Konfigurálja a regisztrációs beállításokat a számítógépeken a csoportházirend segítségével

Ebben a cikkben megnézzük, hogyan csoportszabályok használata (GPO) központilag kezelheti, hozhat létre, módosíthat értékeket, importálhat és törölhet minden regisztrációs kulcsot domain számítógépeken.

A klasszikus csoportházirendekben nem volt beépített lehetőség egy önkényes regisztrációs beállítás vezérlésére. Ezért a rendszergazdáknak a regisztrációs kulcsok és a paraméterek GPO-n keresztüli központosított kezeléséhez saját adminisztrátori (.adm / .admx) sablonokat (GPO-példa az Admx-sablonon a Google Chrome számára) vagy bat-fájlokat kellett létrehozni a bejelentkezési szkriptek számára (reg-fájl importálása a reg import parancs segítségével).

A Windows Server 2008 rendszerben a Microsoft bevezette a csoportházirend-kiterjesztést Csoportházirend-beállítások (Csoportházirend-preferenciák - GPP). A GPP-ben egy speciális szakasz jelent meg, amelynek segítségével az adminisztrátor konfigurálhat (létrehozhat, törölhet) bármilyen paramétert vagy regisztrációs ágot, és ezt a kulcsot eloszthatja az összes tartományi számítógépre. Fontolja meg ezeket a funkciókat részletesebben..

Tegyük fel, hogy le szeretné tiltani az automatikus illesztőprogram-frissítéseket egy tartomány minden egyes számítógépén egy adott tárolóban (OU) a paraméter értékének megváltoztatásával SearchOrderConfig a regisztrációs ágban HKEY_LOCAL_MACHINE\ SZOFTVER\ Microsoft\ Windows\ CurrentVersion\ Illesztőprogram-keresés. Kétféle módon állíthatja be a regisztrációs paramétert a céltartománybeli számítógépekre: a távoli számítógépek GPP-konzoljába beépített rendszerleíró böngészővel, vagy manuálisan, a manuálisan megadva a regisztrációs ág elérési útját és a paraméter nevét.

Tartalom:

  • Regisztrációs beállítások varázsló létrehozása / szerkesztése a GPO-ban
  • Regisztrációs beállítás manuális létrehozása a csoportházirend segítségével
  • Importálja a .reg fájlt a GPO-ba

Regisztrációs beállítások varázsló létrehozása / szerkesztése a csoportházirend-objektumban

Először mérlegelje az első módszert:

  1. Nyissa meg a csoportházirend-kezelési konzolt ()kezelő konzol.msc);
  2. Hozzon létre egy új (vagy létező szerkesztést létező) csoportházirend-objektumot, rendelje hozzá a kívánt AD-tárolóhoz azokkal a számítógépekkel (vagy felhasználókkal), amelyekhez meg szeretné bővíteni a regisztrációs paraméter értékét, és váltson az irányelv szerkesztési módjára;
  3. Bontsa ki a GPO szakaszt Számítógép (vagy felhasználói) konfiguráció -> Preferences -> Windows beállítások -> iktató hivatal és a helyi menüben válassza a lehetőséget új -> Regisztráció varázsló;
  4. A mester iktató hivatal varázsló lehetővé teszi, hogy hálózaton keresztül csatlakozzon a távoli számítógépen található nyilvántartáshoz, és válassza ki a regisztrációs paramétert és annak értékét;
  5. Adja meg annak a számítógépnek a nevét, amelyhez csatlakozni kíván;megjegyzés. Ha hiba történik, amikor a számítógéphez csatlakozik a Beállításszerkesztőn A hálózati út nem található, valószínűleg a számítógép ki van kapcsolva, a hozzáférést egy tűzfal blokkolja, vagy a távoli regisztrációs szolgáltatás nincs engedélyezve rajta.A RemoteRegistry szolgáltatás kézi engedélyezéséhez a következő parancsokat kell futtatnia a távoli számítógépen:sc config remoteregistry start = igény
    net start remoteregistry
  6. A távoli regisztrációs böngésző segítségével válassza ki az összes regisztrációs beállítást, amelyet a csoportházirend-objektumon keresztül konfigurálni szeretne;
    megjegyzés. Ez a böngésző lehetővé teszi a kulcsok kiválasztását a távoli számítógépeken csak a HKEY_LOCAL_MACHINE és a HKEY_USERS szakaszból. Ha be kell állítania a más rendszerleíró ágakban található kulcsokat, telepítenie kell az RSAT-ot a távoli számítógépre (az RSAT telepítése a Windows 10 rendszerbe). Ezután indítsa el a számítógépen a gpmc.msc konzolt, és ugyanezzel az eljárással adja meg a szükséges beállításjegyzék-beállításokat.
  7. Példánkban azt szeretnénk, hogy a GPP-n keresztül csak egy paraméter értékét változtassa meg a beállításjegyzékben - SearchOrderConfig;
  8. A megadott rendszerleíró bejegyzés az elérési út és az aktuális értékkel együtt kerül importálásra a GPP-konzolba (0). Mint láthatja, egy regisztrációs fa jelent meg a GPO felügyeleti konzolban, amelyben ezt a paramétert tárolja. A jövőben megváltoztathatja annak értékét és az azzal végrehajtott fellépést (kicsit alább megvizsgáljuk);
  9. Ez befejezi a GPP-irányelv létrehozását. A csoportházirend-beállítások legközelebbi frissítésekor a számítógépen, amelyre ez a házirend vonatkozik, a SearchOrderConfig beállításkulcs értéke 0-ra változik (ha a házirend nem működik az ügyfélen, akkor a gpresult segédprogramot használhatja diagnosztikához és a „Miért nem alkalmazza a GPO-t?” Című cikkben szereplő ajánlásokat)..

Ha a házirend nem működik a számítógépen (a házirendet eltávolítják vagy leválasztják a tárolóból, a számítógépet egy másik OU-ra továbbítják, stb.), A beállításjegyzék értéke nem tér vissza az eredeti (alapértelmezett) értékhez (mint ahogy a szokásos GPO-házirend-beállítások esetén).

Regisztrációs beállítás manuális létrehozása a csoportházirend segítségével

A GPP használatával létrehozhat, módosíthat vagy törölhet egy adott paramétert vagy regisztrációs kulcsot a regisztrációs ág, a paraméter neve és az érték manuális megadásával.

  1. Ehhez válassza a lehetőséget Nyilvántartás -> Új-> Nyilvántartási elem;
  2. A Kaptár, Kulcs elérési útja, Érték neve, Érték típusa, Érték adatok mezőben meg kell adnia a megváltoztatni kívánt paraméter regisztrációs kulcsát, fiókját, nevét, típusát és értékét;
  3. Alapértelmezés szerint a csoportházirend-objektumon keresztül konfigurált beállításjegyzék-beállítás értéke frissítés.

4 típusú művelet érhető el a beállításjegyzék-beállításokkal.

  • teremt - létrehoz egy regisztrációs beállítást. Ha egy paraméter már létezik, akkor az értéke nem változik;
  • frissítés (Alapértelmezés szerint) - ha a paraméter már létezik, annak értéke a házirendben megadott értékre változik. Ha a nyilvántartási paraméter nem létezik, akkor automatikusan létrehozásra kerül (valamint a rendszerleíró ágnak, amelyben kell lennie);
  • Cserélje - ha a rendszerleíró bejegyzés már létezik, akkor törli és újra létrehozza (ritkán használják);
  • Törlés - a rendszerleíró adatbázis beállítása törlődik.

lap közös Számos hasznos lehetőség létezik:

  • futás -ban naplózott-tovább használó„s biztonság kontextus (felhasználói politika opció) - a rendszerleíró kulcsot az aktuális felhasználó kontextusában hozzák létre (csak a GPP szakaszban létrehozott GPP-k számára lehetséges). Ha a felhasználónak nincs adminisztrátori joga, a házirend nem fog tudni írni a rendszerleíró fiókokba;
  • Vegye ki ezt tétel amikor azt jelentése nincs hosszabb alkalmazott - Ha a házirend nem érinti az ügyfelet, akkor a paraméter automatikusan törlődik;
  • alkalmaz egyszer és csinál nem Adja vissza - csak egyszer alkalmazza az irányelvet (számítógép vagy felhasználó esetén). Ha a csoportházirend-objektum első használata után a felhasználó manuálisan megváltoztatja a számítógépén található regisztrációs beállítás értékét, akkor a házirend nem felülírja annak értékét, amikor a csoportházirend-objektumot újra frissítik;
  • tétel-szint célzás - az a lehetőség, hogy a házirendet pontosabban megcélozza az ügyfelekkel (megcélozhatja a házirendet egy adott IP-re, alhálózatra, számítógépnévre, meghatározott jellemzőkkel rendelkező számítógépekre - vagyis konfigurálhatja a WMI GPO-szűrőkhöz hasonlóan finom házirendek érvényesítését). Például megadhatja, hogy a regisztrációs beállítást a Windows Server 2012 R2 rendszert futtató számítógépekre kell alkalmazni az OU-kiszolgálókban.

Tehát a GPMC konzolban (Beállítások fül) az eredményül kapott jelentés a csoportházirend-beállításokkal úgy néz ki, hogy megváltoztatja egy rendszerleíró paraméter értékét.

Importálja a .reg fájlt a GPO-ba

A GPP kiterjesztés lehetővé teszi az adminisztrátor számára, hogy több regisztrációs beállítással ellátott .reg fájlt könnyen importáljon a csoportházirendbe. De ehhez a reg fájlt XML formátumba kell konvertálni (a Csoportházirend-szerkesztő lehetővé teszi, hogy csak XML formátumú fájlokat importáljon).

Például van egy referencia számítógépünk, amelyen a beállítások konfigurálva vannak egy nyilvántartási ágban. Ezeket a beállításokat egy REG fájlba exportáljuk a jobb egérgombbal kattintva a fióknévre a regedit beállításjegyzék-szerkesztőben, és kiválasztva az Exportálást.

A regisztrációs ág beállításainak mentése a reg fájlba.

Ha a reg-fájl különböző regisztrációs buszokból (HKLM, HKCU, HK_CLASSES) tartalmaz adatokat, akkor azokat külön reg fájlokba kell osztani..

Ezt a REG fájlt XML formátumba kell konvertálni (a reg-> xml fájlt az online szolgáltatás https://www.runecasters.com.au/reg2gpp vagy a RegToXML.ps1 szkript - https://gallery.technet.microsoft segítségével konvertálhatja. com / scriptcenter / Registry-to-GroupPolicyPref-9feae9a3).

A kapott XML-fájlt másolni kell az Intézőben, és a Csoportházirend-szerkesztőben a Beállítók szakaszban, beillesztés (beillesztés).

Ennek eredményeként az összes importált beállításjegyzék-beállítás megjelenik a konzolban, és a tartomány számítógépeire vonatkozik.