W tym artykule przyjrzymy się, jak to zrobić za pomocą zasad grupy (GPO) centralnie zarządzaj, twórz, zmieniaj wartości, importuj i usuwaj wszystkie klucze rejestru na komputerach domeny.
W klasycznych zasadach grupy nie było wbudowanej możliwości kontrolowania dowolnego ustawienia rejestru. Dlatego administratorzy w celu scentralizowanego zarządzania kluczami rejestru i parametrami za pomocą GPO musieli stworzyć własne szablony administracyjne (.adm / .admx) (przykład GPO w szablonie admx dla Google Chrome) lub pliki nietoperzy dla skryptów logowania (importuj plik reg za pomocą polecenia reg import).
W systemie Windows Server 2008 Microsoft wprowadził rozszerzenie zasad grupy o nazwie Preferencje zasad grupy (Preferencje zasad grupy - GPP). W GPP pojawiła się specjalna sekcja, za pomocą której administrator może konfigurować (tworzyć, usuwać) dowolny parametr lub gałąź rejestru i rozpowszechniać ten klucz na wszystkich komputerach domeny. Rozważ te funkcje bardziej szczegółowo..
Załóżmy, że chcesz wyłączyć automatyczne aktualizacje sterowników na wszystkich komputerach w określonym kontenerze (OU) domeny, zmieniając wartość parametru SearchOrderConfig w oddziale rejestru Klucz_LOKALNIE_MACHINE\ OPROGRAMOWANIE\ Microsoft\ Windows\ CurrentVersion\ DriverSearching. Istnieją dwa sposoby ustawienia parametru rejestru na komputerach docelowych w domenie: za pomocą przeglądarki rejestru wbudowanej w konsolę GPP na komputerach zdalnych lub ręcznie, ręcznie określając ścieżkę do gałęzi rejestru i nazwę parametru.
Treść
- Kreator tworzenia / edycji ustawień rejestru w GPO
- Ręczne tworzenie ustawienia rejestru za pomocą zasad grupy
- Zaimportuj plik .reg do obiektu zasad grupy
Kreator tworzenia / edycji ustawień rejestru w GPO
Najpierw rozważ pierwszą metodę:
- Otwórz konsolę zarządzania zasadami grupy ()gpmc.msc);
- Utwórz nowy (lub edytuj istniejący) obiekt zasad grupy, przypisz go do wymaganego kontenera AD wraz z komputerami (lub użytkownikami), do których chcesz rozszerzyć wartość parametru rejestru, i przejdź do trybu edycji zasad;
- Rozwiń sekcję GPO Konfiguracja komputera (lub użytkownika) -> Preferencje -> Ustawienia systemu Windows -> Rejestr iw menu kontekstowym wybierz Nowy -> Kreator rejestru;
- Mistrz Rejestr Wizard pozwala połączyć się z rejestrem na komputerze zdalnym za pośrednictwem sieci i wybrać parametr rejestru oraz jego wartość;
- Podaj nazwę komputera, z którym chcesz się połączyć;Uwaga. Jeśli wystąpi błąd podczas łączenia się z komputerem za pomocą przeglądarki rejestru Ścieżka sieciowa nie została znaleziona, najprawdopodobniej komputer jest wyłączony, dostęp do niego jest blokowany przez zaporę ogniową lub usługa Rejestru zdalnego nie jest na nim włączona.Aby ręcznie włączyć usługę RemoteRegistry, musisz uruchomić następujące polecenia na komputerze zdalnym:
sc config remoteregistry start = żądanie
net start remoteregistry
- Za pomocą zdalnej przeglądarki rejestru wybierz wszystkie ustawienia rejestru, które chcesz skonfigurować za pomocą obiektu zasad grupy;
Uwaga. Ta przeglądarka pozwala wybierać klucze na zdalnych komputerach tylko z sekcji HKEY_LOCAL_MACHINE i HKEY_USERS. Jeśli musisz ustawić klucze zawarte w innych gałęziach rejestru, będziesz musiał zainstalować RSAT na komputerze zdalnym (instalując RSAT w Windows 10). Następnie na tym komputerze uruchom konsolę gpmc.msc i użyj tej samej procedury, aby określić potrzebne ustawienia rejestru. - W naszym przykładzie chcemy, aby GPP zmienił wartość tylko jednego parametru w rejestrze - SearchOrderConfig;
- Określony wpis rejestru jest importowany do konsoli GPP wraz ze ścieżką i bieżącą wartością (0) Jak widać, w konsoli zarządzania GPO, w której zapisany jest ten parametr, pojawiło się drzewo rejestru. W przyszłości możesz zmienić jego wartość i akcję z nim związaną (rozważymy trochę poniżej);
- To kończy tworzenie zasad GPP. Przy następnej aktualizacji ustawień zasad grupy na wszystkich komputerach objętych tą zasadą wartość klucza rejestru SearchOrderConfig zmieni się na 0 (jeśli zasada nie działa na kliencie, możesz użyć narzędzia gpresult do diagnostyki i zaleceń z artykułu „Dlaczego nie zastosowano GPO?”).
Jeśli zasada przestanie działać na komputerze (zasada zostanie usunięta lub odłączona od kontenera, komputer zostanie przeniesiony do innej jednostki organizacyjnej itp.), Wartość rejestru nie powróci do pierwotnej (domyślnej) wartości (jak w przypadku zwykłych ustawień zasad GPO).
Ręczne tworzenie ustawienia rejestru za pomocą zasad grupy
Możesz utworzyć, zmodyfikować lub usunąć określony parametr lub klucz rejestru za pomocą GPP, określając ręcznie gałąź rejestru, nazwę parametru i wartość.
- Aby to zrobić, wybierz Rejestr -> Nowy-> Element rejestru;
- W polach Rój, Ścieżka klucza, Nazwa wartości, Typ wartości, Dane wartości należy podać odpowiednio klucz rejestru, gałąź, nazwę, typ i wartość parametru, który należy zmienić;
- Domyślnie ustawienie rejestru skonfigurowane za pomocą obiektu zasad grupy jest ustawione na Aktualizacja.
Dostępne są 4 rodzaje operacji z ustawieniami rejestru.
- Utwórz - tworzy ustawienie rejestru. Jeśli parametr już istnieje, jego wartość się nie zmienia;
- Aktualizacja (Domyślnie) - jeśli parametr już istnieje, jego wartość zmieni się na wartość określoną w polityce. Jeśli parametr rejestru nie istnieje, zostanie utworzony automatycznie (jak również gałąź rejestru, w której powinien się znajdować);
- Wymień - jeśli wpis rejestru już istnieje, jest usuwany i ponownie tworzony (rzadko używany);
- Usuń - ustawienie rejestru zostanie usunięte.
Tab Często Istnieje wiele przydatnych opcji:
- Uruchom w zalogowany-na użytkownik„s bezpieczeństwo kontekst (użytkownik polisa opcja) - klucz rejestru jest tworzony w kontekście bieżącego użytkownika (możliwe tylko w przypadku GPP utworzonych w sekcji GPO użytkownika). Jeśli użytkownik nie ma uprawnień administratora, zasady nie będą mogły zapisywać do gałęzi rejestru systemowego;
- Usuń to pozycja kiedy to jest nie dłużej zastosowano - jeśli zasada przestanie wpływać na klienta, parametr zostanie automatycznie usunięty;
- Zastosuj raz i zrobić nie ponownie zastosować - zastosuj zasadę tylko raz (dla komputera lub użytkownika). Jeśli po pierwszym użyciu obiektu zasad grupy użytkownik ręcznie zmieni wartość ustawienia rejestru na swoim komputerze, zasady nie zastąpią jego wartości, gdy obiekt zasad grupy zostanie ponownie zaktualizowany;
- Przedmiot-poziom celowanie - możliwość dokładniejszego kierowania polityki do klientów (możesz kierować politykę do określonego adresu IP, podsieci, nazwy komputera, komputerów o określonych cechach - to znaczy możesz skonfigurować subtelne wymuszanie zasad podobne do filtrów WMI GPO). Na przykład można określić, że ustawienie rejestru powinno być stosowane na komputerach z systemem Windows Server 2012 R2 na serwerach OU.
Tak więc w konsoli GPMC (karta Ustawienia) wynikowy raport z ustawieniami zasad grupy wygląda tak, jakby zmieniał wartość jednego parametru rejestru.
Zaimportuj plik .reg do obiektu zasad grupy
Rozszerzenie GPP pozwala administratorowi łatwo importować plik .reg z kilkoma ustawieniami rejestru do zasad grupy. Ale w tym celu plik reg musi zostać przekonwertowany do formatu XML (Edytor zasad grupy pozwala importować tylko pliki w formacie XML).
Na przykład mamy komputer referencyjny, na którym ustawienia są skonfigurowane w gałęzi rejestru. Eksportujemy te ustawienia do pliku REG, klikając prawym przyciskiem myszy nazwę oddziału w edytorze rejestru regedit i wybierając Eksportuj.
Zapisz ustawienia oddziału rejestru w pliku reg.
Jeśli plik reg zawiera dane z różnych krzaków rejestru (HKLM, HKCU, HK_CLASSES), należy je podzielić na osobne pliki reg.Ten plik REG musi zostać przekonwertowany na format XML (możesz przekonwertować reg-> xml za pomocą usługi online https://www.runecasters.com.au/reg2gpp lub skryptu RegToXML.ps1 - https://gallery.technet.microsoft. com / scriptcenter / Registry-To-GroupPolicyPref-9feae9a3).
Wynikowy plik XML należy skopiować w Eksploratorze i edytorze zasad grupy w sekcji Rejestru, wklej (Wklej).
W rezultacie wszystkie zaimportowane ustawienia rejestru pojawią się w konsoli i zostaną zastosowane na komputerach w domenie.