Учебный центр
Об учебном центре
Основные сведения и реквизиты
Структура и органы управления образовательной организацией
Документы
Образование
Образовательные стандарты
Педагогический состав
Материально-техническое обеспечение и оснащенность образовательного процесса
Стипендии и иные виды материальной поддержки
Платные образовательные услуги
Финансово-хозяйственная деятельность
Вакантные места для приема (перевода) обучающихся
Отзывы
Политика обработки персональных данных
Согласие на обработку персональных данных
Формы обучения
Видеокурсы
ПЭК
Расписание
Информация
Новости
Статьи
Вакансии
Вопрос-ответ
Контакты
+7 (343) 286-17-86
+7 (343) 286-17-86
Заказать звонок
ПЭК
ПЭК
ГлавнаяИнформацияСтатьиНастройка Windows 10 и Windows 11 c помощью групповых политик службы каталога Active Directory (часть 1)

Настройка Windows 10 и Windows 11 c помощью групповых политик службы каталога Active Directory (часть 1)

Назад к всем статьям
10 июля 2024
Управление параметрами пользователей и компьютеров с операционной системой Windows в домашней сети или сети небольшого предприятия можно проводить достаточно эффективно с помощью редактора локальных групповых политик. Если речь идет о среднем или крупном предприятии с сотнями и тысячами компьютеров в сети, то в этом случае администраторы применяют централизованные средства управления. Одними из таких средств являются групповые политики службы каталога Active Directory (AD). Очевидно, что действовать они будут только на членов доменов AD.

Содержание
Определение объекта групповой политики и его применение Порядок применения объектов групповых политик и их приоритет

Определение объекта групповой политики и его применение

 
Процедура настройки и применения групповых политик следующая. Необходимо создать новый или использовать существующие по умолчанию объекты групповой политики (GPO). GPO содержат группы политик, собранные в иерархическую структуру папок и подпапок. Каждая политика – это один из параметров пользователя или компьютера. По умолчанию в AD создаются два GPO с названиями «Политика домена по умолчанию» и «Политика контроллеров домена по умолчанию». 


Первый GPO привязан к домену, второй к подразделению «Контроллеры домена».

Если администратор создал новые GPO, то применять их можно только к контейнерам AD: к сайтам, доменам или подразделениям (OU). Применять GPO к учетным записям пользователей, компьютеров или групп невозможно. Действие политик на содержимое контейнеров основано на эффекте наследования. 
Если GPO привязан к OU, то по умолчанию политики действуют на объекты в этом OU и на объекты в дочерних OU. Если GPO привязан к домену, то политики действуют на объекты в этом домене и на объекты в OU, которые могут быть созданы в этом домене, а также на объекты в дочерних к первоначальным OU. Если GPO привязан к сайту, то политики действуют на объекты во всех доменах, которые созданы в этом сайте, а также на объекты в OU и в дочерних к ним OU.  Допускается применение нескольких GPO к одному контейнеру AD, а также одного и того же GPO к нескольким контейнерам.



Порядок применения объектов групповых политик и их приоритет

Первыми применяются локальные групповые политики, затем политики, привязанные к сайту, затем к домену, затем к OU и его дочерним OU. Если настройки политик на разных уровнях не конфликтуют, то мы получим кумулятивный эффект применения всех настроенных политик. Если есть конфликты, то приоритет у тех политик, которые применяются позже. Таким образом выигрывают GPO для OU. 


Если к одному контейнеру привязаны несколько GPO, то они применяются в обратном порядке, т.е. тот GPO, который привязан раньше имеет больший приоритет. Чтобы изменить приоритет GPO, надо в консоли управления групповыми политиками (GPMC) стрелками изменить порядок обработки GPO.



Чтобы отменить применение политик из GPO, привязанных к вышестоящим контейнерам, надо отключить наследование для выбранного OU. 


Может возникнуть необходимость в обязательном применении политик из вышестоящего GPO. Например, администратор домена должен применить политики из доменного GPO ко всем компьютерам во всех OU в домене. В этом случае  надо в контекстном меню GPO
отметить пункт «Enforced».


GPO в режиме Enforced получает наивысший приоритет и политики в этом GPO не могут  быть переопределены нижележащими GPO. На такое GPO не действует блокировка наследования.
Политики находящиеся в GPO делятся на два больших раздела: Computer Configuration и
User Configuration. Первый содержит политики, применяемые к  параметрам учетных
записей  компьютеров, а второй – учетных записей пользователей.

Есть возможность отключить в свойствах GPO каждый раздел. При большом количестве GPO отключение неиспользуемых разделов позволит сократить количество обрабатываемых политик и тем самым сократить время необходимое для логона пользователей.

Для получения комплексных знаний по Active Directory вы можете обратить внимание на курсы, указанные ниже.


Автор статьи
Александр Субботин
Преподаватель:
по направлению системное администрирование, сетевые технологии, безопасность сетей
#Windows

Курсы к статье

20742
Идентификация в Windows Server 2016
Будет скоро объявлена ?

Дата начала курсов объявляется не позднее 3 недель до начала курса
40 ак. часов
44 998 ₽
50255Е
Использование групповых политик для управления окружением Windows
Будет скоро объявлена ?

Дата начала курсов объявляется не позднее 3 недель до начала курса
40 ак. часов
49 998 ₽
WS-011T00-A
Администрирование Windows Server 2019/2022
24 февраля 2026 - 27 февраля 2026 другие даты

24 февраля 2026 - 27 февраля 2026

01 июня 2026 - 05 июня 2026

Обсудить дату проведения
40 ак. часов
Екатеринбург
Очный или удаленный
50 998 ₽
10982
Поддержка и устранение неисправностей Windows 10 \ Supporting and Troubleshooting Windows 10
22 декабря 2025 - 26 декабря 2025
40 ак. часов
Екатеринбург
Очный или удаленный
44 998 ₽

Хотите преподавать в АйТи Клауд?

Если вы имеете компетенции и хотите работать тренером курсов в АйТи Клауд - оставьте ваши данные, мы свяжемся с вами!

Стать тренером Узнать больше