Категории
Групповые политики в Active Directory: Как управлять офисом
2025-08-22 14:40:34 | Windows
После развертывания Active Directory (AD) следующий шаг — централизованное управление компьютерами и пользователями. На помощь приходят Групповые политики (Group Policy).
В этой статье вы узнаете, как настроить групповые политики для типичного офиса: запрет USB, автозапуск скриптов, блокировка панели задач, управление рабочим столом и многое другое — всё через AD.
Что такое групповая политика (GPO)?
Групповая политика (Group Policy Object, GPO) — это механизм в Active Directory, позволяющий управлять настройками компьютеров и пользователей в домене.
Вы создаёте политику один раз — и она применяется ко всем нужным компьютерам или пользователям автоматически.
gpupdate /force.
Где управлять GPO?
- На контроллере домена (DC01) откройте Group Policy Management (GPMC).
- Если нет — установите через Server Manager: Group Policy Management Tools.
- Путь:
Tools → Group Policy Management.
Здесь вы увидите:
- Домен (например,
corp.local) - Default Domain Policy — базовая политика
- OU (подразделения), в которые можно привязывать политики
Шаг 1: Создание структуры OU
Для гибкого управления создайте организационные подразделения (OU):
corp.local
├── Users
├── Computers
│ ├── Office
│ ├── Accounting
│ └── Management
└── Groups
Теперь можно применять политики по отделам.
Примеры GPO для офиса
🔹 Пример 1: Запрет использования USB-флешек
Зачем: Защита от утечек данных и вирусов.
- Откройте GPMC.
- Создайте новую GPO: Block USB Storage.
- Привяжите её к OU
OfficeилиComputers. - Откройте редактор: Edit.
- Перейдите:
Computer Configuration → Policies → Administrative Templates → System → Removable Storage Access - Найдите:
- All Removable Storage classes: Deny all access → Включить
- Removable Disks: Deny read access → Включить
- Removable Disks: Deny write access → Включить
- Примените. После перезагрузки USB-флешки будут заблокированы.
🔹 Пример 2: Автозапуск скрипта при входе пользователя
Зачем: Например, монтирование сетевых дисков или обновление данных.
- Создайте папку на сервере:
\\DC01\SYSVOL\corp.local\Policies\Scripts\Logon. - Поместите туда скрипт, например
map_drives.bat:
@echo off
net use Z: \\SRV01\Public /persistent:yes
net use H: \\SRV01\Home\%username% /persistent:yes
- Создайте GPO: Logon Scripts.
- Привяжите к OU
UsersилиOffice. - Редактор GPO:
User Configuration → Policies → Windows Settings → Scripts (Logon/Logoff) → Logon - Добавьте путь к скрипту.
- После входа пользователя диски будут подключены автоматически.
🔹 Пример 3: Блокировка панели задач и реестра
Зачем: Ограничить действия пользователей на рабочих станциях.
- Создайте GPO: Lock Down Workstations.
- Привяжите к OU
Office. - Редактор:
User Configuration → Administrative Templates → Start Menu and Taskbar - Включите:
- Remove Task Manager
- Remove Run menu from Start Menu
- Remove Command Prompt
- Также можно заблокировать реестр:
User Configuration → Administrative Templates → System → Prevent access to registry editing tools → Enabled
🔹 Пример 4: Единый фон рабочего стола
Зачем: Корпоративный стиль, информационные сообщения.
- Поместите изображение (например,
wallpaper.jpg) в общую папку:\\DC01\NETLOGON\wallpaper.jpg. - Создайте GPO: Corporate Wallpaper.
- Редактор:
User Configuration → Administrative Templates → Desktop → Desktop - Настройте:
- Desktop Wallpaper → Укажите путь:
\\DC01\NETLOGON\wallpaper.jpg - Wallpaper Style → Выберите:
StretchилиFill
- Desktop Wallpaper → Укажите путь:
- Примените — все пользователи увидят одинаковый фон.
Лучшие практики
- Не меняйте Default Domain Policy — создавайте свои GPO.
- Тестируйте политики на небольшой группе (например, OU Test).
- Используйте фильтрацию по безопасности — применяйте GPO только к нужным группам (например, Security Group «Accounting_Users»).
- Документируйте политики — добавляйте описание в свойствах GPO.
- Следите за приоритетами — политики применяются по порядку: Site → Domain → OU (и могут переопределяться).
gpresult /r или rsop.msc (Resultant Set of Policy).
Заключение
Групповые политики — мощный инструмент для управления офисной инфраструктурой. С их помощью вы можете:
- Централизованно настраивать сотни компьютеров
- Повышать безопасность (запрет USB, реестра, cmd)
- Автоматизировать рутину (сетевые диски, скрипты)
- Поддерживать единый корпоративный стиль
Это лишь базовые примеры. В следующих статьях мы рассмотрим продвинутые сценарии: политики для приложений, перенаправление папок, безопасность паролей и GPO в многосайтовой среде.
Комментарии
Пока нет комментариев. Будьте первым!