Групповые политики active drirectory

Опубликовано: ПК
Gpo - применить к определенному компьютеру

Подключение принтеров пользователям через GPO

Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:

Запустите консоль редактора доменных политик (GPMC.msc), создайте новую политику prnt_AutoConnect и прилинкуйте ее к OU с пользователями; Если у вас в домене используется небольшое количество сетевых принтеров (до 30-50), вы можете все их настраивать с помощью одной GPO. Если у вас сложная структура домена, есть сайты AD, используется делегирование прав администраторам филиалов, лучше создать несколько политик подключения принтеров, например по одной политике на сайт или OU.

Перейдите в режим редактирования политики и разверните секцию User Configuration -> Preferences -> Control Panel Setting -> Printers. Создайте новый элемент политики с именем Shared Printer; Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer.
Действие – Update. В поле Shared Path укажите UNC адрес принтера, например, (в моем примере все принтеры подключены к принт-серверу ). Здесь же вы можете указать, нужно ли использовать этот принтер в качестве принтера по-умолчанию;
Перейдите на вкладку Common и укажите, что принтер нужно подключать в контексте пользователя (опция Run in logged-on user’s security context). Также выберите опцию Item-level targeting и нажмите на кнопку Targeting;
С помощью нацеливания GPP вам нужно указать, что данная политика подключения принтера применялась только для членов группы prn_HPColorSales

Для этого нажмите New Item -> Security Group -> в качестве имени группы укажите prn_HPColorSales; Обратите внимание, что данное ограничение не запрещает любому пользователю домена подключить это принтер вручную в проводнике Windows. Чтобы ограничить доступ к принтеру, нужно изменить права доступа к нему на принт-сервере, ограничив возможность печати определенными группам

Аналогичным образом создайте политики подключения принтеров для других групп пользователей

Есть еще старый раздел политик для настройки принтеров — Computer Configuration -> Policies -> Windows Settings -> Deployed Printers, однако этот метод установки принтеров пользователям не такой гибкий, как рассмотренный ваше способ с помощью GPP.

При использовании такой групповой политики, новые принтера будут устанавливаться у пользователей, только если на их компьютере уже установлен соответствующий принтеру драйвер печати. Дело в том, что у обычных пользователей нет прав на установку драйверов.

Установка роли WSUS на Windows Server 2012 R2 / 2016

Еще в Windows Server 2008 сервис WSUS был выделен в отдельную роль, которую можно было установить через консоль управления сервером. В Windows Server 2012 / R2 этот момент не поменялся. Откройте консоль  Server Manager и отметьте роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб сервера IIS).

Отметьте опцию WSUS Services, далее необходимо выбрать тип базы данных, которую будет использовать WSUS.

В Windows Server 2012 R2 поддерживаются следующие типы SQL баз данных для WSUS сервера:

  • Windows Internal Database (WID);
  • Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 в редакциях Enterprise / Standard / Express  Edition;
  • Microsoft SQL Server 2012 Enterprise / Standard  / Express Edition.

Соответственно вы можете использовать встроенную базу данных Windows WID (Windows Internal database), которая является бесплатной и не требует дополнительного лицензирования. Либо вы можете использовать выделенную локальная или удаленную (на другом сервере) базу данных на SQL Server для хранения данных WSUS.

База WID по умолчанию называется SUSDB.mdf и хранится в каталоге windir%\wid\data\. Эта база поддерживает только Windows аутентификацию (но не SQL). Инстанс внутренней (WID) базы данных для WSUS называется server_name\Microsoft##WID. В базе данных WSUS хранятся настройки сервера обновлений, метаданные обновлений и сведения о клиентах сервера WSUS.

Внутреннюю базу Windows (Windows Internal Database) рекомендуется использовать, если:

  • Организация не имеет и не планирует покупать лицензии на SQL Server;
  • Не планируется использовать балансировку нагрузки на WSUS (NLB WSUS);
  • Если планируется развернуть дочерний сервер WSUS (например, в филиалах). В этом случае на вторичных серверах рекомендуется использовать встроенную базу WSUS.

Базу WID можно администрировать через SQL Server Management Studio (SSMS), если указать в строке подключения \\.\pipe\MICROSOFT##WID\tsql\query.

Отметим, что в бесплатных редакциях SQL Server 2008/2012 Express имеет ограничение на максимальный размер БД – 10 Гб. Скорее всего это ограничение достигнуто не будет (например, размер базы WSUS на 2500 клиентов – около 3 Гб). Ограничение Windows Internal Database – 524 Гб.

В случае, установки роли WSUS и сервера БД на разных серверах, существует ряд ограничений:

  • SQL сервер с БД WSUS не может быть контроллером домена;
  • Сервер WSUS не может быть одновременно сервером терминалов с ролью Remote Desktop Services;

Если вы планируете использовать встроенную базу данных (это вполне рекомендуемый и работоспособный вариант даже для больших инфраструктур), отметьте опцию WID Database.

Затем нужно указать каталог, в котором будут храниться файлы обновлений (рекомендуется, чтобы на выбранном диске было как минимум 10 Гб свободного места).

Размер базы данных WSUS сильно зависит от количества продуктов и ОС Windows, которое вы планируете обновлять. В большой организации размер файлов обновлений на WSUS сервере может достигать сотни Гб. Например, у меня каталог с обновлениями WSUS занимает около 400 Гб (хранятся обновления для Windows 7, 8.1, 10, Windows Server 2008 R2, 2012 / R2/ 2016, Exchange 2013, Office 2010 и 2016, SQL Server 2008/2012/2016). Имейте это в виду, планируя место для размещения файлов WSUS.

В том случае, если ранее было выбрано использование отдельной выделенной БД SQL, необходимо указать имя сервера СУБД, инстанса БД и проверить подключение.

Далее запустится установка роли WSUS и всех необходимых компонентов, после окончания которых запустите консоль управления WSUS в консоли Server Manager.

Вы также можете установить сервер WSUS со внутренней базой данных с помощью следующей команды PowerShell:

Group Policy Management FAQs

How do I access Group Policy Management?

Group Policy Management can be accessed through the Group Policy Management Console (GPMC) on a Windows server running Active Directory. It can also be accessed through the Local Group Policy Editor on a Windows client machine.

What are the benefits of using Group Policy?

Group Policy allows for centralized management of settings and configurations, which can save time and improve security. It also allows for the enforcement of specific settings and configurations, which can help ensure compliance with organizational policies.

How do I create a new Group Policy Object (GPO)?

To create a new GPO, open the Group Policy Management Console and navigate to the appropriate domain or organizational unit. Right-click and select «New» and then «Group Policy Object.»

How do I link a GPO to a domain or organizational unit?

To link a GPO to a domain or organizational unit, open the Group Policy Management Console and navigate to the appropriate domain or organizational unit. Right-click and select «Link an Existing GPO.»

How do I edit an existing GPO?

To edit an existing GPO, open the Group Policy Management Console and navigate to the appropriate GPO. Right-click and select «Edit.»

How do I know if a GPO is being applied to a specific user or computer?

To check the application of a GPO to a specific user or computer, open the Group Policy Management Console and navigate to the appropriate GPO. Right-click and select «Group Policy Results» or «Group Policy Modeling

How do I troubleshoot GPO issues?

To troubleshoot GPO issues, you can use the Group Policy Management Console to check the status of GPOs and their links, and to check the event logs for related error messages. Additionally, you can use the GPRESULT command-line tool to check the effective GPO settings for a user or computer.

Типы групп Active Directory

В AD существует два типа групп:

  • Группа безопасности – этот тип группы используется для предоставления доступа к ресурсам. Например, вы хотите предоставить определенной группе доступ к файлам в сетевой папке. Для этого нужно создать группу безопасности.
  • Группа распространения – данный тип групп используется для создания групп почтовых рассылок (как правило используется при установке Microsoft Exchange Server). Письмо, отправленное на такую группу, дойдет всем пользователям группы. Это тип группы нельзя использовать для предоставления доступа к ресурсам домена.

Совет. Несмотря на то, группе безопасности можно также можно присвоить почтовые атрибуты и выполнять на нее почтовые рассылки, делать это не рекомендуется.

Для каждого типа группы существует три области действия:

  • Локальная в домене — используется для управления разрешениями доступа к ресурсам (файлам, папкам и другим типам ресурсам) только того домена, где она была создана. Локальную группу нельзя использовать в других доменах (однако в локальную группу могут входить пользователи другого домена). Локальная группа может входить в другую локальную группу, но не может входить в глобальную.
  • Глобальная группа – данная группа может использоваться для предоставления доступа к ресурсам другого домена. В эту группу можно добавить только учетные записи из того же домена, в котором создана группа. Глобальная группа может входить в другие глобальные и локальные группы.
  • Универсальная группа — рекомендуется использовать в лесах из множества доменов. С помощью нее можно определять роли и управлять ресурсами, которые распределены на нескольких доменах. В том случае, если в вашей сети имеется много филиалов, связанных медленными WAN каналами, желательно использовать универсальные группы только для редко изменяющихся групп. Т.к. изменение универсальной группы вызывает необходимость репликации глобального каталога во всем предприятии.

Отдельно выделяют локальные группы. Эти группы создаются в локальной базе данных диспетчера безопасности учетных записей (SAM) только одного компьютера. В отличии от доменных групп, локальные группы работают даже в случае недоступности контролеров домена.

Для чего необходимы групповые политики

Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.

Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.

Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.

Поиск объектов

В корпоративных средах, как правило, создается большое количество объектов GPO. Хорошо было бы уметь находить нужный объект. У консоли есть данный функционал. Для этого, в левой части окна кликаем правой кнопкой мыши по лесу. В открывшемся меню выбираем “Найти…”

В открывшемся окне выбираем в каком домене выполнять поиск. Можно выполнить поиск и по всем доменам, но это может занять продолжительное время.

Попробуем найти созданный ранее объект.

В поле “Элемент поиска” из выпадающего списка выбираем “Имя объекта групповой политики”. В условии оставляем вариант “Содержит”. В “Значение“ указываем имя созданной ранее политики. Именно по этой причине следует создавать понятные имена политик. Нажимаем кнопку “Добавить”.

Критерии поиска заданы. нажимаем кнопку “Найти” и просматриваем результаты поиска.

ОБЪЯСНЕНИЕ 1

Режим обработки замыкания групповой политики (Loopback Policy Processing)
Если управлять пользовательскими профилями через групповые политики, то можно заметить, что некоторые настройки, например, перенаправление папок, располагаются в разделе User configuration (Конфигурация пользователя) политики.
А это значит, что если пользовательская учетная запись находится в организационном подразделении (Organization Unit, OU), на которое распространяется действие такой политики, то применяться эти настройки будут при входе пользователя в систему независимо от того, локальный это компьютер или сервер RDS. Такое поведение может быть нежелательным, вполне разумно иметь одни пользовательские настройки для сервера, другие — для локального компьютера.
Но если поместить политику с настроенными разделами User Configuration в раздел OU с серверами, то она не будет обрабатываться, так как учетные записи пользователей не находятся в этом OU.
Чтобы это произошло, существует специальная политика Loopback Policy Processing (Режим обработки замыкания пользовательской групповой политики), располагающаяся в разделе Computer Configuration (Конфигурация компьютера) -» Policies (Политики) -> Administrative Templates (Административные шаблоны) -> System (Система) -> Group Policy (Групповая политика).
У нее два режима работы — Replace (Замена) и Merge (Слияние). В первом случае происходит замещение пользовательских политик из OU пользователя, во втором — объединение с ними.

Например, на рис. 5 изображен домен с двумя организационными подразделениями — OU1 и OU2.
В первом находятся объекты учетных записей пользователей и их локальные компьютеры, во втором — объекты серверов RDS.
Если пользователь осуществляет вход в систему на локальном компьютере, то он оказывается под действием доменной групповой политики (Default domain policy), затем политики GP1 локального компьютера (которая была применена при его включении) и политики GP2 пользователя (примененной при входе в систему).
Если пользователь осуществляет вход на сервер RDS, то будут действовать доменная политика, политика сервера GP3 и политика пользователя GP2.
Если же включить Loopback Policy Processing, то при входе на сервер RDS будут действовать доменная политика, политика сервера GP3 и политика пользователя GP2+GP4 (в режиме Merge) или только GP4 (в режиме Replace).
При возникновении любых конфликтов настроек между политиками OU пользователя и OU сервера в режиме Merge политика в OU сервера будет иметь более высокий приоритет.

Используя несколько серверов RDS в кластере, просто необходимо управлять пользовательскими профилями. К счастью, для этого есть достаточно много возможностей со своими сильными и слабыми сторонами. Остается только выбрать то сочетание, которое лучше всего будет подходить для каждого конкретного случая.

( взято тут: http://www.xnets.ru/plugins/content/content.php?content.240.4  )

What is the Group Policy Management Console?

A collection of Group Policy (GP) settings, referred to as a Group Policy Object (GPO), determines how a group of users or computers must behave.

GPOs are associated with AD containers, including the local computer, site, domain, and Organizational Unit (OU).

Group Policies within the entire AD forest can be managed via the Group Policy Management Console (GPMC)— a built-in Windows Server 2008 (and beyond) admin tool.

GPMC works via the Microsoft Management Console (MMC) snap-in.

It consolidates the functionality of many tools (snap-ins) into one, including the AD Users and Computers, Resultant Set of Policy, the ACL Editor, and the GMPC Delegation Wizard.

Overall, GPMC gives you the interface to view, control, and troubleshoot GPs from a central place.

But you can also have a fine-control to create GPOs that define policies, security options, software updates, installation, maintenance settings, scripts, folder redirections, and more.

Additionally, you can also backup, restore, and import GPOs.

To open GPMC, go to the Windows Server Manager > Open “Tools Menu” > “Group Policy Management”

Using the Group Policy Management Console

Every AD domain has two default GPOs:

  • Default Domain Policy, which is linked to the domain
  • Default Domain Controllers Policy, which is linked to the domain controller’s OU

You can see all the GPOs in a domain by clicking the Group Policy Objects container in the left pane of GPMC.

Figure 2. Interface of the Group Policy Management Console

Create a New Group Policy Object

Don’t change either the Default Domain Controllers Policy or the Default Domain Policy. The best way to add your own settings is to create a new GPO. There are two ways to create a new GPO:

  • Right-click the domain, site or OU to which you want to link the new GPO and select Create a GPO in this domain, and Link it here… When you save the new GPO, it will be linked and enabled immediately.
  • Right-click the Group Policy Objects container and select New from the menu. You will need to manually link the new GPO by right-click a domain, site or OU and selecting Link an Existing GPO. You can do this at any time.

Regardless of how you create a new GPO, in the New GPO dialog you must give the GPO a name, and you can choose to base it on an existing GPO. See the next section for information about the other options.

Edit a Group Policy Object

To edit a GPO, right click it in GPMC and select Edit from the menu. The Active Directory Group Policy Management Editor will open in a separate window.

Figure 3. Interface of the Group Policy Management Editor

GPOs are divided into computer and user settings. Computer settings are applied when Windows starts, and user settings are applied when a user logs in. Group Policy background processing applies settings periodically if a change is detected in a GPO.

Policies vs Preferences

User and computer settings are further divided into Policies and Preferences:

  • Policies do not tattoo the registry — when a setting in a GPO is changed or the GPO falls out of scope, the policy setting is removed and the original value is used instead. Policy settings always supersede an application’s configuration settings and will be greyed out so that users cannot modify them.
  • Preferences tattoo the registry by default, but this behavior is configurable for each preference setting. Preferences overwrite an application’s configuration settings but always allow users to change the configuration items. Many of the configurable items in Group Policy Preferences are those that might have been previously configured using a login script, such as drive mappings and printer configuration.

You can expand Policies or Preferences to configure their settings. These settings will then be applied to computer and user objects that fall into the GPO’s scope. For example, if you link your new GPO to the domain controller’s OU, the settings will be applied to computer and user objects located in that OU and any child OUs. You can use the Block Inheritance setting on a site, domain or OU to stop GPOs that are linked to parent objects from being applied to child objects. You can also set the Enforced flag on individual GPOs, which overrides the Block Inheritance setting and any configuration items in GPOs that have higher precedence.

GPO Precedence

Multiple GPOs can be linked to domains, sites and OUs. When you click on one of these objects in GPMC, a list of linked GPOs will appear on the right on the Linked Group Policy Objects tab. If there is more than one linked GPO, GPOs with a higher link order number take priority over settings configured in GPOs with a lower number.

You can change the link order number by clicking on a GPO and using the arrows on the left to move it up or down. The Group Policy Inheritance tab will show all applied GPOs, including those inherited from parent objects.

Figure 4. Information about all applied GPOs in GPMC

How to install Group Policy Management Console tools

You can install the GPMC using the Server manager. Here’s how you can do it in Windows Server 2016:

  1. Open the Server Manager Dashboard. You can do this by pressing Windows + R keys to open the Run tool, and then typing servermanager and pressing the Enter button.
  2. In the Dashboard section, click on Add Roles and Features.
  3. In the installation wizard window that pops up, under Installation Type select Role-based or feature-based installation. Then, click Next.
  4. Under Server Selection, select the Select a server from the server pool option. Then, click Next.
  5. Click Next under Server Roles.
  6. Under Features, select Group Policy Management. Click Next.If prompted to install any supporting roles, accept the default selection.
  7. Under Confirmation, click Install.

Once the installation process is complete, you can open the GPMC through Server manager under the Tools section.

Group Policy Management Console: An Introduction

The Group Policy Management Console (GPMC) is a one-stop solution for performing all the Group Policy functions an administrator has to deal with. This MMC snap-in provides all the information about Group Policies and allows one to view all the settings within a Group Policy Object (GPO). Many of the functions of the GPMC can also be scripted. The GPMC provides viewing, configuring, and analyzing GPO settings to know how they will affect target computers and users.

Here is a partial list of what administrators can do with the GPMC:

  • Creating, modifying, deleting, reporting GPOs and controlling their application
  • Performing Group Policy searches across the forest and domain(s)
  • Check/control status of GPOs
  • Linking and unlinking GPOs
  • Performing backup, restore and import of GPOs
  • Executing GPO modeling sessions to understand the effects of GPOs
  • Setting and delegating permissions

The following are some of the highlights of the GPMC which make it such a handy tool:

  • Easy user interface with drag-and-drop functionality
  • Capability to backup, restore, import and copy GPOs
  • Includes programmable interfaces
  • Execution of fully scriptable functions
  • Manages WMI filtering that helps in selectively applying GPOs

Group Policy Management console

Восстановление элементов

В ряде случаев может потребоваться особая процедура работы с объектами групповой политики — восстановление. Active Directory — программная среда, в которой происходит большое количество процессов, при этом могут возникать ситуации, при которых объекты по каким-либо причинам удаляются. Однако всегда есть шанс восстановления их предыдущих версий из резервных копий, существующих в системе.

Инструменты, необходимые для решения соответствующей задачи, также присутствуют в консоли, которую мы сегодня исследуем. С их помощью можно осуществить восстановление как одного, так и нескольких объектов соответствующего типа за счет резервных копий, располагающихся в специальной папке.

Последовательность действий пользователя в ходе решения данной задачи может выглядеть так.

Во-первых, необходимо в главном интерфейсе консоли щелкнуть на папке «Объекты групповой политики». После этого на экране отобразятся соответствующие элементы.

Во-вторых, необходимо щелкнуть правой кнопкой мышки на папке «Объекты групповой политики», после чего выбрать опцию «Управление резервными копиями».

В-третьих, необходимо выбрать место, где располагается резервная копия соответствующих настроек, с помощью специального списка, доступного в диалоговом окне интерфейса. Можно также использовать кнопку «Обзор», после чего вручную выбрать папку, в которой находятся нужные файлы.

После проведения соответствующих операций необходимо обратить внимание на список «Резервные копии». Там будут отображаться доступные для восстановления элементы. Необходимо выбрать нужные

После этого — нажать на кнопку, которая запустит процесс восстановления. Возможно, доступными окажутся несколько версий объекта. В этом случае полезно будет использовать специальный флажок, с помощью которого задается отображение на экране интерфейса только самых свежих резервных копий объектов групповой политики

Необходимо выбрать нужные. После этого — нажать на кнопку, которая запустит процесс восстановления. Возможно, доступными окажутся несколько версий объекта. В этом случае полезно будет использовать специальный флажок, с помощью которого задается отображение на экране интерфейса только самых свежих резервных копий объектов групповой политики.

Далее нужно проверить то, насколько успешно осуществлена операция (в диалоговом окне отобразятся необходимые сведения), после чего нажать на кнопку «OK». Так осуществляется восстановление Active Directory в части удаленных объектов соответствующей системы управления корпоративной компьютерной сетью.

Как убрать «Этот параметр включён администратором» и изменить поисковую систему

Мы осуществим удаление ранее прописанных параметров, которые привели к запрету изменения поисковой системы в интернет браузере. Сам браузер на момент проведения манипуляций должен быть закрыт.

  1. Чаще всего параметры блокировки прописываются в «групповых политиках». Мы сбросим данные параметры в состояние «по умолчанию». Для этого необходимо запустить командную строку от имени администратора (как это сделать) и далее в окне командной строки поочерёдно вписать приведённые ниже команды ( после ввода каждой команды необходимо нажимать Enter ): 
    RD /S /Q "%WinDir%System32GroupPolicyUsers"  RD /S /Q "%WinDir%System32GroupPolicy"  gpupdate /force

    Первые две команды приводят параметры групповой политики в первоначальное состояние, а третья строка обновляет параметры групповой политики.

  2. Закройте окно командной строки. Перезагрузите компьютер и попробуйте изменить поисковую систему в браузере.

Если после осуществлённых манипуляций проблема осталась, то это значит, что помимо параметров в групповых политиках, были ещё дополнительно прописаны параметры в реестре. В следующем шаге мы будем удалять и их.

  1. Откройте редактор реестра (как это сделать). В открывшемся окне редактора перейдите по пути: 
    HKEY_LOCAL_MACHINESOFTWAREPoliciesGoogleChrome

    Там будет несколько параметров. Нас интересуют два из них:

    • DefaultSearchProviderEnabled – данный параметр реестра отвечает за назначение поисковой системы по умолчанию. Необходимо кликнуть по нему и в открывшемся окне сменить значение с цифры 1, на цифру 0. Сделав это – нажмите OK.
    • DefaultSearchProviderSearchURL – второй интересующий нас параметр. В данном параметре традиционно прописывается адрес установленной поисковой системы. Кликните по данному параметру и удалите всё, что вписано в строке «Значение». По окончании нажмите OK.
  2. Закройте окно редактора реестра и осуществите перезагрузку ПК. По загрузке системы запустите браузер и измените поисковую систему на желаемую.

Стоит заметить, что если у вас отсутствует антивирусное программное обеспечение или используемые им базы вредоносного ПО давно не обновлялись, то проблема с несанкционированной сменой поисковой системы в браузере можете повториться. Всегда используйте антивирусное программное обеспечение и вовремя обновляйте его базы. Если вы пока не планируете установку антивирусного программного обеспечения, то вы всё равно можете проверить систему, воспользовавшись для этого бесплатным и работающим без фактической установки в систему антивирусным сканером Dr.Web CureIt!

При попытке установить и запустить установщик браузера Гугл Хром пользователь может столкнуться с сообщением «Администратор вашей сети применил групповую политику, которая не позволяет выполнить установку». Обычно подобная ошибка возникает при попытке установить Хром на казённом компьютере (например, в школе или университете). Но бывают и ситуации, что она возникает и на домашнем ПК у пользователя, который никак не менял настройки групповых политик. Ниже разберём суть данной дисфункции, а также рассмотрим, как её можно исправить.

GPUpdate.exe – Group Policy Settings Update Command

All administrators are familiar with the gpupdate.exe command, which allows you to update group policy settings on your computer. Many of them do not hesitate to use the gpupdate /force command to update the GPO. This command forces the computer to reread all the policies from the domain controller and reapply all settings. The client accesses the domain controller, and receives ALL policies that are targeting it. This puts an increased load on the network and the domain controller.

A simple gpudate without /force key command applies only the new/changed GPO settings.

If all is OK when we update the GPO, the following lines should appear:

If any policies or settings have not applied, use the gpresult command to troubleshoot.

You can separately update GPO user settings by running the following command:

or just computer policies:

If some policies cannot be updated in the background, gpudate can force the logoff of the current user:

Or reboot the computer (if the GPO changes can only be applied when Windows boots):

Похожие записи:

  1. Как открыть редактор реестра в windows 11: несколько методов
  2. Ошибка bootmgr is missing в windows 7. что делать?
  3. Как включить режим ahci для sata в bios без переустановки windows
  4. Как в windows 11 удалить папку windows.old
0
Понравилась статья? Поделиться с друзьями:
Быть в курсе нового

Похожие записи:

  1. Как открыть редактор реестра в windows 11: несколько методов
  2. Ошибка bootmgr is missing в windows 7. что делать?
  3. Как включить режим ahci для sata в bios без переустановки windows
  4. Как в windows 11 удалить папку windows.old
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.