http://forkredit.com/ | | |

Отключаем действие групповых политик в Windows 7

 
 

В этой статье поговорим об очередной нестандартной задаче: вопросах отключения действия групповой политики на компьютере в составе домена Windows. Зачем, собственно, может понадобиться такая функция? Ответ на этот вопрос в каждом конкретном случае индивидуален. Это может быть желание регионального администратора ограничить применение к своему рабочему компьютеру ограничений, накладываемых групповыми политиками, и/или желание уйти из-под недремлющего ока безопасников (и удалить на своем компьютере антивирус или же некую программу контроля доступа к внешним носителям), либо же  некая другая «важная» причина (например, отключен task manager). Целесообразность и потенциальные опасности отключения групповых политик на рабочей станции   в домене мы обсуждать не будет. Попробуем лишь гипотетически разобраться: возможно ли отключить действие групповых политик на машине Windows.

Отвечаю: да можно сделать так, чтобы на компьютер в домене не применялись групповые политики, и для этого совершенно не нужно иметь права domain/enterprise админа. Достаточно иметь права локального администратора на интересующей нас машине (а это в очередной раз говорит о том, что НЕЛЬЗЯ давать права администратора на рабочих станциях пользователям!).
Отключаем действие групповых политик в Windows 7
Указанный ниже текст относится к клиенту на базе Windows 7, но есть небезосновательные основания полагать, что и на других клиентских ОС методика будет работать.

Все мы знаем, что за применение групповых политик в Windows 7 отвечает служба Group Policy Client (gpsvc), поэтому логичное действие просто отключить эту службу.  Это можно сделать, загрузившись в безопасном режиме или, запустив cmd от имени system

и выполнив команду

net stop gpsvc

Но проблема в том, что через некоторое время, система сама запустит эту службу, и вы с этим поделать ничего не сможете.

Но есть более оригинальное решение: совсем запретить системе доступ к этой службе, в результате у нее просто не будет прав на ее запуск. Как вы помните, параметры всех служб хранятся в реестре, и наша задача – забрать  права у System  целиком на службу групповых политик.

Для этого:

  • открываем редактор реестра regedit.exe
  • Находим ветку HKLM\SYSTEM\CurrentControlSet\services\gpsvc (это как раз ветка службы Group Policy Client)
  • Правой кнопкой жмем по ветке gpsrv и выбираем Permissions, затем идем на вкладку Owner и делаем себя владельцем ветки
  • Затем на вкладке Permissions удаляем права у всех, кроме своей учетной записи, в результате права будут выглядеть такОтключаем действие групповых политик в Windows 7
  • Затем меняем тип запуска службы Group Policy Client на «Disabled», это можно сделать, изменив значение ключа Start с 2 на 4Отключаем действие групповых политик в Windows 7
  • Перезагружаемся и проверяем, что после загрузки групповые политики больше не применяются.

Но есть одна проблема: при таком отключении в трее будет периодически выскакивать окно с текстом: Failed to connect to a Windows service. Windows could not connect to the Group Policy Client Service. This problem prevents standard users from logging on to the system.
As an administrative user, you can review the System Event Log for details about why the service didn’t respond.

Но и это предупреждение можно отключить, для чего открываем редактор реестра:

  • Ищем ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Winlogon\Notifications\Components\GPClient
  • Также становимся ее владельцем, и даем себе полные права на эту ветку
  • Делаем резервную копию данной ветки, после чего удаляем ее

Вот так достаточно просто и быстро мы полностью отключили клиент групповых политик в Windows 7, в результате чего с компьютером можно делать что угодно. Но не дайте администраторам домена или службе компьютерной безопасности обнаружить себя, а то будет больно!

Фильтрация групповых политик с помощью WMI фильтров

 
 

В этой статье мы поговорим о технологии WMI (Windows Management Interface) фильтрации в групповых политиках. Данная технология позволяет создать различные правила, на основании которых можно выбрать к каким объектам домена AD или конкретного OU будет применяться групповая политика, а к каким не будет.

Обычно технология WMI фильтрации групповых политик может применяться в ситуациях, когда множественные объекты (пользователи или компьютеры) находятся в плоской структуре AD, а не в выделенном OU, либо если необходимо применить политики, основываясь, например, на роли ОС, ее версии, сетевой конфигурации или любом другом критерии, который можно задать с помощью параметров   Windows Management Instrumentation.  При обработке групповых политик клиентом система Windows будет проверять себя на соответствие заданному WMI  фильтру и в случае, если она соответствует фильтру, политика будет применена.

Фильтрация групповых политик с помощью WMI фильтров

Напомню, что WMI фильтры групповых политик впервые появились в Windows XP, и в последующих версиях Windows (Windows Server 2003, Windows 7 Windows Server 2008), эта технология продолжала применяться и развиваться. WMI фильтрация GPO не работает для   ОС семейства Windows 2000, так что придется обновится! ( я думаю 12 лет это достаточный срок для того, чтобы обновить старую версию ОС на более новую).

WMI фильтры – это один из видов объектов Active Directory, хранятся они  в разделе CN=System, CN=WMIPolicy, CN=SOM.

Фильтрация групповых политик с помощью WMI фильтров

Попробуем попрактиковаться в применении WMI фильтров групповых политик. Тестовое задание будет следующим: необходимо применить групповую политику на все сервера, на которых установлена ОС Windows Server 2008 R2

Создать WMI  фильтр можно с помощью консоли управления групповыми политиками (Group Policy Management Console) и перейти в раздел «WMI filters». С помощью контекстного меню создайте новый WMI фильтр. В появившемся окне укажите его имя, описание и сам WMI запрос.

Фильтрация групповых политик с помощью WMI фильтров

WMI запрос, позволяющий выбрать все сервера на Windows Server 2008 R2, будет выглядеть так:

select * from Win32_OperatingSystem where Version like “6.1%” and (ProductType = “2″ or ProductType = “3″)

 

Если вас интересуют другие версии ОС Windows, воспользуйтесь следующим значениями  WMI параметра Version:

  • Windows Server 2012 R2 и Windows 8.1 — 6.3%
  • Windows Server 2012 и Windows 8 — 6.2%
  • Windows Server 2008 R2 и Windows 7 — 6.1%
  • Windows Server 2008 и Windows Vista — 6.0%
  • Windows Server 2003 — 5.2%
  • Windows XP — 5.1%
  • Windows 2000 — 5.0%

В зависимости от того, является ли целевой компьютер клиентом или сервером, нужно указать следующее значение параметра ProductType:

  • Клиент: ProductType=1
  • Контроллер домена: ProductType=2
  • Сервер: ProductType=3

Чтобы отфильтровать все компьютеры с Windows 8, WMI запрос будет таким:

select * from Win32_OperatingSystem WHERE Version LIKE "6.2%" and ProductType = "1"

Если нужны все сервера с Windows Server 2012, запрос будет таким:

select * from Win32_OperatingSystem WHERE Version LIKE "6.2%" AND ( ProductType = "2" or ProductType = "3" )

После того, как мы создали WMI фильтр, нужно привязать его к групповой политике, для чего найдите интересующую вас групповую политику и в разделе “WMI Filtering” в выпадающем меню выбрать созданный ранее фильтр.

Фильтрация групповых политик с помощью WMI фильтров

На тестовых клиентах необходимо дождаться применения политик или же запустить принужительное обновление командой gpupdate /force. И проверить, что политика применяется только на серверас с Windows Server 2008 R2 (для просмотра примененных политик воспользуйтесь командой gpresult /r).

Приведу еще рад WMI запросов, которые можно использовать для создания WMI фильтров групповых политик:

Выбрать все машины, на которых установлен Internet Explorer 8

 

SELECT path,filename,extension,version FROM CIM_DataFile WHERE path="\\Program Files\\Internet Explorer\\" AND filename="iexplore" AND extension="exe" AND version>"8.0"

Выбрать 32 битные ОС:

Select * from Win32_Processor where AddressWidth = "32"

Выбрать 64 битные ОС:

Select * from Win32_Processor where AddressWidth = "64"

Компьютеры, с количество оперативной памяти на которых больше 1 Гб

Select * from WIN32_ComputerSystem where TotalPhysicalMemory >= 1073741824

Сброс локальных групповых политик в Windows

 

Одним из основных инструментов тонкой настройки параметров пользователя и системы в Windows являются групповые политики — GPO (group policy object). На сам компьютер и его пользователей могут действовать доменные групповые политики (если компьютер состоит в домене) и локальные (настроенные и активные только на данном компьютере).  Групповые политики являются отличным средством настройки системы, способным повысить ее функционал, защищенность и безопасность. Однако у начинающих системных администраторов, решивших поэкспериментировать с безопасностью своего компьютера, некорректная настройка локальной (или доменной) групповой политики может привести к различным проблемам: от мелких проблем, заключающихся например  в невозможности подключить принтер или флешку, до полного запрета на установку или запуск любых приложений, или даже запрета на вход в систему.

В подобных случаях, тяжесть которых усугубляется тем, что зачастую администратор просто не знает какая из применённых политик вызывает проблему, возникает необходимость сброса состояния групповых политик на состояние по-умолчанию, когда ни один из параметров групповых политик не задан.

Сброс локальных политик с помощью консоли gpedit.msc

Откройте консоль управления локальными групповыми политиками gpedit.msc .

Перейдите в раздел All Settings системных локальных политик безопасности (Local Computer Poice -> Computer Configuration — > Administrative templates). Данные раздел содержит список всех политик, доступных к конфигурированию в административных шаблонах. Отсортируйте политики по столбцу State (состояние) и найдите все активные политики (состояние Disabled и Enabled). Отключите действие всех или только определенных политик, переведя их в состояние Not configured (Не задана). Сброс локальных политик

Такие же действия нужно провести и в разделе пользовательских политик (User Configuration). Таким образом можно отключить действие всех административных групповых политик.

Совет.  В том случае если вам нужно совсем отключить действие доменных политик на компьютер, рекомендуем статью Отключить применение доменных GPO в Windows 7.

Указанный выше способ сброса групповых политик в Windows подойдет для самых «простых» случаев. Некорректные настройки групповых политик могут привести к более серьезным проблемам, например: невозможности запуску оснастки gpedit.msc или вообще всех программ, потери пользователем прав администратора системы, или запрета на вход в систему. Рассмотрим эти случаи подробнее.

Сброс локальных политик безопасности в Windows

Локальные политик безопасности (local security policies) настраиваются с помощью отдельной консоли управления secpol.msc. Если проблемы с компьютером вызваны «закручиванием гаек» в локальных политик безопасности, и если у пользователя остался доступ к системе и административные права, сначала стоит попробовать сбросить параметры безопасности системы к значениям по умолчанию. Для этого в командной строке с правами администратора выполните:

Для Windows XP:

secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

Для Windows 8, Windows 7 и Vista:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

После чего компьютер нужно перезагрузить.

«Жесткий» метод сброса групповых политик в Windows на дефолтные значения

Прежде чем говорить о радикальном способе сброса групповых политик в Windows, проведем краткий экскурс в архитектуру административных шаблонов групповых политик Windows.

Архитектура административных шаблонов групповых политик основана на специальных файлах Registry.pol. Данные файлы хранят параметры реестра, которые соответствуют тем или иным настройкам  сконфигурированных групповых политик. Пользовательские и компьютерные политики хранятся в разных файлах Registry.pol.

  • Настройки компьютера (раздел Computer Configuration) хранятся в %SystemRoot%\System32\ GroupPolicy\Machine\registry.pol
  • Пользовательские политики (раздел User Configuration)  —  %SystemRoot%\System32\ GroupPolicy\User\registry.pol

Сброс локальных политикПри загрузке компьютера система экспортирует содержимое файла \Machine\Registry.pol в ветку системного реестра HKEY_LOCAL_MACHINE (HKLM). Содержимое  файла \User\Registry.pol экспортируется в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в систему.

Консоль редактора локальных групповых политик при открытии грузит содержимое данных файлов и предоставляет их в удобном пользователю виде. При закрытии редактора GPO внесенные изменения записываются в реестр.

Совет. Для внесения изменения в  файлы стоит использовать только редактор групповых политик GPO. Не рекомендуется редактировать файлы Registry.pol вручную или с помощью старых версий редактора групповой политики!

Чтобы удалить все текущие настройки локальных групповых политик, необходимо  удалить файлы Registry.pol в каталоге GroupPolicy. Сделать это можно следующими командами, запущенными в командной строке с правами администратора:

RD /S /Q "%WinDir%\System32\GroupPolicyUsers"

RD /S /Q "%WinDir%\System32\GroupPolicy"

gpupdate /force

Сброс локальных политик безопасности при невозможности входа в Windows

В том случае, если локальный вход в систему невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью Applocker). Удалить файлы Registry.pol можно, загрузившись с установочного диска Windows или любого LiveCD.

  1. Загрузитесь с установочного диска Windows и запустите командную строку (Shift+F10)
  2. Выполните команду:
    diskpart
  3. Затем выведем список дисков в системе:
    list volume

    В данном примере буква, присвоенная системному диску соответствует букве в системе – C:\. Однако в некоторых случаях она может не соответствовать. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, D:\ или C:\)

  4. Завершим работу с diskpart, набрав:
    exit
  5. Последовательно выполните следующие команды: pol03
    RD /S /Q С:\Windows\System32\GroupPolicy
    RD /S /Q С:\Windows\System32\GroupPolicyUsers
  6. Перезагрузите компьютер в обычном режиме у удостоверьтесь, что локальные групповые политики сброшены на «дефолтное» состояние

Как открыть формат ods

Файлы .ods (Open Document Spreadsheet) – это электронные таблицы формата Open Document, созданные в программах открытого типа Open Office или Star Office . Формат разработан сообществом OASIS, принят как международный и может использоваться без ограничений.


Инструкция:
 
1. Формат Open Document является альтернативой закрытым коммерческим форматам, таким как doc, xls и ppt (используются в приложениях Microsoft Office с 1997 по 2007).
 
2. Если у вас установлено приложение Microsoft Office 2007, и вам нужно открыть файл формата .ods, используйте программу создания электронных таблиц Microsoft Excel. Откройте лист Excel 2007. В верхнем меню откройте вкладку Надстройки.
 
3. В выпадающем списке выберите пункт «Импорт файла в формате ODF». Также вы можете выбрать кнопку меню «Импорт электронной таблицы в формате ODF». Откроется диалоговое окно «Импорт электронной таблицы в формате ODF». В нем нажмите на файл расширения .ods, который нужно открыть, нажмите кнопку «Открыть».
 
4. Возможно открыть файл .ods вторым способом. Щелкните правой клавишей мыши по файлу ods. В контекстном меню выберите пункт «Открыть с помощью…». далее «Выбрать программу». Выберите программу Microsoft Office Excel. Отметьте указателем пункт «Использовать ее для всех файлов такого типа». Нажмите «Ок».
 
5.Если у вас установлено приложение Microsoft Office 2003, для открытия формата ods потребуется плагин Sun ODF. Скачайте программу с официального сайта http://www.oracle.com/us/sun/index.htm (размер файла 33 Мб).
 
6.Установите конвертер как обычную программу. Откройте лист Microsoft Office Excel 2003. В меню «Сервис», выберите пункт «Надстройки». В диалоговом окне «Надстройки» нажмите кнопку «Обзор». В этом окне укажите нахождение файла odfaddin.xla (путь: С:/Program Files/Sun/Sun ODF Plugin for Microsoft Office *.*/converter), затем нажмите кнопку «Oк».
 
7.На верхней панели инструментов, расположенной сразу над листом, теперь есть новая панель «Sun ODF Plugin». На ней кнопки: «Импорт файла в формате odf» и «Экспорт файла ODF». Нажмите кнопку «Импорт файла..». Выберите файл .ods, нажмите кнопку «Открыть».


Как установить Sun ODF Plugin for Microsoft Office
– зайдите на страницу www.sun.com/software/star/odf_plugin/index.jsp;
– выберите плагин для скачивания, зарегистрируйтесь, нажав на ссылку Register Now
; – в форме регистрации заполните все поля, нажмите Submit; – в следующем окне установите флажок I agree to the Software License Agreement, нажмите Continue>>;
– откроется окно со ссылкой для скачивания;
– скачайте Sun ODF Plugin; – после скачивания запустите файл плагина (odp-*.*-bin-windows-en-US.exe);
– в окне Sun ODF Plugin for Microsoft Office *.* Installation Preparation нажмите Next;
– в следующем окне нажатием кнопки Browse… выберите папку для распаковки плагина (по умолчанию предлагается: для Windows XP – \Documents and Settings\имя_пользователя\Рабочий стол\Sun ODF Plugin for Microsoft Office *.* (en-US) Installation Files; для Windows Vista – \Users\имя_пользователя\Desktop\Sun ODF Plugin for Microsoft Office *.* (en-US) Installation Files. Рекомендуется установить Sun ODF Plugin в папку \Program Files), нажмите Unpack;
– в окне Sun ODF Plugin for Microsoft Office Installation Wizard нажмите Next;
– в следующем окне установите переключатель I accept the terms in the license agreement –> Next –> Next –> Install –> Finish.


Как удалить Sun™ ODF Plugin for Microsoft Office
– Нажмите Пуск (Start) –> Настройка (Settings) –> Панель управления (Control Panel) –> Установка и удаление программ (Add or Remove Software);
– выберите Sun ODF Plugin for Microsoft Office –> Удалить (Remove).
 
Примечания
1. Системные требования для установки Sun ODF Plugin for Microsoft Office:
– ОС Microsoft Windows 98, ME, 2000 (Service Pack 2 or higher), XP, Vista+;
– Microsoft Office 2000, Office XP, Office 2003, Office 2007;
– Pentium-совместимый ПК;
– объём ОЗУ – не менее 256МБ (рекомендуется 512МБ);
– 99,0МБ свободного дискового пространства.


Передача и захват ролей FSMO с помощью командной строки.

При "поднятии" первого контроллера домена, то бишь при создании домена, все роли FSMO назначаются первому контроллеру домена. Всего у нас их пять:

  • Хозяин схемы
  • Хозяин именования доменов
  • Эмулятор PDC
  • Диспетчер пула RID
  • Хозяин инфраструктуры
 
Затем мы поднимаем дополнительный контроллер домена и желаем перенести роли FSMO на новый контроллер домена. Сам Microsoft рекомендует передавать роли FSMO в следующих случаях:
  • передача ролей FSMO другому контроллеру, так как старый планируется вывести из обслуживания (устарело железо например).
  • отключение сервера на длительное время (например для ремонтных работ)
Захватываются роли FSMO в следующих случаях:
  • аппаратный или программный отказ сервера с невозможным восстановлением.
  • роль контроллера домена c ролями FSMO была принудительно понижена с помощью dcpromo /forceremoval
Передача ролей:
 
1.  Проверяем принадлежность ролей FSMO с помощью команды netdom query fsmo (Рис.1) :
 
Передача и захват ролей FSMO с помощью командной строки
    Рис.1 Проверка принадлежности ролей FSMO.
 
    2.  С помощью утилиты командной строки Ntdsutil подключаемся к серверу, которому нужно передать роли FSMO (Рис.2):
 
ntdsutil
roles
connections
connect to server <имя сервера, которому необходимо передать роли FSMO>
q
 

 

Передача и захват ролей FSMO с помощью командной строки
    Рис.2 Подключение к контроллеру домена Servdc-new для передачи ролей FSMO.
 
    3.  После подключения к контроллеру домена мы можем начать передавать роли FSMO с помощью следующих команд (Рис.2):
 
transfer schema master — передача роли хозяина схемы.
transfer naming master - передача роли хозяина доменных имен (для Wondows Server 2008 R2\2012). Для Windows Server 2003 команда такая: transfer domain naming master.
transfer infrastructure master — передача роли хозяина инфраструктуры.
transfer rid master — передача роли хозяина RID.
transfer pdc - передача роли эмулятора PDC.
 
Передача и захват ролей FSMO с помощью командной строки
    Рис.3 Передача ролей FSMO.
 
    4.  Заново проверяем принадлежность ролей FSMO (Рис.4):
 
FSMO 04
    Рис.4 Проверка принадлежности ролей FSMO.
 
Мы видим, что роли FSMO успешно передались с сервера Servdc-new на сервер Servdc.
 
Захват ролей:
 
Для захвата ролей аналогично подключаемся к контроллеру домена, для которого необходимо захватить роли и выполняем следующие команды:
 
seize schema master — захват роли хозяина схемы.
seize naming master - передача роли хозяина доменных имен (для Wondows Server 2008 R2\2012). Для Windows Server 2003 команда такая: seize domain naming master.
seize infrastructure master — захват роли хозяина инфраструктуры.
seize rid master — захват роли хозяина RID.
seize pdc - захват роли эмулятора PDC.
Joomla SEF URLs by Artio