Konfigurirajte postavke registra na računalima pomoću grupnih pravila

U ovom ćemo članku pogledati kako koristeći grupna pravila (GPO) centralno upravljanje, stvaranje, promjena vrijednosti, uvoz i brisanje bilo kojeg ključa registra na računalima domena.

U klasičnim pravilima grupe nije postojala ugrađena sposobnost kontrole proizvoljnih postavki registra. Stoga su administratori za centralizirano upravljanje ključevima registra i parametara preko GPO-a morali kreirati vlastite administrativne (.adm / .admx) predloške (primjer GPO-a na admx predlošku za Google Chrome) ili bat-datoteke za Logon skripte (uvoz reg datoteke pomoću reg import naredbe).

U sustavu Windows Server 2008 Microsoft je uveo proširenje Grupne politike pod nazivom Postavke grupnih pravila (Postavke grupnih pravila - GPP). U GPP-u se pojavio poseban odjeljak, uz pomoć kojeg administrator može konfigurirati (stvoriti, izbrisati) bilo koji parametar ili granu registra i distribuirati ovaj ključ na sva računala domene. Razmotrimo ove značajke detaljnije..

Pretpostavimo da želite onemogućiti automatsko ažuriranje upravljačkog programa na svim računalima u određenom spremniku (OU) domene promjenom vrijednosti parametra. SearchOrderConfig u podružnici registra HKEY_LOCAL_MACHINE\ SOFTVER\ Microsoft\ Windows\ CurrentVersion\ Traženje vozača. Postoje dva načina za postavljanje parametra registra na računalima ciljne domene: korištenje preglednika registra ugrađenog u GPP konzolu na udaljenim računalima ili ručno ručnim određivanjem puta do ogranka registra i naziva parametra.

sadržaj:

• Čarobnjak za kreiranje / uređivanje postavki registra u GPO-u
• Ručno stvaranje postavke registra pomoću grupnih pravila
• Uvezi .reg datoteku u GPO

Čarobnjak za kreiranje / uređivanje postavki registra u GPO-u

Prvo razmotrite prvu metodu:

1. Otvorite konzolu za upravljanje grupnim politikama ()GPMC.MSC);
2. Izradite novi (ili uredite postojeći) GPO, dodijelite ga željenom AD spremniku s računalima (ili korisnicima) na koje želite proširiti vrijednost parametra registra i prebacite se u način uređivanja pravila;
3. Proširite odjeljak GPO Konfiguracija računala (ili korisnika) -> Postavke -> Postavke sustava Windows -> Registar a u kontekstnom izborniku odaberite novi -> Čarobnjak registra;
4. Majstor Registar čarobnjak omogućuje vam povezivanje s registra na udaljenom računalu putem mreže i odabir parametra registra na njemu i njegovu vrijednost;
5. Navedite naziv računala na koje se želite povezati;primjedba. Ako dođe do pogreške prilikom povezivanja s računalom putem preglednika registra Mrežni put nije pronađen, najvjerojatnije je računalo isključeno, vatrozid mu blokira pristup njemu ili usluga udaljenog registra nije omogućena na njemu.Da biste ručno omogućili uslugu RemoteRegistry, na daljinskom računalu morate pokrenuti sljedeće naredbe:sc config Remoteregistry start = potražnja
net start Remoteregistry
6. Pomoću udaljenog preglednika registra odaberite sve postavke registra koje želite konfigurirati putem GPO-a;
   primjedba. Ovaj preglednik omogućuje vam odabir tipki na udaljenim računalima samo iz odjeljaka HKEY_LOCAL_MACHINE i HKEY_USERS. Ako trebate postaviti ključeve koji se nalaze u drugim granama registra, morat ćete instalirati RSAT na udaljeno računalo (instalirajte RSAT u Windows 10). Zatim na ovom računalu pokrenite gpmc.msc konzolu i istim postupkom odredite potrebne postavke registra.
7. U našem primjeru želimo putem GPP-a promijeniti vrijednost samo jednog parametra u registru - SearchOrderConfig;
8. Navedeni unos registra uvozi se u GPP konzolu zajedno s putanjom i trenutnom vrijednošću (0). Kao što vidite, stablo registra pojavilo se u GPO upravljačkoj konzoli u kojoj je ovaj parametar pohranjen. U budućnosti možete promijeniti njegovu vrijednost i djelovanje s njom (razmotrit ćemo malo u nastavku);
9. Time se završava kreiranje GPP politike. Sljedeći put kad se ažuriraju postavke pravila grupe na svim računalima koja su obuhvaćena ovim pravilima, vrijednost registra SearchOrderConfig promijenit će se u 0 (ako pravilo ne djeluje na klijenta, možete koristiti uslužni program gpresult za dijagnostiku i preporuke iz članka „Zašto se GPO ne primjenjuje?“).

Ako pravilo prestane raditi na računalu (pravilo se uklanja ili prekida iz spremnika, računalo se prebacuje u drugi OU itd.), Vrijednost registra neće se vratiti na izvornu (zadanu) vrijednost (kao što je slučaj s uobičajenim postavkama GPO pravila).

Ručno stvaranje postavke registra pomoću grupnih pravila

Možete stvoriti, promijeniti ili izbrisati određeni parametar ili ključ registra pomoću GPP-a tako što ćete ručno odrediti granu registra, naziv parametra i vrijednost..

1. Da biste to učinili, odaberite Registar -> Novo-> Stavka registra;
2. U poljima košnica, putanja ključa, naziv vrijednosti, vrsta vrijednosti, podaci o vrijednosti morate navesti ključ registra, granu, ime, vrstu i vrijednost parametra koji želite promijeniti;
3. Po zadanom je postavka registra koja je konfigurirana putem GPO-a postavljena na ažuriranje.

Dostupne su 4 vrste operacija s postavkama registra.

• stvoriti - stvara postavku registra. Ako parametar već postoji, njegova vrijednost se ne mijenja;
• ažuriranje (Prema zadanim postavkama) - ako parametar već postoji, njegova vrijednost će se promijeniti u vrijednost navedenu u pravilima. Ako parametar registra ne postoji, on će se automatski stvoriti (kao i ogranak registra u kojem bi se trebao nalaziti);
• zamijeniti - ako unos u registar već postoji, briše se i ponovno stvara (rijetko se koristi);
• brisanje - postavke registra bit će izbrisane.

kartica zajednička Postoji nekoliko korisnih opcija:

• trčanje u Evidentirano-na korisnik-ih sigurnosti kontekst (user politika opcija) - ključ registra kreiran je u kontekstu trenutnog korisnika (moguće samo za GPP-ove koje stvorite u odjeljku korisnički GPO). Ako korisnik nema administratorska prava, pravilo neće biti u mogućnosti pisati u ogranke registra sustava;
• Ukloni ovo stavka kada to je ne više primijenjen - ako pravilo prestane utjecati na klijenta, parametar će se automatski izbrisati;
• primijeniti jednom i učiniti nije Priključite - primijenite to pravilo samo jednom (za računalo ili korisnika). Ako nakon prve upotrebe GPO-a korisnik ručno promijeni vrijednost postavke registra na svom računalu, pravilo neće nadjačati njegovu vrijednost nakon ponovnog ažuriranja GPO-a;
• stavka-nivo ciljanje - mogućnost preciznijeg ciljanja pravila na klijente (možete ciljati na određeni IP, podmrežu, ime računala, računala s određenim karakteristikama - to jest, možete konfigurirati suptilnu aplikaciju politike sličnu WMI GPO filtrima) Na primjer, možete odrediti da se postavka registra treba primijeniti na računala sa sustavom Windows Server 2012 R2 na OU poslužiteljima.

Dakle, u GPMC konzoli (kartica Postavke) rezultirajuće izvješće s postavkama pravila grupe izgleda kao da mijenja vrijednost jednog parametra registra.

Uvezi .reg datoteku u GPO

GPP proširenje omogućuje administratoru da lako uvozi .reg datoteku s nekoliko postavki registra u grupna pravila. Ali za to se reg datoteka mora pretvoriti u XML format (Uređivač pravila pravila omogućuje vam uvoz samo datoteka u XML formatu).

Na primjer, imamo referentno računalo na kojem su postavke konfigurirane u ogranku registra. Izvozimo ove postavke u REG datoteku tako da desnom tipkom miša kliknemo na naziv podružnice u uređivaču registra regedita i odaberemo Izvezi.

Spremite postavke podružnice registra u reg datoteku.

Ako vaša reg datoteka sadrži podatke iz različitih registarskih sabirnica (HKLM, HKCU, HK_CLASSES), one se moraju podijeliti u odvojene reg datoteke.

Ova REG datoteka mora biti konvertirana u XML format (reg-> xml možete pretvoriti putem internetske usluge https://www.runecasters.com.au/reg2gpp ili RegToXML.ps1 skripte - https://gallery.technet.microsoft. com / scriptcenter / Registry-to-GroupPolicyPref-9feae9a3).

Rezultirajuća XML datoteka mora se kopirati u Explorer i u uređivač pravila grupe u odjeljku Registar, zalijepiti (zalijepiti).

Posljedično, sve postavke registra koje ste uveli pojavit će se u konzoli i primijenit će se na računala u domeni.