「管理の概要」サイクルの次の記事では、記憶にあるグループポリシーの使用に関するいくつかのニュアンスを更新したいと思います。 同時に、テンプレートの作成と、これらの同じポリシーを使用した作業の自動化を楽しみます。

メモリを更新する

私はグループ政治家が何であるかを語りません、そして、彼らと協力するとき、私が心に留めておくべき主要なポイントだけに留まります。

Windowsシステムには、ドメインのものに加えて、ローカルグループポリシーがあります-Professionalエディション以上のシステムでgpedit.mscスナップインを使用して管理できます。 ドメインがなければ、コンピューター上のすべてのユーザーに対してのみローカルグループポリシーを構成できると考えられています。 これは完全に真実ではありません。WindowsVistaのリリースにより、複数のローカルグループポリシーまたはMLGPOを使用できるようになりました 。 このメカニズムにより、ユーザーごとに個別のポリシーを構成できます。

mmcコンソールへの呼び出しを介してアクセスできます。「グループポリシーオブジェクトの管理」スナップインを追加したら、「参照」ボタンをクリックします。 さらに、「ユーザー」タブでは、特定のユーザーまたはグループ「管理者」および「管理者ではない」グループを選択できます。 残念ながら、ユーザーグループの管理は実装されていません。

個々のユーザーのグループポリシー管理。

また、Active Directoryは、個々のユーザーのEasyPrintのドライバーの動作を構成するために、スタンドアロンのターミナルサーバーにのみ展開されました。 しないでください。

ドメイングループポリシーを追加する場合、アプリケーションの順序を覚えておく価値があります。後者によって適用されるポリシーが最も優先順位が高くなります（また、インタビューでよく尋ねられます）。

したがって、ドメイン内のコンピューターと4つのグループポリシーがあるとします。このコンピューター上のローカル。 コンピューターが配置されているユニットのポリシー。 ドメインポリシーとフォレストポリシー。 アプリケーションの順序は次のとおりです。

1. ローカルグループポリシー。
2. グループポリシーサイト。
3. グループポリシードメイン。
4. グループポリシーのトップ部門。
5. グループポリシー子会社。

つまり、ローカルグループポリシーを除き、オブジェクトに近いほど優先順位が高くなります。 より高いポリシーのアプリケーションを無効にする必要がある場合は、継承ロックを設定します。

継承ロック

グループポリシーは、ユーザーとコンピューターの2つの構成に分割できます。 通常、コンピューターが設定されたポリシーは、コンピューターが配置されているユニットに割り当てられます。 また、ユーザー設定を含むポリシーはユーザー向けです。

ユーザーがいる部門にコンピューター設定を適用する必要がある場合、またはその逆の場合は、いわゆるグループポリシーロックを使用します。 たとえば、このような設定は、ターミナルサーバーで作業するために特定のポリシーをユーザーに適用する必要がある場合に役立ちます。

閉鎖の操作は、ポリシーで直接構成されます-「コンピューターのセットアップ-管理用テンプレート-システム-ユーザーグループポリシー閉鎖処理モード」。 メカニズムの詳細については、GPOでMerge \ Replaceを使用する方法についての記事に既に記載されています。 グループポリシーの閉鎖方法についても、インタビューでよくある質問であると付け加えます。

グループポリシーロックアウトを構成します。

物理的に、ドメイングループポリシーはドメインコントローラーのSYSVOLフォルダーにあります。 フォルダーはコントローラー間で複製されます。 各グループポリシーは、GUID形式の名前を持つフォルダーのように見えます。

グループポリシードメイン。

グループポリシーエディターで構成されたフィルタールールは、対応するサブフォルダーのNTFSアクセス許可に対応します。

フィルタリングルールといえば、グループポリシーを「破った」MS16-072の更新について言及するのを忘れることはできません。 フィルタールールを機能させるには、読み取り専用ルールを各フィルターに追加する必要がありますが、Domain Computersグループに「適用」ルールを追加する必要はありません。

グループポリシーの各フォルダーには、ユーザーとコンピューターの設定に対応するサブフォルダーMachineおよびUserがあります。 サブフォルダーを詳しく調べると、グループポリシーの構造を簡単に理解できます。

• フォルダーのルートには、名前などのグループポリシー設定を含むGPT.iniファイルがあります。
• サブフォルダーMachineおよびUserには、対応するレジストリブランチの設定を含むregistry.polファイルがあります。
• Microsoft \ Windows NT \ SecEditパスに、セキュリティ設定テンプレート-GptTmpl.infがあります。
• [基本設定]サブフォルダーには、グループポリシーの基本設定があります。これは、xmlファイルを含むサブフォルダーです。
• [アプリケーション]サブフォルダーには、グループポリシーによる展開用の配布があります。
• Scriptsフォルダーには、ユーザーのログオンとログオフ、およびコンピューターの起動とシャットダウンに関するスクリプトが含まれています。
• Documents and Settingsフォルダーには、カスタムフォルダーリダイレクト設定があります。
• 最後に、Admフォルダには古いグループポリシーテンプレートがあります。

構造の詳細については、 グループポリシーの基本の資料をご覧ください。すぐにテンプレートに移りましょう。

管理用テンプレート

基本的に、管理用テンプレートは、クライアントレジストリ（ HKCUまたはHKLMブランチ）を変更するための指示と、「グループポリシー管理」を介して可変パラメーターを表示するための設定を含む特別なファイルです。 原則として、レジストリはグループポリシーの基本設定でも変更できます。 しかし、ここでの違いは美しいインターフェイスだけではありません。

レジストリ変更方法	標準設定でポリシーを削除するときの動作	パラメータを手動で変更することは可能ですか	アプリケーションからパラメーターを変更することは可能ですか？
パターン	デフォルト設定がテンプレートにある場合、レジストリ設定はデフォルト値に復元されます	-	-
ポリシー設定	レジストリ設定は変更されません	+	+

グループポリシーの基本設定と管理用テンプレートの比較。

つまり、GPOを介したレジストリの設定はより厳密です。 一方、グループポリシー設定を使用した設定は、regファイルの定期的な使用に似ています。 もちろん、設定によりレジストリ設定を変更できるだけでなく、非常に柔軟です。 トピックは貴重です。

これは、ポリシーブランチを変更する場合に当てはまり、カスタムアプリケーションはその設定をレジストリに保存する必要があります。 設定とテンプレートを使用したパラメータの簡単な変更は同様の方法で機能し、テンプレートのみがより便利になります。

Windows Vista \ 2008より前では、.adm標準はグループポリシーテンプレートとしてのみ使用されていました。 手動で簡単に編集できる単純な構造であるため、この標準には多くの欠点もありました。

• 言語ごとに、個別のテンプレートファイルを作成する必要がありました。
• テンプレートファイルは、グループポリシーフォルダーに物理的に配置されていました。 同じテンプレートを使用すると、各フォルダーに保存されるため、占有スペースと複製時間が増加しました。
• 複数行パラメーターとQWORDパラメーターはサポートされていません。

古い標準を置き換えるために、新しい標準が登場しました。 新しいテンプレートは2つのファイルです。テンプレート自体は、言語に依存しません— .admxと言語の「パッケージ」— .admlファイル。 これで、テンプレートを中央リポジトリに「配置」し、SYSVOLフォルダーに同じファイルを生成せずにテンプレートにアクセスできます。

軟膏にハエがありました-現在、ファイルの内容は業界で人気のあるXML形式です。 また、ノートブックで新しいテンプレートを作成することは、それほど便利ではなくなりました。

必要になる可能性のあるほとんどのパラメーターの下には、テンプレートが既に存在します。 さらに、多くのアプリケーションメーカーが管理用テンプレートをリリースしています。 以下に例を示します。

• MS Office 2016 。
• FirefoxおよびThunderbird 。
• Google Chrome
• Adobe AcrobatおよびReader 。
• さまざまなソフトウェア の テンプレートの カタログ 。

管理用テンプレートを開発および実装する必要がある場合、最も簡単なオプションは、古い.admファイルを作成し、特別なユーティリティを使用してadmxに変換することです 。 より複雑なオプションは、すぐに.admxで開始することです。

独自のテンプレートを作成する

始めるために、簡単な例を見てみましょう。 隠しファイルとシステムファイルの表示をオンまたはオフにし、同時に拡張子を表示できるグループポリシーテンプレートを作成しましょう。

これは、コントロールパネルの設定の[グループポリシーの基本設定]-フォルダーオプションで実行できることをすぐに言わなければなりません。 しかし、簡単な方法を探しているわけではありませんが、同時に表示パラメーターを手動で変更したくありません。

レジストリ内の3つのパラメーターは、必要なパラメーターを担当します。

• ソフトウェア\ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \非表示。
• ソフトウェア\ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ HideFileExt。
• ソフトウェア\ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ ShowSuperHidden。

ファイルの構文をさらに詳しく分析してみましょう。

• クラス。 値USERまたはMACHINEを取ることができます-クラスに応じて、レジストリブランチHKCUまたはHKLMはそれに応じて変更されます。
• カテゴリー 。 ポリシーの「フォルダー」の名前が指定されているストリング。
• ポリシー 行は特定のポリシーの名前を設定します-これらのうち3つがあります。
• KEYNAME 可変パラメーターへのレジストリー内のパス。
• 説明する 。 設定の説明を含む「変数」への参照。
• VALUENAME 。 レジストリで変更するパラメーターの名前。
• VALUEON ** VALUEOFF **。 ポリシーでパラメーターをオンまたはオフにするときにパラメーターが取る値。
• [文字列] 。 テキスト文字列に使用した変数値を含むセクション。 それらを使用することはできませんが、ロシア語による問題がある可能性があります。

含まれるオプションに加えて、他のものがあります、例えば：

• EDITTEXT 。 入力するテキストボックス。
• 数値 数字を入力するフィールド。
• チェックボックス 。 オプションにチェックマークを付けることができるリスト。
• コンボボックス 。 スイッチリスト
• ドロップダウンリスト 。 ドロップダウンリスト。
• リストボックス 。 複数のアイテムを入力するリスト。

すべてのパラメーターの詳細については、MSDN ADM形式のセクションをご覧ください。

新しいテンプレートのインストールは簡単ではありませんが、非常に簡単です-[管理用テンプレート]を右クリックし、[テンプレートの追加と削除]を選択して、新しく作成したテンプレートを追加します。

テンプレートを追加しました。

テンプレートをインストールすると、Classic Administrative Templatesブランチに表示されます。

これで、 ADMX Migratorの faAdmxConvユーティリティを使用して、テンプレートを.admxに変換できます。

テンプレートを変換します。

変換後、結果の.admxテンプレートとローカリゼーション.admlファイルを含むRu-ruフォルダーを、ローカルポリシーの％Systemroot％\ PolicyDefinitionsフォルダーまたはドメインコントローラーのSysvol \ PolicyDefinitionsフォルダーにコピーする必要があります。

.admxテンプレートをインストールしました。

確かに、新しい形式のxmlは古い.admよりも少し悪くなります。 新しい形式での作業を容易にするために、ADMX Migrator ディストリビューションにはfaAdmxEditor.mscユーティリティが含まれています。 このユーティリティに加えて、regファイルをテンプレートに変換するためのスクリプト 、およびサードパーティの有料ユーティリティがあります。

もちろん、あなたはこれだけでなく、あなた自身でそれを理解することができます-私はこれを私の宿題として残します。 幸いなことに、MSDNポータルにはXMLスキーマの詳細な説明があり、ネットワーク上に例を含む優れた資料があります。 たとえば、「 管理グループポリシーテンプレート 」。

それでは、自動化に移りましょう。

自動制御

コマンドラインからグループポリシーを操作するのは非常に面倒です。 主に3つのツールがあります。

PowerShell グループポリシーをバックアップ、復元、管理するための一連のコマンドレットがあります。 新しいポリシーの作成には制限があります-レジストリのみを変更できます。 ただし、ほとんどの場合、これで十分です。 例として、Adobe Reader DCの自動更新を無効にするグループポリシーを作成しましょう。

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Adob​​e \ Acrobat Reader \ DC \ FeatureLockDown]ブランチのbUpdaterレジストリキーは、自動更新を無効にする役割を果たします。 パラメーターを0に設定することにより、オプションを無効にします。

PowerShellでグループポリシーを作成すると、次のようになります。

 Import-module -Name GroupPolicy Write-Host "      Adobe_Reader_disable_autoupdate" New-GPO -Name Adobe_Reader_disable_autoupdate Write-Host "    " Set-GPRegistryValue -Name "Adobe_Reader_disable_autoupdate" -key "HKLM\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown" -ValueName bUpdater -TypeDWord -value 0 Write-Host "     OU" Set-GPLink -Name Adobe_Reader_disable_autoupdate -Target "ou=Computers,dc=domain,dc=com" -LinkEnabled Yes
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

新しく作成されたグループポリシー。

コマンドレットの完全なリストと説明については、Windows PowerShellの Technet グループポリシーコマンドレットを参照してください 。

GPMC （グループポリシー管理コンソール） へのCOMインターフェイス 。 このメソッドを使用すると、COMインターフェイスをサポートする任意のプログラミング言語で、政治家と多くのことができます。 残念ながら、彼は人気を博さず、MSDNポータルのインターフェイスメソッドの詳細な説明にもかかわらず、ネットワーク上には非常に少ない例があります。 いくつかの使用例は、Technet Galleryからダウンロードできます 。

LGPO.exe。 少し前まで、Microsoftはローカルグループポリシーを操作するための一連のユーティリティを単一のユーティリティに置き換えました。 公式ウェブサイトからダウンロードできます。 このユーティリティは、ローカルグループポリシーのコピーと展開に便利です。 MLGPOの宣言およびサポート。 独自のポリシーを作成することもできます。 このプログラムは、registry.polレジストリファイルの作成および変更にも便利です。 たとえば、残念なAcrobat Reader DCに無効化更新を追加して、ローカルグループポリシーを変更しましょう。

コマンドとしてローカルグループポリシーのバックアップを作成しましょう

 lgpo.exe /b C:\Temp /n "Backup"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

GUIDを持つサブフォルダーは、ドメイングループポリシーに似た構造でC：\ Tempフォルダーに表示されます。

ここで、registry.polをテキストファイルに展開します。

 LGPO.exe /parse /m C:\temp\{GUID}\DomainSysvol\GPO\Machine\registry.pol >> reg.txt
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

テキストファイルの構文は明らかです。 レジストリ値を追加して、Acrobatの自動更新を無効にします。

ファイルに追加されたレジストリ設定。

ここで、reg.txtをregistry.polにラップし、変更されたファイルをローカルグループポリシーにインポートします。

 LGPO.exe /r C:\Temp\reg.txt /w C:\Temp\registry.pol LGPO.exe /m C:\Temp\registry.pol​
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

もちろん、これらすべての詐欺は1つのスクリプトにまとめられ、リモートコンピューターでコマンドを実行するための使い慣れたツールを使用してローカルグループポリシーを大幅に変更するために使用できます。 コマンドを起動する方法の詳細については、記事「リモートコンピューターでコマンドを実行する1000 ++の方法」を参照してください。

もちろん、ドメイングループポリシーの構造を知っていても、ポリシーの作成と管理に便利なツールを作成することを妨げるものは何もありません。 コメントで共有します。ユーザーマシンのレジストリを構成する独自の方法はありますか？