В этой статье мы рассмотрим, как с помощью групповых политик (GPO) централизованно создавать, изменять значения, импортировать и удалять любые ключи и параметры реестра на компьютерах домена.
Для управления параметрами реестра в групповых политиках есть специальные расширения — предпочтения групповых политик (Group Policy Preferences — GPP). В GPP есть отдельный раздел, с помощью которого может настроить (создать, удалить, изменить) любой параметр или ветку реестра и распространить этот ключ на все компьютеры домена.
Допустим, вы хотите отключить автоматическое обновление драйверов на всех компьютерах в определенно контейнере (OU, Organizational Unit ) в AD. Для этого нужно изменить значение параметра SearchOrderConfig в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionDriverSearching . Вы можете настроить параметр реестра на целевых компьютерах домена двумя способами: с помощью встроенного в консоль GPP браузера реестра на удаленных компьютерах или вручную, путем ручного указания пути к ветке реестра и имени параметра.
Самый простой способ внести изменения в реестр через групповый Сначала рассмотрим первый способ:
sc config remoteregistry start= demand
net start remoteregistry
Если политика перестанет действовать на компьютер (политика удалена или отлинкована от контейнера, компьютер перенесен в другой OU и т.д.), значение параметра реестра не вернется на первоначальное (дефолтное) значение.
Вы можете создать, изменить или удалить конкретный параметр или ключ реестра с помощью GPP, указав ветку реестра, имя и значение параметра вручную.
Hive: HKEY_LOCAL_MACHINE_x000D_Key Path: SOFTWAREMicrosoftWindowsCurrentVersionDriverSearching_x000D_Value name: SearchOrderConfig_x000D_Value type: REG_DWORD_x000D_Value date: 00000000
Доступны 4 вида операции с параметрами реестра.
На вкладке Common есть еще ряд полезных опций:
Вот так в консоли GPMC (вкладка Settings) выглядит результирующей отчет с настройками групповой политики, которая меняет значение одного параметра реестра.
Расширение GPP позволяет администратору легко импортировать в групповую политику .REG файл сразу с несколькими параметрами реестра. Но для этого REG файл нужно сконвертировать в XML формат (редактор Group Policy Editor позволяет импортировать только файлы в XML формате).
Например, у нас имеется эталонный компьютер, на котором сконфигурированы настройки в некой ветке реестра. Экспортируйте эти настройки в REG файл, щелкнув правой кнопкой по имени ветки в редакторе реестра regedit и выбрав Export .
Сохраните параметры ветки реестра в файл с расширением REG.
Данный REG файл нужно преобразовать в XML формат (вы можете выполнить конвертацию reg->xml с помощью онлайн сервиса Reg2GPP https://www.runecasters.com.au/reg2gpp или PowerShell скрипта RegToXML.ps1 .
Полученный XML файл нужно скопировать в проводнике, и выполните вставку (Paste) в секции Registry редактора Group Policy.
Так все настройки реестра из вашего REG файла появятся в консоли и будут применены к компьютерам в домене.
Через групповые политики вы можете изменить права доступа (ACL) на определенные ветки реестра. Вы можете использовать эту возможность чтобы запретить доступ не-администратором к защищенным разделам реестра, или наоборот предоставить пользователям права на внесение изменение в системные разделы реестра.
MACHINESOFTWAREMicrosoftWindowsCurrentVersionDriverSearching
); До Windows Server 2008 для изменения параметров реестра через GPO можно использовать только bat-файлов для Logon скриптов ( с командой reg add или reg import для импорта reg файла с настройками реестра.
Чтобы внести изменения в реестр через логон скрипт GPO, нудно создать текстовый файл myreg.bat со нужными командами. Например:
reg add "HKLMSoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v ProxyEnable /t REG_DWORD /d 1 /f
reg add "HKLMSoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v ProxyServer /t REG_SZ /d yourproxyadress:proxyport /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg import "%~dp0"WindowsUpdateRegFile.reg
%~dp0
означает, что нужно подставить в скрипт текущий путь к каталогу, в котором находится bat файл. Скопируйте ваш bat файл (и reg файл, если нужно импортировать его) в каталог Netlogon на контроллере домена ( \remontka.comnetlogon
).
Откройте вашу GPO и перейдите в раздел Computer Configuration -> Windows Settings -> Scripts -> Startup .
Нажмите Add и укажите UNC путь к вашему bat файлу в NETLOGON.
Ваш bat файл будет выполнен при загрузке Windows и внесет соответствующие изменения в реестр.
Клиент удаленного рабочего стола (rdp) предоставляет нам возможность войти на сервер терминалов через консоль. Что…
В VMware Workstation есть несколько способов настройки сети гостевой машины: 1) Bridged networking 2) Network…
Встроенный брандмауэр Windows может не только остановить нежелательный трафик на вашем пороге, но и может…
Вопреки распространенному мнению, отключить IPv6 в Windows Vista и Server 2008 это не просто снять…
Параметры экранной заставки для текущего пользователя можно править из системного реестра, для чего: Запустите редактор…
В этой статье расскажу про возможность просмотра журналов событий из командной строки. Эти возможности можно…