Konfigurirajte nastavitve registra na računalnikih z uporabo skupinskih pravilnikov (Active Directory)

V tem članku bomo pogledali, kako z uporabo skupinskih pravilnikov (GPO) centralno upravljanje, ustvarjanje, spreminjanje vrednosti, uvoz in brisanje vseh registrskih ključev na domenskih računalnikih.

V klasičnih pravilnikih skupine ni bilo vgrajene zmožnosti nadzora poljubne nastavitve registra. Zato so morali skrbniki za centralizirano upravljanje registrskih ključev in parametrov prek GPO-ja ustvariti lastne upravne predloge (.adm / .admx) (primer GPO v predlogi admx za Google Chrome) ali bat datotek za skripte Logon (uvoz reg datoteke z uporabo uvoza reg ukaz).

Microsoft je v sistemu Windows Server 2008 predstavil razširitev skupinske politike, imenovano Nastavitve skupinske politike (Nastavitve skupinskih pravilnikov - GPP). V GPP se je pojavil poseben razdelek, s pomočjo katerega lahko skrbnik konfigurira (ustvari, izbriše) kateri koli parameter ali vejo registra in ta ključ razdeli vsem računalnikom domene. Upoštevajmo te možnosti podrobneje.

Recimo, da želite onemogočiti samodejne posodobitve gonilnikov na vseh računalnikih v določenem vsebniku (OU) domene s spreminjanjem vrednosti parametra SearchOrderConfig v podružnici registra Hkey_ LOKALNO_ STROJ\ PROGRAMSKA OPREMA\ Microsoft\ Windows\ CurrentVersion\ DriverSearching. Parametre registra na ciljnih računalnikih domene lahko nastavite na dva načina: z uporabo brskalnika registra, vgrajenega v konzolo GPP na oddaljenih računalnikih ali ročno, tako da ročno določite pot do veje registra in ime parametra.

Vsebina:

Čarovnik za ustvarjanje / urejanje nastavitev registra v GPO
Ročno ustvarjanje nastavitve registra z uporabo pravilnikov skupine
Uvoz .reg datoteke v GPO

Čarovnik za ustvarjanje / urejanje nastavitev registra v GPO

Najprej razmislite o prvi metodi:

Odprite konzolo za upravljanje skupinskih politik ()gpmc.msc);
Ustvarite nov (ali uredite obstoječega) GPO, ga dodelite potrebnemu vsebniku AD z računalniki (ali uporabniki), na katere želite razširiti vrednost parametra vašega registra, in preklopite v način urejanja pravilnikov;
Razširite oddelek GPO Konfiguracija računalnika (ali uporabnika) -> Nastavitve -> Nastavitve sistema Windows -> Registra in v kontekstnem meniju izberite Novo -> Čarovnika registra;
Mojster Registra Čarovnik omogoča povezavo z registrom na oddaljenem računalniku po omrežju in izbiranje parametra registra na njem ter njegove vrednosti;
Določite ime računalnika, s katerim se želite povezati;Opomba. Če se pri povezovanju z računalnikom prek brskalnika registra pojavi napaka Omrežne poti ni bilo mogoče najti, najverjetneje je računalnik izklopljen, dostop do njega blokira požarni zid ali storitev oddaljenega registra na njem ni omogočena.Če želite ročno omogočiti storitev RemoteRegistry, morate v oddaljenem računalniku zagnati naslednje ukaze:sc config Remoteregistry start = povpraševanje
neto start Remoteregistry
S pomočjo oddaljenega brskalnika registra izberite vse nastavitve registra, ki jih želite konfigurirati prek GPO;
Opomba. Ta brskalnik omogoča izbiranje tipk na oddaljenih računalnikih samo iz razdelkov HKEY_LOCAL_MACHINE in HKEY_USERS. Če boste morali nastaviti ključe v drugih vejah registra, boste morali namestiti RSAT na oddaljeni računalnik (namestiti RSAT v Windows 10). Nato v tem računalniku zaženite konzolo gpmc.msc in uporabite isti postopek, da določite potrebne nastavitve registra.
V našem primeru želimo prek GPP spremeniti vrednost samo enega parametra v registru - SearchOrderConfig;
Navedeni vnos registra se uvozi v konzolo GPP skupaj s potjo in trenutno vrednostjo (0) Kot lahko vidite, se je v konzoli za upravljanje GPO pojavilo drevo registra, v katerem je shranjen ta parameter. V prihodnosti lahko spremenite njegovo vrednost in dejanje z njim (razmislili bomo malo spodaj);
S tem se zaključi oblikovanje politike GPP. Ko se naslednjič posodobijo nastavitve skupinske politike na vseh računalnikih, ki jih pokriva ta pravilnik, se vrednost registra registracijskega ključa SearchOrderConfig spremeni v 0 (če pravilnik ne deluje na odjemalca, lahko uporabite pripomoček gpresult za diagnostiko in priporočila iz članka "Zakaj se GPO ne uporablja?").

Če pravilnik preneha delovati na računalniku (pravilnik je odstranjen ali odklopljen iz vsebnika, računalnik je prenesen v drug OU itd.), Se vrednost registra ne vrne na prvotno (privzeto) vrednost (tako kot pri običajnih nastavitvah pravilnika GPO).

Ročno ustvarjanje nastavitve registra z uporabo pravilnikov skupine

Z GPP lahko ustvarite, spremenite ali izbrišete določen parameter ali ključ registra, tako da ročno določite vejo registra, ime parametra in vrednost..

Če želite to narediti, izberite Register -> Novo-> Postavka registra;
V poljih Panj, Pot ključa, Ime vrednosti, Vrsta vrednosti, Podatki vrednosti morate določiti registrski ključ, vejo, ime, vrsto in vrednost parametra, ki ga želite spremeniti;
Privzeto je nastavitev registra, ki je konfigurirana prek GPO, nastavljena na Posodobiti.

Na voljo so 4 vrste operacij z nastavitvami registra.

Ustvari - ustvari nastavitev registra. Če parameter že obstaja, se njegova vrednost ne spremeni;
Posodobiti (Privzeto) - če parameter že obstaja, se bo njegova vrednost spremenila v vrednost, določeno v pravilniku. Če parameter registra ne obstaja, se bo samodejno ustvaril (kot tudi podružnica registra, v kateri bi moral biti);
Zamenjaj - če vnos v register že obstaja, se izbriše in ponovno ustvari (redko uporablja);
Izbriši - nastavitev registra bo izbrisana.

Zavihek Pogosti Obstaja več uporabnih možnosti:

Teči v prijavljeni-naprej uporabniks varnost kontekst (uporabnik politika možnost) - registrski ključ je ustvarjen v kontekstu trenutnega uporabnika (možno samo za GPP-je, ki jih ustvarite v razdelku z uporabniškim GPO). Če uporabnik nima skrbniških pravic, pravilnik ne bo mogel pisati v veje sistemskega registra;
Odstrani to artikel kdaj to je št dlje uporabiti - če pravilnik preneha vplivati na stranko, bo parameter samodejno izbrisan;
Prijavite se enkrat in stori ne ponovno uporabiti - uporabi pravilnik samo enkrat (za računalnik ali uporabnika). Če po prvi uporabi GPO uporabnik ročno spremeni vrednost nastavitve registra na svojem računalniku, pravilnik ne bo preglasil svoje vrednosti, ko bo znova posodobljen;
Postavka-stopnjo ciljanje - zmožnost natančnejšega usmerjanja politike na stranke (pravilnik lahko ciljate na določen IP, podomrežje, ime računalnika, računalnike z določenimi lastnostmi - to je, da lahko konfigurirate natančno nastavitev pravilnikov, podobnih filtrom WMI GPO). Na primer, lahko določite, da je treba nastavitev registra uporabiti za računalnike z operacijskim sistemom Windows Server 2012 R2 v strežnikih OU.

Torej, v konzoli GPMC (zavihek Nastavitve) izhajajoče poročilo z nastavitvami pravilnika skupine izgleda, da spreminja vrednost enega parametra registra.

Uvoz .reg datoteke v GPO

Razširitev GPP omogoča skrbniku, da enostavno uvozi .reg datoteko z več nastavitvami registra v pravilnik skupine. Toda za to je treba datoteko reg pretvoriti v obliko XML (urejevalnik skupinskih pravilnikov vam omogoča uvoz samo datotek v formatu XML).

Na primer, imamo referenčni računalnik, na katerem so nastavitve konfigurirane v podružnici registra. Te nastavitve izvozimo v datoteko REG tako, da z desnim gumbom miške kliknemo na ime veje v urejevalniku registra regedit in izberemo Export.

Shranite nastavitve veje registra v reg datoteko.

Če vaša reg datoteka vsebuje podatke iz različnih registrskih puš (HKLM, HKCU, HK_CLASSES), jih je treba razdeliti na ločene datoteke reg.

To datoteko REG je treba pretvoriti v obliko XML (reg-> xml lahko pretvorite s spletno storitvijo https://www.runecasters.com.au/reg2gpp ali s skriptom RegToXML.ps1 - https://gallery.technet.microsoft. com / scriptcenter / Registry-to-GroupPolicyPref-9feae9a3).

Nastalo datoteko XML je treba kopirati v Explorer in v urejevalnik pravilnika skupine v razdelku Register, prilepi (Prilepi).