Какой шрифт в windows powershell

Делегация полномочий на присоединение компьютеров в домен AD

По умолчанию любой пользователь домена может присоединить в домен 10 компьютеров. При добавлении в домен 11-го компьютера появляется сообщение об ошибке.

Вы можете изменить это ограничение на уровне всего домена, увеличив значение в атрибуте ms-DS-MachineAccountQuota (ссылка). Либо (гораздо правильнее и безопаснее), делегировав право на присоединение компьютеров к домену в определенной OU конкретной группе пользователей (helpdesk). Для этого нужно предоставить право создавать объекты типа (Computer objects). В мастере делегирования выберите Create selected objects in this folder.

А в секции Permissions выберите Create All Child Objects.

Получите установочный MSI пакет программы

Рассмотрим, как установить MSI пакет программы на компьютеры пользователей с помощью групповых политик Windows на примере клиента Microsoft Teams.

Обратите внимание, что есть x86 и x64 версии MS Teams. Если у вас остались компьютеры x86 версиями Windows, вам нужно создать отдельные политики для x86 и x64 компьютеров

Для фильтрации версий Windows в политиках можно использовать WMI фильтры GPO.

Далеко не все программы предоставляются в виде MSI файла. Чаще всего разработчики отдают их в виде исполняемых EXE файлов, которые не подходят для распространения через GPO. Но есть два способа, которые в некоторых случаях получить установочный MSI программы:

• Некоторые установщики при запуске распаковывают свои файлы в каталог %temp%. Поэтому при установке программы (просто сверните окно установки) попробуйте открыть этот каталог и найти в нем установочный MSI файл.
• Другой способ получения MSI файла – попробовать открыть установочный EXE файл с помощью архиватора 7-Zip. Запустите 7-Zip и в меню выберите File -> 7ZIP –> Open Archive. 7ZIP попробует открыть EXE файл в как архив. В нашем случае из EXE файла с дистрибутивом Acrobat Reader получилось извлечь MSI и MST файлы, которые готовы для установки через групповые политики Windows.

Как использоваться инструментом Group Policy Results (GPResult.exe)?

Команду GPResult необходимо запустить на компьютере, на котором вы хотите проверить применение групповых политик. Команда GPResult имеет следующий синтаксис:

GPRESULT [/S  [/U  ]] 
           
           [/R | /V | /Z] [(/X | /H)  ]

Чтобы получить подробную информацию о групповых политиках, применённых к пользователю или компьютеру, а также о других параметрах, относящихся к инфраструктуре GPO (итоговые параметры политики GPO — RsoP), выполните следующую команду:

Gpresult / r

Результаты этой команды разделены на два раздела:

• Конфигурация компьютера — раздел содержит информацию об объектах GP, применённых к компьютеру (как объект Active Directory);
• Конфигурация пользователя — это раздел политики пользователя (политики, применённые к учётной записи пользователя AD).

Давайте кратко рассмотрим основные настройки/разделы в выходных данных GPResult, которые могут нас заинтересовать:

• Имя сайта — это имя сайта AD, на котором расположен компьютер;
• CN — полное каноническое имя пользователя/компьютера, для которого были сгенерированы данные RSoP;
• Последнее применение групповой политики — время последнего применения групповых политик;
• Групповая политика была применена с — это имя контроллера домена, с которого была загружена последняя версия GPO;
• Имя домена и Тип домена — это имя и номер версии схемы домена Active Directory;
• Примененные объекты групповой политики — это списки применённых объектов групповой политики;
• Следующие политики GPO не были применены, так как они отфильтрованы — это объекты групповой политики, которые не применялись или были отфильтрованы;
• Пользователь является членом следующих групп безопасности — это группы домена, членом которых является пользователь.

В этом примере вы можете видеть, что к объекту пользователя применены 4 групповые политики.

• Disable Cached Credentials (Отключить кешированные учётные данные);
• DNS Suffix Search List (Список поиска DNS-суффиксов);
• Enable Windows Firewall (Включить брандмауэр Windows);
• Default Domain Policy (Политика домена по умолчанию).

Если вы не хотите одновременно отображать информацию о политиках пользователя и компьютера, вы можете использовать параметр /scope, чтобы отображать только нужный раздел. Только результирующая политика пользователя:

gpresult /r /scope:user

или только применяемые компьютерные политики:

gpresult /r /scope:computer

Поскольку инструмент Gpresult отображает свои данные непосредственно в командной строке, что не всегда удобно для дальнейшего анализа, вывод можно перенаправить в буфер обмена:

Gpresult /r | clip

или текстовый файл:

Gpresult /r > c:\ps\gpresult.txt

Чтобы отобразить сверхдетальную информацию RSOP, вам нужно добавить ключ /z:

Gpresult /r /z

Получение компьютеров

Команда, которая вернет список всех компьютеров в домене следующая:

Команда точно выполнится на домен контроллере, так как все поддерживаемые серверные версии ОС устанавливают нужный модуль Powershell вместе с Active Directory (если вы только специально не отключали эту возможность). Если вы планируете выполнять команду с клиента на Windows 7 и выше, то такой модуль устанавливается вместе с RSAT (Remote Server Administration Tools). В отдельном случае может понадобится импортировать этот модуль следующей командой:

Вы так же можете проверить, что этот модуль у вас установлен следующей командой:

В остальных случаях стоит смотреть на явные запреты на выполнение скриптов Powershell и чтения Active Directory.

Что бы вернуть данные по одному пользователю используется ключ Identity:

Параметр Filter является обязательным. Вы можете вернуть дополнительные данные используя Properties:

Вам так же будет интересно:

Изменить Windows Internet Time Update Интервал

Но что, если вы хотите автоматически синхронизировать свое время с серверами чаще, как, скажем, ежедневно? У вас могут быть причины, по которым вы захотите изменить это на ежедневное или даже ежемесячное! Давайте посмотрим, как вы можете это сделать. Прежде чем мы продолжим, давайте узнаем несколько вещей о том, как работает синхронизация времени в Windows.

Служба времени Windows — W32Time.exe

Многие записи реестра для службы времени Windows совпадают с параметрами групповой политики с тем же именем. Параметры групповой политики соответствуют записям реестра с тем же именем, расположенным в:

Средство обслуживания времени Windows — W32tm.exe

W32tm.exe или средство обслуживания времени Windows можно использовать для настройки параметров службы времени Windows. Он также может быть использован для диагностики проблем со службой времени. W32tm.exe является предпочтительным средством командной строки для настройки, мониторинга или устранения неполадок службы времени Windows. TechNet проливает больше света на это.

Чтобы использовать этот инструмент, вам нужно открыть командную строку с повышенными правами , ввести W32tm /? и нажать Enter, чтобы получить список всех его параметров. При запуске w32tm/resync компьютер сразу же синхронизирует часы. Когда я выполнил эту команду, я получил следующую ошибку: Служба не была запущена . Так что Служба времени Windows должна быть запущена, чтобы это работало.

Использование планировщика задач

Теперь, если бы вам нужно было создать задачу с помощью планировщика задач, чтобы запускать службу времени Windows и эту команду синхронизации ежедневно, как локальную службу с наивысшими привилегиями, вы могли бы заставить свой компьютер Windows синхронизировать системное время каждый раз. день.

Вам нужно будет открыть Планировщик заданий и перейти к «Библиотека планировщика заданий»> «Microsoft»> «Windows»> «Синхронизация времени». Теперь вам нужно нажать на ссылку Создать задачу … , чтобы создать задачу. Этот пост подробно расскажет вам, как планировать задачу с помощью планировщика задач в Windows 10/8/7.

В разделе Действия вам нужно будет выбрать Запустить программу % windir% \ system32 \ sc.exe с аргументами start w32time task_started . Это обеспечит работу службы времени Windows. Затем вы можете установить второе действие Запустить программу % windir% \ system32 \ w32tm.exe с аргументом /resync . Другие настройки вы можете выбрать в соответствии с вашими личными предпочтениями.

Использование редактора реестра

Вы также можете увидеть, работает ли это для вас. Откройте редактор реестра Windows и перейдите к следующему разделу реестра:

Выберите SpecialPollInterval.

Значение по умолчанию для автономных клиентов и серверов составляет 604 800 . 604800 секунд — это 7 дней. Таким образом, вы можете изменить это десятичное значение на 86400, чтобы синхронизировать его каждые 24 часа.

…. или еще раз … есть простой выход!

Этот бесплатный инструмент от DougKnox.com позволяет изменить интервал обновления времени в Интернете с еженедельного на ежедневный или почасовой. Вам придется запустить инструмент от имени администратора.

Этот портативный инструмент работает в Windows XP, Windows Vista, Windows 7 и Windows 8. Не проверено, работает ли он в Windows 10 ..

Читать . Проверьте точность системных часов.

Этот пост поможет вам в случае сбоя синхронизации времени с ошибкой — Служба времени Windows не работает .

Install Windows Fonts Using PowerShell Logon Script

It is worth to use the font installation method using GPO described above if you want to install some fonts only. If you want to install a lot of new font files at once, it is better to use a PowerShell script, since it may be tiresome to create special policy options for each font.

The following PowerShell script will install all *.ttf and *.otf font files located in the specified shared folder. Also, the script writes all actions to the log file using the WriteLog function.

Save the PowerShell script as a PS1 file and run it as a logon script using GPO.

Thus, all font files from the specified folder will be installed in Windows, and the installation date and time will be logged.

If you need to remove all additional fonts in Windows and restore the default ones, follow this guide.

Create

First let’s scaffold out our new application project we are going to make — in the example code below we are just going to put everything in the root of our system drive.

Now, let’s grab the fonts that the marketing department has asked us to install and place them inside the Fonts folder.

Open up install.ps1 (the file created in the example code above) in your favourite editor (that’s VS-Code, right?) and we will begin the fun stuff.

We will begin by inserting a very simple function into our install script that will do all of the heavy lifting of this installation.

As you can see, not much is required — the function is just checking if the font file is a *.TTF or *.OTF file, copying the file to the font folder and setting a registry entry in HKLM to expose the new font on the system to all users of the device.

Now that we have our function added, all we need to do is step through our fonts folder and send each font through the function to be installed on the system.

We should probably also add some error handling to the solution — this will be provided in the final solution in GitHub.

Групповая политика фона рабочего стола не применяется

Чтобы исправить ошибку, не применяющую групповую политику фона рабочего стола в Windows 10, выполните следующие действия:

1. Проверьте настройки редактора реестра
2. Проверьте путь к обоям и имя
3. Переименовать TranscodedWallpaper
4. Удалить содержимое slideshow.ini
5. Установите флажок Запретить изменение настроек фона рабочего стола.

Давайте подробно рассмотрим эти шаги.

1]Проверьте настройки редактора реестра

Поскольку можно изменить фон рабочего стола с помощью редактора реестра, важно проверить настройки редактора реестра. Если вы установили что-то в файлах реестра и вводите что-то еще в редакторе локальной групповой политики, это может не работать из-за некоторых внутренних конфликтов

Для начала откройте редактор реестра на своем компьютере и перейдите по этому пути:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPolicies

Если вы найдете подключа с именем Система, откройте его и проверьте, есть ли два строковых значения с именем Обои на стену и ОбоиСтиль. Если да, щелкните правой кнопкой мыши на Система и выберите Удалить вариант.

После этого подтвердите удаление. Затем выполните те же действия, чтобы установить обои с помощью групповой политики.

2]Проверьте путь и имя обоев

Когда вы используете Обои для рабочего стола в редакторе локальной групповой политики, обязательно введите путь, определяющий обои. В дальнейшем его уже нельзя будет изменить. Если вы перемещаете файл обоев из одного места в другое, обязательно изменить соответствующий путь настройки групповой политики. Точно так же, если вы измените имя файла обоев, вам придется сделать то же самое. В противном случае вы увидите черный или пустой фон рабочего стола при следующем повторном входе в свою учетную запись.

Чтобы убедиться в этом, откройте путь, по которому вы сохранили файл. Затем откройте редактор локальной групповой политики и перейдите по этому пути:

User Configuration > Administrative Templates > Desktop > Desktop

Дважды щелкните на Обои для рабочего стола настройку и введите новый путь, прежде чем щелкнуть Ok кнопка.

3]Переименовать TranscodedWallpaper

Проще говоря, вы сбросили кэш обоев на своем компьютере с Windows 10. За это отвечают два файла, и один из них — TranscodedWallpaper. Поэтому нажмите Win + R чтобы открыть командную строку «Выполнить», введите следующий путь:

%USERPROFILE%AppDataRoamingMicrosoftWindowsThemes

Здесь вы можете увидеть файл с именем TranscodedWallpaper. Щелкните его правой кнопкой мыши и выберите Переименовать вариант.

Затем введите имя, например TranscodedWallpaperOld или другое.

4]Удалить содержимое slideshow.ini

Второй файл, отвечающий за кеширование обоев, — это slideshow.ini. Вы увидите этот файл в том же месте, что и TranscodedWallpaper. Поэтому откройте проводник и перейдите по этому пути —

C:UsersusernameAppDataRoamingMicrosoftWindowsThemes

Перед этим не забудьте показать скрытые файлы и папки. После открытия Темы в папке вы увидите файл с именем slideshow.ini. Щелкните его правой кнопкой мыши и выберите Редактировать кнопка. Если вы видите что-либо в файле, выберите их все и удалите, прежде чем нажимать Ctrl + S сохранить.

5]Установите флажок «Запретить изменение фона рабочего стола».

Допустим, вы никак не можете поменять обои в Windows 10. В этом случае необходимо проверить Запретить изменение фона рабочего стола параметр в групповой политике и аналогичное значение в редакторе реестра.

Для начала откройте редактор локальной групповой политики и перейдите по этому пути:

User Configuration > Administrative Templates > Control Panel > Personalization

Дважды щелкните значок Запретить изменение фона рабочего стола установка с правой стороны. Если он установлен на Включено, выбрать Не настроено вариант и щелкните Ok кнопка.

Точно так же вы должны проверить, есть ли соответствующее значение в реестре. Если да, это может вызвать ту же проблему. Для этого нажмите Win + R, введите , и нажмите Войти кнопка. Затем нажмите кнопку да в приглашении UAC, чтобы открыть редактор реестра на вашем компьютере. После этого перейдите по этому пути —

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicies

в Политики key, вы увидите подключа с именем ActiveDesktop. Если вы его видите, вы также найдете два DWORD (32-битных) значения, которые называются NoAddingComponents и NoComponents.

Дважды щелкните по каждому из них, установите Данные значения в качестве , и щелкните Ok кнопка.

Кроме того, вы можете щелкнуть правой кнопкой мыши ActiveDesktop, выбрать Удалить кнопку и подтвердите изменение.

Вот и все! Надеюсь, эти предложения сработают для вас.

Теги: Рабочий стол, групповая политика

Как изменить настройки часового пояса в Windows 10

Настройки часового пояса в Windows 10

Ваш компьютер показывает неверную информацию о часовом поясе? Вот шаги для настройки этих параметров в Windows 10.

Хотя Windows 10 хорошо выполняет поиск и настройку параметров часового пояса во время установки в соответствии с вашим местоположением, может быть много причин, по которым ваше устройство не будет отображать правильное местное время. Это может быть связано с тем, что настройки были обнаружены неправильно, вы путешествуете в новый регион, в котором используется другой часовой пояс, или вы приобрели устройство в другой стране, предварительно настроенное с другими настройками.

Независимо от причины, это может препятствовать тому, чтобы ваш компьютер показывал правильное местное время, Windows 10 включает в себя различные опции для изменения часового пояса на вашем компьютере, в том числе с помощью приложения «Настройки», командной строки и PowerShell.

В этом руководстве по Windows 10 мы расскажем о нескольких способах установки правильного часового пояса на вашем устройстве.

Как настроить часовой пояс автоматически с помощью настроек в Windows 10

Чтобы Windows 10 могла автоматически определять и устанавливать правильный часовой пояс, выполните следующие действия:

• Открыть настройки.
• Нажмите на время и язык.
• Нажмите на дату и время.
• Включите тумблер «Установить часовой пояс автоматически».

После того, как вы выполните эти шаги, часовой пояс будет настроен в соответствии с вашим местоположением автоматически. Однако может пройти некоторое время, прежде чем вы сможете увидеть правильное время.

Как настроить часовой пояс вручную, используя Настройки в Windows 10

Чтобы вручную изменить настройки часового пояса в Windows 10, выполните следующие действия.

• Открыть настройки.
• Нажмите на время и язык.
• Нажмите на дату и время.
• Выключите переключатель автоматического выбора часового пояса (если применимо).
• Используйте раскрывающееся меню «Часовой пояс» и выберите правильную настройку зоны.

Совет: если вы живете в регионе, где используется летнее время, обязательно включите тумблер «Настроить летнее время автоматически».

После выполнения этих действий Windows 10 обновит свои настройки в соответствии с указанным часовым поясом.

Как настроить часовой пояс с помощью командной строки в Windows 10

Если вы хотите изменить часовой пояс с помощью команды или планируете создать командный файл для обновления настроек на нескольких компьютерах, вы также можете использовать командную строку с этими шагами:

• Откройте Пуск.
• Найдите командную строку, щелкните правой кнопкой мыши верхний результат и выберите параметр «Запуск от имени администратора».
• Введите следующую команду для подтверждения текущего часового пояса и нажмите Enter: tzutil /g
• Введите следующую команду и запишите часовой пояс, который вы хотите использовать, и нажмите Enter: tzutil /l

Введите следующую команду, чтобы установить новый часовой пояс, и нажмите Enter: tzutil /s «Line Islands Standard Time»

В этой команде обязательно замените «Стандартное время островных линий» на правильный часовой пояс, который вы указали в шаге № 4. Кроме того, обязательно введите полное имя точно так, как показано в командной строке.

Введите следующую команду, чтобы подтвердить, что часовой пояс был успешно обновлен, и нажмите Enter: tzutil /g

После выполнения этих шагов часовой пояс вашего устройства изменится на настройку, указанную в командной строке.

Как настроить часовой пояс в Windows 10 с помощью PowerShell

Кроме того, вы также можете использовать PowerShell для изменения часового пояса на вашем устройстве, выполнив следующие действия:

• Откройте Пуск.
• Найдите PowerShell, щелкните правой кнопкой мыши верхний результат и выберите параметр «Запуск от имени администратора».
• Введите следующую команду для подтверждения текущего часового пояса и нажмите Enter: Get-TimeZone
• Введите следующую команду и запишите часовой пояс, который вы хотите использовать, и нажмите Enter: Get-TimeZone -ListAvailable

Введите следующую команду, чтобы установить новый часовой пояс, и нажмите Enter: Set-TimeZone -Name «Line Islands Standard Time»

В этой команде обязательно замените «Стандартное время островных линий» на правильный часовой пояс. Кроме того, обязательно введите полное имя точно так, как показано в PowerShell.

Введите следующую команду, чтобы подтвердить, что часовой пояс был успешно обновлен, и нажмите Enter: Get-TimeZone

После выполнения этих шагов Windows 10 будет обновлена с использованием нового часового пояса, который вы указали с помощью команды PowerShell.

Не ленись ставить лайк если было полезно ! Подписка на блог обязательна.

Правило пути

Идентифицирует исполняемое приложение по его местоположению. Может содержать имя каталога или полный путь к исполняемой программе. Используется как локальный путь, так и универсальный путь в формате UNC. Допустимо применение переменных среды и подстановочных знаков «?» для любого единичного символа и «*» для любого количества символов.

Правило пути

Путь можно ввести вручную в соответствующее поле или воспользоваться кнопкой Обзор.

Кроме указания самих путей в явном виде, допускается указание пути в реестре. Такая возможность полезна в том случае, когда у пользователя существует возможность установить приложение в неопределенное заранее место файловой системы компьютера, а программа хранит пути к своим рабочим каталогам в реестре. Правило будет просматривать соответствующую ветвь реестра, и при его совпадении будет производиться заданное в правиле действие – разрешение или запрет на запуск. Путь в реестре должен быть заключен между знаками «%». Он может содержать в окончании пути подстановочные знаки и использовать переменные среды. Не допускается использовать сокращения HKLM и HKCU (должен использоваться полный формат в виде HKEY_LOCAL_MACHINE), путь не должен заканчиваться символом «\» непосредственно перед закрывающим знаком «%» в правиле. Параметр реестра может быть типа REG_SZ или REG_EXPAND_SZ. По умолчанию, при активировании политик ограниченного использования программ создается четыре разрешающих правила пути в реестре.

Правило пути в реестре

Они позволяют выполнить гарантированный запуск необходимых для работы ОС программ и служб, и при необходимости могут быть отредактированы. Если программа соответствует сразу нескольким определенным правилам пути, высший приоритет будет иметь то из них, которое наиболее точно описывает данную программу.

Очень удобное для использования правило пути имеет один существенный недостаток, значительно ограничивающий его применение. Поскольку оценка программы производится только по ее местоположению, придется постоянно учитывать права доступа пользователя к файловой системе. Если учетная запись пользователя позволяет копировать и переименовывать файлы, он с легкостью может обойти это правило, просто переименовав приложение, а затем переместив его в нужное место файловой системы.

Установка шрифта через групповые политики

Если вам нужно установить один-два новых шрифта, можно выполнить эту задачу с помощью возможностей Group Policy Preferences в GPO. Для установки шрифта нужно скопировать *.ttf файл на клиентский компьютер в каталог %WindowsDir%\Fonts\ и внести информацию о новом шрифте в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts.

1. Скопируйте ttf файл шрифта в общую папку на файловом сервере (если шрифтов немного, можно использовать для хранения шрифтов каталог SYSVOL на контроллере домена);
2. Запустите редактор доменных GPO ( gpmc.msc ), создайте новую политику GPO_InstallFonts и назначьте ее на OU с компьютерами;
3. Перейдите в режим редактирования политики;
4. С помощью Group Policy Preferences нужно создать правило для копирования файла шрифта из сетевой папки в каталог %WindowsDir%\Fonts\ на клиентах. Ранее мы показывали, как скопировать файл на компьютеры через GPO. Создайте политику по аналогии. Перейдите в Computer Configuration -> Preferences -> Windows Settings -> Files. Создайте политику с параметрами:

Source: \\resource.loc\SYSVOL\resource.loc\scripts\Fonts\Roboto-Black.ttf Destination: %WindowsDir%\Fonts\Roboto-Black.ttf

Теперь нужно обновить настройки групповых политик на клиенте и проверить, что новый шрифт установился. В Windows 10 список установленных шрифтов доступен в новой панели управления (Settings -> Personalization -> Fonts).

Как включить службы Active Directory в Windows 10?

Остается активировать необходимую функцию RSAT.

1. Правой кнопкой на Start и выберите Control Panel
2. Выберите Programs and Features
3. На левой панели  нажмите Turn Windows features on or off
4. Разверните Remote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools
5. Выберите AD DS Tools и нажмите OK.

Однако вы можете установить функцию AD из командной строки только с помощью этих трех команд:

dism /online /enable-feature /featurename:RSATClient-Roles-AD

dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS

dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns

Please follow and like us:

Previous Entry | Next Entry

Использование групповая политика для управления политикой выполнения

Для управления политикой выполнения компьютеров предприятия можно использовать параметр групповая политика включить выполнение скрипта . Параметр групповая политика переопределяет политики выполнения, заданные в PowerShell во всех областях.

Включить параметры политики выполнения сценария следующим образом:

• Если отключить выполнение скрипта, скрипты не будут выполняться. Это эквивалентно Restricted политике выполнения.

• Если включить выполнение скрипта, можно выбрать политику выполнения. Параметры групповая политика эквивалентны следующим параметрам политики выполнения.

  Групповая политика	Политика выполнения
  Разрешить все скрипты	Unrestricted
  Разрешить локальные скрипты и удаленные подписанные скрипты	RemoteSigned
  Разрешить только подписанные скрипты	AllSigned

• Если параметр включить выполнение скрипта не настроен, он не будет действовать. Политика выполнения, заданная в PowerShell, вступает в силу.

Файлы Повершеллексекутионполици. adm и Повершеллексекутионполици. ADMX добавляют политику выполнения сценария включения в узлы Конфигурация компьютера и Конфигурация пользователя в групповая политика Editor по следующим путям.

для Windows XP и Windows Server 2003:

для Windows Vista и более поздних версий Windows:

Политики, заданные в узле Конфигурация компьютера, имеют приоритет над политиками, заданными в узле Конфигурация пользователя.

Дополнительные сведения см. на веб-сайте about_Group_Policy_Settings.

Приоритет политики выполнения

При определении действующей политики выполнения для сеанса PowerShell оценивает политики выполнения в следующем порядке очередности.

Особенности делегирования прав в AD

Для делегации полномочий в AD используется мастер Delegation of Control Wizard в графической оснастке Active Directory Users and Computers (DSA.msc).

Административные права в AD можно делегировать на довольно детальном уровне. Одной группе можно предоставить право на сброс пароля в OU, другой – на создание и удаление аккаунтов, третье на сброс пароля. Можно настроить наследование разрешений на вложенные OU. Вы можете делегировать полномочия на уровне:

1. Сайта AD;
2. Всего домена;
3. Конкретной OU в Active Directory.

Обычно не рекомендуется делегировать разрешения непосредственно для пользователя. Вместо этого создайте в AD новую группу безопасности, добавьте в нее пользователя и делегируйте полномочия на OU для группы. Если вам понадобится предоставить такие же права в домене еще одному пользователю, вам будет достаточно добавить его в группу безопасности.

Configuring Group Policy Settings

If you know the location for a registry-based Group Policy setting, you can use the Set-GPRegistryValue cmdlet to configure it. Registry-based Group Policy settings are those that appear under Administrative Templates in GPMC. Set-GPRegistryValue can also be used to set registry values that are not covered by Group Policy settings. For example, if you want to configure registry settings for third-party applications that don’t have an ADMX file for Group Policy, Set-GPRegistryValue is a quick way to configure the settings you need. The following command sets a screensaver timeout of 300 seconds for the logged-in user:

Set-GPRegistryValue -Name "Netwrix PCs" -Key "HKCUSoftwarePoliciesMicrosoftWindowsControl PanelDesktop" -ValueName ScreenSaveTimeOut -Type DWord -Value 300

 You can specify either computer configuration or user configuration settings using Set- GPRegistryValue The registry path in the -Key parameter below starts with “HKCU” (which stands for “HKEY_CURRENT_USER”). If you want to configure a computer setting instead, replace “HKCU” with “HKLM” (which expands to HKEY_LOCAL_MACHINE).

To get detailed information about a registry key configured in a GPO, use Get-GPRegistryValue:

Get-GPRegistryValue -Name "Netwrix PCs" -Key "HKCUSoftwarePoliciesMicrosoftWindowsControl PanelDesktop"

Figure 3. How to get detailed information about a registry key configured in a GPO

To remove a registry setting from a GPO, use Remove-GPRegistryValue:

Remove-GPRegistryValue -Name "Netwrix PCs" -Key "HKCUSoftwarePoliciesMicrosoftWindowsControl PanelDesktop" -ValueName ScreenSaveTimeOut

The three cmdlets above have Group Policy Preference equivalents if you decide to use Preferences instead of Policies to set registry keys: Set-GPPrefRegistryValue, Get-GPPrefRegistryValue, and Remove-GPPrefRegistryValue.

Отключение элементов панели управления

С помощью групповых политик можно отключить некоторые элементы панели управления. В разделе Конфигурация пользователя, Административные шаблоны, Панель управления находятся две замечательных групповые политики — Скрыть указанные элементы панели управления и Запретить доступ к панели управления и параметрам компьютера. Первая позволяет запретить выбранные элементы панели управления, а вторая вообще запрещает доступ к панели управления и к параметрам компьютера.

Надеюсь, прочитав эту статью, администратору будет немного спокойнее — ведь теперь пользователи смогут сделать гораздо меньше, чего стоит только отключение командной строки и PowerShell.

Популярные услуги

Виртуальный сервер (VDS/VPS) на базе Windows Server (Xelent)
Windows Server от Microsoft — самая популярная операционная система в мире для серверного оборудования. Она применяется для организации файловых каталогов, службы DNS, службы веб-приложений и т. д. Мы предлагаем нашим клиентам арендовать виртуальный server VDS/VPS на базе Windows Server.

VDS Windows сервер
Любой постоянно развивающийся интернет-проект в определенный момент своего существования начинает нуждаться в неограниченном трафике. С помощью VPS Windows сервера можно быстро решить проблему с масштабированием ресурсов в рамках крупной системы.

Виртуальный дата-центр
Храните и получайте данные в любом объеме, в нужный момент масштабируясь под возрастающие нагрузки.

Как принудительно обновить удалённый объект групповой политики из консоли управления групповой политикой (GPMC)?

В Windows Server 2012 и новее вы можете обновлять параметры групповой политики на компьютерах домена удалённо, используя GPMC.msc (консоль управления групповой политикой).

В Windows 10 вам нужно будет установить RSAT, чтобы использовать консоль GPMC:

Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools

Затем после изменения каких-либо параметров или создания и сопряжения нового объекта групповой политики достаточно щёлкнуть правой кнопкой мыши нужное организационное подразделение (OU) в консоли управления групповыми политиками и выбрать в контекстном меню пункт Group Policy Update («Обновление групповой политики»). В новом окне вы увидите количество компьютеров, на которых будет обновлён GPO. Подтвердите принудительное обновление политик, нажав Yes («Да»).

Затем GPO будет удалённо обновляться на каждом компьютере в OU один за другим, и вы получите результат со статусом обновления групповой политики на компьютерах Succeeded/Failed («Успешно / Не удалось»).

Эта функция создаёт задачу в Планировщике задач с помощью команды «GPUpdate.exe /force» для каждого вошедшего в систему пользователя на удалённом компьютере. Задача запускается в произвольный период времени (до 10 минут), чтобы снизить нагрузку на сеть.

Чтобы функция обновления удалённого объекта групповой политики GPMC работала на клиенте, должны быть выполнены следующие условия:

• TCP-порт 135 должен быть открыт в правилах брандмауэра Защитника Windows;
• Должны быть включены службы Windows Management Instrumentation and Task Scheduler («Инструментария управления Windows и планировщика задач»).

Если компьютер выключен или брандмауэр блокирует к нему доступ, то рядом с именем компьютера появляется сообщение ‘The remote procedure call was canceled. Error Code 8007071a‘ («Удалённый вызов процедуры был отменен. Сообщение с кодом ошибки 8007071a»).

Фактически, эта функция работает так же, как если бы вы обновили настройки GPO вручную с помощью команды «GPUpdate /force» на каждом компьютере.

Кодировка символов в PowerShell

В PowerShell (V6 и более поздних версий) параметр Encoding поддерживает следующие значения:

• ascii : Использует кодировку для набора символов ASCII (7-разрядных).
• bigendianunicode : Кодируется в формате UTF-16 с обратным порядком байтов.
• oem : Использует кодировку по умолчанию для программ MS-DOS и консолей.
• unicode : Кодируется в формате UTF-16 с прямым порядком байтов.
• utf7 : Кодируется в формате UTF-7.
• utf8 : Кодирует в формате UTF-8 (без спецификации).
• utf8BOM : Кодирует в формате UTF-8 с меткой порядка байтов (BOM)
• utf8NoBOM : Кодирует в формате UTF-8 без метки порядка байтов (BOM)
• utf32 : Кодируется в формате UTF-32.

По умолчанию PowerShell принимает значение utf8NoBOM для всех выходных данных.

Подготовка к установке программ

Создайте каталог для хранения установочных файлов (например, C:\Install). Установочные файлы программ должны быть в формате установочных пакетов Microsoft (расширение — msi). Для примера я установлю архиватор 7z.

Откройте общий доступ к созданному каталогу при помощи вкладки «Доступ» свойств каталога. Запустите «Active Directory –> пользователи и компьютеры» (Пуск –> Администрирование –> Active Directory –> пользователи и компьютеры.

В домене создайте новое подразделение, для установки программы, в моем случае это Install подразделение. Переместите в созданное подразделение доступный компьютер из подразделения «Computers». Создайте новую групповую политику для созданного подразделения. Свяжите подразделение с политикой, нажмите правой кнопкой на созданное подразделение и выберите «Связать существующий объект групповой политики…», затем выберите созданный ранее объект в списке и нажмите «ОК».