Групповые политики, одна из самых интересных функций в составе служб Microsoft Active Directory. Они позволяют настраивать практически любые параметры рабочих станций в домене от настроек рабочего стола, до установки программного обеспечения, поставляемого в виде MSI-пакетов и автоматических обновлений рабочих станций. С выходом новых версий Windows Server - и как следствие повышения версии Active Directory (AD ) - с помощью групповых политик можно управлять все большим числом параметров.
Рассмотрим для примера настройку рабочих станций на работу с локальным сервером обновлений WSUS. Предварительно должен быть создан домен Windows как минимум из одного контроллера домена и одного его члена. Это может быть как рабочая станция, так и другой сервер.
Откроем на сервере редактор групповых политик, для чего нажмем Win+R и введем в открывшееся окно gpmc.msc.
Откроется редактор групповых политик.
Раскроем наш лес и домен в дереве слева. Мы видим что пока создана только политика по умолчанию - это политика которая применяется на все компьютеры домена. Раскроем ее.
Перейдем на вкладку “Параметры”. Выведется отчет о текущих параметрах групповой политики. В нем будут показаны только измененные параметры. Например можно посмотреть стандартные параметры политики паролей открыв соответствующий раздел.
Для изменения параметров групповой политики нажмите правую кнопку мыши и выберите в открывшемся меню “Изменить”.
Откроется редактор групповой политики. Слева дерево разделов, справа будут сами параметры. Параметры делятся на две больших группы - “Конфигурация компьютера” и “Конфигурация пользователя”.
Первый раздел содержит параметры самой рабочей станции - это например настройка обновлений, то что применяется ко всему компьютеру целиком. Данная политика отрабатывает до входа пользователя в компьютер.
Второй раздел - индивидуальные настройки пользователя - например цвет фона рабочего стола, заставка и так далее. Это политика работает после того как пользователь ввел свой логин и пароль для входа в систему. Каждый из разделов содержит множество параметров, количество которых увеличивается от версии к версии (уровня домена).
Нам необходим раздел “Конфигурация компьютера” - “Политики” - “Административные шаблоны” - “Компоненты Windows” - “Центр обновления Windows”.
Параметры имеют интуитивно понятные названия, каждым можно раскрыть двойным щелчком мыши и прочитать его описание. Например нужный нам параметр “Указать размещение службы обновлений в интрасети” - в него вносится ip-адрес и порт сервера wsus. По умолчанию wsus использует порт 8530, т.е
У каждого параметра есть три положения - “не задано”, “включено” и “отключено”. Первое положение - не задано - обозначает то, что этот параметр берется из вышестоящей политики или берется значение по-умолчанию.
Внесем наш сервер в этот параметр. Вводится адрес или сетевое имя вместе с портом.
Нажмите Ок и сохраните Ваш параметр. При желании можно также задать другие параметры. После завершения настройки увидим, что этот параметр изменился.
Теперь эта политика будет применяться ко всем компьютерам домена автоматически.
Также форсировать применение групповой политики можно введя на целевом компьютере команду gpupdate /force в командной строке.