В тази статия ще разгледаме как използване на групови правила (GPO) централно управлявайте, създавайте, променяйте стойности, импортирайте и изтривайте всички ключове на системния регистър на компютри с домейни.
В класическите групови политики нямаше вградена способност за контрол на произволна настройка на регистъра. Следователно администраторите, за централизирано управление на ключовете и параметрите на системния регистър чрез GPO, трябваше да създадат свои собствени административни (.adm / .admx) шаблони (пример за GPO в admx шаблона за Google Chrome) или bat файлове за скриптове за вход (импортиране на reg файл с помощта на команда за импортиране на reg).
В Windows Server 2008 Microsoft представи разширение за групови правила, наречено Предпочитания за групова политика (Предпочитания за групови правила - GPP). В GPP се появи специален раздел, с помощта на който администраторът може да конфигурира (създаде, изтрие) всеки параметър или клон на регистъра и да разпространи този ключ на всички компютри в домейна. Разгледайте тези характеристики по-подробно..
Да предположим, че искате да деактивирате автоматичните актуализации на драйвери на всички компютри в определен контейнер (OU) на домейн, като промените стойността на параметъра SearchOrderConfig в клона на регистъра HKEY_LOCAL_MACHINE\ СОФТУЕР\ Microsoft\ Windows\ CurrentVersion\ Търсене на драйвери. Има два начина за задаване на параметъра на системния регистър на целевите компютри на домейна: използване на браузъра на системния регистър, вграден в конзолата за GPP на отдалечени компютри или ръчно чрез ръчно определяне на пътя към клона на системния регистър и името на параметъра.
Съдържание:
- Съветник за създаване / редактиране на настройки на системния регистър в GPO
- Ръчно създаване на настройка на системния регистър с помощта на групови правила
- Импортирайте .reg файл в GPO
Съветник за създаване / редактиране на настройки на системния регистър в GPO
Първо, помислете за първия метод:
- Отворете конзолата за управление на групови политики ()GPMC.MSC);
- Създайте нов (или редактирайте съществуващ) GPO, присвойте го на необходимия AD контейнер с компютрите (или потребителите), към които искате да разширите стойността на вашия параметър на системния регистър, и преминете към режим на редактиране на правилата;
- Разширете секция GPO Конфигурация на компютър (или потребител) -> Предпочитания -> Настройки на Windows -> регистратура и в контекстното меню изберете нов -> Съветник по регистрация;
- Господарят регистратура магьосник ви позволява да се свържете с системния регистър на отдалечен компютър чрез мрежата и да изберете параметъра на системния регистър върху него и неговата стойност;
- Посочете името на компютъра, към който искате да се свържете;забележка. Ако възникне грешка при свързване към компютър чрез браузъра на системния регистър Мрежовият път не бе намерен, най-вероятно компютърът е изключен, достъпът до него е блокиран от защитна стена или услугата за отдалечен регистър не е активирана на него.За да активирате ръчно услугата RemoteRegistry, трябва да изпълните следните команди на отдалечения компютър:
sc config Remoteregistry start = търсене
нето старт дистанционно управление
- Използвайки отдалечения браузър на системния регистър, изберете всички настройки на системния регистър, които искате да конфигурирате чрез GPO;
забележка. Този браузър ви позволява да избирате клавиши на отдалечени компютри само от секциите HKEY_LOCAL_MACHINE и HKEY_USERS. Ако трябва да зададете ключовете, съдържащи се в други клонове на системния регистър, ще трябва да инсталирате RSAT на отдалечения компютър (инсталиране на RSAT в Windows 10). След това на този компютър стартирайте конзолата gpmc.msc и използвайте същата процедура, за да зададете необходимите настройки на системния регистър. - В нашия пример искаме чрез GPP да променим стойността на само един параметър в системния регистър - SearchOrderConfig;
- Посоченият запис в регистъра се импортира в GPP конзолата заедно с пътя и текущата стойност (0). Както можете да видите, дървото на системния регистър се появи в конзолата за управление на GPO, в която се съхранява този параметър. В бъдеще можете да промените стойността му и действието с него (ще разгледаме малко по-долу);
- Това завършва създаването на GPP политика. Следващия път, когато настройките на груповата политика се актуализират на всички компютри, обхванати от тази политика, стойността на ключа на регистъра SearchOrderConfig ще се промени на 0 (ако политиката не работи на клиента, можете да използвате помощната програма gpresult за диагностика и препоръките от статията „Защо GPO не се прилага?“).
Ако политиката престане да работи на компютъра (правилото е премахнато или прекъснато от контейнера, компютърът се прехвърля в друг OU и т.н.), стойността на регистъра няма да се върне към първоначалната си (по подразбиране) стойност (както е при обичайните настройки на GPO политиката).
Ръчно създаване на настройка на системния регистър с помощта на групови правила
Можете да създадете, промените или изтриете конкретен параметър или ключ на регистъра, като използвате GPP, като посочите клона на регистъра, името на параметъра и стойността ръчно.
- За да направите това, изберете Регистър -> Нов-> Елемент от регистъра;
- В полетата Hive, Key Path, Value Name, Type value, Value value трябва да посочите съответно ключа на регистъра, клона, името, типа и стойността на параметъра, който искате да промените;
- По подразбиране настройката на системния регистър, която е конфигурирана чрез GPO, е настроена на Актуализация.
Налични са 4 вида операции с настройки на системния регистър.
- създавам - създава настройка на регистъра. Ако параметър вече съществува, неговата стойност не се променя;
- Актуализация (По подразбиране) - ако параметърът вече съществува, неговата стойност ще се промени до стойността, посочена в политиката. Ако параметърът на системния регистър не съществува, той ще бъде създаден автоматично (както и клона на системния регистър, в който трябва да се намира);
- Заменете - ако записът в регистъра вече съществува, той се изтрива и пресъздава (рядко се използва);
- Изтриване - настройката на системния регистър ще бъде изтрита.
етикет общ Има няколко полезни варианта:
- тичам в добита-за потребител-те години сигурност контекст (потребител политика опция) - ключът на системния регистър се създава в контекста на текущия потребител (възможно е само за GPP, които създавате в секцията за потребителски GPO). Ако потребителят няма администраторски права, политиката няма да може да пише в клоновете на системния регистър;
- Премахни това артикул когато то е не вече приложен - ако политиката престане да влияе на клиента, параметърът ще бъде изтрит автоматично;
- Нанесете веднъж и правя не Възстановете - прилагайте правилото само веднъж (за компютър или потребител). Ако след първата употреба на GPO, потребителят ръчно промени стойността на настройката на системния регистър на своя компютър, политиката няма да отмени стойността си, когато GPO се актуализира отново;
- артикул-ниво насочването - способността за по-точно насочване на политиката към клиенти (можете да насочите политиката към конкретен IP, подмрежа, име на компютър, компютри със специфични характеристики - тоест можете да конфигурирате фино прилагане на политиката, подобно на WMI GPO филтри). Например, можете да определите, че настройката на системния регистър трябва да се прилага към компютри, работещи с Windows Server 2012 R2 в OU сървъри.
Така че в конзолата GPMC (раздел „Настройки“) полученият отчет с настройките на груповата политика изглежда сякаш променя стойността на един параметър на системния регистър.
Импортирайте .reg файл в GPO
Разширението GPP позволява на администратора лесно да импортира .reg файл с няколко настройки на системния регистър в груповата политика. Но за това, reg файлът трябва да бъде преобразуван в XML формат (Group Policy Editor ви позволява да импортирате само файлове в XML формат).
Например имаме референтен компютър, на който настройките са конфигурирани в клона на системния регистър. Ние експортираме тези настройки в REG файл, като щракнете с десния бутон върху името на клона в редактора на регистъра на regedit и изберете Експортиране.
Запишете настройките на клона на регистъра, за да регистрирате файл.
Ако вашият reg файл съдържа данни от различни регистърни втулки (HKLM, HKCU, HK_CLASSES), те трябва да бъдат разделени на отделни reg файлове.Този REG файл трябва да бъде преобразуван в XML формат (можете да конвертирате reg-> xml, като използвате онлайн услугата https://www.runecasters.com.au/reg2gpp или RegToXML.ps1 скрипта - https://gallery.technet.microsoft. com / scriptcenter / Registry-To-GroupPolicyPref-9feae9a3).
Полученият XML файл трябва да се копира в Explorer и в редактора на груповите правила в секцията Регистър, поставете (поставете).
В резултат на това всички импортирани настройки на регистъра ще се появят в конзолата и ще се прилагат към компютри в домейна.