Первая часть - https://habr.com/ru/articles/856320/
Уважаемые читатели!
Все изменения в реестре, описанные здесь - это не плод моего ума. Это взято на просторах Интернета из разных источников, только собрано все вместе и сгруппировано мной в одно целое. Это же касается и исполняемых команд в PowerShell.
Поэтому, если будут желающие улучшить весь процесс, помогите. Делаем общее дело. И учимся тоже друг у друга. Спасибо.
Теперь о самом интересном.
Создаем GPO-шку. Неважно какую. Я делал для блокировки флешек, чтобы видно было ее применение. Это описано в части 1.
Групповую политику готовим для компьютера.
Не для пользователя. Для пользователя она отработает только после перезагрузки машины.
Все. GPO создали. Пока ее не трогаем и не связываем ни с какой OU пользователя.
Теперь делаем настройку операционных систем.
Начнем с Windows 7 (Максимальная).
Порядок действий может быть разный.
1. Правой клавишей мыши на «Компьютер» - Управление:
Компьютер\управление\службы и приложения\службы:
Обнаружение SSDP - включает поддержку протокола SSDP (протокол простого обнаружения служб) – включить\автоматически (если не включено или выставлено «вручную»).
Узел универсальных PNP-устройств -– служба, которая обеспечивает поддержку и управление UPnP-устройствами - включить\автоматически (если не включено или выставлено «вручную»).
Эти службы отвечают за параметры общего доступа компьютера.
2. Открываем брандмауэр в режиме повышенной безопасности\Правила для входящих подключений.
Ищем удаленное управление назначенными задачами (RPC) – включаем все.
1. Отключаем в реестре функции автоматической настройки трафика WinHTTP.
1. Открываем редактор реестра (regedit) с правами администратора.
2. Нужный параметр реестра находится в разделе: «Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc». Это значение DWORD под названием Start. По-умолчанию установлено значение Value = 3 (Enabled)
3. Дважды щёлкните, чтобы отредактировать этот ключ, и установите его значение равным 4 (Disabled)
4. Нажимаем OK, чтобы сохранить изменения.
5. Перезапускаем Windows.
2. Включаем функцию автоматической настройки окна в Windows
1. Открываем редактор реестра (regedit) с правами администратора.
2. Нужный параметр реестра находится в разделе:
«Компьютер\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp».
3. Раскрываем WinHttp и создаем значение DWORD. Называем его TcpAutotuning и присваиваем значение, равное 1.
4. Нажимаем OK, чтобы сохранить изменения.
5. Перезапускаем Windows.
На этом настройка Windows 7 завершена.
Настраиваем Windows 10.
1. Повторяем первый пункт как для Win 7.
2. Открываем брандмауэр в режиме повышенной безопасности\Правила для входящих подключений.
Ищем удаленное управление назначенными задачами (RPC) – включаем все.
Ищем инструментарий управления Windows - включаем все.
1. Отключаем усиленную защиту при доступе к sysvol и netlogon.
В командной строке ввести – cmd. Выполнить следующие команды:
Команда № 1
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ /f
Команда № 2
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ /f
2. Необходимо установить из Интернета пакеты RSAT.
RSAT – Remote Server Administration Tools – средства удаленного администрирования сервера.
Устанавливаем все пакеты, если они не установлены.
1. Выполняем пп. 3 и 4 как и для Win 7.
На этом настройка Windows 10 завершена.
Ну и последний этап. Настройка сервера.
1. Открываем «Пользователи и компьютеры AD».
2. Открываем общую папку под названием «Computers».
1. Компьютер Ивановой, на который нужно применить GPO, перетаскиваем в OU нужного нам юзера – в данном случае в OU-шку Иванова.
1. Связываем OU Иванова с необходимыми политиками
Все. Больше делать ничего не надо.
Компьютер Ивановой мы связали с политиками. Если сделать ребут компа Ивановой, политики и так применятся. Но мне надо, чтобы политики применились без перезагрузки.
Открываем Powershell. И вставляем вот эту команду:
Invoke-GpUpdate -Computer "ХХХХХХХХ" -RandomDelayInMinutes 0 -Target Computer
Вместо крестиков вписываем имя компьютера.
Имя компа Ивановой WIN-10-1809. Вот это имя и вписываем.
Invoke-GpUpdate -Computer " WIN-10-1809" -RandomDelayInMinutes 0 -Target Computer
Нажимаем Enter.
(У меня другие имена компов, т.к. работаю сразу на разных машинах и скрин делаю с них).
Если после ввода команды видите последнюю строчку ожидания команды, а не ошибку, значит команда выполнена правильно и политика должна примениться.
Если компьютер юзера выключен или в спящем режиме или что-то не так, появится такое окно
nvoke-GpUpdate -Computer " WIN-10-1809" -RandomDelayInMinutes 0
Эта команда разрешает быстрое применение политик. Нолик на конце означает, что время на выполнение политики составляет 0 минут. Именно эта команда применяет политику к компьютеру и пользователю. Нам это не надо.
-Target Computer – вот эта добавочка означает, что применяется политика только к компьютеру.
-Target User– вот эта добавка означает, что применяется политика только к пользователю.
А раз нам нужны политики применить к машинке, тогда и даем команду эту:
Invoke-GpUpdate -Computer " WIN-10-1809" -RandomDelayInMinutes 0 -Target Computer
После выполнения этой команды политики должны примениться через 1-2 сек. У меня так и применяются.
P.S.
На Windows 7 политики стали применяться тоже через 2 секунды. Я не включил функцию автоматической настройки окна в Windows.
И снова почти вижу комментарии – зачем такой гемор выдумывать?
Сразу отвечаю всем тем, кто хочет так сказать – я хотел добиться мгновенной отработки групповой политики без перезагрузки компьютера клиента. Я этот вопрос решил. Чисто технический интерес.
И последнее. Если кто-нибудь нашел более удобный вариант, поделитесь, не жадничайте.
Вот на этом все. Теперь уже точно все.
Всем спасибо. И удачи.
.
HiLander
Добавьте пожалуйста в начало статьи ссылку на 1 часть мануала.
Большую часть (если не все) ваших действий по первоначальной настройке компьютеров можно заскриптовать. Тем непонятнее выглядит в одном случае ручное редактирование реестра, в другом reg add.
И логично было бы эти скриптики прикрутить к статье дабы вероятный пользователь мануала не страдал отвалом кнопок ctrl-c/ctrl-v.
И наконец, по поводу всей темы статьи, может просто на logon юзера поставить gpupdate?
special066 Автор
Спасибо за дельный совет. Я, к сожалению, не умею создавать скрипты. Может, вы поможете сделать так, как удобнее и будете соавтором? :)