор групповых политик просто отсутствует. Разработчики позволяют использовать его только в профессиональных версиях Виндовс, например, в Windows 7 Максимальная. Если вы не обладаете этой версией, то те же действия вам придется выполнять через изменения параметров реестра. Давайте подробнее рассмотрим редактор.

Запуск редактора групповой политики

Переход к среде работы с параметрами и настройками осуществляется за несколько простых действий. Вам только необходимо:

1. Зажать клавиши Win + R, чтобы открыть «Выполнить».

Напечатать в строке gpedit.msc и подтвердить действие, нажав «ОК». Далее запустится новое окно.

Теперь можно приступать к работе в редакторе.

Работа в редакторе

Разделяется главное окно управления на две части. Слева располагается структурированные категории политик. Они в свою очередь делятся еще на две различные группы – настройка компьютера и настройка пользователя.

В правой части отображается информация о выбранной политике из меню слева.

Из этого можно сделать вывод, что работа в редакторе осуществляется путем перемещения по категориям для поиска необходимой настройки. Выберите, например, «Административные шаблоны» в «Конфигурации пользователя» и перейдите в папку «Меню «Пуск» и диспетчер задач». Теперь справа отобразятся параметры и их состояния. Нажмите на любую строку, чтобы открыть ее описание.

Установка редактора локальной групповой политики в Windows 10 Home

Рассматриваемая утилита доступна не во всех редакциях ОС. Открыть её можно в Профессиональной, Корпоративной и Образовательной редакциях. К сожалению, Домашняя версия не имеет доступа к редактору, но существует простое решение, позволяющее обойти ограничение без установки сторонних программ. Для этого заходят в консоль или PowerShell и вставляют соответствующие команды:

• «FOR %F IN («%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~*.mum») DO (DISM /Online /NoRestart /Add-Package:»%F»)»;
• «FOR %F IN («%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~*.mum») DO (DISM /Online /NoRestart /Add-Package:»%F»)«.

Примеры использования

Перейдем к использованию редактора локальной групповой политики. Я покажу несколько примеров, которые позволят увидеть, как именно производятся настройки.

Разрешение и запрет запуска программ

Если вы пройдете в раздел Конфигурация пользователя — Административные шаблоны — Система, то там вы обнаружите следующие интересные пункты:

• Запретить доступ к средствам редактирования реестра
• Запретить использование командной строки
• Не запускать указанные приложения Windows
• Выполнять только указанные приложения Windows

Два последних параметра могут быть полезными даже обычному пользователю, далекому от системного администрирования. Кликните дважды по одному из них.

В появившемся окне установите «Включено» и нажмите по кнопке «Показать» около надписи «Список запрещенных приложений» или «Список разрешенных приложений», в зависимости от того, какой из параметров меняется.

Укажите в строчках имена исполняемых файлов программ, запуск которых нужно разрешить или запретить и примените настройки. Теперь, при запуске программы, которая не разрешена, пользователь будет видеть следующее сообщение об ошибке «Операция отменена из-за ограничений, действующих на этом компьютере».

Изменение параметров контроля учетных записей UAC

В разделе Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности имеется несколько полезных настроек, одну из которых можно и рассмотреть.

Выберите параметр «Контроль учетных записей: поведение запроса на повышение прав для администратора» и дважды кликните по нему. Откроется окно с параметрами этой опции, где по умолчанию стоит «Запрос согласия для исполняемых файлов не из Windows» (Как раз поэтому, всякий раз, при запуске программы, которая хочет изменить что-то на компьютере, у вас запрашивают согласие).

Вы можете вообще убрать подобные запросы, выбрав параметр «Повышение без запроса» (только этого лучше не делать, это опасно) или же, напротив, установить параметр «Запрос учетных данных на безопасном рабочем столе». В этом случае, при запуске программы, которая может внести изменения в системе (а также для установки программ) каждый раз потребуется вводить пароль учетной записи.

Сценарии загрузки, входа в систему и завершения работы

Еще одна вещь, которая может оказать полезной — скрипты загрузки и выключения, которые вы можете заставить выполняться с помощью редактора локальной групповой политики.

Это может пригодиться, например, для запуска раздачи Wi-Fi с ноутбука при включении компьютера (если вы реализовывали ее без сторонних программ, а создав Wi-Fi сеть Ad-Hoc) или выполнения операций резервного копирования при выключении компьютера.

В качестве скриптов можно использовать командные файлы .bat или же файлы сценариев PowerShell.

Сценарии загрузки и выключения находятся в Конфигурация компьютера — Конфигурация Windows — Сценарии.

Сценарии входа в систему и выхода — в аналогичном разделе в папке «Конфигурация пользователя».

Например, нам нужно создать сценарий, выполняемый при загрузке: дважды кликаем по «Автозагрузка» в сценариях конфигурации компьютера, нажимаем «Добавить» и указываем имя файла .bat, который следует выполнить. Сам файл должен находится в папке C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup (этот путь можно увидеть по нажатию кнопки «Показать файлы»).

В случае, если сценарий требует ввода каких-то данных пользователем, то на время его исполнения дальнейшая загрузка Windows будет приостановлена, до завершения работы скрипта.

Как сбросить все параметры локальной групповой политики

С помощью редактора локальной групповой политики вы можете настроить множество параметров, касающихся персонализации, системы, сети и многого другого. Всего доступно более 2000 настроек, которые вы можете настроить через редактор.

Существует как минимум два способа сброса объектов групповой политики к настройкам по умолчанию. Они оба очень просты, но один занимает больше времени, чем другой, в зависимости от того, сколько политик вы настроили.

Важное замечание: Хотя вероятность того, что в этом процессе что-то пойдет не так, очень мала, всегда рекомендуется создать полную резервную копию вашей системы или, по крайней мере, создать точку восстановления системы, чтобы откатить ваши изменения

Сброс настроек с помощью редактора локальной групповой политики

Если вы часто меняете эти параметры, то замечали, что по умолчанию все они находятся в состоянии «Не настроен». Это означает, что вы можете легко войти в каждую политику, чтобы сбросить её настройки.

1. Используйте сочетание клавиш Win + R, чтобы открыть командное окно «Выполнить».
2. Введите gpedit.msc и нажмите ОК.
3. Посмотрите следующий путь, чтобы увидеть все настройки:

   Конфигурация компьютера → Административные шаблоны → Все параметры

4. На правой стороне отсортируйте настройки по столбцу «Состояние», чтобы измененные оказались наверху.
5. Дважды щелкните каждую политику, которая включена и отключена, и измените её состояние на Не настроено.
6. Нажмите OK и повторите шаги для каждой политики.

Если вы также изменили настройки в разделе «Конфигурация пользователя», вам необходимо выполнить те же действия, что и выше, но чтобы перейти ко всем настройкам, используйте следующий путь:

Конфигурация пользователя → Административные шаблоны → Все параметры

Сброс настроек групповой политики с помощью командной строки

Очевидно, что предыдущие шаги работают лучше всего, когда у вас есть только несколько политик для сброса. Если вы изменили много параметров, вы можете быстро сбросить все объекты групповой политики к настройкам по умолчанию, используя несколько командных строк.

1. Откройте командную строку от имени администратора.
2. Введите следующие две команды и нажмите Enter после каждой строки:

   RD /S /Q "%WinDir%\System32\GroupPolicyUsers"

   RD /S /Q "%WinDir%\System32\GroupPolicy"

3. Теперь вы можете перезагрузить компьютер или принудительно выполнить обновление, используя следующую команду для выполнения задачи:

   gpupdate /force

Команды удаляют папки, в которых хранятся параметры групповой политики на вашем компьютере, а затем Windows 10 повторно применяет параметры по умолчанию.

Имейте в виду, что мы показываем вам шаги, чтобы сбросить эти настройки локально. Это руководство не предназначено для использования на компьютере, подключенном к домену с использованием Active Directory, так как ваш сетевой администратор может контролировать эти параметры.

Если вы используете Windows 10 Home, у вас вообще не будет доступа к редактору локальной групповой политики, поскольку он доступен только для бизнес-вариантов операционной системы, включая Windows 10 Pro, Enterprise и Education.

Кроме того, это руководство не сбрасывает настройки безопасности в разделе «Параметры Windows», поскольку они хранятся в другом месте.

Наконец, хотя мы сосредоточиваем эти шаги на Windows 10, это руководство также должно работать с профессиональными версиями Windows 8.1 и Windows 7.

Настройки политики

Каждая политика доступна для настройки. Открывается окно редактирования параметров по двойному щелчку на определенную строку. Вид окон может отличаться, все зависит от выбранной политики.

Стандартное простое окно имеет три различных состояния, которые настраиваются пользователем. Если точка стоит напротив «Не задано», то политика не действует. «Включить» – она будет работать и активируются настройки. «Отключить» – находится в рабочем состоянии, однако параметры не применяются.

Рекомендуем обратить внимание на строку «Поддерживается» в окне, она показывает, на какие версии Windows распространяется политика

Как редактировать политики Windows с помощью редактора локальной групповой политики

Чтобы вы могли легко понять процесс, связанный с редактированием политик, мы будем использовать пример. Допустим, вы хотите установить конкретные обои по умолчанию для вашего рабочего стола, которые будут установлены для всех существующих или новых пользователей на вашем компьютере с Windows.

Чтобы перейти к настройкам рабочего стола, вам нужно будет просмотреть категорию «Конфигурация пользователя» на левой панели. Затем перейдите к административным шаблонам, разверните Рабочий стол и выберите параметры внутреннего рабочего стола. На правой панели вы увидите все параметры, которые вы можете настроить для выбранного в настоящий момент административного шаблона

Обратите внимание, что для каждого доступного параметра у вас есть два столбца с правой стороны:

• В столбце «Состояние» указано, какие параметры не настроены, а какие включены или отключены.
• В столбце «Комментарии» отображаются комментарии, сделанные вами или другим администратором для этого параметра.

В левой части этой панели также отображается подробная информация о том, что делает конкретный параметр и как он влияет на Windows. Эта информация отображается в левой части панели всякий раз, когда вы выбираете определенную настройку. Например, если вы выберете Обои для рабочего стола, слева вы увидите, что их можно применять к версиям Windows, начиная с Windows 2000, и вы можете прочитать их Описание , которое говорит вам, что вы можете указать «фон рабочего стола отображается на всех рабочих столах пользователей» . Если вы хотите отредактировать настройку, в нашем случае обои рабочего стола, дважды щелкните/нажмите на эту настройку или щелкните правой кнопкой мыши/нажмите и удерживайте ее, а затем выберите «Изменить» в контекстном меню.

Откроется новое окно с названием выбранного вами параметра. В этом окне вы можете включить или отключить настройку или оставить «Не настроено». Если вы хотите включить настройку, сначала выберите ее как Включено. Затем прочитайте раздел справки и, если есть раздел «Опции», убедитесь, что вы заполняете запрашиваемую информацию

Обратите внимание, что это окно может включать в себя различные параметры, в зависимости от настройки, которую вы выбираете для редактирования. Например, в нашем примере об указании обоев для рабочего стола мы должны указать путь к файлу изображения, который мы хотим установить в качестве обоев, и мы должны выбрать, как мы хотим, чтобы он располагался

Затем мы можем добавить комментарий (если мы хотим — это совершенно необязательно) и, наконец, мы должны нажать кнопку Применить или кнопку ОК , чтобы активировать нашу настройку.

Отключение параметра или изменение его статуса на «Не настроен» предполагает простой выбор одного из этих параметров. Как мы упоминали ранее, разные настройки имеют разные параметры. Например, сценарии, которые вы можете настроить для запуска Windows при запуске или выключении, могут выглядеть совершенно иначе.

Нажмите или коснитесь «Конфигурация компьютера», затем «Параметры и сценарии Windows» («Запуск / выключение»). Выберите «Запуск» или «Выключение» на правой панели и нажмите на ссылку «Свойства» на правой панели. Или дважды щелкните Запуск или Завершение работы.

Нажмите «Добавить…», чтобы добавить новые сценарии в выбранный процесс.

В этом случае вам не нужно ничего включать или отключать. Вместо этого вы можете добавлять или удалять различные сценарии, запускаемые при запуске или завершении работы Windows.

Когда вы закончите, нажмите или нажмите OK .

Перейдите к редактору локальной групповой политики и проверьте, какие настройки он предлагает, потому что их много. Считайте это своей игровой площадкой на время, так как есть много вещей, которые вы можете проверить.

Пример последовательности действий при редактировании определенной политики

Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:

• Войти в систему под учетной записью администратора.
• Запустить Редактор локальной групповой политики
  • Открыть окно Выполнить,
  • Ввести gpedit.msc,
  • Нажать Enter.
• Последовательно развернуть элементы Конфигурация пользователя > Административные шаблоны > Панель управления в окне Редактора локальной групповой политики.

Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления

• Дважды щелкнуть ЛКМ по параметру политики Отображать только указанные объекты панели управления.
• Выбрать значение Включено.

Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления

• Нажать кнопку Показать, чтобы вызвать диалоговое окно Вывод содержания.
• Ввести имя апплета или апплетов, которые необходимо показывать в Панели управления, и нажать Enter.

Рис.10 Список разрешенных элементов панели управления

• Нажать OK.
• Закрыть редактор локальной групповой политики
• Проверить результат

Для некоторых политик, чтобы изменения вступили в силу сразу, необходимо в окне Выполнить ввести gpupdate /force.

Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики

Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики

Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.

Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:

• стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки, которые будут применены для всех пользователей операционной системы;
• групповая политика для администраторов и не администраторов. Эта групповая политика содержит только конфигурационные параметры пользователя и применяется в зависимости от того, является ли используемая учетная запись пользователя членом локальной группы Администраторы или нет;
• групповая политика для конкретного пользователя. Эта групповая политика содержит только конфигурационные параметры конкретного пользователя

Редактор локальной групповой политики в Windows 10 Home (Домашняя)

К сожалению, Редактор локальной групповой политики доступен только в профессиональной и бизнес-версиях операционной системы Windows 10 и не работает на в Windows 10 Home. При попытке выполнения команды «gpedit.msc» в домашней версии Windows 10 пользователь будет получать ошибку с сообщением «Не удается найти gpedit.msc» или «gpedit.msc не найден». Но, при желании его можно установить. Для этого нужно создать BAT-файл с несколькими командами, которые установят в систему «gpedit.msc», и выполнить его от имени администратора.

BAT-файл – это обычный текстовый файл (как TXT), в котором записаны команды для командной строки Windows. Поэтому, для создания такого файла вам понадобится какой-то простой текстовый редактор, например, можно использовать стандартный Блокнот, который доступен в Windows 10. Чтобы открыть программу Блокнот нажмите на кнопку «Пуск» и введите в поиск «notepad» или «Блокнот».

Дальше в Блокнот нужно вставить команды, которые и установят Редактор локальной групповой политики.

Команды для BAT-файла:

@echo off
dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >find-gpedit.txt
dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>find-gpedit.txt
echo Ustanovka gpedit.msc
for /f %%i in ('findstr /i . find-gpedit.txt 2^>nul') do dism /online /norestart /add-package:"C:\Windows\servicing\Packages\%%i"
echo Gpedit ustanovlen.
pause

После этого получившийся текстовый документ нужно сохранить с расширением BAT. Для этого откройте меню «Файл» и выберите вариант «Сохранить как».

При сохранении нужно выбрать тип файла «Все файлы» и указать название файла с расширением BAT.

В результате вы получите BAT-файл с командами. Данный файл нужно выполнить от имени администратора. Для этого нажмите на него правой кнопкой мышки и выберите «Запуск от имени администратора».

После этого начнется процесс установки Редактора локальной групповой политики в Windows 10. Этот процесс может занять несколько минут, поэтому дождитесь появления надписи «Нажмите любую клавишу».

После того как установка завершена, можно проверять работает ли команда «gpedit.msc».

Если все было сделано правильно, то перед вами должен открыться Редактор локальной групповой политики Windows 10.

Утилита Policy Plus – универсальный редактор локальной политик для всех версий Windows

Скачайте и запустите Policy Plus с правами администратора (программа портабельная, установки не требует).

Как вы видите, консоль Policy Plus очень похожа на редактор gpedit.msc: дерево с разделами в левом окне и политики в правом.

Функционал Policy Plus существенно превосходит возможности редактора политик gpedit.msc. Утилита позволяет подключать файлы административных шаблонов (admx), а при необходимости сама может скачать последние версии шаблонов с сайта Microsoft (Help -> Acquire AMDX Files). Это обязательно нужно сделать пользователям домашних редакций Windows 10, т.к. в системе отсутствует большинство файлов административных шаблонов.

В Policy Plus имеется удобный встроенного поиска политик. Можно искать по тексту, описанию политики, связанным веткам реестра.

Можно редактировать реестр офлайн образа Windows, загружать POL файлы политик и экспортировать настройки групповых политик в файл для переноса на другие компьютеры (Импорт / Экспорт reg и pol файлов).

Довольно удобно, что с помощью встроенного инспектора (Element Inspector) можно посмотреть какие ключи реестра включает та или иная политика и возможные значения параметра.

Обратите внимание, что после изменения локальных политик, для применения настроек системы пользователям редакций Windows 10 Home необходимо перезагрузить компьютер или выполнить логоф/логон. В редакция Pro и Enterprise большинство изменений вступает в силу немедленно, либо после выполнения команды gpupdate /force

Кроме того, в Home редакциях Windows не поддерживаются множественные локальные политики (MLGPO).

Оснастка управления групповыми политиками

Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:

И нажимаем “OK”.

Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.

Открываем диспетчер серверов и выбираем установку ролей и компонентов.

На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.

Так как установка выполняется для текущего сервера — нажимаем “Далее”.

Установку серверных ролей пропускаем нажатием на кнопку “Далее”.

На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.

Завершаем установку компонентов как обычно.

Окно оснастки управления групповой политикой выглядит так:

Компоненты GPO

Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.

Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей”  называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.

Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.

Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

• Централизованная настройка пакета программ Microsoft Office.
• Централизованная настройка управлением питанием компьютеров.
• Настройка веб-браузеров и принтеров.
• Установка и обновление ПО.
• Применение определенных правил в зависимости от местоположения пользователя.
• Централизованные настройки безопасности.
• Перенаправление каталогов в пределах домена.
• Настройка прав доступа к приложениям и системным программам.