Административные шаблоны (admx)

Ссылки на загрузку файлов административных шаблонов на основе версии операционной системы

• Административные шаблоны (.admx) за Windows 11 октября 2021 г. Обновление (21H2)
• Административные шаблоны (.admx) для обновления Windows 10 мая 2021 г. (21H1)
• Административные шаблоны (.admx) за Windows 10 октября 2020 г. Обновление (20H2) — v2.0
• Административные шаблоны (.admx) для обновления Windows 10 мая 2020 г. (2004 г.)
• Административные шаблоны (.admx) за Windows 10 ноября 2019 г. Обновление (1909 г.)
• Административные шаблоны (.admx) для обновление Windows 10 за май 2019 г. (1903 г.)
• Административные шаблоны (.admx) для обновление Windows 10 за октябрь 2018 г. (1809)
• Административные шаблоны (.admx) для Windows 10 версии 1803 (обновление за апрель 2018 г.)
• Административные шаблоны (.admx) для Windows 10 версии 1709 (Fall Creators Update)
• Административные шаблоны (.admx) для Windows 10 версии 1703 (Обновление создателей)
• Административные шаблоны (.admx) для Windows 10 версии 1607 и Windows Server 2016
• Административные шаблоны (.admx) для Windows 10 и Windows 10 версии 1511
• Административные шаблоны (.admx) для Windows 8.1 с обновлением и Windows Server 2012 обновления R2
• Административные шаблоны (.admx) для Windows 8.1 и Windows Server 2012 R2

Чтобы просмотреть таблицы ADMX новых параметров, доступных в более поздних версиях операционной системы, см. в Параметры Таблицы групповой политики за Windows 11 октября 2021 г. Обновление (21H2).

Как исправить отказ в доступе

Давайте перечислим способы, позволяющие избавиться от ошибки «Групповая политика препятствует входу в систему».

Отредактируйте системный реестр

Выполните следующее:

Нажмите Win+R, введите там regedit, нажмите Энтер. Перейдите по пути:

В панели справа поищите параметр «GPSvcGroup». Если его там нет, кликните правой клавишей мышки на пустом месте правого поля, кликните на «Создать» — «Мультистроковой параметр» и дайте ему имя (переименуйте) на GPSvcGroup.

• Если он там есть (или вы его создали), кликните ПКМ на данном параметре, выберите «Изменить», скопируйте значение GPSvc в поле «Значения» и нажмите на «Ок»;

  Введите указанное значение

• Вновь нажмите ПКМ на пустое место справа, выберите «Создать» – «Раздел», и дайте ему название GPSvcGroup.
• Кликните на новосозданной папке GPSvcGroup, затем кликните ПКМ на пустом месте справа, выберите создать «Параметр DWORD» и назовите его AuthenticationCapabilities.
• Нажмите ПКМ на AuthenticationCapabilities, выберите «Изменить», активируйте «Десятичная», введите 12320 и нажмите на «Ок».
• Создайте другой параметр DWORD с именем CoInitializeSecurityParam и установите ему значение 1.

  Создайте перечисленные параметры

• Перезагрузите ваш ПК и попытайтесь выполнить вход в оригинальный аккаунт.

Перезапустите службу групповых политик

• Нажмите на Win+R, введите там services.msc. Найдите в перечне служб «Клиент групповой политики», дважды кликаем на ней, устанавливаем тип запуска на «Автоматически», сохраняем изменения;
• Запускаем командную строку, там набираем:

И нажимаем ввод. После завершения процедуры перезагружаем ПК, это может помочь устранить ошибку «Клиент групповой политики препятствует входу в систему».

Введите данную команду

Проверьте систему на наличие зловредов

Во многих случаях причинами рассматриваемой проблемы являются вирусные зловреды, изменяющие системные настройки под свои нужны. Используйте ДокторВеб Кюрейт, Trojan Remover, AdwCleaner и другие онлайн аналоги для борьбы со зловредами — 7 лучших антивирусов.

Восстановите параметры безопасности

Для реализации данной операции нам понадобится загрузочная флешка с нашей версией ОС. Загрузитесь с её помощью, выбираем внизу «Восстановление», запускаем командную строку, и там вводим:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Перезагрузите ваш ПК, это поможет исправить проблему отказано в доступе.

Удалите файл NTUSER.DAT

Перейдите в директорию C:\Users, там найдите папку с названием вашего аккаунта, войдите в неё, и удалите там файл NTUSER.DAT, отвечающий за хранение настроек пользовательского профиля. Если ваш аккаунт повреждён, вы можете попробовать удалить данный файл, перезагрузить ваш ПК, и попытаться войти в систему.

Удалите указанную папку

Выполните системное восстановление

Переход к ранее стабильной точке работы вашего ПК (откат системы) является хорошей альтернативой для восстановления её работоспособности. При запуске системы быстро жмите на F8 и выберите «Загрузка последней удачной конфигурации». Это может помочь решить проблему отказано в доступе клиенту групповых политик.

Если же доступ к системе вовсе не возможен, попробуйте загрузиться с флешки с имеющейся на ней образом Виндовс 10, и после выбора языка кликнуть слева внизу на «Восстановление системы». В дополнительных параметрах необходимо будет вновь выбрать опцию «Восстановление системы», что позволит системе выполнить откат до прежней стабильной точки восстановления.

Появление рассматриваемого в статье сообщения обычно сигнализирует о наличии проблем со службой групповых политик «GPSVC», актуализированной в процессе SVCHOST. Выполните перечисленные выше советы, что позволит решить ошибку «Служба «Клиент групповой политики» препятствует входу в систему» на вашем ПК.

Что такое административный шаблон

Административные шаблон — это специализированный, текстовый файл, задачей которого выступает управление изменениями реестра на рабочих станциях Windows, для пользователя и компьютера. Данный файл посредством графической консоли «Управление групповой политикой (GPME)» позволяет в удобном виде менять данные настройки, которые потом по выбранному фильтру, будут применены к объекту пользователя, компьютера или обоим сразу. Данные административные шаблоны могут распространятся для разных программных продуктов отдельно и не быть в составе операционной системы Windows по умолчанию. Начиная с Windows Vista, Windows Server 2008 и выше административные шаблоны состоят из двух файлов XNL.

Сравнение расположения локальных ADM- и ADMX-файлов

Начиная с Windows Vista и дальше, параметры административных шаблонов GPO будут располагаться в виде файлов ADMX, локально на компьютере. ADMX файлы теперь будут лежать в другом каталоге, в отличие от старых ADM-файлов.

• ADM-файл лежит по пути %systemroot%inf
• Независимый от языка локализации ADMX-файл (.admx) лежит по пути %systemroot%policyDefinitions
• Ориентированный на конкретный язык ADMX-файл (.adml) лежит по пути %systemroot%policyDefinitions

GPO — Настройка автоматических обновлений на Windows

Хотите узнать, как использовать групповую политику для настройки автоматических обновлений на Windows? В этом учебнике мы покажем вам, как настроить автоматические обновления на Windows с помощью GPO.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 7

Список оборудования

В следующем разделе представлен список оборудования, используемого для создания этого учебника.

Как Amazon Associate, я зарабатываю от квалификационных покупок.

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Windows.

Учебник GPO — Отключить автоматические обновления на Windows

На контроллере домена откройте инструмент управления групповой политикой.

Создание новой групповой политики.

Введите имя для новой политики группы.

В нашем примере, новый GPO был назван: MY-GPO.

На экране управления групповой политикой расширьте папку под названием «Объекты групповой политики».

Нажмите правой кнопкой мыши на новый объект групповой политики и выберите опцию редактирования.

На экране редактора групповой политики расширьте папку конфигурации компьютера и найдите следующий элемент.

Copy to Clipboard
Computer Configuration > Administrative Templates > Windows Components > Windows Update

Доступ к опции под названием Обновление Windows.

Включите опцию под названием Configure автоматические обновления и выполните следующую конфигурацию.

• Настройка автоматического обновления — Автоматическая загрузка и запланировать установку.
• Запланированная установка день — каждый день.
• Запланированное время установки — 09:00.

Нажмите на кнопку OK.

Измените настройки загрузки и планирования в соответствии с вашими потребностями.

В нашем примере мы настроили Windows для автоматической загрузки обновлений.

В нашем примере мы настроили систему для автоматической установки обновлений каждый день в 9 утра.

Чтобы сохранить конфигурацию групповой политики, необходимо закрыть редактор групповой политики.

Поздравляю! Вы закончили создание GPO.

Учебник — Применение GPO для настройки автоматического обновления

На экране управления политикой Группы необходимо правильно нажать на желаемую Организационную группу и выбрать возможность связать существующий GPO.

В нашем примере мы собираемся связать групповую политику под названием MY-GPO с корнем домена.

После применения GPO вам нужно подождать 10 или 20 минут.

В течение этого времени GPO будет реплицироваться на другие контроллеры доменов.

На удаленном компьютере проявите настройки обновления Windows.

В нашем примере мы включили автоматические обновления Windows на всех доменных компьютерах с помощью GPO.

2021-02-13T13:53:37-03:00

Отключение установки конкретного обновления

В некоторых случаях может потребоваться отключить установку конкретного обновления, которое приводит к неправильной работе системы. Для этого можно использовать официальную утилиту Microsoft Show or Hide Updates (Показывать или скрывать обновления):

1. Загрузите утилиту со страницы официального сайта.
2. Запустите утилиту, нажмите кнопку Далее, а затем — Hide Updates (скрыть обновления). 
3. Выберите обновления, установку которых необходимо отключить. 
4. Нажмите Далее и дождитесь завершения выполнения задачи.

После этого выбранное обновление не будет устанавливаться. Если же вы решите установить его, снова запустите утилиту и выберите пункт Show hidden updates (показать скрытые обновления), после чего уберите обновление из числа скрытых.

Установка

Разберем установку, а также безболезненный переход к новым версиям LibreOffice средствами Active Directory и групповых политик.

Подготовка дистрибутива

Сначала нужно подготовить дистрибутив для установки из сетевого ресурса.

Для этого необходимо распаковать архив LibreOffice и запустить инсталляционный файл типа setup.exe с атрибутом /a (например, из cmd или TotalCommander) — запустится административная установка

Рисунок 1 — Мастер установки серверного образа.

Далее укажите сетевой ресурс в котором в дальнейшем будут располагаться все дистрибутивы устанавливаемых программ средствами AD, с предварительно открытым общим доступом, как указано в следующем пункте, для размещения серверного образа — оттуда впоследствии и будет производиться установка приложения.
Данный пункт необходимо выполнить для самого дистрибутива LibreOffice и для Help Pack к нему.

Установка разрешений доступ и настройка безопасности

Теперь необходимо, если это еще не сделано, открыть общий доступ к папке с серверным образом дистрибутивов и установить необходимые параметры безопасности для того, чтобы локальная машина имела доступ к файлам установки (достаточно галок чтение, список содержимого папки, чтение и выполнение для пользователя «прошедшие проверку»).

Рисунок 2 — Настройки безопасности папки с дистрибутивом.

А также на вкладке дополнительно поставить галку «заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимым к дочерним объектам», чтобы данные настройки безопасности распространились на все подпапки и файлы в них.

Рисунок 3 — Дополнительные параметры безопасности папки с дистрибутивом.

Создание административной единицы в Active Directory

Переходим непосредственно к установкам в AD и GPO.
Создаем в «Active Directory — пользователи и компьютеры» отдельную организационную единицу (OU) и помещаем в нее компьютеры, на которые и будет устанавливаться программное обеспечение (вполне возможно, что такая OU уже существует).

Рисунок 4 — Создание OU в AD.

Создание групповой политики

Установка приложений возможна через назначения компьютера (в таком случае установка будет происходить сразу после загрузки, до входа в систему) или пользователя (возможна установка при первом запуске программы). Мы рассмотрим первый вариант.
Запускаем Group Policy Management и переходим к нашей OU, создаем и подключаем к ней политику (можно сделать через AD — Свойства OU — вкладка Group Policy).

Рисунок 5 — Создание групповой политики в GPM.

Создание установочного пакета

После создания Групповой политики редактируем ее — правой клавишей — edit, откроется «Редактор объектов групповой политики». В нем раскрываем Конфигурация компьютера — конфигурация пользователя — установка программ, правой клавишей создать — пакет.
Выбираем путь до установочного файла LibreOffice с расширением *.msi

Рисунок 6 — Создание установочного пакета в GPO.

Через групповые политики установка осуществляется только через файлы msi, так что если вам необходимо установить другую программу, которая по умолчанию не содержит msi, то нужно переконвертировать файл exe (или др.) в msi с помощью любого конвертера.

Продолжаем: тип развертывания выбираем назначенный (чтобы установка начиналась сразу после загрузки до входа в систему), также обратите внимание на вкладку безопасность в свойствах созданного пакета, тут опять же должны быть необходимые разрешения на чтение для применения групповой политики, например, также на пользователя «Прошедшие проверку» галка «чтение».

Таким же образом создаем пакет для установки Help Pack.

Рисунок 7 — Создание пакета установки LibreOffice и Help Pack.

После этого на локальной машине в нашей OU должны примениться групповые политики (можно ускорить, запустив в cmd команду gpupdate /force) и после следующей перезагрузки должна произвестись установка LibreOffice и Help Pack. Если приложение не установилось — смотрим логи компьютера, вкладка приложения. Распространенные проблемы — нет доступа к сетевому ресурсу с установочным файлом и не применение групповой политики.

Однако, для нормальной работы LibreOffice необходима Java. Ее также можно установить через GPO. Лучше на каждое приложение создавать отдельную политику для независимости и удобства обновления приложений.

Итак, полдела сделано — приложение автоматически установлено на необходимых машинах, но вот выходит следующая версия LibreOffice и тут также не обойтись без GPO.

Installing a New Administrative Template in an Active Directory Domain

In the same way, new administrative templates are installed. For example, you are going to use GPO to manage Edge Chromium settings on user computers. There are no administrative templates for Edge Chromium both in Windows 10 2004 and in 20H2. You will have to download Edge Chromium policy files manually and copy the admx files to the PolicyDefinitions directory on your domain controller.

1. Go to the Microsoft Edge for business (https://www.microsoft.com/en-us/edge/business/download);
2. Select Edge version, build, and platform you want to use. Click Get Policy Files;
3. Extract the file;
4. Go to . Copy msedge.admx, msedgeupdate.admx and directories containing language packages (for example, and ) to the Central Group Policy store on a domain controller (\\woshub.com\SYSVOL\woshub.com\Policies\PolicyDefinitions);
5. Make sure that new policy sections to configure Microsoft Edge settings have appeared in the domain GPO editor.

Earlier we showed how to install the administrative templates for Microsoft Office apps (Word, Excel. Outlook, etc.).

If your company is using multiple software versions you want to manage using GPO, download and install all ADMX files for all versions starting with the earliest one on your DC (admx templates for the latest software version must be installed last).

Как установить gpedit.msc в Windows 7

Если вы пользуетесь домашней версией Windows 7 или Windows 8, то для установки «gpedit.msc» вам придётся воспользоваться сторонним ПО.

1. Распакуйте архив и запустите установочный файл «setup.exe».
2. Если потребуется установите NET Framework 3.5 и завершите установку «setup.exe».
3. Для 64-битной версии Windows также необходимо вручную скопировать папки GroupPolicy, GroupPolicyUsers и файл «gpedit.msc» из папки Windows\SysWOW64 в Windows\System32.
4. Если что-то пошло не так попробуйте еще раз запустить «setup.exe» и повторить установку и копирование файлов.

Если все было сделано правильно, то в вашей операционной системе должен появиться редактор локальных групповых политик, и ошибка «Не удается найти gpedit.msc» пропадет. Для проверки попробуйте его запустить с помощью команды «gpedit.msc».

Если после проделанных операций вы получаете ошибку «MMC не может создать оснастку» или «MMC could not create the snap-in», то эту проблему можно решить следующим образом:

1. Повторите установку скачанной программы и на последнем шаге не нажимайте на кнопку «Finish».
2. Откройте папку «C:\Windows\Temp\gpedit\».
3. Если у вас 32-битная версия Windows кликните правой кнопкой мышки по файлу «x86.bat» и выберите пункт «Изменить». Для 64-разрядной версии изменять нужно файл «x64.bat».
4. В открытом файле нужно заменить все строки %username%:f на «%username%»:f и сохранить файл.
5. Запустить отредактированный bat-файл с правами администратора и завершить устанвоку программы нажатием на кнопку «Finish».

Настройка перехода на новую версию

Создаем в той же групповой политике с ранней версией LibreOffice более новую версию, предварительно произведя административную установку в отдельную папку сетевого ресурса.

Рисунок 8 — Создание пакетов с новой версией.

Теперь открываем свойства новой версии LibreOffice и переходи на вкладку обновления, нажимаем «добавить» для выбора приложения, обновляемого данным пакетом.

Выбираем более старую версию LibreOffice в открывшемся окне (если новая версия в той же групповой политике, то из текущего GPO, если в другой, то выбираем через кнопку «Обзор»). Ниже можно выбрать удалять предыдущую версию или устанавливать приложение поверх старой версии. Рекомендуется удалять предыдущую версию, дабы не тянуть проблемы из старых версий в новые.

Рисунок 9 — Настройки обновления пакетов.

После этого в GPO старые пакеты отображаются с замком, а новые с зеленой стрелкой.

Рисунок 10 — Обновляемые и обновляющие пакеты LibreOffice и Help Pack.

Проделываем то же самое для Help Pack. И теперь после применения групповых политик и последующей перезагрузке рабочих станций взамен старой версии устанавливается новая версия LibreOffice.

Если вы хотите удалить приложение со всех машин, то необходимо правой кнопкой мыши на пакете выбрать пункт все задачи — удалить, там выбрать пункт немедленное удаление приложения с компьютеров всех пользователей.
Если вы удалите саму политику, то приложения удаляться не будут, так как без политики машина не знает о том, что приложение нужно удалить.

Для чего необходимы групповые политики

Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.

Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.

Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.

Отключение Центра обновления Windows 10 (обновлено, так чтобы он не включался автоматически)

Как вы могли заметить, обычно центр обновления включается снова, параметры реестра и задания планировщика система также приводит в нужное ей состояние, таким образом, что обновления продолжают скачиваться. Однако, есть способы решить эту проблему, причем это тот редкий случай, когда я рекомендую использовать стороннее средство.

UpdateDisabler — очень эффективный метод полностью отключить обновления

UpdateDisabler — простая утилита, которая позволяет очень просто и полностью отключить обновления Windows 10 и, возможно, на текущий момент времени — это одно из самых действенных решений.

При установке, UpdateDisabler создает и запускает службу, которая не дает Windows 10 снова начать загружать обновления, т.е. желаемый результат достигается не путем изменения параметров реестра или отключения службы «Центр обновления Windows 10», которые затем вновь изменяются самой системой, а постоянно следит за наличием заданий обновления и состоянием центра обновлений и, при необходимости, сразу отключает их.

Процесс отключения обновлений с помощью UpdateDisabler:

1. Скачайте архив с сайта https://winaero.com/download.php?view.1932 и распакуйте на компьютер. Не рекомендую в качестве места хранения рабочий стол или папки документов, далее нам потребуется вводить путь к файлу программы.
2. Запустите командную строку от имени администратора (для этого можно начать набирать «Командная строка» в поиске на панели задач, затем нажать правой кнопкой мыши по найденному результату и выбрать пункт «Запуск от имени администратора») и введите команду, состоящую из пути к файлу UpdaterDisabler.exe и параметра -install, как на примере ниже:

   C:WindowsUpdaterDisablerUpdaterDisabler.exe -install

3. Служба отключения обновлений Windows 10 будет установлена и запущена, обновления скачиваться не будут (в том числе и вручную через параметры), также не будет выполняться и их поиск. Не удаляйте файл программы, оставьте его в том же расположении, откуда производилась установка.
4. При необходимости снова включить обновления, используйте тот же метод, но в качестве параметра укажите -remove.

На данный момент времени утилита работает исправно, а операционная система не включает автоматические обновления снова.

Изменение параметров запуска службы Центр обновления Windows

Этот способ подходит не только для Windows 10 Профессиональная и Корпоративная, но и для домашней версии (если у вас Pro, рекомендую вариант с помощью редактора локальной групповой политики, который описан далее). Заключается он в отключении службы центра обновления. Однако, начиная с версии 1709 этот способ перестал работать в описываемом виде (служба включается со временем сама).

После отключения указанной службы, ОС не сможет автоматически загружать обновления и устанавливать их до тех пор, пока вы снова не включите ее. С недавних пор Центр обновления Windows 10 стал сам включаться, но это можно обойти и отключить его навсегда. Для отключения проделайте следующие шаги.

1. Нажмите клавиши Win+R (Win — клавиша с эмблемой ОС), введите services.msc в окно «Выполнить» и нажмите Enter. Откроется окно «Службы». 
2. Найдите в списке службу «Центр обновления Windows» (Windows Update), дважды кликните по ней.
3. Нажмите «Остановить». Также установите в поле «Тип запуска» значение «Отключена», примените настройки. 
4. Если так и оставить, то через некоторое время Центр обновления снова включится. Чтобы этого не произошло, в этом же окне, после применения параметров, перейдите на вкладку «Вход в систему», выберите пункт «С учетной записью» и нажмите «Обзор». 
5. В следующем окне нажмите «Дополнительно», затем — «Поиск» и в списке выберите пользователя без прав администратора, например, встроенного пользователя Гость. 
6. В окне уберите пароль и подтверждение пароля для пользователя (у него нет пароля) и примените настройки. 

Теперь автоматическое обновление системы происходить не будет: при необходимости, вы можете аналогичным образом вновь запустить службу Центра обновления и сменить пользователя, от которого производится запуск на «С системной учетной записью». Если что-то осталось не понятным, ниже — видео с этим способом.

Также на сайте доступна инструкция с дополнительными способами (хотя приведенного выше должно быть достаточно): Как отключить Центр обновления Windows 10.

Установка нового административного шаблона в домене Active Directory

Аналогичным образом устанавливаются новые административные шаблоны. Например, вы планируете использовать групповые политики для управления параметрами браузера Edge Chromium на компьютерах пользователей. Административные шаблоны для Edge Chromium отсутствуют как в Windows 10 2004, так и в 20H2. Вам придется вручную скачать файлы политик Edge Chromium и скопировать admx файлы в каталог PolicyDefinitions на контролере домена.

1. Перейдите нас страницу Microsoft Edge for business (https://www.microsoft.com/en-us/edge/business/download);
2. Выберите версию, билд и платформу Edge, которую вы хотите использовать. Нажмите кнопку Get Policy Files;
3. Распакуйте файл MicrosoftEdgePolicyTemplates.cab ;
4. Перейдите в каталог MicrosoftEdgePolicyTemplateswindowsadmx . Cкопируйте файлы msedge.admx,msedgeupdate.admx и каталоги с языковыми пакетами (например, ru-RU и en-US) в центральное хранилище политик на контроллере домена (\winitpro.ruSYSVOLwinitpro.ruPoliciesPolicyDefinitions);
5. Убедитесь, что новые разделы политик для настройки параметров Microsoft Edge появились в доменном редакторе GPO.

Если у вас в компании используется несколько версий ПО, которыми вы хотите управлять через GPO, последовательно загрузите и установите на DC все admx для всех версий, начиная с самой старой (admx шаблоны для актуальной версии софта нужно устанавливать в последнюю очередь).

Предварительные требования

• Подписка Microsoft 365 E3 или E5, которая включает Intune и Azure Active Directory (AD) premium. Если у вас нет подписки E3 или E5, попробуйте ее бесплатно.

  Дополнительные сведения о том, что вы получаете с различными лицензиями Microsoft 365, см. в статье Преобразование предприятия с помощью Microsoft 365.

• Microsoft Intune настроен как центр MDM Intune. Дополнительные сведения см. в статье Определение полномочий управления мобильными устройствами.

• На контроллере домена локальная служба Active Directory:

  1. Скопируйте следующие шаблоны Office и Microsoft Edge в Центральный магазин (папка sysvol):

     • Административные шаблоны Office
     • Файл политики административных шаблонов > Microsoft Edge

  2. Создайте групповую политику, чтобы отправить эти шаблоны на компьютер администратора Windows 10/11 Enterprise в том же домене, что и контроллер домена. В этом пошаговом руководстве выполните следующее:

     • Групповая политика, созданная с помощью этих шаблонов, называется OfficeandEdge. Это имя отображается на изображениях.
     • Компьютер администратора Windows 10/11 Enterprise, который мы используем, называется компьютером Администратор.

     В некоторых организациях администратор домена имеет две учетные записи:

     • Типичная доменная рабочая учетная запись
     • Другая учетная запись администратора домена, используемая только для задач администратора домена, таких как групповая политика

     Этот Администратор компьютер предназначен для входа администраторов с помощью учетной записи администратора домена и доступа к средствам, предназначенным для управления групповой политикой.

• На этом компьютере Администратор:

  • Войдите с учетной записью администратора домена.

  • Установите средства управления RSAT: групповая политика:

    1. Откройте приложение >ПараметрыПриложения>Необязательные функции>Добавить функцию.

    2. Выберите RSAT: групповая политика Средства> управленияУстановить.

       Подождите, пока Windows установит компонент. После завершения он в конечном итоге отобразится в приложении «Администрирование Windows».

  • Убедитесь, что у вас есть доступ к Интернету и права администратора для подписки Microsoft 365, которая включает центр администрирования Intune.

Компоненты GPO

Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.

Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей”  называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.

Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.

Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

• Централизованная настройка пакета программ Microsoft Office.
• Централизованная настройка управлением питанием компьютеров.
• Настройка веб-браузеров и принтеров.
• Установка и обновление ПО.
• Применение определенных правил в зависимости от местоположения пользователя.
• Централизованные настройки безопасности.
• Перенаправление каталогов в пределах домена.
• Настройка прав доступа к приложениям и системным программам.

Создание шаблона OneDrive

В этом разделе создается шаблон администратора OneDrive Intune для управления некоторыми настройками. Эти конкретные параметры выбраны, так как они обычно используются организациями.

1. Создайте другой профиль (профили > конфигурации устройств > Создайте профиль).

2. Введите следующие свойства:

   • Платформа: Выберите Windows 10 и более поздней .
   • Профиль. Выберите административные шаблоны.

3. Нажмите Создать.

4. В Basics введите следующие свойства:

   • Имя. Введите шаблон администрирования — OneDrive политики, применимые к всем Windows 10 пользователям.
   • Описание. Введите описание профиля. Этот параметр необязателен, но рекомендуется.

5. Нажмите кнопку Далее.

6. В параметрах Конфигурация настройте следующие параметры. Чтобы сохранить изменения, выберите ОК.

   • Конфигурация компьютера:

     • Автоматически выполнять вход пользователей в клиент синхронизации OneDrive с помощью учетных данных Windows
       • Тип: Устройство
       • Значение: Включено
     • Использовать функцию «Файлы из OneDrive по запросу»
       • Тип: Устройство
       • Значение: Включено

   • Конфигурация пользователя:

     • Запретить пользователям синхронизировать личные учетные записи OneDrive
       • Тип: Пользователь
       • Значение: Включено

Ваши параметры похожи на следующие параметры:

Дополнительные сведения о параметрах OneDrive см. в см. в рублях Использование групповой политики для управления приложение синхронизации OneDrive параметров клиента.

Назначение шаблона

1. В шаблоне выберите Далее, пока не получите назначение. Выберите выберите группы, чтобы включить:

2. Показан список существующих пользователей и групп. Выберите группу Windows устройств, созданную ранее > Выберите.

   Если вы используете этот учебник в производственной среде, подумайте о добавлении пустых групп. Цель состоит в том, чтобы на практике назначить шаблон.

3. Нажмите кнопку Далее. В обзоре + создание выберите Создать для сохранения изменений.

На этом этапе вы создали несколько административных шаблонов и написав их созданным группам. Следующий шаг — создание административного шаблона с Windows PowerShell и API microsoft Graph для Intune.

Шаг 2. Запустите средство проверки системных файлов (System File Checker), чтобы восстановить поврежденный или отсутствующий файл AppHVSI.admx.

Средство проверки системных файлов (System File Checker) — это утилита, входящая в состав каждой версии Windows, которая позволяет искать и восстанавливать поврежденные системные файлы. Воспользуйтесь средством SFC для исправления отсутствующих или поврежденных файлов AppHVSI.admx (Windows XP, Vista, 7, 8 и 10):

1. Нажмите кнопку «Пуск» в Windows
2. В поле поиска введите cmd, но НЕ НАЖИМАЙТЕ ENTER.
3. Нажмите и удерживайте CTRL-Shift на клавиатуре, одновременно нажимая ENTER.
4. Появится диалоговое окно запроса разрешения.
5. В поле нажмите «ДА».
6. Должен отображаться черный экран с мигающим курсором.
7. На этом черном экране введите sfc /scannow и нажмите ENTER.
8. Средство проверки системных файлов (System File Checker) начнет поиск неполадок, связанных с AppHVSI.admx, а также других неполадок с системными файлами.
9. Для завершения процесса следуйте инструкциям на экране.

Следует понимать, что это сканирование может занять некоторое время, поэтому необходимо терпеливо отнестись к процессу его выполнения.

Если на этапе 2 также не удается устранить ошибку AppHVSI.admx, перейдите к шагу 3 ниже.