Открыть сервис

Group Policy

Group Policy (рус. Групповые политики) — это компонент операционных систем Microsoft Windows, начиная с Windows 2000, предоставляющий администраторам централизованное управление параметрами настройки операционной системы, приложений и пользовательских сред для групп пользователей и компьютеров в среде домена Active Directory, а также для локальных компьютеров (через локальную групповую политику). Group Policy является основным инструментом для реализации политик безопасности, развертывания программного обеспечения, настройки параметров рабочего стола и ограничения прав пользователей.

История

Механизм групповых политик был впервые представлен в Windows 2000 как замена устаревшей технологии системных политик (System Policies) для Windows NT 4.0. В отличие от системных политик, которые хранили настройки в реестре в виде файлов .pol и применялись путём редактирования реестра Windows, Group Policy использует объекты групповой политики (GPO), хранящиеся как в Active Directory, так и локально.

С выходом Windows Server 2003 функциональность Group Policy была расширена: появилась возможность управления редиректом папок, установкой принтеров, а также настройками Internet Explorer. Windows Vista и Windows Server 2008 принесли архитектуру, основанную на XML-файлах (ADMX), что упростило хранение и редактирование шаблонов политик. В Windows 10 и Windows 11 было добавлено несколько сотен новых параметров политики, а также возможность управления через облачный сервис Microsoft Intune.

Классификация и типы

По месту хранения и применения

  1. Локальные групповые политики (Local Group Policy, LGPO) — применяются к локальному компьютеру независимо от доменной среды. Существуют несколько уровней локальных политик: локальная политика самого компьютера, политики администраторов и политики конкретных пользователей.
  2. Объекты групповой политики домена (Domain-based GPO) — хранятся в контейнерах Active Directory и могут применяться ко всем компьютерам и пользователям в домене, сайте или организационном подразделении (OU).

По типу настроек

В оснастке «Редактор управления групповой политикой» (GPME) настройки делятся на два основных раздела:

Обе конфигурации содержат подразделы:

Архитектура и механизм работы

Объект групповой политики (GPO)

GPO — это виртуальный контейнер, с которым связаны уникальный идентификатор GUID, а также два физических компонента:

Обработка GPO

Порядок применения политик строго регламентирован:

  1. Локальный компьютер (первые политики).
  2. Сайт (все GPO, связанные с сайтом AD).
  3. Домен (все GPO, связанные с доменом).
  4. Организационные подразделения (OU) — сверху вниз по иерархии.

Политики, применённые позже, по умолчанию переопределяют более ранние, если не установлены параметры «No Override» (запрет переопределения) или «Block Inheritance» (блокировка наследования). Если заданы оба параметра, «No Override» имеет приоритет.

Интервалы обновления

Политики применяются:

Администрирование Group Policy

Оснастки

Командная строка и PowerShell

Основные инструменты:

Фильтры безопасности

Фильтры определяют, какие пользователи или группы будут подвержены действию GPO. Фильтрация осуществляется через списки управления доступом (DACL) на GPO. Если пользователь не имеет разрешения на «Apply Group Policy», политика на него не действует. Также существуют WMI-фильтры, которые ограничивают применение GPO на основе свойств системы (например, версия ОС, объём ОЗУ).

Применение Group Policy

Управление безопасностью

Group Policy позволяет массово настраивать параметры безопасности, такие как:

Развёртывание программного обеспечения

С помощью политик можно назначать приложения для автоматической установки (через MSI-пакеты) на компьютеры или пользователей. Приложения могут быть опубликованы (доступны для установки через «Установку программ») или назначены (устанавливаются принудительно).

Перенаправление папок и мобильные профили

Group Policy позволяет перенаправлять папки «Документы», «Рабочий стол», «Изображения» и другие на сетевые ресурсы, а также настраивать перемещаемые профили пользователей (Roaming Profiles). Это обеспечивает единую рабочую среду при входе с разных компьютеров.

Административные шаблоны

Шаблоны ADMX/ADML содержат сотни параметров реестра, которые могут быть заданы через Group Policy. Ключевая особенность — возможность добавления сторонних ADMX-файлов от производителей ПО (например, Google Chrome, Microsoft Office, Adobe Reader), что позволяет централизованно управлять настройками приложений.

Ограничения и критика

Group Policy имеет ряд ограничений:

Интересные факты

Источники

  1. Microsoft Docs. "Group Policy overview for Windows". TechNet Library.
  2. Stanek, William R. "Windows Server 2016 Pocket Consultant: Essentials & Configuration". Microsoft Press, 2017.
  3. Microsoft Docs. "How Group Policy Works". Windows Server documentation.
  4. Jeremy Moskowitz. "Group Policy: Fundamentals, Security, and the Managed Desktop". Wiley, 2015.
  5. Microsoft Support. "How to use Group Policy to manage Windows". KB articles.
  6. Microsoft Intune documentation. "Group Policy Analytics".

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →