Цель работы: изучить функционал редактора локальных групповых политик и научиться их применять на практике.
¶ Краткие теоретические и учебно-методические материалы по теме лабораторной работы:
Групповые политики – это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.
Групповые политики делятся на область применения, существуют:
- GPO (локальные групповые политики) — действуют только на локальный компьютер и его пользователей;
- AD GPO (доменные групповые политики) — действуют на все все компьютеры и всех пользователей домена Active Directory.
Сегодня мы рассмотрим локальные групповые политики.
Изменять групповые политики можно с помощью – редактора локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.
При помощи редактора политики вы можете настроить и определить значительное количество параметров своего компьютера, установить ограничения пользователей, запретить запускать или устанавливать программы, включить или отключить функции ОС и многое другое.
В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.
¶ Задания для лабораторной работы:
¶ 1. Запуск редактора локальной групповой политики:
Первый и один из самых быстрых способов запуска редактора локальной групповой политики — нажать клавиши Win + R на клавиатуре и ввести «gpedit.msc».
Другие способы запуска: с помощью меню «Пуск», проводника Windows, из командной строки или PowerShell, открыть его в качестве оснастки консоли управления, использовать альтернативу на подобии «Police Plus»
¶ 2. Обзор интерфейса редактора локальной групповой политики:
Слева настройки разделены на две части: Конфигурация компьютера (те параметры, которые задаются для системы в целом, вне зависимости от того, под каким пользователем был совершен вход) и Конфигурация пользователя (настройки, относящиеся к конкретным пользователям ОС).
Каждая из этих частей содержит следующие три раздела:
- Конфигурация программ – параметры, касающиеся приложений на компьютере.
- Конфигурация Windows – настройки системы и безопасности, другие параметры Windows.
- Административные шаблоны – содержит конфигурацию из реестра Windows, то есть эти же параметры вы можете изменить с помощью редактора реестра, но использование редактора локальной групповой политики может быть более удобным.
¶ 3. Конфигурация реестра через GPO.
На прошлой практической работе вы настраивали синхронизацию с NTP сервером Microsoft через реестр, но теперь мы знаем что в разделе Административные шаблоны хранятся настройки конфигурации аналогичные реестру. Давайте сменим стандартный NTP сервер Microsoft (stratum 3), на сервер с сайта NTP SERVERS (stratum 2).
Служба времени Windows находится в разделе: Конфигурация компьютера – Административные шаблоны – Система – Служба времени Windows – Поставщики времени.
Включите NTP-клиент Windows:
Настройка NTP-клиента Windows:
Проверим что NTP сервер изменился:
¶ 4. Настройка политик безопасности.
¶ 1. Настроим отслеживание входа в систему:
Переходим в раздел: Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Политика аудита.
¶ 2. Настроим политики паролей:
Переходим в раздел: Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Политики учетных записей – Политика паролей.
Устанавливаем минимальную длину пароля:
Устанавливаем минимальный срок действия пароля:
Устанавливаем максимальный срок действия пароля:
Устанавливаем требование вести журнал паролей (это создаст запрет на использование старых паролей):
¶ 3. Настроим политики блокировки учетной записи:
Переходим в раздел: Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Политики учетных записей – Политика блокировки учетной записи.
Уменьшим Пороговое значение блокировки c 10 попыток до 5:
¶ 5. Отключим запуск OneDrive.
Переходим в раздел: Административные шаблоны – Компоненты Windows – OneDrive.
Настраиваем параметры:
¶ 6. Отключим автоматическое обновление Windows.
Политика включения автоматических обновлений Windows находится в разделе: Конфигурация пользователя – Административные шаблоны – Система – Автоматическое обновление Windows.
Настраиваем параметры:
¶ 7. Обновление групповых политик.
Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку отвечает отдельная политика. Частота обновления определяется политикой: «Установить интервал обновления групповой политики для компьютеров».
Данная политика находится в разделе: Конфигурация компьютера - Административные шаблоны - Система - Групповая политика.
¶ 8. Ручное обновление групповых политик.
Если требуется моментально обновить групповые политики можно выполнить команду gpupdate /force:
¶
Контрольные вопросы:
- Что такое групповые политики?
- Какие существуют виды групповых политик по области применения? Чем они отличаются?
- Как запустить редактор групповых политик?
- Назовите минимум 3 способа настройки синхронизации с NTP сервером на Windows 10.
- Чем отличается раздел «Конфигурация компьютера» от «Конфигурация пользователя»?
- Какие 3 раздела содержат обе конфигурации в групповых политиках? Опишите какие настройки они содержат.