Не применяется групповая политика касперский
Политика – это набор параметров работы программы, определенный для группы администрирования. Для одной программы можно настроить несколько политик с различными значениями. Для разных групп администрирования параметры работы программы могут быть различными. В каждой группе администрирования может быть создана собственная политика для программы.
Параметры политики передаются на клиентские компьютеры с помощью Агента администрирования при синхронизации. По умолчанию Сервер администрирования выполняет синхронизацию сразу после изменения параметров политики. Синхронизация выполняется через UDP-порт 15000 на клиентском компьютере. Сервер администрирования по умолчанию выполняет синхронизацию каждые 15 минут. Если синхронизация после изменения параметров политики не удалась, следующая попытка синхронизации будет выполнена по настроенному расписанию.
Активная и неактивная политика
Политика предназначена для группы управляемых компьютеров и может быть активной или неактивной. Параметры активной политики во время синхронизации сохраняются на клиентских компьютерах. К одному компьютеру нельзя одновременно применить несколько политик, поэтому в каждой группе активной может быть только одна политика.
Вы можете создать неограниченное количество неактивных политик. Неактивная политика не влияет на параметры программы на компьютерах в сети. Неактивные политики предназначены для подготовки к нештатным ситуациям, например, в случае вирусной атаки. В случае атаки через флеш-накопители, вы можете активировать политику, блокирующую доступ к флеш-накопителям. При этом активная политика автоматически становится неактивной.
Политика для автономных пользователей
Политика для автономных пользователей активируется, когда компьютер покидает периметр сети организации.
Политики, как и группы администрирования, имеют иерархию. По умолчанию дочерняя политика наследует параметры родительской политики. Дочерняя политика – политика вложенного уровня иерархии, т.е. политика для вложенных групп администрирования и подчиненных Серверов администрирования. Вы можете выключить наследование параметров из родительской политики.
Каждый параметр, представленный в политике, имеет атрибут , который показывает, наложен ли запрет на изменение параметров в дочерних политиках и локальных параметрах программы. Атрибут работает только, если в дочерней политике включено наследование параметров из родительской политики. Политики для автономных пользователей не действуют по иерархии групп администрирования на другие политики.
Права на доступ к параметрам политики (чтение, изменение, выполнение) задаются для каждого пользователя, имеющего доступ к Серверу администрирования Kaspersky Security Center, и отдельно для каждой функциональной области Kaspersky Endpoint Security. Для настройки прав доступа к параметрам политики перейдите в раздел Безопасность окна свойств Сервера администрирования Kaspersky Security Center.
- Откройте Консоль администрирования Kaspersky Security Center.
- В папке Управляемые устройства дерева Консоли администрирования выберите папку с названием группы администрирования, в состав которой входят интересующие вас клиентские компьютеры.
- В рабочей области выберите закладку Политики .
- Нажмите на кнопку Новая политика .
Запустится мастер создания политики.
- В главном окне Web Console выберите Устройства → Политики и профили политик .
- Нажмите на кнопку Добавить .
Запустится мастер создания политики.
- Изменить имя политики.
- Выбрать состояние политики:
- Активна . После следующей синхронизации политика будет использоваться на компьютере в качестве действующей.
- Неактивна . Резервная политика. При необходимости неактивную политику можно сделать активной.
- Для автономных пользователей . Политика начинает действовать, когда компьютер покидает периметр сети организации.
- Наследовать параметры родительской политики . Если переключатель включен, значения параметров политики наследуются из политики верхнего уровня иерархии. Параметры политики недоступны для изменения, если в родительской политике установлен .
- Обеспечить принудительное наследование параметров для дочерних политик . Если переключатель включен, значения параметров политики будут распространены на дочерние политики. В свойствах дочерней политики будет автоматически включен и недоступен для выключения переключатель Наследовать параметры родительской политики . Параметры дочерней политики наследуются из родительской политики, кроме параметров с . Параметры дочерних политик недоступны для изменения, если в родительской политике установлен .
В результате параметры Kaspersky Endpoint Security будут настроены на клиентских компьютерах при следующей синхронизации. Вы можете просмотреть информацию о политике, которая применена к компьютеру, в интерфейсе Kaspersky Endpoint Security по кнопке Поддержка на главном экране (например, имя политики). Для этого в параметрах политики Агента администрирования нужно включить получение расширенных данных политики. Подробнее о политике Агента администрирования см. в справке Kaspersky Security Center.
Индикатор уровня защиты
В верхней части окна Свойства : отображается индикатор уровня защиты. Индикатор может принимать одно из следующих значений:
- Уровень защиты высокий . Индикатор принимает это значение и цвет индикатора изменяется на зеленый, если включены все компоненты, относящиеся к следующим категориям:
- Критические . Категория включает следующие компоненты:
- Защита от файловых угроз.
- Анализ поведения.
- Защита от эксплойтов.
- Откат вредоносных действий.
- Kaspersky Security Network.
- Защита от веб-угроз.
- Защита от почтовых угроз.
- Предотвращение вторжений.
- отключены один или несколько критических компонентов;
- отключены два или более важных компонента.
Если отображается индикатор со значением Уровень защиты средний или Уровень защиты низкий , то справа от индикатора доступна ссылка, по которой открывается окно Рекомендованные компоненты защиты . В этом окне вы можете включить любой из рекомендованных компонентов защиты.
После завершения этого сценария программы будут настроены на всех управляемых устройствах в соответствии с политиками программ и профилями политики, которые вы определяете.
Убедитесь, что вы успешно установили Сервер администрирования Kaspersky Security Center и Kaspersky Security Center 12 Web Console (если требуется). Если вы установили Kaspersky Security Center 12 Web Console, вам может быть интересно также управление безопасностью, ориентированное на пользователей, в качестве альтернативы или дополнения к управлению безопасностью, ориентированному на устройства.
Сценарий управления программами "Лаборатории Касперского", ориентированный на устройства, содержит следующие шаги:
-
Настройка политик программ
Настройте параметры установленных программ "Лаборатории Касперского" на управляемых устройствах с помощью создания политики для каждой программы. Этот набор политик будет применен к клиентским устройствам.
Когда вы настраиваете защиту сети с помощью мастера первоначальной настройки, Kaspersky Security Center создает политику по умолчанию для Kaspersky Endpoint Security для Windows. Если вы завершили процесс настройки с помощью этого мастера, вам не нужно создавать новую политику для этой программы. Перейдите к настройке политики Kaspersky Endpoint Security вручную.
Если у вас иерархическая структура нескольких Серверов администрирования и/или групп администрирования, подчиненные Серверы администрирования и дочерние группы администрирования наследуют политики от главного Сервера администрирования по умолчанию. Вы можете принудительно наследовать параметры дочерними группами и подчиненными Серверами администрирования, чтобы запретить любые изменения параметров политик вниз по иерархии. Если вы хотите разрешить наследовать только часть параметров, вы можете заблокировать их в вышележащей политике. Остальные незаблокированные параметры будут доступны для изменения в политике ниже по иерархии. Созданная иерархия политик позволяет эффективно управлять устройствами в группах администрирования.
Если вы хотите, чтобы к устройствам из одной группы администрирования применялись разные параметры политики, создайте профили политики для этих устройств. Профиль политики представляет собой именованное подмножество параметров политики. Это подмножество параметров распространяется на устройства вместе с политикой и дополняет политику при выполнении определенного условия – условия активации профиля. Профили содержат только те параметры, которые отличаются от "базовой" политики, действующей на управляемом устройстве.
Используя условия активации профиля, вы можете применять различные профили политики, например, к устройствам, расположенным в определенном подразделении или группе безопасности Active Directory, имеющим определенную конфигурацию программного обеспечения или имеющим заданные теги. Используйте теги для фильтрации устройств, соответствующих определенным критериям. Например, вы можете создать тег Windows, назначить его всем устройствам под управлением операционной системы Windows, а затем указать этот тег в правилах активации профиля политики. В результате на устройствах под управлением операционной системы Windows установленные программы "Лаборатории Касперского" будут управляться своим профилем политики.
По умолчанию синхронизация управляемых устройств с Сервером администрирования происходит раз в 15 минут. Во время синхронизации новые или измененные политики и профили политик применяются к управляемым устройствам. Вы можете пропустить автоматическую синхронизацию и запустить синхронизацию вручную с помощью команды Синхронизировать принудительно. После завершения синхронизации политики и профили политик доставляются и применяются к установленным программам "Лаборатории Касперского".
Если вы используете Kaspersky Security Center 12 Web Console, можно проверить, доставлены ли политики и профили политик на устройства. Kaspersky Security Center определяет дату и время доставки в свойствах устройства.
После завершения сценария, ориентированного на устройства, программы "Лаборатории Касперского" будут настроены в соответствии с параметрами, указанными и распространенными через иерархию политик.
Политики программ и профили политик будут автоматически применяться к новым устройствам, добавленным в группы администрирования.
Kaspersky Security Center позволяет устанавливать программы "Лаборатории Касперского" на управляемые устройства с помощью групповых политик Active Directory.
Установка программ с помощью групповых политик Active Directory возможна только из инсталляционных пакетов, в состав которых входит Агент администрирования.
Чтобы установить программу с помощью групповых политик Active Directory, выполните следующие действия:
- Начните настройку установки программы с помощью мастера удаленной установки.
- В окне мастера удаленной установки Определение параметров задачи удаленной установки установите флажок Назначить установку инсталляционного пакета в групповых политиках Active Directory .
- В окне мастера удаленной установки Выбор учетных записей для доступа к устройствам выберите параметр Учетная запись требуется (установка без Агента администрирования) .
- Добавьте учетную запись с правами администратора на устройство, на котором установлен Kaspersky Security Center, или учетную запись, входящую в доменную группу Владельцы-создатели групповой политики.
- Предоставьте разрешения выбранной учетной записи:
- Перейдите в Панель управления → Администрирование и откройте Управление групповой политикой .
- Нажмите на узел с нужным доменом.
- Нажмите на раздел Делегирование .
- В раскрывающемся списке Права доступа выберите Связанные объекты GPO .
- Нажмите на кнопку Добавить .
- В открывшемся окне Выбор пользователя, компьютера или группы выберите необходимую учетную запись.
- Нажмите на кнопку OK чтобы закрыть окно Выбор пользователя, компьютера или группы .
- В списке Группы и пользователи выберите только что добавленную учетную запись и нажмите на Дополнительно → Дополнительно .
- В списке записей разрешений дважды нажмите на только что добавленную учетную запись.
- Предоставьте следующие разрешения:
- создание объектов группы;
- удаление объектов группы;
- создание объектов groupPolicyContainer;
- удаление объектов groupPolicyContainer.
- Нажмите на кнопку ОК , чтобы сохранить изменения.
В результате будет запущен следующий механизм удаленной установки:
- После запуска задачи в каждом домене, которому принадлежат клиентские устройства из набора, будут созданы следующие объекты:
- Объект групповой политики (Group policy object, GPO) с именем Kaspersky_AK .
- Группа безопасности содержит клиентские устройства, на которые распространяется задача. Эта группа безопасности содержит клиентские устройства, на которые распространяется задача. Состав группы безопасности определяет область объект групповой политики (GPO).
- Kaspersky Security Center устанавливает выбранные программы "Лаборатории Касперского" на клиентские устройства осуществляется непосредственно из сетевой папки общего доступа программы Share. При этом в папке установки Kaspersky Security Center будет создана вложенная вспомогательная папка, содержащая файл с расширением msi для устанавливаемой программы.
- При добавлении новых устройств в область действия задачи они будут добавлены в группу безопасности после следующего запуска задачи. Если в расписании задачи установлен флажок Запускать пропущенные задачи , устройства будут добавлены в группу безопасности сразу.
- При удалении устройств из области действия задачи их удаление из группы безопасности произойдет при следующем запуске задачи.
- При удалении задачи из Active Directory будут удалены объект групповой политики (GPO), ссылка на объект групповой политики (GPO) и группа безопасности, связанная с задачей.
Если вы хотите использовать другую схему установки через Active Directory, вы можете настроить параметры установки вручную. Это может потребоваться, например, в следующих случаях:
- при отсутствии у администратора антивирусной безопасности прав на внесение изменений в Active Directory некоторых доменов;
- при необходимости размещения исходного дистрибутива на отдельном сетевом ресурсе;
- для привязки групповой политики к конкретным подразделениям Active Directory.
Доступны следующие варианты использования другой схемы установки через Active Directory:
11.02.2022
itpro
Active Directory, Windows 10, Windows Server 2019, Групповые политики
комментариев 20
В этой статье мы рассмотрим, как устанавливать программы на компьютеры пользователей домена Active Directory с помощью групповых политик.
Встроенный функционал GPO Windows позволяет устанавливать только программы, распространяющееся в виде MSI или ZAP пакетов. Другие виды программ придется устанавливать альтернативными средствами: с помощью SCCM, через логон скрипты, копирование файлов программы на компьютеры с помощью GPO, запуском разовых скриптов и т.д.
Интервал обновления параметров групповых политик
Чтобы новые настройки, которые вы задали в локальной или доменной групповой политике (GPO) применились на клиентах, необходимо, чтобы служба Group Policy Client перечитала политики и внесла изменения в настройки клиента. Это процесс называется обновление групповых политик. Настройки групповых политик обновляются при загрузке компьютере и входе пользователя, или автоматически в фоновом режиме раз в 90 минут + случайное смещение времени (offset) в интервале от 0 до 30 минут (т.е. политики гарантировано применятся на клиентах в интервале 90 – 120 минут после обновления файлов GPO на контроллере домена).
Вы можете изменить интервал обновления настрое GPO с помощью параметра Set Group Policy refresh interval for computers, который находится в секции GPO Computer Configuration -> Administrative Templates -> System -> Group Policy.
Включите политику (Enabled) и задайте время (в минутах) в следующих настройках:
- This setting allow you to customize how often Group Policy is applied to computer (от 0 до 44640 минут) – как часто клиент должен обновлять настройка GPO (если указать тут 0 – политики начнут обновляться каждые 7 секунд – не стоит этого делать);
- This is a random time added to the refresh interval to prevent all clients from requesting Group Policy at the same time (от 0 до 1440 минут) – максимальное значение случайного интервал времени, которые добавляется в виде смещения к предыдущему параметру (используется для уменьшения количества одновременных обращений к DC за файлами GPO от клиентов).
Имейте в виду, что частое обновление GPO приводит к увеличению трафика к контроллерам домена и повышенной нагрузке на сеть.
Создаем GPO для установки программы на компьютеры пользователей
Теперь нужно создать новую политику в домене для установки вашего ПО.
- Откройте консоль управления доменными GPO ( gpmc.msc );
- Создайте новую GPO (CorpInstallTeams)и назначьте ее на OU с компьютерами, на которые нужно выполнить установку (Create a GPO in this domain, and link it here);
- Откройте политику и перейдите в раздел Computer Configuration -> Policies -> Software Settings -> Software installation;
- Выберите пункт меню New ->Package;
- Выберите ваш MSI файл, который хранится в каталоге SYSVOL;
- Выберите опцию “Advanced” и нажмите OK;
Assigned – программы устаналиваются при входе пользователя, Published – публикуюция на компьютерах и могут быть установлены пользователями из Add/Remove Programs.
Если групповая политика установки приложение не применяется к компьютерам, используйте стандартные средства диагностики описаны в статье “Почему к компьютеру не применяется групповая политика” и команду gpresult.
Принудительно обновление политики из консоли Group Policy Management Console (GPMC)
В консоли GPMC.msc (Group Policy Management Console), начиная с Windows Server 2012, появилась возможность удаленного обновления настроек групповых политик на компьютерах домена.
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
Теперь после изменения настроек или создания и прилинковки новой GPO, вам достаточно щелкнуть правой клавишей по нужному Organizational Unit (OU) в консоли GPMC и выбрать в контекстном меню пункт Group Policy Update. В новом окне появится количество компьютеров, на которых будет выполнено обновление GPO. Подтвердите принудительное обновление политик, нажав Yes.
Затем GPO по очереди обновяться на каждом компьютере в OU и вы получите результат со статусом обновления политик на компьютерах (Succeeded/Failed).
Данная команда удаленно создает на компьютерах задание планировщика с командой GPUpdate.exe /force для каждого залогиненого пользователя. Задание запускается через случайный промежуток времени (до 10 минут) для уменьшения нагрузки на сеть.
- Открыт порт TCP 135 в Windows Firewall;
- Включены службы Windows Management Instrumentation и Task Scheduler.
Если компьютер выключен, или доступ к нему блокируется файерволом напротив имени такого компьютера появится надпись “The remote procedure call was cancelled”.
По сути этот функционал дает тот же эффект, если бы вы вручную обновили настройки политик на каждом компьютере командой GPUpdate /force .
GPUpdate.exe – команда обновления параметров групповых политики
Всем администраторов знакома команда gpupdate.exe, которая позволяет обновить параметры групповых политик на компьютере. Большинство не задумываясь используют для обновления GPO команду gpupdate /force . Эта команда заставляет компьютер принудительно перечитать все политики с контроллера домена и заново применить все параметры. Т.е. при использовании ключа force клиент обращается к контроллеру домена и заново получает файлы ВСЕХ нацеленных на него политик. Это вызывает повышенную нагрузку на сеть и контроллер домена.
Простая команда gpudate применяет только новые/измененные параметры GPO.
Если все OK, должны появится следующие строки:
Если какие-то политики или настройки не применились, используйте для диагностики команду gpresult и рекомендации из статьи “Почему к компьютеру не применилась GPO?”.
Можно отдельно обновить параметры GPO из пользовательской секции:
или только политики компьютера:
gpupdate /target:computer /force
Если некоторые политики нельзя обновить в фоновом режиме, gpudate может выполнить logoff текущего пользователя:
gpupdate /target:user /logoff
Или выполнить перезагрузку компьютера (если изменения в GPO могут применится только во время загрузки Windows):
Получите установочный MSI пакет программы
Рассмотрим, как установить MSI пакет программы на компьютеры пользователей с помощью групповых политик Windows на примере клиента Microsoft Teams.
Обратите внимание, что есть x86 и x64 версии MS Teams. Если у вас остались компьютеры x86 версиями Windows, вам нужно создать отдельные политики для x86 и x64 компьютеров. Для фильтрации версий Windows в политиках можно использовать WMI фильтры GPO.
Далеко не все программы предоставляются в виде MSI файла. Чаще всего разработчики отдают их в виде исполняемых EXE файлов, которые не подходят для распространения через GPO. Но есть два способа, которые в некоторых случаях получить установочный MSI программы:
- Некоторые установщики при запуске распаковывают свои файлы в каталог %temp%. Поэтому при установке программы (просто сверните окно установки) попробуйте открыть этот каталог и найти в нем установочный MSI файл.
- Другой способ получения MSI файла – попробовать открыть установочный EXE файл с помощью архиватора 7-Zip. Запустите 7-Zip и в меню выберите File -> 7ZIP –> Open Archive. 7ZIP попробует открыть EXE файл в как архив. В нашем случае из EXE файла с дистрибутивом Acrobat Reader получилось извлечь MSI и MST файлы, которые готовы для установки через групповые политики Windows.
Invoke-GPUpdate – обновление GPO из Powershell
Также вы можете вызвать удаленное обновление групповых политик на компьютерах с помощью PowerShell комнадлета Invoke-GPUpdate (входит в RSAT). Например, чтобы удаленно обновить пользовательские политики на определенном компьютере, можно использовать команду:
Invoke-GPUpdate -Computer "corp\Computer0200" -Target "User"
При запуске командлета Invoke-GPUpdate без параметров, он обновляет настройки GPO на текущем компьютере (аналог gpudate.exe).
В сочетании с командлетом Get-ADComputer вы можете обновить групповые политики на всех компьютерах в определенном OU:
Get-ADComputer –filter * -Searchbase "ou=Computes,OU=SPB,dc=winitpro,dc=com" | foreach
или на всех компьютерах, которые попадают под определенный критерий (например, на всех Windows Server в домене):
Вы можете задать случайную задержку обновления GPO с помощью параметра RandomDelayInMinutes. Таким образом вы можете уменьшить нагрузку на сеть, если одновременно обновляете политики на множестве компьютеров. Для немедленного применения политик используется параметр RandomDelayInMinutes 0.
При удаленном выполнении командлета Invoke-GPUpdate или обновления GPO через консоль GPMC на мониторе пользователя может на короткое время появиться окно консоли с запущенной командой gpupdate .
Предыдущая статья Следующая статья
Установка принтеров пользователям домена AD с помощью групповых политик
Когда истекает пароль пользователя в AD, оповещаем пользователей о необходимости сменить пароль
Критическая уязвимость Active Directory Zerologon (CVE-2020-1472)
Подключение сетевых дисков в Windows через групповую политику
Invoke-GPUpdate, какой такой GPU ?)) Постоянно опечатываюсь при наборе командлета (GPO GPU)) А за инфу , Спасибо !
Grupe Policy Update ?
Добрый день, коллеги.
Столкнулся с непонятной проблемой.
Компьютеры обновляют политику каждые 90-120 мин без проблем.
Но перезагрузка компьютера не приводит к принудительному обновлению политики.
Т. е. раньше можно было попросить пользователя 2 раза перезагрузиться и политика обновится + установится свежий софт. Теперь это не работает.
Может кто-то сталкивался?Самое интересное, что в журналах нет ни ошибок, ни даже попыток обновления политики при перезагрузке компа. При этом каждые 90 минут обновление политик проходит гладко, без ошибок.
Может стоит политики домена обновить? Может в новых выпусках Win10 что-то изменилось … Под Win 10 политики точно раза два обновлял.Домен на 2019 Стандарт.
Режим работы леса и домена — Windows Server 2016В Windows 10 не было таких изменений.
Политики в разделе Computer Configuration -> Administrative Templates -> System -> Group Policy не настраивали?
Проблема только при перезагрузке или при полном выключении компьютера (именно выключение, а не гибернация)Автору статьи вопрос на засыпку, который как мне кажется стоило осветить в статье, но его там нет — А если на ПК сильно сбито время, то есть существенно отличается (на пару дней) с КД, то сможет ли gpupdate /force или удалённо Invoke-GPUpdate запустить на нём принудительное обновление политик? Вообще на таком ПК групповые политики будут обновляться? (включая NTP политику) ??
Тут куча вариантов.
Например, если у вас полностью отключен NTLM, то при kerberos аутентфикации компьютер просто не авторизуются в домене.
В общем время нужно чинить, а какие глюки от неправильного времени могут возникнуть — это уже вторично.Изменение параметров MSI пакета для установки через GPO
В стандартном интерфейсе GPO вы не можете указать определенные ключи для установочных MSI пакетов. Что очень неудобно. Например, при установке антивируса вам нужно указать адрес сервера управления. Или при при установке Teams из командой строки с помощью msiexec можно отключить автозапуск клиент MSTeams и скрыть его из списка установленных программ (локальный администратор не сможет удалить клиент Teams). Для этого используется команда:
msiexec /i Teams_windows_x64.msi OPTIONS="noAutoStart=true" ALLUSERS=0
Как добавить опции установки в MSI пакет? Для этого используются файлы преобразования MST. Этот тип файлов позволяет изменить стандартные настройки MSI пакета и использовать ваш сценарий установки.
Для создания файла модификации MST для MSI пакетов можно использовать утилиту ORCA (входит в состав Windows Installer SDK).
Откройте ваш MSI пакет с помощью Orca.
Создайте New Transformation и задайте ваши кастомные параметры MSI пакета в разделе Property. В моем случае для клиента Teams я изменю:
Выберите Transform -> GenerateTransform и сохраните изменения в файл с расширением MST (teams_mod.mst). Скопируйте файла в каталог SYSVOL
Теперь нужно удалить предыдущее правило для установки MSI пакета в GPO (т.к. вы можете добавить MST с модификациями пакет только при создании правила установки программы.
Выберите All –> Task -> Remove
Теперь во время установки MSI пакета через GPO к нему автоматически применится файл модификаций MST и установит программу с нужными вам параметрами.
Основные недостатки метода установки MSI программ через GPO:
- Поддерживаются только MSI и ZAP установщики;
- Нельзя запланировать установку программы на определенное время. Одновременная установка программы на множестве компьютеров (обычно это происходит утром при включении компьютеров) может вызвать нагрузку на сеть и DC. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL (Wake On LAN);
- Нельзя изменить порядок установки программ в одной политике. При добавлении нового установочно пакета в GPO, оно устанавливается последним.
- Нельзя получить отчет об успешности или ошибках установки программы на компьютерах.
В современных версиях Windows 10 и 11 можно использовать пакетный менеджер winget для установки программ.
Предыдущая статья Следующая статья
Запрос к Active Directory из Excel
Создание WMI фильтров для групповых политик (GPO) в домене AD
Управление репликацией Active Directory
А как сделать чтобы отображалось «Installing managed software …» в 7?
Или аналог отображения процесса загрузки 2008ого сервера, когда отображается текущий этап?А то постоянно появляется только «Пожалуйста подождите»
Чтобы отобразить надпись «Installing managed software», нужно включить политику Computer Configuration ->Policies -> Administrative Templates -> System -> Verbose vs normal status messages (ставим enabled).
В этом случае при загрузке компьютера будет выводится подробная информация о процессе применения групповой политики на клиенте (If you enable this setting, the system displays status messages that reflect each step in the process of starting, shutting down, logging on, or logging off the system.This setting is designed for sophisticated users that require this information.).
А вот такой момент. Поставил я софтину. А ушлый пользователь ее снес
«Оно само, я ничего не делал»
Как заставить политику установки отработать еще раз на этой рабочей станции?
Тоже самое касается обновлений софта.
Создать новую политику? И опять накрыть всех кто попадает под ее действие?Наверняка же нет, просто туплю … пятница сегодня.
Забрать у пользователя права админа и снести руками ключ для приложения из HKLM\Software\Microsoft\Windows\Current Version\Group Policy\AppMgmt
При следующей загрузке системе , приложение установится зановоПонятно. Только в том ключе «абракадабра» и понять какое значение за какой софт отвечает слегка не очевидно 🙂
Computer Configuration ->Policies -> Administrative Templates -> System -> Verbose vs normal status messages
Это в 2008 так. А в 2012 это теперь
Computer Configuration ->Policies -> Administrative Templates -> System -> Display highly detailed status messagesThis policy setting directs the system to display highly detailed status messages.
This policy setting is designed for advanced users who require this information.
If you enable this policy setting, the system displays status messages that reflect each step in the process of starting, shutting down, logging on, or logging off the system.
If you disable or do not configure this policy setting, only the default status messages are displayed to the user during these processes.
Note: This policy setting is ignored if the «»Remove Boot/Shutdown/Logon/Logoff status messages»» policy setting is enabled.Ой только заметил коммент 🙂 Правда уже нашел параметр реестра и через gpp раскидал на нужные компьютеры
Но тоже пригодится, спасибо 🙂А что делать, если при попытке установить ПО при следующем входе в систему у пользователей оно не устанавливается и в журнале событий фигурируют события: 101 103 108 и 1112. Шара доступна каждому пользователю, а такие параметры, как: Всегда ждать сеть при запуске и входе в систему и Указать время ожидания при обработке политики загрузки не помогают?
Сработает ли такая политика, если компьютер-член домена был унесен домой? К работе подключается через опен-впн. После подключения пользователь заходит на общие шары, и вводит доменные логин-пароль.
У вас VPN туннель устанавливается уже после входа в Windows, верно?
Значит логон политики в принципе не смогут отработать на нем.Добрый день!
У меня отсутствует ветка-Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Групповая политика \ Время ожидания при обработке политики загрузки\ в редакторе ГП на контроллере.
Как ее добавить, через шаблоны какие то?Вы редактируете GPO непосредственно с сервера? Какая версия Windows Server на DC?
Надеюсь не припозднился. Так вот, делаю всё в точности как описано, загружаю msi пакеты, перезагружаю станции, ничего не работает.
При этом, другие политики отрабатывают, уже не знаю куда можно копать, дайте пожалуйста подсказку.Пар-ры сервера и ПК:
Windows server 2016
Windows 10Вы правы и не правы одновременно. Да статья действительно очень общая.
Но это статья но об общих принципах установки ПО через ГП, а не не об установке кокретного ПО/пакета/и т.д. Да и описать всё попросту невозможно.
После прочтения, тонкости и нюансы — админ разбирает сам.
А если выложите инструкцию сюда — многие вам скажут спасибо.Добавил в статью блок про создание файлов модификации MST для MSI пакетов. В MST файле вы можете задать нужные вам параметры для установки MSI пакетов.
На DC нельзя просто взять и изменить содержимое файла SysVol в начале статьи, куда с легкостью автор закинул пакет msi. Было бы неплохо дополнить статью решением извечной проблемы Access Denied.
Господа) доброго времени суток) помогите пожалуйста с одной проблемой. Есть домен общая шара, несколько компов в домене, на шаре лежат вордовские файлы которые для всех в доступе, у всех одинаковые права тк все в одной группе, так вот, суть вопроса в следующем, почему кто то может задавать выше указанным файлам длинные имена, а у кого то можно написать название по типу «письмо» и все. .
09.07.2020
itpro
Active Directory, PowerShell, Windows 10, Windows Server 2016, Групповые политики
комментариев 6
В этой статье мы рассмотрим особенности обновления параметров групповых политик на компьютерах домена Active Directory: автоматическое обновление политик, команду GPUpdate , удаленное обновление через консоль Group Policy Management Console ( GPMC.msc ) и командлет PowerShell Invoke-GPUpdate .
Читайте также:
- Критические . Категория включает следующие компоненты: