Первая часть - https://habr.com/ru/articles/856320/

Уважаемые читатели!

Все изменения в реестре, описанные здесь - это не плод моего ума. Это взято на просторах Интернета из разных источников, только собрано все вместе и сгруппировано мной в одно целое. Это же касается и исполняемых команд в PowerShell.

Поэтому, если будут желающие улучшить весь процесс, помогите. Делаем общее дело. И учимся тоже друг у друга. Спасибо.

Теперь о самом интересном.

Создаем GPO-шку. Неважно какую. Я делал для блокировки флешек, чтобы видно было ее применение. Это описано в части 1.

Групповую политику готовим для компьютера.

Не для пользователя. Для пользователя она отработает только после перезагрузки машины.

Все. GPO создали. Пока ее не трогаем и не связываем ни с какой OU пользователя.

 Теперь делаем настройку операционных систем.

Начнем с Windows 7 (Максимальная).

Порядок действий может быть разный.

 1.        Правой клавишей мыши на «Компьютер» - Управление:

Компьютер\управление\службы и приложения\службы:

  Обнаружение SSDP - включает поддержку протокола SSDP (протокол простого обнаружения служб) – включить\автоматически (если не включено или выставлено «вручную»).

 Узел универсальных PNP-устройств -– служба, которая обеспечивает поддержку и управление UPnP-устройствами  - включить\автоматически (если не включено или выставлено «вручную»).

 Эти службы отвечают за параметры общего доступа компьютера.

 2.      Открываем брандмауэр в режиме повышенной безопасности\Правила для входящих подключений.

Ищем удаленное управление назначенными задачами (RPC) – включаем все.

1.        Отключаем в реестре функции автоматической настройки трафика WinHTTP.

1.         Открываем редактор реестра (regedit) с правами администратора.

2.         Нужный параметр реестра находится в разделе: «Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc». Это значение DWORD под названием Start.  По-умолчанию установлено значение Value = 3 (Enabled)

3.         Дважды щёлкните, чтобы отредактировать этот ключ, и установите его значение равным 4 (Disabled)

4.         Нажимаем OK, чтобы сохранить изменения. 

5.         Перезапускаем Windows. 

 2.        Включаем функцию автоматической настройки окна в Windows

1.         Открываем редактор реестра (regedit) с правами администратора.

2.         Нужный параметр реестра находится в разделе:

«Компьютер\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp».

3.         Раскрываем WinHttp и создаем значение DWORD. Называем его TcpAutotuning и присваиваем  значение, равное 1.

4.         Нажимаем OK, чтобы сохранить изменения. 

5.         Перезапускаем Windows. 

 На этом настройка Windows 7 завершена.

Настраиваем Windows 10.

 1.      Повторяем первый пункт как для Win 7.

2.      Открываем брандмауэр в режиме повышенной безопасности\Правила для входящих подключений.

Ищем удаленное управление назначенными задачами (RPC) – включаем все.

Ищем инструментарий управления Windows - включаем все.

1.       Отключаем усиленную защиту при доступе к sysvol и netlogon.

В командной строке ввести – cmd. Выполнить следующие команды:

Команда № 1

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ /f

 Команда № 2

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ /f

 2.      Необходимо установить из Интернета пакеты RSAT.

RSAT – Remote Server Administration Tools – средства удаленного администрирования сервера.

Устанавливаем все пакеты, если они не установлены.

1.      Выполняем пп. 3 и 4 как и для Win 7.

 На этом настройка Windows 10 завершена.

 Ну и последний этап. Настройка сервера.

 1.      Открываем «Пользователи и компьютеры AD».

2.      Открываем общую папку под названием «Computers».

1.      Компьютер Ивановой, на который нужно применить GPO, перетаскиваем в OU нужного нам юзера – в данном случае в OU-шку Иванова.

1.      Связываем OU Иванова с необходимыми политиками

Все. Больше делать ничего не надо.

Компьютер Ивановой мы связали с политиками. Если сделать ребут компа Ивановой, политики и так применятся. Но мне надо, чтобы политики применились без перезагрузки.

 Открываем Powershell. И вставляем вот эту команду:

Invoke-GpUpdate -Computer "ХХХХХХХХ" -RandomDelayInMinutes 0 -Target Computer

Вместо крестиков вписываем имя компьютера.

Имя компа Ивановой WIN-10-1809. Вот это имя и вписываем.

Invoke-GpUpdate -Computer " WIN-10-1809" -RandomDelayInMinutes 0 -Target Computer

Нажимаем Enter.

(У меня другие имена компов, т.к. работаю сразу на разных машинах и скрин делаю с них).

Если после ввода команды видите последнюю строчку ожидания команды, а не ошибку, значит команда выполнена правильно и политика должна примениться.

Если компьютер юзера выключен или в спящем режиме или что-то не так, появится такое окно

nvoke-GpUpdate -Computer " WIN-10-1809" -RandomDelayInMinutes 0

Эта команда разрешает быстрое применение политик. Нолик на конце означает, что время на выполнение политики составляет 0 минут. Именно эта команда применяет политику к компьютеру и пользователю. Нам это не надо.

 -Target Computer – вот эта добавочка означает, что применяется политика только к компьютеру.

-Target User– вот эта добавка означает, что применяется политика только к пользователю.

А раз нам нужны политики применить к машинке, тогда и даем команду эту:

Invoke-GpUpdate -Computer " WIN-10-1809" -RandomDelayInMinutes 0 -Target Computer

 После выполнения этой команды политики должны примениться через 1-2 сек. У меня так и применяются.

P.S.

На Windows 7 политики стали применяться тоже через 2 секунды. Я не включил функцию автоматической настройки окна в Windows.

И снова почти вижу комментарии – зачем такой гемор выдумывать?

Сразу отвечаю всем тем, кто хочет так сказать – я хотел добиться мгновенной отработки групповой политики без перезагрузки компьютера клиента. Я этот вопрос решил. Чисто технический интерес.

 И последнее. Если кто-нибудь нашел более удобный вариант, поделитесь, не жадничайте.

 Вот на этом все. Теперь уже точно все.

Всем спасибо. И удачи.

.

Комментарии (2)


  1. HiLander
    06.11.2024 08:17

    Добавьте пожалуйста в начало статьи ссылку на 1 часть мануала.

    Большую часть (если не все) ваших действий по первоначальной настройке компьютеров можно заскриптовать. Тем непонятнее выглядит в одном случае ручное редактирование реестра, в другом reg add.

    И логично было бы эти скриптики прикрутить к статье дабы вероятный пользователь мануала не страдал отвалом кнопок ctrl-c/ctrl-v.

    И наконец, по поводу всей темы статьи, может просто на logon юзера поставить gpupdate?


    1. special066 Автор
      06.11.2024 08:17

      Спасибо за дельный совет. Я, к сожалению, не умею создавать скрипты. Может, вы поможете сделать так, как удобнее и будете соавтором? :)