Управление локальными групповыми политиками
В инструкции описана процедура настройки и управления локальными групповыми политиками сервера Windows.
Что это такое?
Объект групповой политики является компонентом групповой политики, который используется в системах Microsoft для управления учетными записями пользователей и действиями пользователя. Редактор локальной групповой политики — это оснастка Microsoft Management Console (MMC), которая обеспечивает единый пользовательский интерфейс, с помощью которого можно управлять локальными групповыми политиками.
В редакторе локальной групповой политики администратор может редактировать локальные GPO, пользовательские настройки и определять сценарии для определенных задач и процессов.
О том как настроить GPO в домене Active Directory читайте инструкцию:
Управление групповыми политиками Active Directory (AD GPO)
Открытие редактора групповой политики Windows
Чтобы открыть консоль управления GP (Group Policy) откройте окно Run с помощью комбинации клавиш Win+R, в открывшемся окне введите:
В результате перед вами откроется редактор GP.
Использование локальных групповых политик
Пример 1 Настройка запрета установки программ для пользователей
Откройте редактор GPO, в древовидной структур найдите Computer Configuration → Administrative Templates → Windows Components → Windows Installer . В правой части окна выберете Prohibit User Installs. С помощью двойного щелчка мыши откройте настройки.
В открывшемся окне выберете опцию Enabled, а в выпадающем списке Hide User Installs. В результате пользователей сервера пропадет возможность установки приложений и программ без прав администратора.
Пример 2 Настройка запрета запуска программ для пользователей
Откройте редактор GP, в древовидной структур найдите User Configuration → Administrative Templates → System . В правой части окна выберете Don’t run spicified Windows Applications. С помощью двойного щелчка мыши откройте настройки политики.
В открывшемся окне выберете опцию Enabled, а и нажмите кнопку Show. В открывшийся список введите приложения, запуск которых будет запрещен для пользователя от имени которого производятся настройки.
Gpo windows server 2012 r2 настройка
Установка принтеров групповой политикой в Windows Server 2012 R2
Установка принтеров групповой политикой в Windows Server 2012 R2
Добрый день уважаемые читатели, сегодня мы продолжаем настройку сервера печати и произведем установку принтеров групповой политикой в Windows Server 2012 R2. Ведь всегда приятно, что когда вы создаете пользователя, у него при входе все появляется, и сетевые диски и подключенные принтеры. Ниже смотрим пошаговую инструкцию, которая вам как системному администратору сможет сэкономить, приличное количество времени.
Разворачивание принтеров с помощью групповой политики
Давайте начнем разворачивание принтеров через gpo. Для этого напомню у вас должен быть Active Directory домен, как на Windows server 2008 R2 так и на 2012R2. Открываем оснастку Управление печатью. Выбираем нужный и щелкаем по нему правым кликом, из контекстного меню выбираем пункт Развернуть с помощью групповой политики.
В оснастке нажимаем кнопку Обзор для создания политики gpo,
Открываем вкладку Все, если у вас несколько доменов, то указываем нужный в поле поиск, после чего нажимаем кнопку создать новую политику, если у вас конечно нет созданной до этого.
Теперь создав новый объект gpo и задав ему нужное вам имя жмем ок.
далее вам нужно определиться, на каком уровне будет производиться установка принтеров групповой политикой, на выбор два варианта
- На пользователя > будет применяться только на пользователя, не зависимо на каком компьютере он сидит, удобно, если у вас система VDI и каждый человек может сидеть на разных рабочих местах, примером может быть call центр.
- На компьютер > Тут кто бы за компьютер не сел у него будет прилетать нужный принтер, удобно если тоже много пользователей на одном компьютере.
Хотя можно и обе галки поставить.
Все принтер в объект политики добавился, жмем ок.
Как видите все отлично добавилось.
У меня есть вот такая иерархия в Active Directory, по каким принципам создается иерархия читайте по ссылке слева. Я буду прилинковывать принтер на департамент продаж.
Теперь открываем саму оснастку GPO. Для этого откройте диспетчер сервера > Средства > Управление групповой политикой. Если ее нет, то добавьте ее.
Щелкаем по нужному OU правым кликом и выбираем Связать с существующим объектом групповой политики.
Установка принтера через gpo почти закончена, вам осталось указать ранее созданную политику и нажать ок.
Еще небольшой тюнинг увеличивающий скорость обработки применения групповой политики. Выберите политику и перейдите на вкладку Сведения, щелкните Состояние GPO и выберите отключить Параметры конфигурации компьютера откл, так как у нас развертывание идет на пользователя, если бы было развертывание на компьютер, то мы бы отключили применение для пользователя. Этим действием вы увеличите скорость обработки ее по сети.
Говорим, что готовы применить изменения.
Если посмотреть параметры gpo, то увидим unc путь до нашего принтера на сервере печати.
Теперь произведите обновление политик на компьютерах, тут три варианта.
- Открыть на компьютере командную строку от имени администратора и ввести gpupdate /force
- Перезагрузить компьютер
- Или через саму оснастку управления, правым кликом по нужному контейнеру и выберите пункт Обновление групповой политики.
В следующей части мы рассмотрим как можно опубликовать принтеры в Active Directory. Я уверен, что обратили, что данные действия отнимают пару минут, но будут в итоге экономить время системного администратора в разы больше.
Популярные Похожие записи:
23 Responses to Установка принтеров групповой политикой в Windows Server 2012 R2
Права установки драйверов еще нужно дать 🙂
Принтеры ставятся от имени системы, так что от пользователя ничего не потребуется
а для Windows XP такой вариант с ГПО подходит?
На Вин7 все отлично установилось а с ХР не получается 🙁
в логах ошибок нет
Да но там нужно еще иметь exe файл pushprinterconnection
А у меня принтеры то подключаются, то нет. Адекватно работает только добавление через AD. GPO глючат
А по логам, что то видно?
Добрый день, Иван.
Подскажите, пожалуйста, а у пользователей эти устройства ставятся как принтеры или как полноценные мфу?
Если выключить dc6, то принтер «Отдел продаж» печатать перестанет? На клиентах в названии принтера написано «Отдел продаж на dc6», можно ли настроить так чтобы было просто «Отдел продаж»?
Вы вольны переименовать как уголно в настройках принтера, это ни как не повлияет, так как принтер шарится по DNS именам.
День добрый! А как назначить разворачиваемый принтер, как принтер по умолчанию?
Для этого была политика, я поищу отпишусь вам.
Здравствуйте.
Можно как то сделать, что бы принтер продолжал печатать при отключении компьютера от сервера, который его раздал? А то в портах вроде бы стоит ip адрес, но при этом при выключении соответствующего сервера принтер перестает печатать.
Заранее спасибо.
Правильно ли я понял, что вы отключаете сервер и пытаетесь печатать? Если принтеры назначены политикой то нет, но если вы его установите локально, вручную по Ip, то все будет работать.
Да, вы правильно поняли. Жаль, что нельзя. Спасибо за ответ.
Добрый день.
А можно ли в политике указать, чтобы принтер назначался используемым по-умолчанию?
Если да, то как?
Т.к. на подразделение может быть несколько принтеров, то хотелось бы один выбирать основным.
И ещё вопрос: Можно ли так установить pdf-принтер? Например на базе Foxit-а.
Опасная статья, если принтер недоступен, то пользователь будет очень долго входить в компьютер.
Добрый день. Не печатают принтеры при подключении через групповые политики.
Пробовал несколько разных принтеров, но корректно работают только сетевые. Принтеры подключаю через принтсервер на Win 2012 r2.
Для примера. Есть принтер Canon i-SENSYS MF4410. Он подключен к компьютеру под Win 7 x64. Установлены драйвера для х32 и х64. Принтер локально печатает. Принтер расшарен, общий доступ есть всем для печати и управления заданиями принтера.
В свою очередь расшаренный принтер установлен на принтсервер, как я уже говорил под управлением Windows server 2012 r2. Устанавливал через локалпорт конструкцией \ай пи компаимя принтера в сети.
Драйвер ставлю той же версии, как и на компьютер к которому подключен принтер. Принтер с принтсервера печатает без проблем. Публикую его в Active directory, делаю подразделение, загоняю в подразделение юзера, делаю политику, прикрепляю ее к подразделению,
загоняю в политику принтер из АД через Конфигурация пользователя—настройка—параметры панели управления—принтеры. Принтер на машине в домене куда заходит пользователь появляется, но не печатает. Задание на сервере печати появляется, но уходит в ошибку.
После перезапуска службы Диспетчера печати задание печатается, но следующее опять уходит в ошибку.
Так как написано в статье тоже подключал, результат тот же.
Отозвавшимся-спасибо.
Здравствуйте! При новом подключении по РДП сбрасывается принтер по умолчанию! Win2012R2. Подскажите куда смотреть?
А кто и куда подключаются, и куда по схеме должны прилинковываться принтеры?
Подскажите пожалуйста, принтеры назначаются пользователям через GPO и в настройках двух принтеров HP P4515 в меню «Ярлыки печати» почему-то стоит тип бумаги «Этикетки» а не «обычная бумага». В результате чего у пользователя запрашивают загрузить бумагу в 1й лоток. На сервере печати в этих принтерах все настройки выставлены на «обычную бумагу» откуда берутся эти настройки при назначении принтера через GPO ? Спасибо.
А спц утилит или в настройках утилит, где происходит печать настройки верные? Если создать нового пользователя, накатить на него политики, они прилетают так же с неправильными ошибками?
Здравствуйте. А есть ли возможность установить настроенный принтер. К примеру чтобы принтер брал только с верхнего лотка или сохранял очередь печати. Есть такая возможность?
Да, для этого вам нужно у производителя скачивать admx файлы с настройками. Не у всех они есть, но у многих.
Задача: Разобрать настройки посредством которых будет осуществлять прописывание сервера WSUS на рабочие станции под управлением Windows дабы рабочие системы получали последние обновления не из интернета, а из локальной сети одобренные системным администратором.
После того, как установили роль WSUS на систему Windows Server 2012 R2 Std нужно в оснастке Update Services перейти в Options — Computers где изменить дефолтную настройку с «Use the Update Services console» на «Use Group Policy or registry settings on computers» после нажать Apply — Ok, т. е. Только через управление групповыми политиками назначение сервиса WSUS производить регистрацию на сервере WSUS.
Затем предопределяю (Approve) какие пакеты обновлений нужно устанавливать и нацеливаю их на группу или если удалить/отменить то (Decline).
Авторизуюсь на домен контроллере с правами пользователя входящим в группу Domain Admins
Запускаю оснастку Group Policy Management и создаю политику направленную на рабочие станции или группу рабочих станций:
Win +X → Control Panels — Administrative Tools (Администрирование) — Управление групповой политикой и в текущем домене создаю: GPO_WSUS
Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы:
- Центр обновления Windows → ставлю галочку у «Определить следующий параметр политики» и «Выберите режим запуска службы» на «Автоматически» после чего нажимаю «Применить» и «ОК».
Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Центр обновления Windows
- Указать размещение службы обновления Майкрософт в интрасети: Включено
- Укажите службу обновлений в интрасети для поиска обновлений: http://srv-wsus.polygon.local:8530
- Укажите сервер статистики в интрасети: http://srv-wsus.polygon.local:8530
и нажимаю Применить и OK.
- Настройка автоматического обновления: Включено
- Настройка автоматического обновления: 4 — авт. Загрузка и устан.По расписанию
Установка по расписанию — день: 0 — ежедневно
Установка по расписанию — время: 20.00
и нажимаю Применить и OK.
- Разрешить клиенту присоединение к целевой группе: Включено
- Имя целевой группы для данного компьютера: office2010
и нажимаю Применить и OK.
- Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи: Включено
- Включить рекомендуемые обновления через автоматическое обновление: Включено
- Разрешить немедленную установку автоматических обновлений: Включено
- Частота поиска автоматических обновлений: Включено (6часов)
На сервере с ролью WSUS я отметил для пакета Office 2010, что устанавливать мне необходимо (Products and Classifications): Critical Updates, Definition Updates, Feature Packs, Security Updates, Service Packs, Update Rollups.
После нужно добавить в политику вкладка «Делегирование» права для группу «Прошедшие проверку»: чтение, дабы рабочие станции не получали сообщение при формировании результирующей: «Отказано в доступе (фильтрация ограничений безопасности») через gpresult /f /h gp.html
- Связи: Размещение: OU=WSUS
- Фильтры безопасности: Имя компьютера в домене
- Фильтр WMI: опционально.
Теперь переключаюсь к рабочей станции на которую назначена данная групповая политика, у меня это W7X64 с установленным пакетом Microsoft Office 2010 Pro Rus и дабы система вот прям сейчас получила данную политику в консоли командной строки хоть из под пользователя или администратора домена запускаю команду: gpupdate /force , а после отправить систему в перезагрузку ( shutdown /r /t 3 ) или дождаться покуда рабочая станция перезагрузится.
На заметку: и вот что еще служба Windows Updates на рабочих станциях должна быть включена: sc config wuauserv start= auto, net start wuauserv
На заметку: Если политика не применяется, то следует обратиться к лог файлу: C:WindowsWindowsUpdate.txt дабы разъяснить данную ситуацию.
Когда политика будет применена к рабочей станции, то открыв оснастку Update Services: Computer — All Computers — группа office2010, выставив фильтр: Status: any и нажав Refresh искомый компьютер(ы) отобразятся здесь и % отношение к установленным пакетам назначенных политикой.
На заметку: многие обновления могут не устанавливать на ПК, т. к. они зависят от установки предшествующих обновлений и покуда WSUS сервер не синхронизируется с сервером обновлений Майкрософта, а после обновления не будут назначены на группу, они не смогут установиться на ПК.
У меня все получилось, заметка полностью работоспособна. На этом всё, с уважением автор блога Олло Александр aka ekzorchik.
В статье показано как выключить службу на клиентском ПК Windows, в доменной сети средствами GPO в Windows Server 2012.
Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services (в русской локализации: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Системные службы) найдите нужную для отключения службу (в нашем примере это Брэндмауэр Windows) и задайте для нее тип запуска или запрет запуска.
Выключить службу Windows средствами GPO в Windows Server 2012
Далее сохраняете политику и применяете в нужном контейнере.