Групповые политики Active Directory: краткое руководство

Создание централизованной системы управления рабочими станциями в Windows Server 2012

🔹 Теоретическая часть: Основы групповых политик

1.1. Что такое групповые политики (GPO)?

Групповые политики — это механизм в Active Directory для централизованного управления настройками пользователей и компьютеров в доменной среде.

Основные компоненты GPO:

• Объект групповой политики (GPO) — контейнер с настройками
• Оснастка Group Policy Management (GPMC) — инструмент управления
• Групповые политики применяются к компьютерам и пользователям

1.2. Архитектура и порядок применения

Порядок применения политик (LSDOU):

1. Local — локальные политики компьютера
2. Site — политики сайта Active Directory
3. Domain — политики домена
4. Organizational Unit — политики подразделений

Очередность применения к OU:

• Сверху вниз в иерархии
• От родительских OU к дочерним
• Политики с более высоким номером приоритета применяются последними

1.3. Области применения групповых политик

Управление безопасностью:

• Политики паролей
• Настройки брандмауэра
• Контроль учетных записей (UAC)
• Ограничение доступа к реестру и файловой системе

Управление рабочим окружением:

• Сетевые диски и принтеры
• Настройки рабочего стола
• Ограничения интерфейса
• Установка программного обеспечения

Административный контроль:

• Запрет изменения системных настроек
• Ограничение доступа к панели управления
• Настройка power management
• Автозапуск приложений

🔹 Практическая часть: Создание GPO в Windows Server 2012

2.1. Подготовка структуры Active Directory

Предполагаемая структура OU:

Как создать структуру, описано в этой статье.

2.2. Запуск инструментов управления

1. Откройте Group Policy Management:
   Пуск → Администрирование → Управление групповой политикой
   Или gpmc.msc через Выполнить

2. Ознакомьтесь с интерфейсом:
Левая панель: дерево доменов и сайтов
Центральная панель: детали GPO
Правая панель: действия

Default Domain Policy является базовой стандартной групповой политикой, которая применяется ко всему домену. Всё, что относится ко всем компьютерам и пользователям домена, можно прописывать в этой политике, если нужно же создать правила для определенной группы пользователей или компьютеров, то тогда создается специальная групповая политика в соответствующем организационном юните.

Рассмотрим примеры некоторых групповых политик, которые можно реализовать.

2.3. Создание базовых GPO

GPO 1: "Base Computer Policy" — базовая политика для компьютеров

Создание политики:

1. Правой кнопкой на организационный юнит, для которого хотите создать групповую политику, например OU «Workstations» → Создать объект групповой политики.
2. Имя: Base Computer Policy
3. Нажмите OK

Настройка политики:

1. Правой кнопкой на GPO →Изменить
2. Перейдите: Конфигурация компьютера → Политики → Настройки Windows → Параметры безопасности

"Параметры безопасности" используются для централизованной настройки и контроля безопасности всех компьютеров и пользователей в домене Active Directory. Произведем некоторые базовые настройки.

Настройки безопасности:

• Политика учетной записи → Политика паролей(Управление паролями и блокировкой учетных записей):
  Минимальная длина пароля: 8 символов
  Пароль должен соответствовать требованиям к сложности: Enabled
  Максимальный срок действия пароля: 90 days

• Локальные политики → Политика аудита(что записывать в журнал событий - успешные/неуспешные попытки входа, доступ к файлам):
  Аудит событий входа в учетную запись: Успех, отказ
  Аудит доступа к объектам: успех

GPO 2: "Base User Policy" — базовая политика для пользователей

Теперь создадим групповую политику для пользователей.

Настройки:

1. Конфигурация пользователя → Политики → Административные шаблоны → Панель управления:
   Запретить доступ к панели управления: Включено
   Скрыть указанные элементы панели управления: Программы, Учетные записи пользователей

2. Конфигурация пользователя → Политики → Административные шаблоны → Система:
Запретить доступ к инструментам редактирования реестра: Включено
Запускать только указанные приложения Windows: Не настроено

2.4. Создание сетевых папок через GPO

GPO 3: "Network Drives Policy" — общие сетевые папки

Сетевая папка — это обычная папка на жестком диске одного компьютера (сервера), к которой предоставлен доступ другим компьютерам через локальную сеть или интернет.

🎯 Основные цели и для чего используются сетевые папки:

1. Совместный доступ к файлам

• Несколько пользователей могут работать с одними и теми же файлами
• Пример: Бухгалтеры работают с общими Excel-таблицами, юристы — с общими шаблонами документов

2. Централизованное хранение данных

• Все важные файлы в одном месте, а не разбросаны по разным компьютерам
• Пример: Все проектные документы компании хранятся на сервере, а не на ПК сотрудников

3. Экономия дискового пространства

• Не нужно хранить копии одних и тех же файлов на каждом компьютере
• Пример: База данных 1С находится в сетевой папке, а не на каждом рабочем месте

4. Упрощение резервного копирования

• Администратор делает бэкап одного сервера вместо 100 компьютеров
• Пример: Ночное резервное копирование всех данных компании с одного сервера

5. Контроль доступа и безопасности

• Разные права для разных пользователей и групп
• Пример:
  Менеджеры — могут читать и редактировать
  Стажеры — могут только читать
  Посторонние — доступ запрещен

6. Организация рабочего процесса

• Структурирование по отделам, проектам, типам файлов
• Пример:

Создание общей папки на сервере:

🖥️ Как выглядит на практике?

Путь к сетевой папке: \\SERVER_NAME\Shared_Folder\

Примеры:

• \\FileServer\Accounting\ — папка для бухгалтерии
• \\NAS\Projects\Project_X\ — папка проекта
• \\DC\Common\ — общая папка для всех сотрудников

⚙️ Типы сетевых папок:

Тип: Общие папки

Описание: Доступ для всех пользователей сети

Пример использования: Общие документы компании

Тип: Папки по отделам

Описание: Доступ только для определенного отдела

Пример использования: Папка "HR" только для кадров

Тип: Личные папки

Описание: Доступ только для одного пользователя

Пример использования: Домашняя папка сотрудника

Тип: Папки для совместной работы

Описание: Несколько пользователей редактируют одни файлы

Пример использования: Проектная документация

🔒 Преимущества использования:

✅ Единая версия файла — все работают с актуальной версией
✅ Контроль версий — можно отслеживать изменения
✅ Безопасность — разграничение прав доступа
✅ Эффективность — быстрый поиск и доступ к файлам
✅ Надежность — централизованное резервное копирование

В итоге, сетевые папки — это фундамент для организованной и эффективной работы в любой компании, где больше двух компьютеров!

Создание общей папки на сервере.

Для начала на сервере нужно создать сетевую папку, где будут храниться общие файлы, для этого сначала создаем папку на диске с подходящим названием, потом запускаем Диспетчер серверов→Файловые службы и службы хранения→Общие ресурсы→Задачи→Новый общий ресурс

Нажимаем далее

Указываем путь к папке

Теперь будет известен путь к сетевой папке

Выбираем или убираем параметры какие нам необходимы

В настройках Разрешения, добавляем Пользователи домена и даем им нужный доступ.

Нажимаем далее и создать, сетевой диск создан.

Теперь нужно подключить диск всем пользователям, для этого заходим в групповую политику всего домена

Далее идем в Конфигурацию пользователей→Настройка→Конфигурация Windows→Сопоставление дисков и там ПКМ создать

Указываем сетевой путь, созданный выше, делаем подпись и указываем под какой буквой будет сетевой диск

Теперь у всех пользователей домена, автоматически будет подключена сетевая Общая папка, к которой им будет полный доступ.

Создание сетевых папок для пользователей(общие и личные).

Создадим личные папки пользователей. Для начала создадим общую папку, для этого создайте папку на диске «Личные папки» и дайте доступ «Чтение» для «Пользователи домена».

Внутри этой папки создайте папки для каждого отдела, удалите права «Пользователи домена» и добавьте «Чтение» для группы пользователей соответствующего отдела

В папке отделов создайте папки для каждого пользователя этого отдела, в качестве имени укажите их логин, и там удалите права отдела и дайте права соответствующему пользователю «Чтение и запись».

Когда будет создано все папки для каждого пользователя, нужно создать групповую политику соответствующего отдела, настроить аналогично предыдущему пункту «Сетевой диск», но в качестве пути указывайте сетевой путь до папки отдела, а вместо папки с именем пользователя пропишите %logonUser%, таким образом не нужно будет прописывать все папки, а она автоматически будет подключаться, когда пользователь будет авторизовываться. В подпись можно тоже так же подставить %logonUser%.

В результате теперь у каждого пользователя будет личная сетевая папка, где он может хранить данные и никто туда не сможет попасть.

Но такой способ не совсем правильный, так как другим будет видно в папке отдела чужие логины, что некорректно с точки зрения информационной безопасности.

Автоматическое создание папок.

Можно написать скрипт для PowerShell, который будет автоматически создавать папки пользователей для нужных отделов.

Запустите PowerShell ISE и пропишите в нём следующий скрипт и запустите:

# Создание личных папок для пользователей из OU Admins

$Users = Get-ADUser -Filter * -SearchBase "OU=Admins,DC=company,DC=local"

foreach ($User in $Users) {

$UserFolder = "C:\Shared\Users\$($User.SamAccountName)"

New-Item -Path $UserFolder -ItemType Directory -Force

icacls $UserFolder /grant "company\$($User.SamAccountName):(OI)(CI)M"

}

И теперь можно создать автоматически папки для каждого отдела и, аналогично примеру выше, настроить политику для каждого отдела для сетевых папок.

2.5. GPO для автоматической установки Яндекс.Браузера

Для начала нужно определить, для каких устройств необходимо устанавливать соответствующую программу. Если необходимо везде, то настраиваем ГП для всего домена, если для отдельного отдела, то создаем ГП соответствующего отдела.

Подготовка установочного пакета:

Скачайте Яндекс Браузер в MSI-формате. Чтобы не мучиться на сервере со встроенным браузером и постоянными запросами на разрешение при переходах, проще скачать его на клиентской машине и загрузить в нужную сетевую папку, например в \\SRV-DC\общая папка\Software\. Чтобы скачать msi-сборку, понадобится авторизоваться на сайте Яндекса.

Настройка GPO:

Для начала нужно переместить ПК в нужный отдел, для этого открываем средство Active Directory Пользователи и компьютеры→Computers ПКМ по ПК → Переместить и выбираем нужный отдел, после этого, на него будут распространяться правила отдела.

После этого идем в средство "Управление групповой политикой" и создаем новый объект групповой политики в OU Admins, которая будет отвечать и управлять группой Admins.

Далее настраиваем созданную Групповую политику нужного отдела переходим в Конфигурацию компьютера→Политики→Конфигурация программ→Установка программ→ПКМ в окне программ→ Создать→Пакет

И выбираем файл на Сетевом диске! После выбираем вариант Особый и нажимаем ОК. Изучаем параметры и нажимаем ОК.

Запускаем ВМ с ПК и проверяем созданные ГП, если они не применились, то необходимо обновить групповые политики, для этого запускам командную строку от имени доменного Администратора

и в ней набираем команду обновляющую ГП с контроллера домена: gpupdate /force

Для вступления в силу некоторых ГП может потребоваться перезагрузка, соглашаемся

🔹 3. Управление и мониторинг GPO

3.1. Настройка приоритетов и наследования

Управление наследованием:

1. В средстве "Управление групповой политикой" (GPMC) выберите OU
2. Вкладка "Наследование групповой политики" показывает порядок применения

3. Для блокировки наследования: правой кнопкой на OU → Наследование блоков

Принудительное применение GPO:

• Правой кнопкой на GPO ссылке → Принудительный

3.2. Фильтрация безопасности

Ограничение применения GPO:

1. Выберите GPO в GPMC
2. Вкладка "Область" → Фильтры безопасности
3. Добавьте группы которым должна применяться политика

Пример фильтрации:

• GPO "Sales Department Policy" → Security Filtering: Sales_Users
• GPO "IT Department Policy" → Security Filtering: IT_Users

3.3. Мониторинг применения политик

Команды диагностики на клиенте в командной строке:

# Принудительное обновление политик

gpupdate /force

# Просмотр результата применения политик

gpresult /h C:\GPO_Report.html

gpresult /r

# Детальная диагностика

gpresult /z

PowerShell для мониторинга:

# Проверка применения GPO на удаленном компьютере

Invoke-GPUpdate -Computer "CLIENT-01" -RandomDelayInMinutes 0

# Получение отчета о GPO

Get-GPOReport -Name "Network Drives Policy" -ReportType HTML -Path "C:\GPO_Report.html"

🔹 4. Устранение неисправностей

4.1. Типичные проблемы и решения

5.2. Средства диагностики

Event Viewer для GPO:

• Приложения и службы → Microsoft → Windows → GroupPolicy

Утилита Group Policy Results:

1. В GPMC правой кнопкой на Group Policy Results
2. Запустите мастер для анализа применения политик

🔹 Заключение

Достигнутые результаты:

✅ Централизованное управление сетевыми ресурсами
✅ Автоматическая установка необходимого ПО
✅ Разграничение доступа по отделам
✅ Стандартизация рабочего окружения
✅ Снижение нагрузки на ИТ-поддержку

Рекомендации по эксплуатации:

1. Тестируйте политики в тестовой среде перед развертыванием
2. Документируйте изменения в GPO
3. Регулярно проверяйте логи применения политик
4. Используйте постепенное развертывание через пилотные группы
5. Настройте мониторинг работоспособности GPO

Групповые политики Active Directory обеспечивают мощный инструмент для создания стандартизированной, безопасной и легко управляемой ИТ-инфраструктуры предприятия.