Konfigurujte nastavenia registra v počítačoch pomocou skupinových politík (Active Directory)

V tomto článku sa pozrieme na to, ako pomocou skupinových politík (GPO) centrálne spravovať, vytvárať, meniť hodnoty, importovať a mazať všetky kľúče registra na počítačoch domény.

V klasických skupinových politikách neexistovala zabudovaná schopnosť riadiť ľubovoľné nastavenie registra. Preto správcovia na centralizovanú správu kľúčov a parametrov registra prostredníctvom GPO museli vytvoriť svoje vlastné šablóny pre správu (.adm / .admx) (príklad GPO na šablóne admx pre prehliadač Google Chrome) alebo súbory bat pre prihlasovacie skripty (importovať reg súbor pomocou príkazu reg import).

V systéme Windows Server 2008 spoločnosť Microsoft uviedla rozšírenie skupinovej politiky s názvom Predvoľby skupinovej politiky (Predvoľby skupinovej politiky - GPP). V GPP sa objavila špeciálna časť, pomocou ktorej môže správca nakonfigurovať (vytvoriť, odstrániť) ľubovoľný parameter alebo vetvu registra a distribuovať tento kľúč do všetkých doménových počítačov. Zvážte tieto vlastnosti podrobnejšie..

Predpokladajme, že chcete zakázať automatické aktualizácie ovládačov na všetkých počítačoch v špecifickom kontajneri (OU) domény zmenou hodnoty parametra SearchOrderConfig v pobočke registra HKEYčasť _local_MACHINE\ SOFTVÉR\ Microsoft\ Windows\ CurrentVersion\ DriverSearching. Existujú dva spôsoby nastavenia parametra registra na cieľových počítačoch domény: pomocou prehľadávača databázy Registry zabudovaného do konzoly GPP na vzdialených počítačoch alebo manuálne zadaním cesty k vetve registra a názvu parametra.

obsah:

Vytvorenie / úprava sprievodcu nastavením registra v GPO
Ručné vytvorenie nastavenia registra pomocou skupinových politík
Importujte súbor .reg do GPO

Vytvorenie / úprava sprievodcu nastavením registra v GPO

Najprv zvážte prvú metódu:

Otvorte Konzolu pre správu skupinovej politiky ()GPMC.msc);
Vytvorte nový (alebo upravte existujúci) GPO, priraďte ho k požadovanému AD kontajneru s počítačmi (alebo používateľmi), na ktoré chcete rozšíriť hodnotu vášho parametra registra, a prepnite do režimu úprav politiky;
Rozbaľte sekciu GPO Konfigurácia počítača (alebo používateľa) -> Preferencie -> Nastavenia systému Windows -> registre av kontextovej ponuke vyberte položku nový -> Sprievodca registrom;
Majster registre čarodejník vám umožňuje pripojiť sa k registru na vzdialenom počítači prostredníctvom siete a vybrať parameter registra a jeho hodnotu;
Zadajte názov počítača, ku ktorému sa chcete pripojiť;poznámka. Ak sa vyskytne chyba pri pripájaní k počítaču pomocou prehľadávača registra Sieťová cesta sa nenašla, s najväčšou pravdepodobnosťou je počítač vypnutý, prístup k nemu je blokovaný bránou firewall alebo nie je povolená služba vzdialeného registra.Ak chcete službu RemoteRegistry ručne povoliť, musíte na vzdialenom počítači spustiť nasledujúce príkazy:sc config remoteregistry start = demand
čistý štart remoteregistry
Pomocou prehliadača vzdialeného registra vyberte všetky nastavenia registra, ktoré chcete konfigurovať prostredníctvom GPO;
poznámka. Tento prehľadávač umožňuje vybrať kľúče na vzdialených počítačoch iba v sekciách HKEY_LOCAL_MACHINE a HKEY_USERS. Ak potrebujete nastaviť kľúče obsiahnuté v iných pobočkách registra, budete musieť nainštalovať RSAT na vzdialený počítač (inštalácia RSAT v systéme Windows 10). Potom na tomto počítači spustite konzolu gpmc.msc a rovnakým postupom určte potrebné nastavenia databázy Registry.
V našom príklade chceme prostredníctvom GPP zmeniť hodnotu iba jedného parametra v registri - SearchOrderConfig;
Zadaná položka registra sa importuje do konzoly GPP spolu s cestou a aktuálnou hodnotou (0). Ako vidíte, strom správy sa objavil v konzole správy GPO, v ktorej je tento parameter uložený. V budúcnosti môžete zmeniť jeho hodnotu a pôsobiť s ňou (budeme uvažovať o niečo nižšie);
Týmto sa dokončí vytvorenie politiky GPP. Pri najbližšej aktualizácii nastavení skupinovej politiky na všetkých počítačoch, na ktoré sa vzťahuje táto zásada, sa hodnota kľúča databázy SearchOrderConfig zmení na 0 (ak zásada nefunguje na klientovi, na diagnostiku môžete použiť pomocný program gpresult a odporúčania z článku „Prečo sa GPO neuplatňuje?“)..

Ak politika prestane fungovať na počítači (politika je odstránená alebo odpojená od kontajnera, počítač sa prenesie na inú organizačnú jednotku atď.), Hodnota registra sa nevráti na svoju pôvodnú (predvolenú) hodnotu (ako je to v prípade obvyklých nastavení politiky GPO)..

Ručné vytvorenie nastavenia registra pomocou skupinových politík

Pomocou GPP môžete vytvoriť, upraviť alebo odstrániť konkrétny parameter alebo kľúč databázy Registry zadaním vetvy registra, názvu parametra a hodnoty ručne.

Ak to chcete urobiť, vyberte položku Register -> Nový-> Položka registra;
V poliach Úľ, Kľúčová cesta, Názov hodnoty, Typ hodnoty, Údaj hodnoty musíte zadať kľúč databázy Registry, vetvu, názov, typ a hodnotu parametra, ktorý chcete zmeniť;
V predvolenom nastavení je nastavenie databázy Registry nakonfigurované prostredníctvom objektu GPO nastavené na aktualizovať.

K dispozícii sú 4 typy operácií s nastavením registra.

vytvoriť - vytvorí nastavenie registra. Ak parameter už existuje, jeho hodnota sa nezmení;
aktualizovať (Štandardne) - ak už parameter existuje, jeho hodnota sa zmení na hodnotu uvedenú v politike. Ak parameter registra neexistuje, vytvorí sa automaticky (ako aj pobočka registra, v ktorej by sa mal nachádzať);
vymeniť - ak položka registra už existuje, odstráni sa a znovu vytvorí (zriedka sa používa);
delete - nastavenie registra bude odstránené.

pútko obyčajný Existuje niekoľko užitočných možností:

beh v prihlásený-na užívateľ, s zabezpečenia kontext (user politika voľba) - kľúč databázy Registry sa vytvára v kontexte aktuálneho používateľa (možné iba pre GPP, ktoré vytvoríte v časti GPO používateľa). Ak používateľ nemá práva správcu, politika nebude môcť zapisovať do vetiev systémového registra;
Remove toto položka keď to je žiadny dlhšie aplikovaný - ak politika prestane ovplyvňovať klienta, parameter sa automaticky odstráni;
platiť akonáhle a robiť nie znovu pripojte - uplatňovať politiku iba raz (v prípade počítača alebo používateľa). Ak po prvom použití GPO užívateľ manuálne zmení hodnotu nastavenia registra vo svojom počítači, politika neprepíše jeho hodnotu, keď sa GPO aktualizuje znova;
položka-hladina zacielenia - schopnosť presnejšie zacieliť politiku na klientov (politiku môžete zacieliť na konkrétnu IP, podsieť, názov počítača, počítače so špecifickými charakteristikami - to znamená, že môžete nakonfigurovať jemné presadzovanie politiky podobne ako filtre WMI GPO). Môžete napríklad určiť, že nastavenie registra sa má použiť na počítačoch so systémom Windows Server 2012 R2 na serveroch OU.

Takže na konzole GPMC (karta Nastavenia) výsledná zostava s nastaveniami skupinovej politiky vyzerá, že mení hodnotu jedného parametra registra.

Importujte súbor .reg do GPO

Rozšírenie GPP umožňuje správcovi ľahko importovať súbor .reg s niekoľkými nastaveniami registra do skupinovej politiky. Na tento účel je však potrebné súbor reg skonvertovať do formátu XML (Editor zásad skupiny umožňuje importovať iba súbory vo formáte XML).

Napríklad máme referenčný počítač, na ktorom sú konfigurované nastavenia v pobočke registra. Tieto nastavenia exportujeme do súboru REG kliknutím pravým tlačidlom myši na názov vetvy v editore registra regedit a výberom položky Exportovať.

Uložte nastavenia vetvy registra do súboru reg.

Ak váš súbor reg obsahuje údaje z rôznych kríkov registra (HKLM, HKCU, HK_CLASSES), je potrebné ich rozdeliť do samostatných súborov reg..

Tento súbor REG musí byť skonvertovaný do formátu XML (môžete previesť reg-> xml pomocou online služby https://www.runecasters.com.au/reg2gpp alebo skriptu RegToXML.ps1 - https://gallery.technet.microsoft. sk / skriptovacie centrum / register-do-skupinyPolicyPref-9feae9a3).

Výsledný súbor XML sa musí skopírovať do Prieskumníka a do editora skupinovej politiky v sekcii Register, prilepiť (Vložiť).