V tomto článku se podíváme na to, jak pomocí skupinových zásad (GPO) centrálně spravovat, vytvářet, měnit hodnoty, importovat a mazat všechny klíče registru na počítačích domény.
V klasických zásadách skupiny neexistovala žádná vestavěná schopnost řídit nastavení libovolného registru. Správci proto pro centralizovanou správu klíčů a parametrů registru prostřednictvím GPO museli vytvořit své vlastní šablony pro správu (.adm / .admx) (příklad GPO na šabloně admx pro Google Chrome) nebo soubory bat pro přihlašovací skripty (importovat reg soubor pomocí příkazu reg import).
V systému Windows Server 2008 společnost Microsoft představila rozšíření Zásady skupiny s názvem Předvolby skupinových zásad (Předvolby zásad skupiny - GPP). V GPP se objevila speciální sekce, pomocí které může správce konfigurovat (vytvořit, odstranit) libovolný parametr nebo větev registru a distribuovat tento klíč do všech doménových počítačů. Zvažte tyto funkce podrobněji..
Předpokládejme, že chcete zakázat automatické aktualizace ovladačů na všech počítačích v konkrétním kontejneru (OU) domény změnou hodnoty parametru SearchOrderConfig ve větvi registru Hkey_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ DriverSearching. Existují dva způsoby, jak nastavit parametr registru v cílových počítačích v doméně: pomocí prohlížeče registru zabudovaného do konzoly GPP ve vzdálených počítačích nebo ručně zadáním cesty k větev registru a názvu parametru.
Obsah:
- Průvodce vytvořením / úpravou nastavení registru v GPO
- Ruční vytvoření nastavení registru pomocí skupinových zásad
- Importujte soubor REG do GPO
Průvodce vytvořením / úpravou nastavení registru v GPO
Nejprve zvažte první metodu:
- Otevřete konzolu pro správu zásad skupiny ()gpmc.msc);
- Vytvořte nový (nebo upravte existující) GPO, přiřaďte jej k požadovanému AD kontejneru s počítači (nebo uživateli), ke kterým chcete rozšířit hodnotu parametru registru, a přepněte do režimu úprav zásad;
- Rozbalte sekci GPO Konfigurace počítače (nebo uživatele) -> Preference -> Nastavení systému Windows -> Registr av kontextové nabídce vyberte Nové -> Průvodce registrem;
- Mistryně Registr Průvodce umožňuje připojit se k registru na vzdáleném počítači prostřednictvím sítě a vybrat parametr registru a jeho hodnotu;
- Zadejte název počítače, ke kterému se chcete připojit;Poznámka:. Pokud dojde k chybě při připojení k počítači prostřednictvím prohlížeče registru Síťová cesta nebyla nalezena, s největší pravděpodobností je počítač vypnutý, přístup k němu je blokován bránou firewall nebo není na něm povolena služba Vzdálený registr.Chcete-li službu RemoteRegistry ručně povolit, musíte ve vzdáleném počítači spustit následující příkazy:
sc config remoteregistry start = demand
net start remoteregistry
- Pomocí prohlížeče vzdáleného registru vyberte všechna nastavení registru, která chcete konfigurovat prostřednictvím GPO;
Poznámka:. Tento prohlížeč umožňuje vybrat klíče na vzdálených počítačích pouze v sekcích HKEY_LOCAL_MACHINE a HKEY_USERS. Pokud potřebujete nastavit klíče obsažené v jiných větvích registru, budete muset nainstalovat RSAT na vzdálený počítač (instalace RSAT ve Windows 10). Poté v tomto počítači spusťte konzolu gpmc.msc a stejným postupem určete nastavení registru, které potřebujete. - V našem příkladu chceme prostřednictvím GPP změnit hodnotu pouze jednoho parametru v registru - SearchOrderConfig;
- Zadaná položka registru je importována do konzoly GPP spolu s cestou a aktuální hodnotou (0) Jak vidíte, v konzole pro správu GPO, ve které je tento parametr uložen, se objevil strom registru. V budoucnu můžete změnit její hodnotu a akci s ní (budeme uvažovat o něco níže);
- Tím je dokončeno vytváření zásad GPP. Při příští aktualizaci nastavení zásad skupiny na všech počítačích, na které se vztahuje tato zásada, se hodnota klíče registru SearchOrderConfig změní na 0 (pokud zásada na klientovi nefunguje, můžete použít diagnostiku pomocí nástroje gpresult a doporučení z článku „Proč se GPO nepoužije?“).
Pokud zásada přestane fungovat v počítači (zásada je odebrána nebo odpojena od kontejneru, počítač je převeden na jinou OU atd.), Hodnota registru se nevrátí na svou původní (výchozí) hodnotu (jako je tomu v případě obvyklého nastavení zásad GPO)..
Ruční vytvoření nastavení registru pomocí skupinových zásad
Pomocí GPP můžete vytvořit, upravit nebo odstranit konkrétní parametr nebo klíč registru zadáním věty registru, názvu parametru a hodnoty ručně.
- Chcete-li to provést, vyberte Registr -> Nový-> Položka registru;
- V polích Úl, Klíčová cesta, Název hodnoty, Typ hodnoty, Údaj hodnoty musíte zadat klíč registru, větev, název, typ a hodnotu parametru, který chcete změnit;
- Ve výchozím nastavení je nastavení registru, které je nakonfigurováno prostřednictvím GPO, nastaveno na Aktualizace.
K dispozici jsou 4 typy operací s nastavením registru.
- Vytvořit - vytvoří nastavení registru. Pokud parametr již existuje, jeho hodnota se nezmění;
- Aktualizace (Ve výchozím nastavení) - pokud parametr již existuje, jeho hodnota se změní na hodnotu zadanou v zásadě. Pokud parametr registru neexistuje, bude vytvořen automaticky (stejně jako větev registru, ve které by měl být umístěn);
- Vyměňte - pokud položka registru již existuje, bude odstraněna a znovu vytvořena (zřídka se používá);
- Odstranit - nastavení registru bude smazáno.
Tab Běžné Existuje řada užitečných možností:
- Běh v přihlášeni-dál uživatel's bezpečnost kontext (uživatel politika možnost) - klíč registru je vytvořen v kontextu aktuálního uživatele (možné pouze pro GPP, které vytvoříte v sekci GPO uživatele). Pokud uživatel nemá administrátorská práva, nebude politika moci zapisovat do větví systémového registru;
- Odebrat toto položka kdy to je ne déle aplikováno - Pokud zásada přestane ovlivňovat klienta, bude parametr automaticky odstraněn;
- Použít jednou a ano ne znovu použít - použít zásadu pouze jednou (pro počítač nebo uživatele). Pokud po prvním použití objektu GPO uživatel ručně změní hodnotu nastavení registru ve svém počítači, zásada nenahradí jeho hodnotu, když je objekt GPO znovu aktualizován;
- Položka-úroveň cílení - schopnost přesněji zacílit zásadu na klienty (zásadu můžete zacílit na konkrétní IP, podsíť, název počítače, počítače se specifickými charakteristikami - to znamená, že můžete nakonfigurovat jemné prosazování zásad podobně jako filtry WMI GPO). Můžete například určit, že nastavení registru by mělo být použito v počítačích se systémem Windows Server 2012 R2 na serverech OU.
V konzole GPMC (karta Nastavení) tedy výsledná sestava s nastavením zásad skupiny vypadá, že mění hodnotu jednoho parametru registru.
Importujte soubor REG do GPO
Rozšíření GPP umožňuje správci snadno importovat soubor REG s několika nastaveními registru do zásad skupiny. Ale za tímto účelem musí být reg soubor převeden do formátu XML (Editor zásad skupiny umožňuje importovat pouze soubory ve formátu XML).
Máme například referenční počítač, na kterém jsou nastavení nakonfigurována v pobočce registru. Toto nastavení exportujeme do souboru REG kliknutím pravým tlačítkem myši na název větve v editoru registru regedit a výběrem možnosti Exportovat.
Uložte nastavení větve registru do souboru reg.
Pokud váš reg soubor obsahuje data z různých keřů registru (HKLM, HKCU, HK_CLASSES), musí být rozděleny do samostatných reg souborů.Tento soubor REG musí být převeden do formátu XML (můžete převést reg-> xml pomocí online služby https://www.runecasters.com.au/reg2gpp nebo skriptu RegToXML.ps1 - https://gallery.technet.microsoft. com / scriptcenter / Registry-To-GroupPolicyPref-9feae9a3).
Výsledný soubor XML musí být zkopírován v Průzkumníku a v editoru zásad skupiny v části Registr, vložit (Vložit).
Výsledkem bude, že všechna importovaná nastavení registru se objeví v konzole a budou použita na počítače v doméně.