Работа с GPO
Добавить группу или пользователя в локальные администраторы, GPO
На данном примере - группа домена ARASAKA - Workstation_LocalAdmins добавляется в локальную группу администраторов компьютеров, на которые распространяется текущий GPO.
=
GPO для блокировки рабочих станций после периода неактивности
Computer Conifg> Policies> Windows Settings> Security Settings> Local Policies> Security Options > Interactive logon: Machine inactivity limit
Если настроить автоматическую блокировку машины через данную доменную политику, а потом убрать её (сделав соответствующий параметр - “не задан”), то в реестре, после обновления GPO - останется значение, сконфигурированное в политике. В этом случае может быть полезен ключ реестра, который нужно сброить в 0.
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\inactivitytimeoutsecs
Посмотреть результаты применения групповых политик
Отправить результаты в файл:
gpresult /H c:\gpres.html
Парольные политики
Требования сложности
Если поменять требования к паролям (сложность или длина), то существующие пользователи будут затронуты только при следующей смене пароля.
Срок пароля
Если задать срок смены пароля, то те пароли, которые старше этого срока система попросит сменить после применения политики.
Приоритет применения политик
1. Локальные объекты.
2. Уровень сайта.
3. Уровень домена.
4. Уровень конкретного OU.
В данном примере вышестоящие политики перезаписывают нижестоящие, т.е. имеют больший приоритет. Порядок применния GPO к объекту - можно посмотреть на вкладке Group Policy Inheritance, как показано на скриншоте.
Контейнер “computers”, куда попадают компьютеры по умолчанию
К данному контейнеру нельзя прилинковать объект GPO. Однако, вышестоящие политики (к примеру, уровня root) - будут применяться к нему.
Исчезновение элементов групповой политики в консоли
Если из консоли групповых политик пропали определенные элементы - к примеру, пункт: “Administrative templates” - возможно, AD использует централизованную модель хранения (Central Store) и хранит шаблоны политик в реплицируемом общем ресурсе sysvol, в котором отсутствуют нужные файлы. В консоли управления GPO это отображается следующим образом:
В данном случае необходимо скопировать локальные файлы, где запускается консоль GPO в шару sysvol.
Копируем файлы шаблонов (admx) из локальной папки в sysvol:
C:\Windows\PolicyDefinitions C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions
Копируем языковые файлы (adml) из локальной папки в sysvol (если используем не только английский, то копируем из папок других языков так же. К примеру, из папки ru-RU):
C:\Windows\PolicyDefinitions\en-US C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\en-US
После того, как файлы появятся в central store - нужные настройки отобразятся в консоли GPO, никакие перезагрузки и перезапуски не требуются.
Разрешить RDP на контроллер домена обычному пользователю
В первую очередь нужно добавить пользователя в группу Remote Desktop Users. Однако, в отличие от случаев с обычными серверами - этого недостаточно.
Если сделать только это - при попытке подключиться по RDP - получим ошибку:
To sign in remotely, you need the right to sign in through Remote Desktop Services. By default members of the Administrators group have this right. If the group you’re in does not have the right, or if the right has been removed from the Administrators group, you need to be granted the right manually.
Чтобы разрешить доменному пользователю подключения к RDP, нам требуется добавить ему это право через GPO:
Computer Configuration -> Windows settings -> Security Settings -> Local policies -> User Rights Assignment Allow log on through Remote Desktop Services
Добавляем сюда либо группу: domain_name\Remote Desktop Users, либо конкретного пользователя, которому мы добавляем доступ.
Исключить объект из GPO
Самый простой способ исключить конкретный объект из GPO, не перемещая его в какой-либо OU - добавить на этот объект deny для apply group policy в свойствах безопасности конкретной политики. Deny имеет более высокий приоритет, поэтому разрешающие права для этого объекта отрабатываться не будут, а будет применена настройка deny.
Найти парольную политику
Представим ситуацию, что мы хотим выяснить - откуда берется парольная политика. К примеру, в домене, очевидно назначены требования к паролю, но в прямых объектах GPO вроде Default Domain Policy эти параметры не заданы.
В таком случае нам помогут несколько PS-командлетов. Выясним источник парольной политики:
import-module ActiveDirectory Get-ADDefaultDomainPasswordPolicy
В выводе мы увидим GUID объекта GPO, откуда растёт парольная политика. Скопируем его.
Теперь можно попробовать поискать объект GPO по найденному GUID, указав и домен:
import-Module GroupPolicy Get-GPO -Guid 889773BC-F748-4030-B41B-D5FCCAAF9834 -Domain contoso.com