Gpo — конфигурация google chrome

Введение

В предыдущей части данной статьи, вы узнали о средстве, при помощи которого корпорация Microsoft позволяет рационально управлять всей инфраструктурой вашего предприятия, начиная от незначительных подразделений и групп, и заканчивая сайтами и доменами, а именно об оснастке «Управление групповой политикой». Вы узнали о том, как можно открыть данную оснастку, а также о создании, редактировании и удалении объектов групповой политики. Для правильного управления вашей организации одного лишь создания объектов GPO недостаточно, так как объект групповой политики – это только набор параметров настроек конфигурации пользователя или компьютера, которые обрабатываются расширениями клиентской стороны (Client-Side Extension — CSE). Чтобы ваши объекты GPO распространялись на клиентов, нужно настраивать связи объектов групповых политик с сайтами, доменами или подразделениями. В этой статье вы узнаете о связях объектов групповых политик.

Установка программ через AD GPO

устанавливаться или обновляться через GPO Active Directory

Очень часто выходят обновления для таких компонентов, как Adobe Flash, которые являются потенциальной дырой в браузерах пользователей. Заставить устанавливать такой компонент — пользователя равносильно тому, что совсем его не обновлять. К тому же, необходимы права администратора для данного действия, а пользователь работающий под админом в сети предприятия — это зло, которое так и пытается положить вашу сеть при очередной посещении зловредных ресурсов. И Adobe Flash — это не единственный пример. Посему мы упростим работу себе и обеспечим актуальное состояние софта на рабочих станциях в сети.

Кратко расскажу о установке программ средствами групповых политик Active Directory, назначение пакетов MSI компьютерам (assigning to computer) (взято отсюда ):

• скопируйте к себе на компьютер файл Microsoft Installer (MSI) программного обеспечения Wininstaller. Поместите этот файл в каталог C:\Distrib на своем компьютере и расшарьте его как \\имя_вашего_компьютера\Distrib$;
• создайте групповую политику WinInstaller, которая бы устанавливала программное обеспечение Wininstaller на все компьютеры вашего домена в режиме назначения для компьютера и произведите установку при помощи этой групповой политики на свой компьютер.

После создания общего каталога и копирования откройте Group Policy Management Console, щелкните правой кнопкой мыши по узлу вашего домена и в контекстном меню выберите Create and Link a GPO here. Присвойте создаваемое групповой политике название Wininstaller. Щелкните правой кнопкой мыши по объекту созданной групповой политики и в контекстном меню выберите Edit. В окне Group Policy Object Editor раскройте узел Computer Configuration -> Software Settings -> Software installation , щелкните правой кнопкой мыши по узлу Software Installation и в контекстном меню выберите New -> Package. В окне Open введите путь к пакету MSI: \\имя_вашего_компьютера\Distrib$\SWIADMLE.MSI и нажмите Open. В окне Deploy Software установите переключатель в положение Advanced и нажмите OK. В окне WinInstall Properties просмотрите все вкладки и нажмите OK. Закройте окна Group Policy Object Editor и Group Policy Management Console с сохранением внесенных изменений и перезагрузите компьютер

В процессе запуска обратите внимание на строку Installing Managed Software WinInstall, которая появится после строки Applying Computer Settings. После окончания перезагрузки обратите внимание, что в меню Programs появилась новая группа программ

Если есть желание углубиться в познание AD и GPO, можно ознакомиться с курсом: http://www.intuit.ru/department/os/sysadmswin/, или http://www.intuit.ru/goto/course/netmsserver2003/

Ну что ж, начнем с добычу пакетов MSI:

> mkdir C:\Temp\AdobeReader > cd C:\Temp\AdobeReader > msiexec /a AdbeRdr1000_ru_RU.msi TARGETDIR=c:\Temp\AdobeReader\Updated > msiexec /a c:\Temp\Adobe\Updated\AdbeRdr1000_ru_RU.msi /p C:\Temp\AdobeReader\AdbeRdrUpd1001_Tier4.msp

Google Chrome — https://www.google.com/intl/en/chrome/business/ JAVA — http://www.java.com/ru/download/ (после распаковки инсталлера, msi в C:\Users\<User>\AppData\LocalLow\Sun\, инструкшн: http://www.java.com/ru/download/help/msi_install.xml) Mozilla Firefox — http://frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm Notepad++ — https://www.hass.de/content/notepad-msi-package-enterprise-deployment-available OpenOffice — http://www.i-rs.ru/download или http://ru.openoffice.org/ (после распаковки установщика — готовый MSI) Примечание, возможна ошибка установки OpenOffice на Windows 7. Opera — http://ftp.opera.com/pub/opera/win/ (в каталоге _версия_/autoupdate лежит MSI) Paint.NET — exe берем отсюда: http://paintnet.ru/download/, MSI создаем по инструкции: http://paint-dot-net.narod.ru/help_ru/p5_Install.htm:

> mkdir C:\Temp\PaintNET > cd C:\Temp\PaintNET > C:\Temp\PaintNET\PaintNET.exe /createMsi CHECKFORUPDATES=0 > забираем готовые MSI с рабочего стола

ДубльГИС — http://krasnodar.2gis.ru/how-get/download/ (мануал http://help.2gis.ru/pc/full/install/corporative/)

Upd 2011.07.01: добавил Opera Upd 2012.02.23: добавил Chrome Upd 2018.07.24: добавил Notepad++

Источник



Step 1: Add the Chrome Browser policy template

You can currently use Group Policy to control over 200 policies in a chrome.admx file. When you load the file, each policy is active with a default setting (Not Configured) that can be modified at any time.

To add the policy template:

1. Open the downloaded Chrome Browser bundle and go to Configuration  admx.
2. Copy the google.admx and chrome.admx files to your Policy Definition template folder. (Example: C:\Windows\PolicyDefinitions)
3. In the admx folder, open the appropriate language folder. For example, if you’re in the U.S., open the en-US folder.
4. Copy the google.adml and chrome.adml files to the matching language folder in your Policy Definition folder. (Example: C:\Windows\PolicyDefinitions\en-US)
5. Open Group Policy to confirm the files loaded correctly. If an error occurs, it’s usually because the files are in an incorrect location. Check the locations and confirm again.

Тяни за ярлык:

about windows 7;ca and outlook;dns and ca;english togetherESX или ESXi?;Exchange 2010exchange 2019forest exchangeinfo about firewalls 2009install DHCP в win2008linux and unix serversms project;Office2010;Outlook and RPC/HTTP;PGP;public_mail on isa2004;RPC/HTTP-прокси на Exchange;setup exchange 2007;setup exchange 2010;setup isa2004;SMTP на Exchange;symantec and exchange;trendmicroUpgrade Esxi 3.5 до Esxi 4.0;vmware 6.7VMWare Vsphere 4;win 2008windows 8windows 2016Ваш первый Exchange;Корпоративный файл-сервер;Мое первое знакомство с VMWare;Настройка IIS 6.0;Настройка коннектора;Ручная установка Win 2008Установка DC;Установка Exchange 2003 sp2как я отдыхал…синематограф

Google Chrome for Work

Используйте для работы современный и безопасный браузер. О том, как в среде Windows использовать групповые политики для веб браузера Google Chrome, читайте дальше.

На странице Настройка Chrome for Work, google разместил руководство по настройке, я выделил для себя следующие пункты:

Установка Chrome

Если вы планируете устанавливать хром групповыми политиками или иными средствами вам понадобится msi пакет, msi пакет необходимо скачать тут.

Если у вас нет внедренной политики контроля запуска приложений, как показывает практика, пользователи устанавливают браузер хром самостоятельно, и в этом случаи дистрибутив браузера будет установлен в профиль пользователя.

Установка шаблонов

Скачайте ZIP-файл шаблонов и документации Google Chrome. В архиве находятся ADM/ADMX шаблоны и примеры в виде reg файла. Более подробно про шаблоны групповых политик можно прочитать тут.

Если папка PolicyDefinitions отсутствует, создайте папку самостоятельно.

Если вы все сделали правильно, при создании новой политику у вас появится новый раздел Google.

Скачать административный шаблон можно тут, доступен только ADM шаблон.

После добавления шаблона в вашу политику у вас появится новый раздел, где вы сможете выбрать период обновления или отключить авто обновления.

Нашел на просторах google замечательное руководство Deploying and Securing Google Chrome in a Windows Enterprise, очень полезный документ от National Security Agency of USA.

Политик много, как пишет сам google Более 100 правил для настройки. В первую очередь я рекомендую настроить размер локального кеша и его место расположение.

1 — Set disk cache directory: установить значение «$\Google\Chrome\User Data» 2 — Set disk cache size in bytes: установите значение кеша в байтах 3 — Set Google Chrome Frame user data directory: установить значение «$\Google\Chrome\User Data» 4 — Set media disk cache size in bytes: установите значение кеша в байтах 5 — Set user data directory: установить значение «$\Google\Chrome\User Data»

Обратите внимание на переменные и , это папки «\%username%\AppData\Local» и «\%username%\AppData\Roaming» в профиле пользователя. 6 — Managed Bookmarks: этим параметром вы можете создать свою коллекцию закладок

6 — Managed Bookmarks: этим параметром вы можете создать свою коллекцию закладок

результат:

Для получения списка политик откройте в браузере страницу chrome://policy/.

Политики для плагинов

Я предпочитаю пользоваться политикой где запрещено все что не разрешено.

7 — Specify a list of disabled plugins: устанавливаем значение * для отключения всех плагинов 8 — Specify a list of enabled plugins: разрешаем избранные плагины

Для получения списка плагинов откройте в браузере страницу chrome://plugins/.

Политики для расширений и приложений

Как и в случаи с плагинами отключаю все что не разрешено.

9 — Configure extension installation blacklist: устанавливаем значение * для отключения всех расширений

При попытке установить расширение или приложение chrome покажет следующее окно с ошибкой:

Параметры Configure extension installation white list и Configure the list of force-instaled extensions, позволят вам разрешить для установки или установить необходимые расширения.

Для получения списка установленных расширений откройте в браузере страницу chrome://extensions/ и chrome://apps/ для списка приложений.

Экспериментальные опции

Для получения доступа к экспериментальным опциям необходимо открыть страницу chrome://flags/.

Я использую только одну опцию «Сохранить страницу в формате MHTML», для сохранения страниц в формате веб архива.

Практика внедрения Google Chrome

Я использовал много рекомендаций из руководства NSA. После отключение расширений и доступа к «webstore», несколько пользователей жаловались на отсутствие любимых скинов. На терминальных серверах ws2008R2 тормозит звук на сайте youtube, в случаи ws2012 такой проблемы нету. Автоматическое обновление не настраивал.

Источник

Разрешение на сохранение паролей для подключения по RDP

По пути

Конфигурация компьютера
  Политики
    Административные шаблоны
      Система
        Передача учетных данных

Включить правило

Разрешить передачу сохраненных учетных данных с проверкой подлинности сервера "только NTLM"

И по пути

Конфигурация компьютера
  Политики
    Административные шаблоны
      Сеть
        Сетевые подключения
          Брандмауэр Защитника Windows
            Профиль домена

Включить правила и указать разрешенные ip-адреса, если нужно

Брандмауэр Защитника Windows: Разрешает исключение для входящего общего доступа к файлам и принтерам
Брандмауэр Защитника Windows: Разрешить входящее исключение удаленного администрирования 
Брандмауэр Защитника Windows: Разрешить входящие исключения удаленного рабочего стола

Дополнительная информация

Чтобы настроить конфигурацию пользователя на компьютер, выполните следующие действия:

1. В консоли управления групповой политикой Microsoft (MMC) выберите конфигурацию компьютера.
2. Найдите административные шаблоны, выберите System, выберите групповую политику, а затем вйдите в параметр Loopback Policy.

Эта политика направляет систему применять набор GPOs для компьютера к любому пользователю, который входит на компьютер, затронутый этой политикой. Эта политика предназначена для компьютеров специального использования, на которых необходимо изменить политику пользователя на основе используемого компьютера. Например, компьютеры в общественных местах, в лабораториях и в классах.

Примечание

Loopback поддерживается только в среде Active Directory. Учетная запись компьютера и учетная запись пользователя должны быть в Active Directory. Если контроллер домена microsoft Windows NT 4.0 управляет любой учетной записью, циклбэк не функционирует. Клиентский компьютер должен быть запущен одной из следующих операционных систем:

• Windows XP Professional
• Windows 2000 Professional
• Windows 2000 Server
• Windows 2000 Advanced Server
• Windows Server 2003

При работе с рабочими станциями пользователям может потребоваться применить параметры групповой политики в зависимости от расположения объекта пользователя. Поэтому мы рекомендуем настроить параметры политики на основе организационного подразделения, в котором находится учетная запись пользователя. Если объект компьютера находится в определенном организационном подразделении, параметры политики пользователя должны применяться в зависимости от расположения объекта компьютера, а не объекта пользователя.

Примечание

Нельзя фильтровать параметры пользователя, которые применяются путем отказа или удаления прав AGP и Read с объекта компьютера, указанного для политики loopback.

Обычная обработка групповой политики пользователей указывает, что компьютеры, расположенные в их организационном подразделении, имеют GPOs, применяемые в порядке во время запуска компьютера. Пользователи в своем организационном подразделении имеют GPOs, применяемые в порядке во время logon, независимо от того, на какой компьютер они войдите.

В некоторых случаях этот порядок обработки может оказаться не подходящим. Например, если вы не хотите, чтобы приложения, которые были назначены или опубликованы пользователям в их организационном подразделении, устанавливались при входе пользователя на компьютер в определенном организационном подразделении. С помощью функции поддержки циклов групповой политики можно указать два других способа получения списка GPOs для любого пользователя компьютеров в этом конкретном организационном подразделении:

• Режим слияния

  В этом режиме при входе пользователя список GPOs пользователя обычно собирается с помощью функции GetGPOList. Затем функция GetGPOList снова вызвана с помощью расположения компьютера в Active Directory. Затем список GPOs для компьютера добавляется в конец GPOs для пользователя. Это приводит к более высокому приоритету для GPOs компьютера, чем КПД пользователя. В этом примере список GPOs для компьютера добавляется в список пользователя.

• Замените режим

  В этом режиме список пользовательских GPOs не собирается. Используется только список GPOs, основанный на объекте компьютера.

Компоненты GPO

Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.

Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей”  называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.

Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.

Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

• Централизованная настройка пакета программ Microsoft Office.
• Централизованная настройка управлением питанием компьютеров.
• Настройка веб-браузеров и принтеров.
• Установка и обновление ПО.
• Применение определенных правил в зависимости от местоположения пользователя.
• Централизованные настройки безопасности.
• Перенаправление каталогов в пределах домена.
• Настройка прав доступа к приложениям и системным программам.

Действие 2. Модифицируйте ряд значений системного реестра

Эффективным способом избавиться от ошибки «Администратор вашей сети применил групповую политику, которая не позволяет выполнить установку» является модификация ряда ключей системного реестра. Выполните следующее:

• Нажмите Win+R в ОС Виндовс;
• В появившемся окне наберите regedit и нажмите ввод;
• В появившемся окне реестра Виндовс перейдите по пути:

• В окне справа вы увидите ряд ключей. Наведите на каждый из них курсор, кликните правой клавишей мышки, выберите «Изменить» (Modify). Установите значения для данных ключей на 1;

  Измените значения ключей на 1

• Закройте системный реестр и перезагрузите ваш ПК.

Настройка браузера средствами GPO

Настройку браузера средствами групповой политики можно разделить на несколько этапов, а именно: создание объекта групповой политики, загрузка и размещение административного шаблона, настройка параметров политики импортированного административного шаблона, а также распространение созданного вами объекта групповой политики вашим пользователям. Для того чтобы выполнить все указанные выше действия, следуйте следующим инструкциям:

1. Откройте оснастку «Управление групповой политикой». В отобразившейся оснастке, в дереве консоли разверните узел «Лес: %имя леса%», узел «Домены», затем узел с названием вашего домена, после чего перейдите к узлу «Объекты групповой политики». В узле «Объекты групповой политики» создайте объект GPO «Google Chrome»;
2. Так как в сети вашей организации может быть (даже должно быть) несколько контроллеров домена, настраиваемые административные шаблоны должны быть расположены в центральном хранилище, то есть в отдельной папке, размещенной в %SYSVOL%, которая будет содержать все требуемые файлы ADMX и ADML. После того как будет настроено центральное хранилище, при открытии оснастки «Редактор управления групповыми политиками» будут загружаться все административные шаблоны не из хранилища локального компьютера, а именно из центрального хранилища.

На контроллере домена создайте корневую папку для центрального хранилища – «%SystemRoot%\sysvol\domain\policies\PolicyDefinitions». После этого в папке «PolicyDefinitions» создайте подпапку для каждого дополнительного языка, который будет использоваться при распространении групповой политики. Например, файлы языковых ресурсов ADML для русского языка изначально находятся в папке «%SystemRoot%\PolicyDefinitions\ru-RU». Соответственно, папку с таким же названием вам нужно создать в центральном хранилище.

Следующим шагом будет копирование файлов административных шаблонов из хранилища локального компьютера в центральное хранилище. Для этого откройте командную строку и выполните следующую команду:

В данном случае, эта команда будет выглядеть следующим образом:

После этого выполните следующую команду для копирования файлов языковых ресурсов. В моем случае, это будут команды:

Рис. 1. Папка центрального хранилища

Рис. 2. Узел «Google Chrome» редактора управления групповыми политиками

Рис. 3. Отображение кнопки «Главная страница» на панели инструментов браузера

• Откройте параметр политики «Включить режим инкогнито» и установите переключатель на опцию «Отключить»;
• Затем откройте параметр политики «Включить живой поиск» и в отобразившемся диалоговом окне установите переключатель на опцию «Включить»;
• Перейдите к диалоговому окну свойств параметра политики «Включить автозаполнение» и установите переключатель на опцию «Включить»;
• Откройте диалоговое окно свойств параметра политики «Включить печать» и также установите переключатель на опцию «Включить»;
• Перейдите к параметру политики «Удалять данные сайта при закрытии браузера» и в диалоговом окне свойств параметра установите переключатель на опцию «Включить»;
• Откройте диалоговое окно свойств параметра политики «Выбор каталога для загрузки» и укажите какую-то папку, отличную от папки, заданной браузером по умолчанию. Например, папку «%UserProfile%\Downloads\Chrome»:

Рис. 4. Установка папки для загрузки по умолчанию

Рис. 5. Настройка URL-адреса главной страницы

Рис. 6. Добавление URL-адресов, открывающихся при запуске браузера

Рис. 7. Выбор действия при запуске браузера

Проверим, применились ли настроенные параметры. Выполните вход на компьютер с установленным браузером Google Chrome под учетной записью пользователя Михаил Талогаев, учетная запись которого расположена в подразделении «Продажи», а также является членом глобальной группы безопасности «Продажи». При открытии браузера сразу открылись 3 вкладки с указанными в одном из параметров групповой политики сайтами. Также сразу можно заметить, что на панели инструментов появилась кнопка «Главная страница». Открыв параметры браузера, сразу в глаза бросается строка с текстом «Некоторые параметры отключены администратором» и заметно, что для некоторых параметров установлены значения, указанные в объекте GPO. Окно браузера отображено на следующей иллюстрации:

Рис. 8. Окно браузера Google Chrome

Создание шаблона OneDrive

В этом разделе создается шаблон администратора OneDrive Intune для управления некоторыми настройками. Эти конкретные параметры выбраны, так как они обычно используются организациями.

1. Создайте другой профиль (профили > конфигурации устройств > Создайте профиль).

2. Введите следующие свойства:

   • Платформа: Выберите Windows 10 и более поздней .
   • Профиль. Выберите административные шаблоны.

3. Нажмите Создать.

4. В Basics введите следующие свойства:

   • Имя. Введите шаблон администрирования — OneDrive политики, применимые к всем Windows 10 пользователям.
   • Описание. Введите описание профиля. Этот параметр необязателен, но рекомендуется.

5. Нажмите кнопку Далее.

6. В параметрах Конфигурация настройте следующие параметры. Чтобы сохранить изменения, выберите ОК.

   • Конфигурация компьютера:

     • Автоматически выполнять вход пользователей в клиент синхронизации OneDrive с помощью учетных данных Windows
       • Тип: Устройство
       • Значение: Включено
     • Использовать функцию «Файлы из OneDrive по запросу»
       • Тип: Устройство
       • Значение: Включено

   • Конфигурация пользователя:

     • Запретить пользователям синхронизировать личные учетные записи OneDrive
       • Тип: Пользователь
       • Значение: Включено

Ваши параметры похожи на следующие параметры:

Дополнительные сведения о параметрах OneDrive см. в см. в рублях Использование групповой политики для управления приложение синхронизации OneDrive параметров клиента.

Назначение шаблона

1. В шаблоне выберите Далее, пока не получите назначение. Выберите выберите группы, чтобы включить:

2. Показан список существующих пользователей и групп. Выберите группу Windows устройств, созданную ранее > Выберите.

   Если вы используете этот учебник в производственной среде, подумайте о добавлении пустых групп. Цель состоит в том, чтобы на практике назначить шаблон.

3. Нажмите кнопку Далее. В обзоре + создание выберите Создать для сохранения изменений.

На этом этапе вы создали несколько административных шаблонов и написав их созданным группам. Следующий шаг — создание административного шаблона с Windows PowerShell и API microsoft Graph для Intune.

Определения локальных учетных записей

В любом случае, неотъемлемой частью компании всегда являются сотрудники, которых в ИТ-инфраструктуре принято называть пользователями, и на компьютере каждого пользователя еще до того, как он впервые выполнит вход под доменной учетной записью, являющейся членом каких-то доменных групп, пользователь обязательно выполнит вход под своей локальной пользовательской учетной записью, относящейся к определенной локальной группе с соответствующими правами. В принципе, таких пользовательских учетных записей две, а именно:

• Учетная запись «Администратор» , которая предоставляет полный доступ на управление клиентским компьютером или же сервером и позволяет при необходимости назначать права пользователей и разрешения на управление доступом. Эта запись, в любом случае, должна использоваться только для задач, выполнение которых требует учетных данных администратора и сам административный маркер доступа. Для этой учетной записи настоятельно рекомендуется использовать надежный пароль.
• Учетная запись «Гость» используется теми, кто не имеет реальной учетной записи на целевом компьютере. Если учетная запись пользователя отключена, но не удалена, он также может воспользоваться учетной записью«Гость» . Учетная запись«Гость» не требует пароля. По умолчанию она отключена, но ее всегда в случае необходимости можно включить. Учетной записи«Гость» , как и любой другой учетной записи, можно предоставлять права и разрешения на доступ к объектам. По умолчанию она входит в группу«Гости» , используемую по умолчанию, и позволяет пользователю войти локально на целевой компьютер. Дополнительные права, как любые разрешения, могут быть присвоены группе«Гости» членом группы«Администраторы» . По умолчанию данная учетная запись отключена, и зачастую рекомендуется оставить ее в этом положении.

С локальными группами же, в свою очередь, все намного разнообразнее и интереснее. Их ни много ни мало 29 штук. Локальные группы, используемые по умолчанию, создаются автоматически при установке клиентской операционной системы, а также любого изолированного или рядового сервера. Принадлежность к локальной группе предоставляет пользователю права и возможности для выполнения различных задач на локальном компьютере. Нет смысла описывать каждую группу, так как о назначении большей части групп вы прекрасно знаете, да и их описание вы с легкостью можете найти, затратив на это считанные секунды. А вот сейчас, я считаю, самое время переходить к очередному элементу предпочтения, то есть к расширению клиентской стороны «Локальные пользователи и группы» .

Как изменить интервал актуализации групповой политики?

Прежде чем новые параметры, заданные вами в локальной или доменной групповой политике (GPO), будут применены к клиентам Windows, служба клиента групповой политики должна прочитать политики и внести изменения в настройки Windows. Этот процесс называется Group Policy Update (актуализация групповой политики). Параметры GPO обновляются при загрузке компьютера, входе пользователя в систему и автоматически обновляются в фоновом режиме каждые 90 минут + случайное смещение времени 0–30 минут (это означает, что параметры политики обязательно будут применены к клиентам через 90–120 минут после обновления файлов GPO на контроллере домена).

По умолчанию контроллеры домена обновляют настройки GPO чаще: каждые 5 минут.

Вы можете изменить интервал обновления GPO, используя параметр Set Group Policy refresh interval for computers («Установить интервал обновления групповой политики для компьютеров»). В редакторе управления групповыми политиками эта настройка находится поо пути Computer Configuration → Administrative Templates → System → Group Policy (в русскоязычной версии «Конфигурация компьютера» → «Административные шаблоны» → «Система» → «Групповая политика»).

Включите политику и установите время (в минутах) для следующих параметров:

• Первое значение позволяет настроить частоту применения групповой политики к компьютерам (от 0 до 44640 минут), как часто клиент должен обновлять параметры GPO в фоновом режиме. Если вы установите здесь 0, то политики будут обновляться каждые 7 секунд (делать этого не стоит);
• Второе значение — это случайная величина, добавляемая к интервалу времени обновления, во избежание одновременных запросов групповой политики всеми клиентами (от 0 до 1440 минут). Это максимальное значение случайного временного интервала, добавляемого в качестве смещения к предыдущему параметру (используется для уменьшения количество одновременных обращений клиентов к DC для загрузки файлов GPO).

Обратите внимание, что частое обновление GPO приводит к увеличению трафика на контроллеры домена и приводит к увеличению нагрузки на сеть.

Использование команды GPUpdate.exe для принудительного обновления настроек GPO

Все администраторы знают команду gpupdate.exe, которая позволяет обновлять параметры групповой политики на компьютере:

gpupdate /force

Эта команда заставляет ваш компьютер читать все объекты групповой политики с контроллера домена и повторно применять все настройки. Это означает, что когда используется ключ /force, клиент подключается к контроллеру домена, чтобы получить файлы для ВСЕХ политик, нацеленных на него. Это может привести к увеличению нагрузки на вашу сеть и контроллер домена.

Команда gpudate без каких-либо параметров применяет только новые и изменённые настройки GPO.

В случае успеха появится следующее сообщение:

Updating policy...

Computer Policy update has completed successfully.
User Policy update has completed successfully.

В русифицированной версии:

Выполняется обновление политики...

Обновление политики для компьютера успешно завершено.
Обновление политики пользователя завершено успешно.

Если некоторые политики или параметры не были применены, используйте команду GPResult для диагностики проблемы и следуйте инструкциям в статье «Устранение неполадок: групповая политика (GPO) не применяется».

Вы можете обновить только настройки GPO пользователя:

gpupdate /target:user

или только параметры политики компьютера:

gpupdate /target:computer /force

Если некоторые политики не могут быть обновлены в фоновом режиме, gpupdate может завершить сеанс текущего пользователя:

gpupdate /target:user /logoff

Или перезагрузить компьютер (если изменения GPO можно применить только при загрузке Windows):

gpupdate /Boot

Настройка контроллера домена в качестве NTP сервера и настройка клиентов NTP

В папке Фильтры WMI создать фильтр, добавить запрос с пространством имен root\CIMv2 и запросом

Select * from Win32_ComputerSystem where DomainRole = 5

Создать правило для сервера NTP в папке Domain Controllers
Связать фильтр с правилом, выбрав правило и на вкладке Область внизу в разделе Фильтр WMI выбрать созданный фильтр
В правиле для сервера, по пути

Конфигурация пользователя
  Политики
    Административные шаблоны
      Система
        Служба времени Windows
          Поставщики времени

Включить правило

Настроить NTP-клиент Windows

Выбрать Type — NTP и в поле NtpServer указать

0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1

В правиле для клиентов, по пути

Конфигурация пользователя
  Политики
    Административные шаблоны
      Система
        Служба времени Windows
          Поставщики времени

Включить правило

Настроить NTP-клиент Windows

Выбрать Type — NT5DS и в поле NtpServer указать ip-адрес контроллера домена

Step 2: Set policies

In Group Policy, you can set policies to control Chrome Browser on managed computers. To determine the default settings for a particular policy, open it in Group Policy.

1. Open Group Policy and go to Administrative Templates  Chrome.Note: Not all policies are in the root Google Chrome folder. Be sure to look in the subfolders.
2. Find and open the policy you want to configure.
3. Choose an option:
   • Enable—Allows you to change the policy from the default setting.
   • Disable—Prevents the policy from affecting Chrome Browser.
   • Not Configured—Resets the policy to its default.

Here are a few policies to get you started.

Policy name (In Group Policy)	Description
Show Home button on toolbar	Shows the Home button on the toolbar
Configure the home page URL (Home page folder)	Sets the default homepage URL.
Enable reporting of usage and crash-related data	Determines if anonymous data is sent to Google
Configure extension installation blocklist (Extensions Folder)	Specifies which extension users cannot install. Extensions already installed will be disabled if blocklisted
Enable Safe Browsing	Enables the Google Safe Browsing feature and prevents users from changing any settings related to it.