GPMC: Консоль управления групповыми политиками в Active Directory

Групповые политики Active Directory позволяют централизованно применять одинаковые настройки ко множеству компьютеров и/или пользователей домена и существенно упрощают управление конфигурацией в доменной среде. Консоль Group Policy Management Console (GPMC.msc) – это основной инструмент для управления групповыми политиками (Group Policy Object, GPO) в Active Directory.

Установка консоли GPMC в Windows

В Windows 10 и 11 консоль GPMC входит в состав RSAT, и вы можете установить ее через панель Settings. Перейдите Settings -> Apps -> Optional Features -> Add an optional feature -> выберите в списке RSAT: Group Policy Management Tools и нажмите Install .

Установка RSAT: Group Policy Management Tools в Windows 10 и 11

Также вы можете установить консоль управления групповыми политиками в Windows 10 и 11 с помощью PowerShell:

Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0

Или с помощью DISM:

DISM.exe /Online /add-capability /CapabilityName:Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0

Обратите внимание, что в современных версиях Windows 10 и 11 для установки инструментов управления RSAT, ваш компьютер должен быть подключен к Интернету. Подробнее про установку инструментов администрирования (RSAT) в Windows описано в статье по ссылке.

В Windows Server 2022/2019/2016/2012R2 вы можете установить консоль управления GPO через Server Manager: Add Roles and Features -> Features -> Group Policy Management .

Windows Server установка Group Policy management

Также можно установить консоль GPMC в Windows Server с помощью PowerShell командлета Install-WindowsFeature :

Install-WindowsFeature GPMC

Install-WindowsFeature GPMC - установка консоли через powershell

После установки, проверьте что ярлык Group Policy Management появится в разделе Administrative Tools в панели управления (Control PanelSystem and SecurityAdministrative Tools). Ярлык ссылается на MMC оснастку %SystemRoot%system32gpmc.msc .

gpmc.msc

Управление групповыми политиками Active Directory с помощью консоли Group Policy Management

Консоль GPMC позволяет управлять групповыми политиками на уровне сайтов AD, доменов и организационными подразделениями ( Organizational Unit ).

Для запуска консоли выполните команду:

gpmc.msc

По умолчанию консоль подключается к контроллеру домена с FSMO ролью Primary Domain Controller Emulator (PDC). Вы можете подключиться к любому другому DC. Для этого щелкните правой кнопкой по имени домена и выберите Change Domain Controller (для комфортной работы рекомендуем подключиться к вашему Logon Server-у ).

Разверните Forest -> Domain -> Ваш домен.

консоль group policy management console

На этом скриншоте выделены:

  1. Имя домена, к которому подключена консоль;
  2. Групповые политики, которые назначены на различные OU (отображается вся структура OU, которую вы видите в консоли ADUC );
  3. Полный список политик (GPO) в текущем домене доступен в разделе Group Policy Objects .

Групповые политики Active Directory можно назначить на OU, сайт или весь домен. Чаще всего политики привязываются к OU с компьютерами или пользователями.

Чтобы создать новую GPO и сразу назначить ее на OU, щелкните по нужному контейнеру правой кнопкой и выберите Create a GPO in this domain, and Link it here .

создать GPO в Active Directory

Задайте имя GPO:

имя групповой политики ad

В консоли GPMC вы увидите вашу новую GPO, которая сразу назначена на выбранный вами контейнер (OU).

отредактировать групповую политику в active directory

GPO активна ( Link Enabled = True ), это значит что ее настройки будут применяться ко всем объектом в данном OU.

Чтобы изменить настройки GPO выберите Edit.

консоль редактора групповой политики Windows

Для управления параметрами групповой политики на компьютере Windows используется консоль локального редактора GPO – gpedit.msc . Он позволяет настроить параметры Windows с помощью одной или множественных локальных политик (MLGPO) .

Перед вами откроется консоль редактора GPO, аналогичная локальному редактору GPO. Все настройки GPO разделены на две секции:

  • Computer Configuration — здесь можно настроить параметров компьютера (Windows);
  • User Сonfiguration – параметры, которые нужно применить для пользователей AD.

В каждой секции есть три подраздела:

Также здесь есть отдельный раздел Preferences . Здесь содержится дополнительный набор настроек Group Policy Preferences (GPP), которые вы можете задать для клиентских устройств через GPO.

Закройте редактор политики и вернитесь в консоль GPMC. Все настройки, которые вы изменили в GPO будут применены на клиентах при следующем цикле обновления настроек групповых политик.

Выберите вашу GPO, чтобы вывести ее основные параметры. Здесь доступны 4 вкладки:

  • Scope – здесь видно на какие OU назначена эта политики. В разделе Security Filtering можно настроить группы безопасности, для членов которых должна применяться политики (по умолчанию здесь задано Authenticated Users, это значит, что политика применяется ко всем объектам в OU). В параметре WMI filtering можно задать дополнительные правила фильтрации объектов для которых должна применяться GPO (см. WMI фильтры GPO );
  • Details – содержится базовая информация о GPO (владелец, когда создана и изменена, версия, GUID);
  • Settings – содержится отчет о всех настроенных параметрах GPO (отчет похож на результаты команды gpresult );
  • Delegation – выводит текущие разрешения GPO, позволяет изменить их.

параметры GPO в Active Directory

Active Directory хранит GPO хранятся в виде набора файлов и папок в каталоге SYSVOL, который реплицируется между DC. Вы можете найти каталог определенной GPO по ее GUID (на вкладке Details). Используйте следующий UNC путь: \remontka.comsysvolremontka.comPolicies{GUID}

каталог с файлами групповой политики gpt.ini в sysvol

Для управления GPO в Active Directory можно использовать встроенный PowerShell модуль GroupPolicy .

Если вы хотите, чтобы политика перестала действовать на клиенты в данном OU, можно либо удалить ссылку ( Delete , при этом сама объект GPO не будет удален), либо временно отключить ее действие ( Link Enabled = False ).

отключить групповую политику AD

Обратите внимание, что в домене уже есть две политики, которые действуют на все компьютеры и контроллеры домена соответственно:

  • Default Domain Policy
  • Default Domain Controller Policy

В большинстве случае не рекомендуется использовать эти GPO для настройки параметров клиентов. Лучше создать новые политики и назначить их на уровень всего домена или контейнера Domain Controllers.

Также консоль Group Policy Management позволяет:

  • Импортировать/экспортировать, создавать резервные копии и восстанавливать GPO
  • Создавать результирующие отчеты политик — Resultant Set of Policy (RSoP)
  • Удаленно обновлять настройки GPO на компьютерах
  • Подготавливать GPO к миграции между доменами

В отдельной статье “ Почему не применяется групповая политика к компьютеру? ” рассмотрены такие основные элементы групповых политик Active Directory как:

  • Наследование в групповых полотках
  • Область действия и порядок применения GPO (LSDOU)
  • Приоритете и управление порядком применения политик
  • Замыкание групповых политик (Loopback Processing mode)
  • Фильтрация GPO
  • Форсирование применения GPO

Рекомендуем внимательно ознакомиться с этой статьей для более эффективного использования возможностей групповых политик и понимания принципов их работы.

EnglishRussianUkrainian