Ошибка «Администратор вашей сети применил групповую политику, которая не позволяет выполнить установку»

Суть ошибки при установке Хрома

Если вчитаться в сообщение, можно понять, что причина в настройках групповой политики. Обычно их настраивает системный администратор. Главная цель установки таких настроек заключается в защите корпорации от проникновения сторонних программ. Это очень важно для предотвращения заражения коммерческих и государственных сетей. Со сторонними программами в систему могут проникнуть вирусы, а это чревато потерей миллионов долларов. Не менее важная цель – повышение работоспособности сотрудников. Администраторы предотвращают установку развлекательных приложений.

Не редкость и появление ошибки на компьютерах, предназначенных для домашнего использования. Здесь путаницы больше, так как пользователь выступает и администратором.

Что провоцирует ошибку:

• Скорее всего причина банальна – неправильно установленные программы на компьютере. Они изменяют параметры реестра и групповой политики. Битые настройки как раз и приводят к ошибкам. Особенно часто неисправность появляется после установки AVG PC TuneUp;
• Повреждение реестра Windows;
• Системный сбой.

Время перейти ко способам исправления ошибки «групповая политика, которая не позволяет выполнить установку».

Способ 1: запуск с правами админа

В системах, где установлен брандмауэр в режиме повышенной защиты, для установки программ нужны права администратора. Нужно их предоставить, тогда получится добавить Chrome в систему.

Как это сделать:

1. Кликнуть правой кнопкой мыши по установщику.
2. Выбрать опцию «Запуск от имени администратора».

Способ 2: удаление нескольких параметров реестра

Данный метод позволяет изменить настройки некоторых параметров групповых политик. После их изменения система начнёт лояльнее относиться к установке ПО.

Как настроить реестр:

1. Одновременно нажать на клавиши Win + R.
2. В новой строке ввести слово regedit и нажать Enter.
3. В редакторе реестра следовать по пути HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows.
4. Проверить наличие подраздела Installer. Если он есть, следует удалить каталог и все значения из него.
5. Повторить пункт 3 и 4, но изначально выбрать ветку HKEY_CURRENT_USER – все остальные каталоги идентичны.
6. Закрыть утилиту редактирования и перезапустить ПК.

Теперь установка должна пройти без проблем.

Способ 3: удаление параметров реестра из раздела Google

В реестре есть ещё одно место, где может крыться причина сбоя – это ветка с параметрами Google.

Алгоритм действий:

1. Перейти в редактор реестра (пункт 1 и 2 прошлой инструкции).
2. Выбрать раздел HKEY_LOCAL_MACHINESOFTWAREPolicies.
3. Выделить каталог Google и нажать на кнопку Del на клавиатуре.
4. Закрыть реестр и перезагрузить ПК.

Способ 4: использование прав главного администратора

На самом деле даже при наличии прав админа, в Windows есть те разделы, которые защищены правами системного администратора. Эти права скрыты и по умолчанию не выдаются пользователю. Обычно данные права не нужны для установки, но подобный баг встречается в Виндовс. Чтобы исправить проблему, следует заполучить нужные права.

Как их получить:

1. Сделать клик ПКМ по кнопке «Пуск» и выбрать «Командная строка (администратор)».
2. Ввести в консоль net user administrator /active:yes и нажать

Способ 5: восстановить настройки групповой политики

Суть метода заключается в удалении файлов с настройками групповой политики и повторное создание файла с нуля.

Инструкция:

1. Зажать Win + R, ввести cmd и нажать Ввод.
2. Добавить в консоль команду RD /S /Q «%WinDir%System32GroupPolicyUsers».
3. Затем ввести RD /S /Q «%WinDir%System32GroupPolicy».
4. После удаления файлов следует обновить настройки командой gpupdate /force.
5. Перезапустить компьютер.

Один из способов поможет обойти или исправить неправильные настройки групповой политики. Важно понимать, что режим повышенной безопасности в корпорациях установлен не просто так. Подобные действия стоит выполнять только на домашнем компьютере. Дома лучше начинать исправление проблемы со второго и третьего способа, они наиболее эффективны и просты в реализации.

Администратор вашей сети применил групповую политику хром

При установке программ или компонентов в Windows 10, 8.1 или Windows 7, вы можете столкнуться с ошибкой: окно с заголовком «Установщик Windows» и текстом «Данная установка запрещена политикой, заданной системным администратором». Как итог, программа не устанавливается.

В этой инструкции подробно о способах решить проблему с установкой ПО и исправить ошибку. Для исправления, ваша учетная запись Windows должна иметь права администратора. Схожая ошибка, но имеющая отношение к драйверам: Установка этого устройства запрещена на основании системной политики.

Отключение политик, запрещающих установку программ

При появлении ошибки установщика Windows «Данная установка запрещена политикой, заданной системным администратором» в первую очередь следует попробовать посмотреть, заданы ли какие-либо политики, ограничивающие установку ПО и, если таковые имеются, удалить или отключить их.

Просмотр политик установки в редакторе локальной групповой политики

Для Windows 10, 8.1 и Windows 7 Профессиональной и корпоративной вы можете использовать следующие шаги:

1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
2. Зайдите в раздел «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Установщик Windows».
3. В правой панели редактора убедитесь, что никакие политики ограничения установки не заданы. Если это не так, дважды кликните по политике, значение которой нужно изменить и выберите «Не задано» (это значение по умолчанию). С помощью редактора реестра

   Проверить наличие политик ограничения установки ПО и удалить их при необходимости можно и с помощью редактора реестра. Это будет работать и в домашней редакции Windows.

   1. Нажмите клавиши Win+R, введите regedit и нажмите Enter.
   2. В редакторе реестра перейдите к разделуи проверьте, есть ли в нем подраздел Installer. Если есть — удалите сам раздел или очистите все значения из этого раздела. Дополнительные методы исправить ошибку «Данная установка запрещена политикой»

      Если предыдущий вариант не помог, можно попробовать следующие два способа (первый — только для Pro и Enterprise редакций Windows).

      1. Зайдите в Панель управления — Администрирование — Локальная политика безопасности.
      2. Выберите «Политики ограниченного использования программ».
      3. Если политики не определены, нажмите правой кнопкой мыши по «Политики ограниченного использования программ» и выберите «Создать политику ограниченного использования программ».
      4. Дважды нажмите по «Применение» и в разделе «Применять политику ограниченного использования программ» выберите «всех пользователей, кроме локальных администраторов».
      5. Нажмите Ок и обязательно перезагрузите компьютер.

      Проверьте, была ли исправлена проблема. Если нет, рекомендую снова зайти в этот же раздел, нажать правой кнопкой по разделу политик ограниченного использования программ и удалить их.

      Второй метод также предполагает использование редактора реестра:

      1. Запустите редактор реестра (regedit).
      2. Перейдите к разделуи создайте (при отсутствии) в нем подраздел с именем Installer
      3. В этом подразделе создайте 3 параметра DWORD с именами DisableMSI, DisableLUAPatching и DisablePatch и значением 0 (ноль) у каждого из них.
      4. Закройте редактор реестра, перезагрузите компьютер и проверьте работу установщика.

      Если ошибка возникает при установке или обновлении Google Chrome, попробуйте удалить раздел реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesGoogle — это может сработать.

      Думаю, один из способов поможет вам решить проблему, а сообщение о том, что установка запрещена политикой больше не появится. Если же нет — задавайте вопросы в комментариях с подробным описанием проблемы, я постараюсь помочь.

      При попытке установить и запустить установщик браузера Гугл Хром пользователь может столкнуться с сообщением «Администратор вашей сети применил групповую политику, которая не позволяет выполнить установку». Обычно подобная ошибка возникает при попытке установить Хром на казённом компьютере (например, в школе или университете). Но бывают и ситуации, что она возникает и на домашнем ПК у пользователя, который никак не менял настройки групповых политик. Ниже разберём суть данной дисфункции, а также рассмотрим, как её можно исправить.

      Что значит ошибка — Администратор вашей сети применил групповую политику в Хром

      Как следует из текста ошибки, она возникает в ситуации, когда администратор сети настроил групповые политики на ПК с целью воспрепятствовать установке нового софта (в частности, браузера Хром). Это довольно часто встречается в каких-либо государственных или муниципальных учреждениях, где админы сети стараются избежать заражения сети вирусами. Настройки групповых политик таких ПК блокируют установку сторонних программ, тем самым препятствуя потенциальному заражению сети.

      Тем не менее часто ошибка «групповая политика не позволяет выполнить установку» фиксируется и на домашних ПК. Владелец такого ПК одновременно является и администратором сети, что вызывает множество вопросов при появлении данной ошибки. Её причинами в данном случае является:

      Некорректная работа недавно установленных на ПК программ . Такие программы меняют настройки ОС Виндовс (в частности системный реестр) на некорректные значения. В частности, в подобном замечен «AVG PC TuneUp», после которого рассматриваемая ошибка становится актуальной;

      AVG PC TuneUp — частая причина проблемы

   3. Повреждение системного реестра ;
   4. Сбой в работе ОС Виндовс .

   Разберёмся, как исправить ошибку «групповая политика не позволяет выполнить установку» на вашем ПК.

   Также в другом нашем материале мы разобрали похожую ошибку Sorry Google Chrome can’t run this app.

   Действие 1. Запустите установочный файл от администратора

   В некоторых случаях причиной возникшей проблемы является запуск установочного файла Хром с недостаточными правами. Для запуска установщика с правами администратора наведите курсор на сам файл, щёлкните ПКМ, выберите «Запуск от имени администратора».

   Запустите инсталлятор от админа

   Действие 2. Модифицируйте ряд значений системного реестра

   Эффективным способом избавиться от ошибки «Администратор вашей сети применил групповую политику, которая не позволяет выполнить установку» является модификация ряда ключей системного реестра. Выполните следующее:

   • Нажмите Win+R в ОС Виндовс;
   • В появившемся окне наберите regedit и нажмите ввод;
   • В появившемся окне реестра Виндовс перейдите по пути:
   В окне справа вы увидите ряд ключей. Наведите на каждый из них курсор, кликните правой клавишей мышки, выберите «Изменить» (Modify). Установите значения для данных ключей на 1;

   Измените значения ключей на 1

4. Закройте системный реестр и перезагрузите ваш ПК.

Действие 3. Удалите ветку Google в системном реестре

Другим эффективным способом решить ошибку «Администратор вашей сети применил групповую политику» является удаление одной из веток Гугл в системном реестре. Выполните следующее:

• Нажмите на Win+R;
• В появившемся окне наберите regedit и нажмите ввод;
• В открывшейся ветке реестра идём по пути

• Устанавливаем курсор мышки на Google (справа), жмём ПКМ, выбираем «Удалить»;
• Сохраняем изменения реестра и перезагружаем ПК.

Удалите данную ветку Гугл в системном реестре

Также вас может заинтересовать наш материал о том, как исправить ошибку ERR_INSECURE RESPONSE.

Действие 4. Используйте скрытый аккаунт администратора

В некоторых случаях (сбой ПК) вы можете не являться реальным администратором ПК, считая себя таковым. Это баг, и он может быть исправлен с помощью активации спрятанного аккаунта администратора. Включите его следующим образом:

• Запустите командную строку от админа;
• Введите в ней:

и нажмите ввод. После этого попробуйте запустить нужный файл.

Выполните указанную команду

Действие 5. Сбросьте настройки групповых политик

Кардинальным способом решить проблему является сброс настроек групповых политик ПК. Выполните следующее:

• Запустите от админа командную строку;
• В ней последовательно наберите следующие команды:

Перезагрузите ваш PC.

Задействуйте перечисленные выше команды

Заключение

Появление ошибки «Администратор вашей сети применил групповую политику, которая не позволяет выполнить установку» в случае установки Хром обычно является багом, вызванным работой ряда программ. Если вы не являетесь гостем в какой-либо служебной сети, рекомендуем второй и третий способ решения проблемы (работа с системным реестром), после чего дисфункция бывает решена. Если ничего не помогло, попробуйте откатить вашу Виндовс на более ранее состояние, это помогает в небольшом количестве случаев.

При работе в браузере вы заметили, что поисковая система была изменена, причём без вашего ведома. И за место хорошо знакомого вам Google или Яндекс теперь при попытке ввода того или иного поискового запроса открывается совсем другой поисковик, в котором результаты поиска зачастую неудовлетворительны.

Естественным желанием в данной ситуации является возвращение давно знакомой и популярной поисковой системы Google или Яндекс. Вы заходите в настройки браузера, дабы сменить поисковую систему, но не можете это сделать. При попытке переключения поисковика выводится сообщение о том, что «Этот параметр включён администратором» (англоязычным вариантом данного сообщения является «This setting is enforced by your administrator»).

Данную проблему мы и будем решать в этом материале.

Содержание:

Почему возникло сообщение «Этот параметр включён администратором» в браузере

Несанкционированное изменение поисковой системы произошло по причине активности какого-либо приложения, которое запускалось на вашем компьютере и имело в своём составе вредоносные или нежелательные элементы.

В результате в системных настройках были прописаны параметры, которые и вызвали блокировку смены поисковой системы в браузере.

Как убрать «Этот параметр включён администратором» и изменить поисковую систему

Мы осуществим удаление ранее прописанных параметров, которые привели к запрету изменения поисковой системы в интернет браузере. Сам браузер на момент проведения манипуляций должен быть закрыт.

1. Чаще всего параметры блокировки прописываются в «групповых политиках». Мы сбросим данные параметры в состояние «по умолчанию». Для этого необходимо запустить командную строку от имени администратора (как это сделать) и далее в окне командной строки поочерёдно вписать приведённые ниже команды ( после ввода каждой команды необходимо нажимать Enter ):

Первые две команды приводят параметры групповой политики в первоначальное состояние, а третья строка обновляет параметры групповой политики.

Закройте окно командной строки. Перезагрузите компьютер и попробуйте изменить поисковую систему в браузере.

Если после осуществлённых манипуляций проблема осталась, то это значит, что помимо параметров в групповых политиках, были ещё дополнительно прописаны параметры в реестре. В следующем шаге мы будем удалять и их.

Откройте редактор реестра (как это сделать). В открывшемся окне редактора перейдите по пути:

Там будет несколько параметров. Нас интересуют два из них:

• DefaultSearchProviderEnabled – данный параметр реестра отвечает за назначение поисковой системы по умолчанию. Необходимо кликнуть по нему и в открывшемся окне сменить значение с цифры 1, на цифру 0. Сделав это – нажмите OK.
• DefaultSearchProviderSearchURL – второй интересующий нас параметр. В данном параметре традиционно прописывается адрес установленной поисковой системы.
  Кликните по данному параметру и удалите всё, что вписано в строке «Значение». По окончании нажмите OK.

Закройте окно редактора реестра и осуществите перезагрузку ПК. По загрузке системы запустите браузер и измените поисковую систему на желаемую.

Стоит заметить, что если у вас отсутствует антивирусное программное обеспечение или используемые им базы вредоносного ПО давно не обновлялись, то проблема с несанкционированной сменой поисковой системы в браузере можете повториться. Всегда используйте антивирусное программное обеспечение и вовремя обновляйте его базы.
Если вы пока не планируете установку антивирусного программного обеспечения, то вы всё равно можете проверить систему, воспользовавшись для этого бесплатным и работающим без фактической установки в систему антивирусным сканером Dr.Web CureIt!

В свою очередь, Вы тоже можете нам очень помочь.

Просто поделитесь статьей в социальных сетях с друзьями.

Поделившись результатами труда автора, вы окажете неоценимую помощь как ему самому, так и сайту в целом. Спасибо!

“>

Управление Google Chrome через групповые политики (GPO)

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов России Pyatilistnik.org. В прошлой статье мы с вами устранили проблему со звуком в Windows 10. Сегодня я хочу вас научить массовому управлению и настройке браузера Google Chrome в домене Active Directory с помощью групповых политик GPO. Благодаря этому вы будите экономить время на рядовую настройку, но и сможете подбирать индивидуальные конфигурации под каждый отдел или пользователя.

Постановка задачи

Так как у вас есть развернутая инфраструктура Active Directory на базе Windows Server 2019 или по ниже, то у вас есть возможность централизованного управления компьютерами с помощью групповых политик. На текущий момент исходя из статистики браузеров, Google Chrome является самым популярным во всем мире и в большинстве организаций он установлен браузером по умолчанию. Вы как системный администратор просто обязаны уметь его администрировать под разные ситуации выдвигаемые бизнесом, и благо что это возможно сделать из привычного вам инструмента.

Ниже мы с вами научимся:

1. Скачивать и устанавливать шаблон групповых политик (ADMX) для Google Chrome
2. Создавать политику управления Google Chrome
3. Применять политику управления Google Chrome

Загрузка шаблона политики Google Chrome

После того, как браузер Chrome установлен на корпоративных компьютерах ваших пользователей, вы можете использовать предпочитаемые локальные инструменты для применения политик на этих устройствах. Используя групповую политику Windows или предпочитаемый инструмент конфигурации для Mac или Linux. Чтобы помочь с настройкой политики, Google предоставляет ADMX шаблоны, которые вы можете легко установить и обновить. ADMX шаблон — это по сути набор правил, которые могут изменять настройки реестра на компьютерах

Вы можете установить политики на уровне устройства, которые будут применяться независимо от того, используют ли пользователи браузер Chrome или входят в какую-либо учетную запись. Вы можете установить политики уровня пользователя, которые применяются при входе определенных пользователей на устройство. Вы можете применять политики, которые пользователи не могут изменять.

Первое, что вы должны сделать, это загрузить шаблон ADM и ADMX. Скачать архив вы можете по официальной ссылке:

На выходе у вас будет zip архив, который вы должны распаковать. Внутри архива будет три папки:

• chromeos — шаблоны для управления операционной системой chromeos
• common — В данной папке будут файлы с описаниями всех настроек
• windows — сами шаблоны ADM и ADMX для управления Google Chrome в Active Directory

Файлы chrome_policy_atomic_groups_list и chrome_policy_list покажут вам полное содержимое.

Вот пример содержимого:

Для Chromium и Google Chrome действуют одни и те же правила. В этом документе могут приводиться неизданные правила (т. е. те, которые действуют для ещё не изданных версий Google Chrome). Такие правила могут быть изменены или удалены без предупреждения, и для них не действуют никакие гарантии, в том числе те, которые касаются безопасности и конфиденциальности.

Эти правила предназначены исключительно для настройки параметров, связанных с использованием Google Chrome внутри вашей организации. Использование этих правил вне организации (например, в публично распространяемой программе) может привести к тому, что Google и известные антивирусы будут считать ваш продукт вредоносным.

Еще хочу обратить внимание на то, что в папке policy_templates\windows\examples есть файл chrome.reg. В chrome.reg содержится пример для настройки реестра, вы его можете импортировать, как и с локального компьютера, так и через групповые политики.

Импортирование административного шаблона Google Chrome

Далее если вы планируете использование шаблона Google Chrome в Active Directory, то вы должны импортировать файлы ADM и ADMX в ваше хранилище административных шаблонов GPO, которое должны создать заранее, в противном случаем вам придется использовать папку C:\Windows\PolicyDefinitions на каждом компьютере, согласитесь, что это не самый умный вариант, бегать по всем и копировать туда политику, еще я покажу про локальное импортирование через оснастку GPMC.

Напоминаю, что в централизованном хранилище есть папка:

\короткое имя домена\SYSVOL\FQDN имя домена\Policies\PolicyDefinitions в моем примере \\root\SYSVOL\root.pyatilistnik.org\Policies\PolicyDefinitions

Далее вы берете и копируете в нее папки из:

• • policy_templates\windows\admx папки en-US, ru-RU,файлы chrome.admx и google.admx

• C:\policy_templates\windows\adm папки en-US, ru-RU

В результате этой манипуляции у вас должны появиться шаблоны управления Google Chrome.

Если у вас нет централизованного хранилища групповых политик, то вы можете сделать импортирование шаблонов. Откройте оснастку «Управление групповой политикой«, сделать это лучше всего через вызов окна «Выполнить» ведя в нем gpmc.msc.

Далее нам необходимо создать новую групповую политику, для этого выберите нужное подразделение в вашей иерархии Active Directory, кликните по OU правым кликом и выберите пункт «Создать объект групповой политики в этом домене и связать его«.

Задаем ее именование, в моем примере это будет «Управление политиками Chrome», у вас будет исходя из ваших стандартов.

Переходим к редактированию созданной политики.

хочу отметить, что перед редактированием, хотя и после вы можете сразу настроить WMI GPO фильтры для того, чтобы политика применялась исключительно на определенное оборудование или произвести фильтрацию GPO, чтобы применить например к определенной группе или пользователю.

Напоминаю, что политики можно применять на пользователя и на компьютер, но это не принципиально куда вы их будите импортировать. Откройте:

Конфигурацию компьютера — Политики — Административные шаблоны

Щелкаем по ним правым кликом и выбираем пункт «Добавление и удаление шаблонов», это и есть импорт административных шаблонов.

У вас откроется окно «Добавление и удаление шаблонов«, через кнопку «Добавить» выберите ваш ADM шаблон. Я выбрал русскую версию.

Далее у вас в списке появится ваш шаблон. Обращаю внимание, что в рамках одного объекта GPO вы без перезаписи не сможете подгрузить два ADM шаблона.

Обратите внимание, что у вас в административных шаблонах появился раздел «Классические административные шаблоны (ADM)» и под папка Google. В этой папке будет два вида настроек:

• Google Chrome — которые конечный пользователь не сможет изменить
• Google Chrome — Настройки по умолчанию (пользователи могут менять). Это можно сравнить с рекомендательными настройками.

На этом импорт административного шаблона по настройке и управлению браузером Google Chrome через средства групповых политик, можно считать завершенным.

Настройка политики по управлению параметрами Chrome через GPO

Тестировать я все политики буду на тестовой виртуальной машине с Windows 10. На данной тестовой системе есть браузер Google Chrome версия 79.0.3945.79 (Официальная сборка), (64 бит), на нем мы и будем производить эксперименты.

Раздел Google Cast

Google Cast — это собственный протокол, разработанный Google, который позволяет мобильным устройствам и персональным компьютерам запускать и контролировать воспроизведение потокового аудио/видео на совместимом устройстве, например цифровой мультимедийный проигрыватель подключенный к телевизору высокой четкости или домашней аудио системе.

• Включить Google Cast — Если выбрано значение «Включено» или правило не задано, пользователи смогут запускать Google Cast из меню приложения и контекстных меню страницы, а также с помощью элементов управления на сайтах с поддержкой Cast или через значок Cast на панели инструментов (если он есть). Если выбрать значение «Отключено», функция Google Cast будет отключена.

• Показывать значок Google Cast — Если выбрано значение «Включено», значок Google Cast будет виден на панели инструментов или в дополнительном меню и пользователи не смогут удалить этот значок. Если выбрано значение «Отключено» или политика не задана, пользователи смогут закрепить или удалить значок через его контекстное меню. Если для политики EnableMediaRouter выбрано значение «Отключено», то значок Google Cast будет скрыт.

Раздел HTTP-аутентификация

Данный раздел, раньше назывался «Правила для HTTP-аутентификации» в его состав входят:

• Поддерживаемые протоколы аутентификации — данная настройка позволяет выбрать, какие схемы HTTP-аутентификации будут поддерживаться браузером Google Chrome. Среди возможных значения basic, digest, ntlm и negotiate. Можно указать несколько значений через запятую.Если правило не настроено, используются все четыре схемы.

• Отключить поиск записи CNAME при запросе на аутентификацию Kerberos — Указывает, создано ли название SPN Kerberos на основе канонического имени DNS или является оригинальным. Если этот параметр включен, поиск CNAME не выполняется, а название сервера используется в том виде, в каком оно было указано. Если он отключен, каноническое название сервера будет определяться с помощью поиска CNAME.

• Включить нестандартный порт в имя SPN Kerberos — данный параметр позволяет задать нестандартный порт в созданное название SPN Kerberos. Если этот параметр активен и указан нестандартный порт (то есть любой порт, кроме 80 или 443), будет включен в созданное название SPN Kerberos. Если этот параметр неактивен, в созданном названии SPN Kerberos порт не указывается.

• Белый список аутентификации сервера — Если просто, то это настройка для сквозной аутентификации SSO в в Google Chrome. созданное название SPN Kerberos. Если этот параметр активен и указан нестандартный порт (то есть любой порт, кроме 80 или 443), он будет включен в созданное название SPN Kerberos. Если этот параметр неактивен, в созданном названии SPN Kerberos порт не указывается.

• Белый список серверов Kerberos для передачи прав — Так же нужен для SSO. Определяет серверы, которым Google Chrome предоставляет учетные данные пользователей. Допускается указание названий серверов через запятую и использование подстановочных знаков (*). Если это правило не задано, Google Chrome не будет передавать учетные данные пользователя серверам, в том числе находящимся в сети интранет.

• Встречные запросы базовой аутентификации HTTP — Управляет отображением на странице всплывающих окон с запросами базовой аутентификации HTTP для стороннего вложенного содержания. Как правило, эта функция отключена в целях защиты от фишинга. Если это правило не настроено, эта функция также отключена, и стороннее вложенное содержание не может выводить запросы базовой аутентификации HTTP.

Раздел Legasy Browser Support

Данный раздел необходим для настройки устаревших версий браузера, тут есть вот такие настройки:

• Запуск альтернативного браузера для сайтов из списка — Это правило определяет, с помощью какой команды открывать URL в альтернативном браузере. Если правило не настроено, используется браузер по умолчанию конкретной платформы: Internet Explorer для Windows и Safari для macOS. В Linux запустить альтернативный браузер в этом случае не получится. Если задано значение ${ie}, ${firefox}, ${safari} или ${opera}, будет запущен соответствующий браузер, если он установлен. Параметр ${ie} доступен только для Windows, а ${safari} – только для Windows и macOS X. Если в качестве значения в правиле указан путь к файлу, этот файл будет использоваться как исполняемый.

• Параметры командной строки для альтернативного браузера — Это правило определяет параметры командной строки для запуска альтернативного браузера. Если правило не настроено, в качестве параметра командной строки передается только URL. Если в правиле задан список строк, каждая из них передается в альтернативный браузер как отдельный параметр командной строки. В Windows параметры разделяются пробелами. В macOS и Linux параметры с пробелами могут обрабатываться как один параметр.Если элемент списка содержит переменную ${url}, то вместо нее будет подставлен URL открываемой страницы. Если в элементах списка нет переменной ${url}, URL появится в конце командной строки. Переменные среды расширены. В Windows значение переменной среды ABC передается символом %ABC%. В macOS X и Linux значение переменной среды ABC передается символом ${ABC}.

• Путь для запуска Chrome из альтернативного браузера — Это правило определяет, с помощью какой команды открывать URL в Google Chrome при переключении из Internet Explorer. Если надстройка «Поддержка альтернативного браузера» для Internet Explorer не установлена, это правило действовать не будет. Если правило не настроено, Internet Explorer автоматически определяет путь к исполняемому файлу Google Chrome при запуске Google Chrome из Internet Explorer. Если правило настроено, оно будет использоваться для открытия Google Chrome при запуске Google Chrome из Internet Explorer. Кроме того, для правила можно указать путь к исполняемому файлу или добавить переменную ${chrome}, чтобы папка, в которой установлен браузер Chrome, определялась автоматически.

• Параметры командной строки для перехода из альтернативного браузера — Это правило определяет параметры командной строки для запуска Google Chrome из Internet Explorer. Если надстройка «Поддержка альтернативного браузера» для Internet Explorer не установлена, это правило действовать не будет. Если правило не настроено, Internet Explorer будет передавать Chrome только URL в качестве параметра командной строки.Если в правиле задан список строк, они будут разделены пробелами и переданы в Chrome как параметры командной строки. Если элемент списка содержит переменную ${url}, то вместо нее будет подставлен URL открываемой страницы. Если в элементах списка нет переменной ${url}, URL появится в конце командной строки. Переменные среды расширены. В Windows в название переменной среды %ABC% подставляется ее значение ABC.

• Задержка перед запуском альтернативного браузера (в миллисекундах) — Это правило определяет длительность ожидания перед запуском альтернативного браузера (в миллисекундах). Если правило не настроено или для него задано значение «0», Chrome будет запускать определенные URL сразу в альтернативном браузере. Если для правила задано числовое значение, оно будет определять количество миллисекунд, в течение которых Chrome будет показывать сообщение, а затем открывать альтернативный браузер.

• Включить функцию «Поддержка альтернативного браузер» — Данное правило настраивает в Google Chrome включение поддержки альтернативного браузера. Если правило не настроено или для него задано значение false, Chrome не будет запускать определенные URL в альтернативном браузере. Если указано значение true, Chrome будет открывать некоторые URL в альтернативном браузере (например, Internet Explorer). Для настройки этой функции используются правила из группы «Legacy Browser support». Функция используется вместо расширения «‘Legacy Browser Support'». Настройки, заданные для расширения, будут перенесены в эту функцию, но мы настоятельно рекомендуем использовать вместо них правила Chrome. Это позволит обеспечить лучшую совместимость в будущем.

• URL XML-файла, содержащего список URL, которые должны загружаться в альтернативном браузере
• URL XML-файла, содержащего список URL, которые никогда не должны открываться в другом браузере
• Оставлять открытой последнюю вкладку в Chrome
• Сайты, которые должны открываться в альтернативном браузере
• Сайты, которые никогда не должны открываться в другом браузере
• Использовать правило SiteList из Internet Explorer для расширения «Поддержка альтернативного браузера»

Настройка главной и домашней страницы Google Chrome через GPO

• Отображать кнопку «Главная страница» на панели инструментов — Отображает кнопку главной страницы на панели инструментов Google Chrome. Если этот параметр включен, кнопка всегда отображается; если он отключен, кнопка никогда не отображается. Когда этот параметр включен или выключен, пользователи не могут изменить его значение в Google Chrome. Если он не задан, пользователи могут сами выбрать, отображать ли кнопку главной страницы.

Откроем на тестовой виртуальной машине браузер Google Chrome, найдите меню «Настройки«, кстати обратите внимание, что чуть ниже вам сообщат, что Chrome теперь управляется вашей организацией, это и есть указание на групповую политику.

Во внешнем виде у вас будет заблокирована опция «Показать кнопку главная страница» и значок на то, что управляется через групповую политику на уровне организации.

• Настройка URL домашней страницы — Настраивает URL главной страницы по умолчанию в Google Chrome и запрещает пользователям изменять его. Главная страница открывается при нажатии соответствующей кнопки. Страницы, открывающиеся при запуске браузера, определяются правилом RestoreOnStartup.

В качестве главной страницы можно указать определенный URL или использовать страницу быстрого доступа. В последнем случае это правило действовать не будет. Если вы включите эту настройку, пользователи не смогут изменить URL главной страницы в Google Chrome, но у них будет возможность установить вместо нее страницу быстрого доступа. Если правило не настроено, пользователи могут самостоятельно выбирать главную страницу (при условии, что не действует правило HomepageIsNewTabPage).

Я для тестирования назначу адрес своего блога http://pyatilistnik.org. Напоминаю, что это адрес сайта при нажатии на кнопку главная страница и выключить правило «Сделать страницу быстрого доступа главной». Обновим групповую политику на клиентской Windows 10 и проверим настройку.

• Сделать страницу быстрого доступа главной — Настраивает тип главной страницы по умолчанию в Google Chrome и запрещает пользователям менять ее настройки. В качестве главной страницы можно выбрать определенный URL или страницу быстрого доступа. Если этот параметр включен, в качестве главной страницы всегда используется страница быстрого доступа, а заданный URL главной страницы игнорируется. Если этот параметр отключен, страница быстрого доступа будет открываться, только когда в качестве URL главной страницы указан путь chrome://newtab.

Когда этот параметр включен или отключен, пользователи не могут выбирать тип главной страницы в Google Chrome. Если значение не установлено, пользователи могут самостоятельно выбрать, устанавливать ли страницу быстрого доступа в качестве главной страницы. Правило можно установить только на устройствах Windows, входящих в домен Microsoft Active Directory, а также на устройствах Windows 10 Pro или Enterprise, зарегистрированных в консоли администратора.

• Настройка URL страницы быстрого доступа — Настраивает используемый по умолчанию URL страницы быстрого доступа и запрещает пользователям его изменять.
  Страница быстрого доступа появляется, когда пользователь открывает новую вкладку или окно. Это правило не определяет, какие страницы открываются при запуске браузера. Для этого применяется правило RestoreOnStartup. Однако если страница быстрого доступа используется в качестве главной или стартовой страницы, это правило также распространяется и на них. Если правило не задано или URL не указан, используется страница быстрого доступа, установленная по умолчанию. Правило можно установить только на устройствах Windows, входящих в домен Microsoft Active Directory, а также на устройствах Windows 10 Pro или Enterprise, зарегистрированных в консоли администратора.

Раздел диспетчер паролей

• Включить сохранение паролей — Если параметр включен, пользователи могут сохранять пароли в Google Chrome, чтобы они автоматически вводились при следующем входе на сайт. Если параметр отключен, пользователям нельзя сохранять новые пароли, но по-прежнему разрешается использовать уже сохраненные. Если правило включено или отключено, пользователи не могут изменить или перезаписать его в Google Chrome. Если правило не настроено, сохранение паролей разрешено, но пользователи могут отключить эту функцию. С точки зрения безопасности я советую запрещать пользователям сохранять пароли в виду возможной компрометации. Уверяю вас, что будут возмущенные сотрудники, но их всегда можно спроваживать в отдел информационной безопасности.

Проверить применение настроек данной политики вы можете на странице chrome://settings/passwords

• Включить проверку учетных данных на утечку — Это абсолютно новая функция, которая была реализована в Google Chrome 79. Это правило позволяет принудительно включить или отключить в Google Chrome проверку утечки учетных данных. Учтите, что даже когда для этого правила задано значение True, оно не будет действовать, если отключен Безопасный просмотр (с помощью правила или пользователем). Чтобы принудительно включить Безопасный просмотр, используйте правило SafeBrowsingEnabled.
  Если это правило включено или отключено, пользователи не смогут изменить или переопределить его в Google Chrome. Если правило не настроено, то проверка утечки учетных данных разрешена, но пользователь может ее отключить.

Раздел настройки безопасности просмотра

Данный раздел позволяет задать через групповые политики некоторые политики безопасности в Chrome:

• Включить безопасный просмотр — Включает функцию безопасного просмотра в Google Chrome и запрещает пользователям менять эту настройку. Если правило включено, безопасный просмотр будет всегда активен. Если правило отключено, безопасный просмотр будет всегда неактивен. Если правило включено или отключено, пользователи не смогут изменить или перезаписать настройку «Включить защиту от фишинга и вредоносного ПО» в Google Chrome.
  Если значение не задано, безопасный просмотр будет включен, но пользователь сможет изменить эту настройку.

• Включает передачу расширенных отчетов Безопасного просмотра —  Google Chrome и запрещает пользователям менять этот параметр. Расширенные отчеты, включающие содержимое страниц и системную информацию, отправляются на серверы Google. Это помогает распознавать опасные приложения и сайты. Если задано значение True, система будет создавать и отправлять отчеты в случае необходимости (например, при появлении межстраничного предупреждения об опасности). Если задано значение False, система не будет отправлять отчеты. Если задано значение True или False, пользователи не смогут изменить этот параметр. Если значение не задано, пользователи смогут решать, отправлять отчеты или нет, и менять этот параметр.

• Настраивает список доверенных доменов для режима безопасного просмотра — Опасные ресурсы (например, фишинговые или ресурсы с вредоносным или нежелательным ПО) не будут проверяться в режиме безопасного просмотра, если URL будет содержать один из доменов, указанных в этом списке. Файлы, скачанные из этих доменов, не будут проверяться службой защиты загрузок. Если URL страницы будет содержать один из доверенных доменов, служба защиты паролей не будет следить за повторным использованием паролей. Если этот параметр включен, доверенные домены не будут проверяться в режиме безопасного просмотра.Если параметр не установлен или отключен, функция безопасного просмотра будет по умолчанию проверять все ресурсы. Правило можно установить только на устройствах Windows, входящих в домен Microsoft Active Directory, а также на устройствах Windows 10 Pro или Enterprise, зарегистрированных в консоли администратора.

• Тригер, при котором будет получено предупреждение от защиты паролем — Правило позволяет управлять триггером, при срабатывании которого пользователь получает предупреждение от службы защиты паролей о повторном вводе пароля на подозрительном сайте. Для определения пароля, нуждающегося в защите, можно использовать правила PasswordProtectionLoginURLs и PasswordProtectionChangePasswordURL. Если задано значение PasswordProtectionWarningOff, предупреждения не появляются. Если задано значение PasswordProtectionWarningOnPasswordReuse, предупреждение от службы защиты паролей появляется, когда пользователь повторно вводит пароль Google на сайте, не внесенном в белый список. Если задано значение PasswordProtectionWarningOnPhishingReuse, предупреждение от службы защиты паролей появляется, когда пользователь повторно вводит пароль Google на фишинговом сайте. Если значение не задано, служба защиты паролей будет контролировать только пароли Google. Пользователи могут изменить эту настройку самостоятельно.

• Настроить список веб страниц для входа в корпоративный аккаунт, на которых сервис защиты паролей должен записывать цифровой отпечаток пароля — Настраивает список URL для входа в корпоративный аккаунт (только для протоколов HTTP и HTTPS). На этих страницах будет регистрироваться цифровой отпечаток пароля для определения повторного ввода. Чтобы цифровые отпечатки паролей корректно сохранялись в Google Chrome, страницы входа должны соответствовать требованиям, перечисленным в инструкции по адресу https://www.chromium.org/developers/design-documents/create-amazing-password-forms. Если правило включено, цифровой отпечаток будет сохранен в службе защиты паролей для определения повторного ввода пароля на странице входа. Если значение не установлено или правило отключено, цифровые отпечатки будут сохраняться в службе защиты паролей только на странице https://accounts.google.com. Правило можно установить только на устройствах Windows, входящих в домен Microsoft Active Directory, а также на устройствах Windows 10 Pro или Enterprise, зарегистрированных в консоли администратора.

• Настроить URL страницы смены пароля — Настраивает URL для смены пароля (только для протоколов HTTP и HTTPS). Служба защиты паролей перенаправляет пользователей на указанную страницу, чтобы изменить пароль после появления предупреждения в браузере. Чтобы Google Chrome корректно сохранил новый цифровой отпечаток, страница смены пароля должна соответствовать требованиям, перечисленным на странице https://www.chromium.org/developers/design-documents/create-amazing-password-forms. Если правило включено, служба защиты паролей перенаправляет пользователей на указанный URL, чтобы изменить пароль после появления предупреждения в браузере. Если правило отключено или не настроено, служба защиты паролей перенаправляет пользователей на страницу https://myaccount.google.com. Правило можно установить только на устройствах Windows, входящих в домен Microsoft Active Directory, а также на устройствах Windows 10 Pro или Enterprise, зарегистрированных в консоли администратора.

Раздел настройки контента

• Настройки файлов cookie по умолчанию — Позволяет разрешить или запретить хранение локальных данных. Правило можно задать для всех сайтов. Если вы выберете вариант «Хранить файлы cookie до конца сеанса», учтите следующее: когда Google Chrome работает в фоновом режиме, сеанс не завершается даже после того, как закрываются все окна. Подробную информацию вы найдете в описании правила BackgroundModeEnabled. Если вы не настроите DefaultCookiesSetting, будет действовать правило AllowCookies и пользователи смогут самостоятельно изменить его значение.
• Настройка изображений по умолчанию
• Контроль использования исключений для небезопасного контента
• Настройка JavaScript по умолчанию — Определяет, могут ли сайты запускать JavaScript. Поддержку JavaScript можно разрешить или запретить для всех сайтов. Если это правило не настроено, действует правило AllowJavaScript, но пользователи могут самостоятельно изменить его значение.
• Настройка по умолчанию для Flash — Позволяет разрешить или запретить автоматический запуск плагина Flash на всех сайтах. Плагин Flash можно настроить так, чтобы контент запускался при нажатии. Автоматический запуск плагина Flash разрешен только в доменах, перечисленных в правиле PluginsAllowedForUrls. Чтобы разрешить его на всех сайтах, добавьте в список доменов http://* и https://*. Если правило не настраивать, пользователь сможет сделать это самостоятельно.
• Настройки всплывающих окон по умолчанию — Позволяет запретить или разрешить всплывающие окна на всех сайтах. Если это правило не настроено, действует правило BlockPopups и пользователи могут самостоятельно изменить его значение.
• Настройка уведомлений по умолчанию — Позволяет указать, каким сайтам разрешено отображать уведомления на рабочем столе. По умолчанию можно разрешить показ уведомлений, запретить его или настроить вывод запроса пользователю каждый раз, когда сайт должен показать уведомление. Если это правило не настроено, действует правило AskNotifications и пользователи могут самостоятельно изменить его значение.
• Настройка географического положения
• Контроль использования Web Bluetooth API
• Контроль использования WebUSB API
• Автоматический выбор клиентских сертификатов для сайтов
• Разрешить файлы cookie на этих сайтах — Правило позволяет задать список шаблонов URL для сайтов, которым разрешено сохранять файлы cookie. Если это правило не настроено, для всех сайтов используется глобальное значение по умолчанию на основе правила DefaultCookiesSetting (если оно настроено, в противном случае – на основе пользовательской конфигурации). Также рекомендуем ознакомиться с правилами CookiesBlockedForUrls и CookiesSessionOnlyForUrls. Шаблоны URL в этих трех правилах не должны конфликтовать, поскольку ни одно из правил не имеет приоритета.
• Блокировать файлы cookie на этих сайтах — Правило задает список шаблонов URL для сайтов, которым запрещено сохранять файлы cookie. Если это правило не настроено, для всех сайтов используется глобальное значение по умолчанию на основе правила DefaultCookiesSetting (если оно настроено, в противном случае – на основе пользовательской конфигурации).  Также рекомендуем ознакомиться с правилами CookiesAllowedForUrls и CookiesSessionOnlyForUrls. Шаблоны URL в этих трех правилах не должны конфликтовать, поскольку ни одно из правил не имеет приоритета.
• Файлы Cookie, сохраненные с URL из списка, удаляются после окончания сеанса
• Разрешить показ изображений на этих сайтах
• Блокировать изображения на этих сайтах
• Разрешение небезопастного контента на текущих сайтах
• Блокировка небезопастного контента на текущих сайтах
• Разрешить JavaScript на этих сайтах
• Блокировать JavaScript на этих сайтах
• Использование ранее применяющегося для файлов cookie с атрибутом SameSite по умолчанию
• Вернуться к ранее применявшемуся поведению атрибута Samesite для файлов cookie на этих сайтах
• Разрешить запуск плагина Flash на этих сайтах
• Заблокировать плагин Flash на этих сайтах
• Разрешить всплывающие окна на этих сайтах
• Блокировать всплывающие окна на этих сайтах
• Разрешить уведомления на этих сайтах
• Блокировать уведомления на этих сайтах
• Автоматически разрешать этим сайтам подключение к USB-устройствам с предоставленными идентификаторами поставщика продукта
• Разрешить WebUSB на этих сайтах
• Блокировать WebUSB на этих сайтах

Раздел обмен сообщениями с оригинальными приложениями

• Создание черного списка для хостов обмена сообщениями с оригинальными приложениями — Позволяет настроить черный список для хостов обмена сообщениями с оригинальными приложениями. Указанные в нем хосты не будут загружаться. В черный список, в котором указана звездочка (*), включаются все хосты, за исключением явно добавленных в белый. Если это правило не настроено, Google Chrome будет загружать все установленные хосты.
• Создание белого списка для хостов обмена сообщениями с оригинальными приложениями — Позволяет настроить белый список для хостов обмена сообщениями с оригинальными приложениями. Указанные в нем хосты будут исключены из черного списка.  Если в черном списке указана звездочка (*), в него включаются все хосты. Будут загружаться только те из них, которые перечислены в белом списке. По умолчанию загрузка всех хостов разрешена, но если применяется правило, согласно которому все они входят в черный список, это правило можно переопределить, настроив белый.
• Разрешить установку хостов обмена сообщениями с оригинальными приложениями на уровне пользователей (без разрешения администратора) — Разрешает установку хостов обмена сообщениями с оригинальными приложениями на уровне пользователей. Если параметр включен, Google Chrome разрешает использование установленных на уровне пользователей хостов обмена сообщениями с оригинальными приложениями. Если параметр отключен, Google Chrome будет использовать для обмена сообщениями с оригинальными приложениями только те хосты, которые установлены на уровне системы. Если правило не настроено, Google Chrome разрешает использование хостов обмена сообщениями с оригинальными приложениями на уровне пользователей.

Раздел печать

Далее у нас есть управление печатью Google Chrome через групповые политики, вот пункты из соответствующего раздела:

• Включить печать — Разрешить печать в Google Chrome и запретить пользователям менять эту настройку. Печать возможна, если этот параметр включен или не задан. Если он отключен, пользователи не могут печатать из Google Chrome. Печать будет запрещена в меню «Настройки», расширениях, приложениях JavaScript и т. д. Исключение составляют плагины, отправляющие задания на печать в обход Google Chrome. Например, в контекстном меню некоторых приложений Flash имеется пункт «Печать» – на такие случаи это правило не распространяется.
• Включить прокси-сервер Google Cloud Print — Google Chrome может действовать в качестве прокси-сервера между виртуальным принтером Google Cloud Print и обычными принтерами, подключенными к компьютеру. Если этот параметр включен или не настроен, пользователи могут включить прокси-сервер виртуального принтера, войдя в аккаунт Google. Если этот параметр отключен, пользователи не могут включить прокси-сервер, и принтеры на этом компьютере нельзя будет использовать как Google Cloud Print. Так, что если у вас вдруг не работает принтер в Windows или он ушел в автономную работу, я вам советую проверить данную настройку.
• Разрешить отправку документов на виртуальный принтер Google Cloud Print — Разрешает Google Chrome передавать задания печати на виртуальный принтер Google Cloud Print. ОБРАТИТЕ ВНИМАНИЕ: это правило относится только к поддержке Google Cloud Print в Google Chrome и не запрещает пользователям отправлять на печать документы с сайтов. Если этот параметр включен или не задан, пользователи могут отправлять документы на Google Cloud Print из диалогового окна печати Google Chrome. Если он отключен, отправлять документы на Google Cloud Print из диалогового окна печати Google Chrome нельзя.
• Отключить предварительный просмотр — Открывать системное диалоговое окно печати вместо окна предварительного просмотра. Когда этот параметр установлен, Google Chrome открывает системное окно вместо встроенного окна предварительного просмотра при печати страницы. Если параметр не установлен или задано значение false, при печати будет открываться окно предварительного просмотра.
• Печатать колонтитулы — Определяет возможность выбора печати колонтитулов в диалоговом окне печати. Если правило не задано, пользователь выбирает, печатать ли колонтитулы. Если правило отключено (False), в диалоговом окне печати нет возможности выбора и пользователь не может изменить эти настройки. Если правило активно (True), печать колонтитулов выбрана в диалоговом окне печати и пользователь не может изменить эти настройки.
• Правила выбора принтера по умолчанию — Переопределяет правила выбора принтера по умолчанию в сервисе «Google Chrome». Это правило определяет, как выбирается принтер по умолчанию в сервисе «Google Chrome», когда в профиле впервые запускается печать. Если правило настроено, Google Chrome выполнит поиск принтера, соответствующего всем указанным атрибутам, и установит его в качестве принтера по умолчанию. Если подходящих принтеров несколько, будет выбран тот, что был обнаружен первым. Если правило не настроено или подходящий принтер не найден вовремя, по умолчанию используется встроенный принтер PDF. Если он недоступен, принтер по умолчанию выбран не будет. Принтеры, подключенные к сервису «Google Cloud Print», относятся к типу «»cloud»», а все остальные – к типу «»local»». Если значение в поле не указано, то при поиске учитываются все допустимые значения этой категории. Например, если не указан тип подключения, будет выполнен поиск всех принтеров – как облачных, так и обычных. Формат регулярных выражений должен соответствовать синтаксису JavaScript RegExp. Регистр имеет значение.
• Использовать системный принтер по умолчанию — Эта настройка обязывает Google Chrome использовать в режиме предварительного просмотра системный принтер по умолчанию, а не последний выбранный принтер. Если это правило отключено или не настроено, все задания печати, открытые в режиме предварительного просмотра, будут по умолчанию отправляться на последний выбранный принтер. Если правило настроено, задания печати, открытые в режиме предварительного просмотра, будут отправляться на системный принтер по умолчанию.

Раздел поисковая система

• Включить поисковую систему по умолчанию
• Название поисковой системы по умолчанию
• Ключевое слово для поисковой системы по умолчанию
• URL поиска для поисковой системы по умолчанию
• URL используемой по умолчанию поисковой системы для запроса подсказок
• Значок поисковой системы по умолчанию
• Кодировки поисковой системы по умолчанию
• Список дополнительных URL для поисковой системы по умолчанию
• Параметр функции поиска изображений для поисковой системы по умолчанию
• Показ URL страницы быстрого доступа в поисковой системе
• Параметры запросов POST к URL-адресу для поиска
• Параметры для запросов POST к URL-адресу поиска приложений
• Параметры для запросов POST к URL-адресу поиска изображений

Раздел прокси-сервер

Ранее я вам уже описывал процесс запрета на изменение настроек прокси-сервера и там мы так же использовали групповые политики на уровне системы и Internet Explorer, тут в административном шаблоне Google Chrome есть свой раздел по управлению Proxy.

• Выбрать способ настройки прокси сервера — Правило позволяет задать прокси-сервер, используемый Google Chrome, и запрещает пользователям менять его настройки. Это правило действует, только если не настроено ProxySettings. Если вы решите отказаться от использования прокси-сервера и всегда устанавливать прямое соединение, все остальные параметры будут проигнорированы. Если вы выберете применение системных настроек прокси-сервера, все остальные параметры будут проигнорированы. Если вы выберете автоопределение прокси-сервера, все остальные параметры будут проигнорированы. Если вы хотите настроить прокси-сервер вручную, его параметры можно указать в правилах «Адрес или URL прокси-сервера» и «Список правил для игнорирования прокси-сервера». ARC-приложениям будет доступен только HTTP-прокси с наивысшим приоритетом. Если вы предпочитаете использовать PAC-скрипт, укажите его URL в правиле «URL файла PAC прокси-сервера». Подробная информация приведена на следующей странице:https://www.chromium.org/developers/design-documents/network-settings#TOC-Command-line-options-for-proxy-sett. Если параметр включен, Google Chrome и ARC-приложения будут игнорировать все настройки прокси-сервера, указанные с помощью командной строки. Если правило не настроено, пользователи смогут выбрать параметры прокси-сервера самостоятельно.
• Адрес или URL прокси-сервера — Позволяет указать URL прокси-сервера. Это правило действует, только если не задано ProxySettings, а в разделе «Выбрать способ настройки прокси-сервера» указан ручной режим. Если выбран какой-либо другой метод, не настраивайте это правило.
• URL файла PAC прокси-сервера —  Позволяет указать URL файла PAC прокси-сервера. Это правило действует, только если не задано ProxySettings, а в разделе «Выбрать способ настройки прокси-сервера» указан ручной режим. Если выбран какой-либо другой метод, не настраивайте это правило.
• Правила игнорирования прокси-сервера — Google Chrome будет игнорировать любые прокси-серверы для хостов, перечисленных в этом списке. Это правило действует, только если не задано ProxySettings, а в разделе «Выбрать способ настройки прокси-сервера» указан ручной режим. Если выбран какой-либо другой метод, не настраивайте это правило.

Раздел расширения

• Настройка черного списка расширений
• Настройка белого списка расширений
• Создать белый список приложений и расширений, устанавливаемых принудительно
• Настроить источники для устранения расширений, приложений и пользовательских скриптов
• Разрешенные типы приложений и расширений
• Позволяет управлять расширениями

Раздел удаленный доступ

Если кто-то не знает, но с помощью Google Chrome можно свободно подключаться по RDP к другому компьютеру, и настройку данной политики можно так же осуществить в данном административном шаблоне.

• Настроить обязательные доменные имена для клиентов удаленного доступа
• Включить обход брандмауэра для хоста удаленного подключения
• Настроить доменные имена для хостов удаленного доступа
• Настройка префикса TalkGadget для хостов удаленного доступа
• Блокирование хостов для удаленного доступа
• Включает/Выключает аутентификацию без PIN-кода для хостов удаленного доступа
• Позволяет использовать аутентификацию Gnubby для хостов удаленного доступа
• Разрешить использование серверов ретрансляции хостами удаленного доступа
• Ограничить диапазон портов UDP, используемых хостами удаленного доступа

Раздел устаревшие правила

• Включить обход брандмауэра для клиента удаленного доступа
• Выбор обязательного домена для клиентов удаленного доступа
• Настройка имени домена для хостов удаленного доступа
• Включение двухфакторной аутентификации для хостов удаленного доступа
• Разрешить пользователям просматривать пароли в диспетчере паролей
• Выбрать способ настройки прокси-сервера
• Разрешить использование ненадежных алгоритмов для проверки целостности при установке и обновлении расширений
• URL живого поиска для поисковой системы по умолчанию
• Параметр контролирующий размещение поискового запроса для поисковой системы по умолчанию
• Параметры для запросов POST к URL адресу живого поиска
• Настройка MediaSteam по умолчанию
• Включает поддержку контролируемых профилей
• Позволить пользователям включать расширенную отчетность безопасного просмотра
• Включить предварительное определение сети
•  Отключение протокола SPDV
• Отключить протоколы URL
• Включить поддержку HTTP/0.9 для портов. не заданных по умолчанию
• Включить JavaScript
• Включить режим инкогнито
• Принудительное использование безопасного поиска
• Позволяет принудительно включить безопасный режим на Youtube
• Включить автозаполнение
• Список неактивных подключаемых модулей
• Определить список включенных плагинов
• Указать список плагинов, доступных пользователю
• Отключение поиска плагинов
• Разрешить вход в Google Chrome
• Включить прежнюю процедуру входа с веб-авторизацией
• Удаление данных сайта при закрытии браузера
• Отключить инструменты разработчика
• Включить живой поиск
• Автозапуск плагинов, требующих авторизацию
• Запрет на появление рекламы приложений на быстрой странице быстрого доступа
• URL корпоративного интернет магазина
• Разрешить сертификаты без расширения subjectAlternativeName
• Включить обязательный вход в Google Chrome
• Минимальная версия TLS для отката
• Включить наборы шрифтов RC4 в TLS
• Включить наборы шрифтов DHE в TLS
• Скрыть данные в URL (https://) для PAC-скриптов
• Адреса или шаблоны имен хостов, которые будут считаться безопасными
• Токен Регистрации облачного правила на компьютере
• Разрешить сайтам одновременно открывать всплывающее окно и переходить на новую страницу

Общие настройки Google Chrome

• Принудительное прерывание при злоупотреблении доверием
• Настройки для сайтов с навязчивой рекламой — Эта настройка позволяет заблокировать навязчивую рекламу на сайтах. Если для правила выбрано значение 2, навязчивая реклама будет заблокирована. Если для правила SafeBrowsingEnabled задано значение False, блокировка рекламы не будет работать. Если для правила выбрано значение 1, навязчивая реклама не будет блокироваться. Если правило не задано, используется значение 2.
• Удаление истории просмотров и загрузки браузера. Для примера я задал эту настройку в Google Chrome, в итоге у меня пропала возможность удалять историю посещений и загрузок.

• Разрешить игру в динозавра — это есть такая пасхалка-игра, когда у вас нет интернета. При желании вы можете ее выключить и уже не лицезреть динозавра.

• Разрешить вызов окна выбора файлов — Открывает доступ к локальным файлам на компьютере, разрешая Google Chrome показывать окна выбора файлов. Если этот параметр включен, пользователи могут открывать окна выбора файлов в обычном режиме. Если параметр отключен и пользователь выполняет действия, для которых нужно открыть окно выбора файла (например, импорт закладок, загрузка файлов, сохранение ссылок и т. д.), вместо окна отображается сообщение и предполагается, что пользователь нажал кнопку «Отмена» в окне выбора файлов. Если этот параметр не задан, пользователи могут открывать окна выбора файлов в обычном режиме.

• Разрешить запуск устаревших плагинов
• Позволяет показывать всплывающие окна во время выгрузки страницы
• Отправка синхронных запросов XHR при закрытии страницы
• Определение доменов с правом доступа G Suite
• Включить дополнительные страницы с сообщениями об ошибках
• Всегда открывать PDF-файлы во внешнемприложении
• Региональные настройки приложения
• Включение или отключение функции захвата аудио
• URL, которым доступ к аудиозаписывающим устройствам представляется без запроса
• Разрешить использование тестовой среды для аудио
• Включить автозаполнение адресов
• Включить автозаполнение кредитных карт
• Разрешить автоматическое воспроизведение видео
• Разрешить автоматически воспроизводить видео на страницах из белого списка шаблонов URL
• Продолжить фоновое выполнение приложений после закрытия google Chrome
• Блокировать сторонние файлы cookie
• Включить панель закладок
• Разрешить добавлять людей через диспетчер пользователей
• Включает гостевой режим в браузере
• Принудительное включение гостевого режима в браузере
• Разрешить отправлять запросы в службу времени Google
• Настройки входа в браузере
• Встроенный клиент DNS — Определяет, используется ли в Google Chrome встроенный клиент DNS. Если задано значение True, встроенный клиент DNS используется (при наличии). Если задано значение False, встроенный клиент DNS не используется. Если правило не настроено, встроенный клиент DNS будет по умолчанию включен для устройств macOS, Android (если не включен персональный DNS-сервер или VPN) и Chrome OS. При этом пользователи смогут изменить эту настройку с помощью chrome://flags или флага командной строки.
• Отключить проверку сертификатов для списка хешей subjectPublicKeyinfo
• Отключить проверку сертификатов для устаревших центров сертификации
• Отключение проверки сертификатов для определенных сайтов
• Правило определяет, включать ли инструмент очистки Chrome в Windows — Если правило отключено, инструмент очистки Chrome не будет запускаться для сканирования системы, обнаружения нежелательного ПО и проведения очистки. Ручной запуск инструмента из chrome://settings/cleanup также будет отключен. Если правило включено или не настроено, инструмент очистки Chrome будет периодически запускаться для сканирования системы и присылать пользователю запросы на удаление нежелательного ПО при его обнаружении. Ручной запуск инструмента из chrome://settings будет включен. Правило можно установить только на устройствах Windows, входящих в домен Microsoft Active Directory, а также на устройствах Windows 10 Pro или Enterprise, зарегистрированных в консоли администратора.

• Правило настраивает передачу отчетов из Инструмента очистки Chrome в Google
• Включение функции вызова по нажатию
• Включить обязательную регистрацию в сервисе для управления облачными делами
• Токен регистрации облачного правила на компьютере
• Разрешить переопределять правило платформы при помощи облачного правила Google Chrome
• Включить предупреждение системы безопасности для флагов командной строки
• Разрешить обновление компонентов Google Chrome
• Приоритет устаревшей версии CORS перед новой реализацией CORS
• Смягчение проверки CORS в новой реализации CORS
• Сделать Google Chrome браузером по умолчанию
• Установить ограничение на использование инструментов разработчика
• Отключение поддержки API трехмерной графики
• Запрет переходов со страницы предупреждений безопасного просмотра
• Запрет создания скриншотов
• Установка каталога кеша на диске — Определяет на диске каталог, где Google Chrome будет хранить кешированные файлы. Если политика задана, Google Chrome будет использовать указанный каталог независимо от того, установил пользователь флажок «—disk-cache-dir» или нет. Чтобы избежать потери данных или других ошибок, эта политика не должна указывать на корневой каталог тома или каталог, используемый для других целей, поскольку Google Chrome управляет его содержимым. Список поддерживаемых переменных приведен здесь: https://www.chromium.org/administrators/policy-list-3/user-data-directory-variables. Если политика не задана, будет выбран каталог кеша по умолчанию, но пользователь сможет изменить его с помощью параметра командной строки «—disk-cache-dir
• Задать объем кеша в байтах
• Включить ограничение скачивания — Определяет, скачивание каких типов файлов будет полностью заблокировано в Google Chrome. При этом у пользователей не будет возможности переопределить данный параметр. Если вы настроите это правило, Google Chrome будет блокировать скачивание файлов выбранного типа, и пользователи не смогут обойти предупреждения системы безопасности. Когда выбран вариант «Блокировать опасные скачивания», разрешено скачивание всех файлов за исключением тех, которые помечены предупреждением Безопасного просмотра.

Когда выбран вариант «Блокировать потенциально опасные скачивания«, разрешено скачивание всех файлов за исключением тех, которые помечены предупреждением Безопасного просмотра о том, что они являются потенциально опасными. Когда выбран вариант «Блокировать все скачивания», запрещено скачивание любых файлов. Когда выбран вариант «Блокировать скачивание вредоносных файлов», разрешено скачивание всех файлов за исключением тех, которые Безопасный просмотр с высокой долей уверенности распознал как компоненты вредоносного ПО. В отличие от блокировки файлов, опасных для скачивания, в данном случае принимается во внимание не тип файла, а хост. Если это правило не настроено или выбран вариант «Специальных ограничений нет», к скачиваемым файлам будут применяться обычные ограничения в сфере безопасности, основанные на результатах анализа, который выполняет Безопасный просмотр. Ограничения применяются к скачиванию, если оно инициировано содержимым веб-страницы или командой контекстного меню «Сохранить данные по ссылке». Ограничения не распространяются на сохранение или скачивание страницы, открытой в данный момент, а также на сохранение контента в формате PDF из настроек печати.

• • Включить или отключить возможность изменения закладок
  •  Включить устаревшие функции веб-платформы на ограниченное время
  • Включить проверки OCSP/CRL в режиме онлайн
  • Разрешает управляемым использовать Enterprise Hardware Platform API
  • Показывать флажок «запускать всегда» в диалоговом окне внешнего протоколов
  • Временный профиль
  • Позволяет принудительно включить безопасный поиск google
  • Принудительно запускать сетевой код в процессе браузера
  • Выбор минимального обязательного уровня безопасного режима для Youtube
  • Разрешить полноэкранный режим
  • Имя хостов, для которых не нужно проверять использование механизма HSTS
  • Использовать аппаратное ускорение при наличии
  • Удалить интернет-магазин со страницы быстрого доступа и панели запуска приложений
  • Импорт данных для автозаполнения форм из браузера по умолчанию при первом запуске
  • Импорт закладок из браузера, используемого по умолчанию, при первом запуске
  • Импорт истории просмотров из браузера, используемого по умолчанию, при первом запуске
  • Импорт сведений о домашней странице из браузера, используемого по умолчанию
  • Импорт сохраненных паролей из браузера, используемого по умолчанию
  • Импорт сведений о поисковых системах из браузера, используемого по умолчанию
  • Доступность режима инкогнито
  • Включить изоляцию для определенного сайта
  • Управляемые закладки
  • Максимальное количество одновременных подключений к прокси-серверу
  • Максимальная задержка извлечения после аннулирования политики
  • Разрешить Google Cast подключаться к устройствам Google Cast на всех IP-адресах
  • Включить в отчеты данные об использовании и сбоях
  • Включить предварительное определение сети
  • Адреса или шаблоны имен хостов, которые будут считаться безопасными
  • Разрешить мини-группы правил
  • Разрешить объединять правила со словарями из разных источников
  • Разрешить объединять правила, содержащие списки значений, из нескольких источников
  • Частота обновлений политики пользователя
  • Показать коммерческие материал, занимающие всю вкладку
  • Всегда указывать место скачивания
  • Настройки прокси-сервера
  • Разрешить использование протокола QUIC
  • Уведомлять пользователя. о том что рекомендуется или требуется перезапустить браузер
  • Задать период времени для уведомлений об обновлениях
  • Включить Render Code Integrity
  • Настроить обязательное выполнение онлайн-протоколов OCSP/CRL для локальных якорей доверия

• Определяет, какой аккаунт Google можно назначить основным в Google Chrome
• Указать каталог для перемещаемого профиля
• Разрешить создание перемещаемых копий данных для профиля сервиса Google Chrome
• Применить настройки Flash ко всему контенту
• Разрешить переход со страницы предупреждения SSL
• Позволяет задать минимально допустимую версию SSL
• Включить режим безопасного просмотра для надежных источников
• Управлять фильтрацией контента только для взрослых SafeSites
• Отключить сохранение истории браузера
• Включить поисковые подсказки
• URL и домены, которым разрешена автоматическая проверка электронных ключей
• Включить функцию «Общий буфер обмена»
• Показ ярлыков приложений в панели закладок
• Разрешить поддержку Signed HTTP Exchange (SXG)
• Включить изоляцию для всех сайтов
• Включение и отключение веб-службы проверки правописания
• Включить проверка правописания
• Принудительная проверка правописания для определенных ярлыков
• Принудительно отключать проверку правописания
• Отключить синхронизацию данных с google
• Разрешить завершение процессов в диспетчере задач
• Включить переводчик
• Блокировка доступа к списку URL
• Разрешить доступ к списку URL

• Указать каталог для пользовательских данных — Определяет каталог, в котором Google Chrome будет хранить данные пользователей. Если политика задана, Google Chrome будет использовать указанный каталог независимо от того, установил пользователь флажок «—user-data-dir» или нет. Чтобы избежать потери данных или других ошибок, эта политика не должна указывать на корневой каталог тома или каталог, используемый для других целей, поскольку Google Chrome управляет его содержимым. Список поддерживаемых переменных приведен здесь: http://www.chromium.org/administrators/policy-list-3/user-data-directory-variables. Если не настраивать это правило, будет выбран путь для профиля по умолчанию, но пользователь сможет изменить его с помощью параметра командной строки «‘—user-data-dir».

Наконец это последняя функция для настройки браузера Google Chrome через групповые политики. На этом у меня все, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Почему не применяется групповая политика, решаем за минуту

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org, в прошлый раз я вам показал, как я делал досрочное погашение ипотеки Сбербанка, поделился свои жизненным опытом. Сегодня я хочу вас научить, как находить и диагностировать причины, по которым у вас может не применяться назначенная вами групповая политика к компьютеру или пользователю или целому организационному подразделению. Мы рассмотрим все этапы, через которые проходит происходит взаимодействие с GPO. Разберем утилиты, которыми должен владеть системный администратор в задачи которого входит создание и назначение политик. Уверен, что данный пост будет вам полезен и интересен.

За, что Active Directory от Microsoft получила такую популярность? Одним из ответов на данный вопрос, будет функционал групповой политики. Все администраторы, как и большинство современных людей, существа очень ленивые и любят, когда все централизованно управляется и по возможности автоматизированно. Именно объекты GPO, позволяют производить настройки десятков, сотен и тысяч компьютеров, из одного места и практически по всем направлениям, например добавление принтеров, скриптов входа, профилей WiFi и многое другое.

Очень частые ситуации, что системный администратор создал новую групповую политику, применил ее на нужный ему объект, но эффекта это не дало и нужно понять почему она не применилась и вот тут начинающие системные администраторы попадают в просак, не понимая, где и что нужно искать. Ниже мы с вами разберем алгоритм действий, который поможет вам найти причину и восстановить работу применения групповой политики на нужный объект.

К чему применяется групповая политика (GPO)

Первое, на что я хочу обратить внимание, это ответить, что делает групповая политика. Все мы прекрасно знаем, что операционная система Windows, это набор служб и ключей реестра. Все настройки, которые вы видите и меняете в графическом режиме, по сути меняют ключи реестра. Понимая, это сразу можно сделать вывод:

• что реестр есть как для объекта компьютер
• и реестр есть для объекта пользователь

Именно эту две сущности являются конечными объектами в политике GPO. В Active Directory объекты пользователей и компьютеров не лежат просто так, а располагаются в двух видах папок:

1. Это контейнер — по сути простая папка, важно, что к ней нельзя применять объекты групповой политики.
2. Второй тип, это организационные подразделения (OU) — это специальные папки для объединения объектов AD по принципам. Именно с OU связываются объекты групповой политики, для применения их к компьютерам и пользователям. Внешне контейнер отличается от организационной утилитой, тем что у OU, есть дополнительная лычка на значке, это показано на скриншоте.

Алгоритм устранения проблем с GPO

Предположим, что у меня есть групповая политика, которая применяется на организационное подразделение «Client Computers«. Политика называется «Управление UIPI». По какой-то причине пользователь жалуется, что она у него не применилась.

Из информации, об области действия групповой политики, первое на что нужно обратить свое внимание, это находится ли объект пользователя или компьютера по нужному пути. Сделать, это просто в оснастке «Управление групповой политикой» найдите вашу политику и посмотрите к каким OU она применяется, это видно на вкладке «Область (Scope)», ее еще называют областью действия политики. В моем случае, это путь root.pyatilistnik.org/Client Computers.

Так как Active Directory, это иерархическая структура, то одна OU можете быть часть дерева из других и сама включать в себя большое количество организационных подразделений. Поэтому если у вас есть вложенность, то просто зайдя в нужную OU вы можете сразу не найти нужный объект. В таком случае воспользуйтесь поиском по Active Directory. Например у меня есть рабочая станция с которой идут жалобы на применение объекта GPO. В поиске выбираем в поле «Найти» компьютеры и в имени указываем w10-cl01, после чего нажимаем «Найти». В результатах поиска вы получите выдачу. Щелкаем по нужному объекту и переходим в нем на вкладку «Объект», где смотрим «Каноническое имя объекта«, по сути это его путь расположения в Active Directory. Сравниваем его с тем, что получили из области применения групповой политики и делаем вывод, попадает объект под действие или нет.

Далее убедитесь, что у вас элементарно включена связь объекта групповой политики с нужным организационным подразделением. Для этого в оснастке управления GPO, щелкните правым кликом по нужной политике и в контекстном меню проверьте, что установлена галка «Связь включена«, ее так же можно проверить на вкладке «Область» в столбце «Связь задействована», должно стоять значение «да».

Следующим моментом необходимо проверить, что политика не отключена на определенный объект. Для этого перейдите на вкладку «Сведения» на нужной GPO. Нас интересует строка «Состояние GPO». По умолчанию там стоит значение «Включено«, означающее, что политика будет пытаться примениться заданные в ней настройки к обоим типам объектов (Пользователю и компьютеру). Но может быть выставлено значение:

• Параметры конфигурации компьютера отключены (Computer configuration settings disabled)
• Параметры конфигурации пользователя отключены (User configuration settings disabled)
• Все параметры отключены (All setting disabled) — запретит применение политики для любого объекта

Сделано, это для ускорения применения политики к объекты. Согласитесь, что если у вас в GPO настроены изменения только для пользователя, то нет смысла проверять политику для компьютера. Поэтому системные администраторы могут отключать это, но могут и ошибиться, выключив не тот объект

Выше я вам писал, что структура OU иерархическая, а это означает, что политика прилинкованная с вышестоящего организационного подразделения применяется на нижестоящее. Но вот если у нижестоящей OU отключено наследование сверху, то он не сможет применить данную политику. Проверяется очень просто, найдите нужную вам OU, щелкните по ней правым кликом и удостоверьтесь, что не стоит пункт «Блокировать наследование».

Он кстати будет иметь характерный значок с восклицательным знаком. Данный механизм создан специально, чтобы изолировать данную OU от ненужных политик GPO.

Проверка прав на политику

Объекты групповой политики, так же имеют свой ACL (лист доступа), это означает, что вы можете более тонко настраивать к каким объектам применяется данная политика. В редакторе «Управление групповой политикой» выберите ваш GPO. На вкладке «Область» найдите раздел «Фильтры безопасности«, он отображает к каким объектам применяется политика. Данный фильтр безопасности может включать объекты:

• Пользователь
• Компьютер
• Группа безопасности

По умолчанию тут прописана группа безопасности «Прошедшие проверку (Authenticated Users)». По умолчанию в данную группу входят все доменные пользователи и доменные компьютеры

Если у вас тут выставлена другая группа или отдельные записи, то убедитесь, что нужный объект состоит в данном ACL. Хочу отметить, что если даже нужный объект присутствует в списке фильтра безопасности, то это не означает, что политика к нему применяется и тут дело все в том, что в 2014 году Microsoft изменила принцип чтения политики, таким образом, что у вас в делегированном фильтре безопасности обязательно должна присутствовать группа «Компьютеры домена» или «Прошедшие проверку» у которой должны быть прав на чтение политики. Вся соль в том, что когда вы удаляете группу «Прошедшие проверку» из фильтра безопасности, она удаляется и из вкладки делегирование.

Чтобы параметры групповой политики для пользователя успешно применялись, она требует наличия у каждой учетной записи компьютера разрешения на считывание данных GPO из контроллера домена. Удаление группы «Прошедшие проверку» может предотвратить обработку групповых политик для пользователя. добавьте группу безопасности «Пользователи, прошедшие проверку подлинности» или «Компьютеры домена», у которой есть по крайней мере разрешение только для чтения (https://support.microsoft.com/en-us/kb/316622)

Поэтому перейдите на вкладку «Делегирование» и проверьте наличие любой из групп «Прошедшие проверку» или «Компьютеры домена» и, что есть права на чтение. Если групп нет, то добавьте любую из них. Для этого нажмите кнопку «Дополнительно», далее добавить и выберите «Прошедшие проверку».

Удостоверьтесь, что выставлена галка «Чтение».

Тут же убедитесь, что нет запретов на нужный вам объект, в моем примере, это W10-CL03. Если есть снимите.

Обратите внимание на группу «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ (Enterprise Domain Controllers)» данная группа определяет, будет ли происходить репликация данной политики на другие контроллеры или нет, так что если политика отсутствует в папке SYSVOL на других контроллерах, то проверьте права у данной группы.

Еще одним механизмом фильтрации групповой политики, может выступать WMI фильтры. Если они есть и ваш объект не соответствует его требованиям, то вы не сможете применить политику. Посмотреть, это можно в соответствующем разделе. В моем примере есть WMI фильтр для ноутбуков, который не даст применения политики на стационарные компьютеры. Подробнее, о создании WMI фильтров и механизме проверки WMI фильтров, читайте по ссылкам. Ниже я покажу, как на конечном компьютере увидеть, что он не подошел из-за фильтрации GPO по WMI.

Инструменты диагностики групповой политики

Выше мы разобрали возможные места, где могла быть проблема, но по мимо них еще есть несколько инструментов, которые могут дать системному администратору информацию, о причинах, которые мешают применению GPO к нужному объекту.

Существуют три инструмента, которые вам покажут информацию, о применяемых политиках на объекты:

• Утилита командной строки gpresult
• Утилита rsop
• Моделирование групповой политики в оснастке gpmc.msc
• Результаты групповой политики

Диагностика GPO через gpresult

Gpresult первое средство, которое позволит системному администратору определить на каком этапе есть проблемы с выполнением GPO. Откройте на клиентском компьютере или ноутбуке командную строку от имени администратора и введите команду:

gpresult /r /scope:user (Для пользователя)
gpresult /r /scope:computer (Для компьютера)
Gpresult /r /z (Полный отчет)
Gpresult /r /z > c:\gpresult.txt (Экспорт в файл)

В моем примере у меня есть политика для компьютера «Управление UIPI», поэтому я воспользуюсь gpresult для компьютера. Выполнив gpresult /r /scope:computer я вижу, что моя политика не применилась и числится в списке «Следующие политики GPO не были применены, так как они отфильтрованы». Фильтрация отказано в доступе (Безопасность). Из этого видно, что у компьютера просто нет прав на чтение политики.

Так же в логах Windows вы можете обнаружить событие с кодом ID 5313:

Код 5313: Следующие объекты групповой политики не были применены, так как они были отфильтрованы:

Local Group Policy
Не применяется (пусто)
Управление UIPI
Отказано (безопасность)

А вот пример 5313, но с уже WMI фильтром:

Следующие объекты групповой политики не были применены, так как они были отфильтрованы:

Local Group Policy
Не применяется (пусто)
Управление UIPI
Отказано (фильтр WMI)

Я для исключаю его из запрета применения и пробую новую попытку применения политики. Я делаю для начала обновление групповой политики через gpupdate /force и затем снова выполняю команду gpresult /r /scope:computer, где теперь вижу, что политика не применилась из-за WMI фильтра. Теперь уже понятно куда копать.

Получение данных GPResult с удаленного компьютера GPResult /s server01 /r, поможет администратору или технической поддержке собрать диагностические данные. Аналогичные действия вы можете выполнять и для пользователя, тут все аналогично. Теперь воспользуемся утилитой RSOP. Откройте окно выполнить и введите rsop.msc.

Начнется сбор применяемых политик.

По результатам, у вас откроется окно результирующей политики. Похожее на то, где вы редактируете политику GPO. Тут вы можете перемещаться по веткам и смотреть текущие значения.

Но это не удобно и мы можем совместить две утилиты gpresult и Resultant Set of Policies (RSoP), получив выгодный симбиоз. В командной строке введите:

GPResult /h c:\report.html /f

На выходе вы получите удобный html отчет, о всех примененных или отфильтрованных политиках. Открыв отчет, вы легко поймете ,какие политики были применены, а какие нет и можете сразу посмотреть значения настроек.

Результаты групповой политики

В оснастке GPMC есть возможность посмотреть какие политики применяются к нужному объекту групповой политики. Данный мастер называется «Результат моделирования групповой политики». Щелкаем по нему правым кликом и открываем мастер.

Выбираем нужный компьютер, к которому мы хотим проверить применение политики.

Если в момент добавления компьютера у вас выскочит ошибка «Сервер RPC-недоступен», то проверьте, что у вас запущена на нем служба WMI и в брандмауэре открыты порты для подключения к ней.

Так как я проверяю GPO для компьютера, то мне нет смысла отображать политику для пользователей.

Нажимаем далее. У вас появится отчет. Раскрыв его на вкладке «Сведения» вы увидите, какие политики применены, а какие нет.

Раскрыв подробнее политику, которая не смогла примениться, я вижу, что причиной всему был WMI фильтр.

Последним удобным инструментом диагностики и моделирования групповой политики, выступает функционал GPMC, под названием «Моделирование групповой политики«. В задачи которого входит проверка применения политики в существующей ситуации, так и просто тест без реальной прилинковки к OU, указав нужный объект. В оснастке GPMC выберите пункт «Моделирование групповой политикой» и щелкните по нему правым кликом, выбрав «Мастер моделирования групповой политики».

На первом шаге мастера моделирования групповой политики, будет простое уведомление, что к чему, нажимаем далее.

Далее вам будет предложен выбор, дабы указать нужный контроллер домена.

Теперь выбираем нужную OU, для которой мы будем тестировать групповую политику. Делается все через кнопку «Обзор». Я выбрал «Client Computers»

Нажимаем далее.

На следующем шаге мастера моделирования групповой политики, вам предоставят сэмулировать таки параметры:

• Медленное сетевое подключение, меньше 500 кб/с
• Обработка петлевого адреса (Замыкание групповой политики — loopbacl policy) — это опция когда вы применяете для OU в которой находятся компьютеры, например терминальные сервера, политики для пользователя. Делается это для того, чтобы политики применяемые к пользователю на его рабочей станции или другом сервере от тех, что в данной OU. Можете подробно почитать, что такое замыкание групповой политики.
• Выбор сайта.

Указываем в какой группе находится наш объект, к которому будет применяться политика.

далее вы можете применить любой из фильтров WMI, который вы хотите тестировать.

Нажимаем далее.

В итоге мы получаем результат моделирования групповой политики, тут можно посмотреть, что применилось, что нет.

На этом у меня все. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org. Надеюсь, что статья оказалась полезной.

Обновление групповой политики удаленно и локально

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз мы с вами мы с вами разбирали процедуру создания центрального хранилища административных шаблонов GPO. Движемся дальше и сегодня мы рассмотрим, самую распространенную задачу связанную с групповыми политиками, а именно научимся ее обновлять локально и удаленно, я расскажу в каких ситуациях данная информация вам можете помочь. Мы рассмотрим, какие инструменты у вас есть в арсенале, и я уверяю вас, что вы явно знали не обо всех.

Для чего нужно уметь обновлять групповую политику?

Перед тем, как перейти к практической части я бы хотел описать ряд ситуаций, которые вы можете встретить в своей практике, где вам можете потребоваться ручное обновление GPO.  Еще хочу напомнить, что по умолчанию, любая операционная система Windows, являющаяся членом домена AD сама, автоматически производит обновление групповых политик каждые 90-120 минут, это позволяет не генерировать много сетевого трафика и сделать балансировку при обращении к мастеру PDC, но бывают и другие ситуации.

Предположим, что вы внесли важные обновления настроек для ваших серверов, например для авторизации CredSSP, или закрываете какую-то дыру безопасности, логично, что в Active Directory, это делается через групповые политики. Когда у вас 5-10 серверов, то нет проблем чтобы зайти на каждый из них через удаленный рабочий стол и выполнить команду, а когда серверов сотни, тут уже нужна массовость. Еще не нужно сбрасывать со счетов ситуации, когда вы по RDP не можете зайти, через редактор политик обновить не получается, что делать, тут можно сделать все удаленно через PowerShell или командную строку, об этом то же поговорим.

Вы всегда должны уметь и иметь возможность вносить массовые изменения на ваших серверах, и применять их как можно скорее

Методы обновления GPO

Давайте составим список способов и инструментов, которые вы можете использовать:

• Командная строка Windows — позволяет быстро выполнить обновление, работает локально
• Оболочка PowerShell — так же, как и cmd позволяет сделать обновление, как локально, так и удаленно
• Оснастка «Управление групповой политикой» — удаленное обновление GPO, есть возможность выбрать отдельные объекты
• Утилита PsExec — позволяет удаленно выполнить задачу

Давайте теперь опробуем каждый из этих методов.

Как обновить GPO через командную строку

Для выполнения этого метода, вы должны зайти локально на компьютер или сервер, открыть командную строку и ввести вот такую, небольшую команду:

Ключ /force произведет принудительное обновление групповой политики. Хочу отметить, что некоторые настройки могут применяться, только после выхода из системы. Если политика показала, что успешно обновилась, но эффекта не произошло, то смотрите мою статью «Почему не применяются GPO», придется делать траблшутинг.

Как вы можете обратить внимание, что команда выше производит обновление политик, как для пользователя, так и для компьютера, но при желании вы можете этим манипулировать и явным образом указать, что подлежит апдейту. Для этого есть ключ /Target:{Computer | User}. Предположим, что мне нужно выполнить только для пользователя, для этого пишем:

gpupdate /force /target:User

Еще интересный ключик, это выполнить задержку /Wait:{ваше значение}.По умолчанию значение 600 секунд.

Как обновить GPO через PowerShell

Оболочка PowerShell так же имеет отдельный командлет, который легко может инициировать запрос на обновление групповой политики, называется он Invoke-GPUpdate.

Invoke-GPUpdate — это командлет обновляющий параметры групповой политики, включая настройки безопасности, которые установлены на удаленных компьютерах с помощью планирования хода выполнения команды Gpupdate. Вы можете комбинировать этот командлет по сценарию, чтобы запланировать команду Gpupdate на группе компьютеров. Обновление может быть запланировано для немедленного запуска параметров политики или ожидания в течение определенного периода времени, максимум до 31 дня. Чтобы избежать нагрузки на сеть, время обновления будет смещено на случайную задержку.

Давайте запросим обновление политик GPO на моем тестовом сервере с Windows Server 2019, для этого запускаем оболочку PowerShell и вводим команду:

Invoke-GPUpdate –RandomDelayInMinutes 0

Ключ –RandomDelayInMinutes 0 установит задержку в выполнении на ноль секунд, в противном случае обновление будет выполнено рандомно, через некоторое время.

Обратите внимание, что командлет не выдает никаких результатов, если все работает нормально. В некоторых случаях ваши пользователи могут увидеть всплывающее окно командной строки с заголовком taskeng.exe, которое отображает сообщение «Политика обновления». Через секунду окно исчезает.

Если нужно произвести обновление на удаленном компьютере, то нужно воспользоваться ключом -Computer, команда примет вот такой вид:

Invoke-GPUpdate -Computer dc01.root.pyatilistnik.org –RandomDelayInMinutes 0

Если нужно выполнить принудительно без запроса подтверждения пользователя, то укажите ключ -Force.

Если нужно указать явно, что необходимо запросить политики только для пользователя или компьютера, то можно использовать ключ -Target, который имеет значения User или Computer. Кстати если удаленный компьютер не отвечает, то вы получите ошибку:

Invoke-GPUpdate : Компьютер «dc01.root.pyatilistnik.org» не отвечает. Целевой компьютер выключен или отключены правила брандмауэра удаленного управления запланированными задачами (Invoke-GPUpdate : Computer «dc01.root.pyatilistnik.org» is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.).
Имя параметра: computer
строка:1 знак:1
+ Invoke-GPUpdate -Computer dc01.root.pyatilistnik.org -Target User –Ra …
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationTimeout: (:) [Invoke-GPUpdate], ArgumentException
+ FullyQualifiedErrorId : COMException,Microsoft.GroupPolicy.Commands .InvokeGPUpdateCommand

Еще одним преимуществом командлета PowerShell является то, что у вас есть больше возможностей в выборе машин, которые вы хотите обновить. Например, с помощью приведенной ниже команды вы должны выбрать все компьютеры, которые начинаются с «Note*«.

Get-ADComputer –Filter ‘Name -like «Note*»‘ | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

Если нужно выбрать все компьютеры, то ставим звездочку «*»

Get-ADComputer –Filter * | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

При желании вы можете найти все компьютеры по версиям операционных систем и сделать обновление групповых политик по данному критерию.

Не забываем, что можно ограничить поиск отдельным организационным подразделением, для этого есть ключ -Searchbase и команда примет вот такой вид:

Get-ADComputer –Filter * -Searchbase «OU=Windows10,OU=Компьютеры,OU=Оргструктура,DC=root, DC=pyatilistnik,DC=org» | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

Еще вы можете подготовить текстовый файл со списком серверов, который так же можно через цикл обработать, вот по такому принципу:

$comps = Get-Content «C:\temp\comps.txt»
foreach ($comp in $comps)
{
Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0
}

Я также добавил здесь параметр -Force, чтобы обеспечить повторное применение параметров групповой политики, даже если клиент замечает, что новые версии GPO недоступны. Таким образом, когда мы говорим о принудительном обновлении групповой политики, мы на самом деле имеем в виду две разные вещи. Без параметра Force мы просто незамедлительно инициируем обновление; если мы добавим параметр Force, мы форсируем обновление, даже если обновлять нечего. Параметр Force вступает в игру, если вы считаете, что что-то пошло не так в предыдущем обновлении объекта групповой политики.

Обновление групповой политики через оснастку GPMC

Начиная с операционной системы Windows Server 2012 R2, компания Microsoft расширила функционал оснастки по управлению политиками. Разработчики внедрили механизм, массового и точечного инициирования применения политик GPO к нужным объектам и заметьте через графический интерфейс. Откройте оснастку «Управление групповой политикой«, проще всего, это сделать через окно «Выполнить«, введя там там команду gpmc.msc.

Далее, что вы делаете. Находите нужную вам OU, щелкнуть правым кликом и из контекстного меню выбрать пункт «Обновление групповой политики«.

У вас появится окно «Принудительное обновление групповой политики», в котором вы увидите количество объектов, к которым будет применено действие

На следующем экране вы увидите результат отработки команды, в первом моем примере политики успешно применилась.

При желании все результаты команды можно сохранить в CSV файле

Вот пример содержимого такого файла

на компьютерах, где таким методом была запущена процедура принудительного применения GPO, вы в логах Windows можете обнаружить событие с кодом 1704:

Политика безопасности в объектах групповой политики успешно применена.

То же самое можно посмотреть и в Windows Admin Center, где нужно зайти в раздел события.

Ошибка 8007071a «Удаленный вызов процедуры был отменен»

Иногда в консоли GPMC вы можете получать ошибку:

8007071a «Удаленный вызов процедуры был отменен»

Связана она с тем, что на удаленных компьютерах у вас брандмауэр Windows блокирует эти вызовы, чтобы это поправить я вам советую сделать разрешающую политику, подробнее читайте, как исправить ошибку 8007071a.

Обновление GPO через PSexec

Я вам очень часто рассказываю в своих примерах из моей практики, об утилите PSexec и сборнике SysInternals от Марка Руссиновича. Суть метода в том, что с помощью специальной утилиты вы сможете выполнить удаленную команду, ранее я так удаленно включал RDP на сервере или клиентской машинке.

Далее вы распаковываете архив, если он в таком виде и открываете папку с утилитами SysInternals в командной строке, напомню сделать, это можно через команду cd или через правый клик с зажатым Shift по нужной папке, выбрав пункт «Открыть окно команд».

Обращаю внимание, что у вас должны быть соблюдены несколько требований:

• Как и в случае Invoke-GPUpdate, вы должны изменить настройки брандмауэра на своих клиентах. Поскольку PsExec использует протокол SMB, вам нужно открыть TCP-порт 445. Как открыть порт  я уже подробно рассказывал, можете посмотреть, советую использовать для этого групповую политику.
• Второе, это наличие прав на удаленном компьютере, чтобы запустить там Gpupdate

Теперь выполните команду:

psexec \\имя компьютера –i gpupdate

Обратите внимание, что параметр -i здесь важен. Это гарантирует, что PsExec взаимодействует с удаленным рабочим столом, что необходимо для обновления пользовательских политик. Если этот параметр не указан, будут обновлены только конфигурации компьютера, хотя ни PsExec, ни gpupdate не выдадут сообщение об ошибке. Без параметра –i gpupdate обновит пользовательские настройки, только если вы вошли в систему с одинаковой учетной записью на исходном и целевом компьютере.

В результате будет удаленный запуск утилиты gpupdate, если все хорошо, то вы получите сообщение «gpupdate exited on svt2019s01.root.pyatilistnik.org with error code 0«.

на удаленном компьютере в журналах системы вы увидите два события 1500 и 1501.

Событие 1500: Параметры групповой политики для этого компьютера обработаны успешно. Не обнаружено изменений со времени последней успешной обработки групповой политики.

Событие 1501: Параметры групповой политики для этого пользователя обработаны успешно. Не обнаружено изменений со времени последней успешной обработки групповой политики.

Так же вы можете подключиться вообще к удаленной командной строке, через команду:

psexec \\имя компьютера –i cmd

Далее просто пишите gpupdate /force, обратите внимание я через команду hostname показал, что подключение идет с одного компьютера на другой.

Если компьютер не подключен к сети, вы получите следующее сообщение об ошибке:

Couldn’t access ComputerName:The network name cannot be found.
Make sure that the default admin$ share is enabled on ComputerName

Чтобы массово обновить групповую политику на всех компьютерах домена, воспользуйтесь знаком звездочки «*»:

Если это не помогло и выскочила ошибка, то может воспользоваться через PowerShell. В оболочке перейдите в каталог с утилитами PSTools и выполните:

Get-ADComputer –filter ‘Name -like «*»‘ | Select-Object -ExpandProperty Name | foreach{ Invoke-Expression –Command «.\psexec.exe \\$_ -i gpupdate.exe»}

Или можно из конкретного OU добавив

Get-ADComputer –filter ‘Name -like «*»‘-Searchbase «OU=Windows10,OU=Компьютеры,OU=Оргструктура,DC=root, DC=pyatilistnik,DC=org» | Select-Object -ExpandProperty Name | foreach{ Invoke-Expression –Command «.\psexec.exe \\$_ -i gpupdate.exe»}

Другой вариант — сначала экспортировать все имена компьютеров из контейнера Active Directory в текстовый файл с помощью командлета Get-ADComputer:

Get-ADComputer –filter ‘Name -like «win*»‘ -Searchbase «OU=Windows10,OU=Компьютеры,OU=Оргструктура,DC=root, DC=pyatilistnik,DC=org» | Select-Object -ExpandProperty Name | Out-File -Encoding ascii c:\tmp\ComputerList.txt

Обратите внимание, что мы должны кодировать выходной файл с помощью ASCII, чтобы мы могли прочитать его содержимое из пакетного файла следующим образом:

For /f «tokens=*» %%a in (c:\tmp\ComputerList.txt) Do psexec \\%%a -i gpupdate

PsExec против Invoke-GPUpdate

Основным недостатком метода PsExec является то, что он относительно медленный. Это может занять от 3 до 4 секунд на компьютер, а для компьютеров, которые не подключены к сети, это может занять еще больше времени. PsExec иногда даже зависал во время моих тестов.

Разрешение входящих подключений через порт 445 является угрозой безопасности. Компьютерные черви могут использовать этот порт, а хакеры могут делать много неприятных вещей с помощью PsExec. Открытие порта планировщика заданий для Invoke-GPUpdate также проблематично, но я думаю, что порт 445 более популярен среди программистов вредоносных программ.

Таким образом, в большинстве сценариев Invoke-GPUpdate является лучшим вариантом. Однако, если вы все равно открыли порт 445 по другим причинам и не хотите открывать порты Invoke-GPUpdate, вы можете предпочесть PsExec для принудительного обновления групповой политики.

Удаленное обновление GPO через Enter-PSSession

Еще в PowerShell есть командлет для удаленного подключения к компьютеру, называется он Enter-PSSession, его принцип работ, как у PsExec. Откройте оснастку PowerShell и введите:

Enter-PSSession -ComputerName svt2019s01

Далее вы подключитесь к удаленному компьютеру, где потом просто введите gpupdate /force.

Удаленное обновление GPO через Windows Admin Center

Если вы в своей практике используете утилиту удаленного администрирования Windows Admin Center, то вы легко можете подключиться к удаленному серверу и обновить политики GPO все через тот же gpupdate /force.

На этом у меня все. Я вам постарался подробно рассказать, о всех методах локального и дистанционного обновления групповых политик пользователя и компьютера на ваших компьютерах домена. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Данная установка запрещена политикой, заданной системным администратором

При попытке установить программу из MSI пакета на рабочей станции (права администратора имеются) возникает ошибка «Данная установка запрещена политикой, заданной системным администратором». Проверили – ни какой другой MSI файл также не запускается. Что делать?

Ответ

Сообщение «Данная установка запрещена политикой, заданной системным администратором» (The system administrator has set policies to prevent this installation) может появляться как во время запуска exe файлов, так и при установке MSI пакетов. Даже, если ограничения не настраивались специально, в некоторых случаях Windows или какая-т другая программа могла самостоятельно изменить параметры политики Software Restriction Policies (SRP). Вот что можно предпринять в таком случае:

Временное отключение UAC

Возможной причиной проблемы с установкой приложения может быть политики UAC. Попробуйте установить приложение при отключенном UAC (напомню, что отключение UAC это не рекомендуемый шаг, и после тестирования его нужно включить обратно).

1. Через меню «Пуск» введите и запустите «Изменение параметров контроля учетных записей».
   
2. Переместите ползунок в положение «Не уведомлять»(уровни UAC). Необходимы права администратора.
3. Перезагрузите компьютер, чтобы проделанные изменения вступили в силу.

Если это не помогло избавиться от уведомления, то попробуйте отключить политику блокировки, блокирующего выполнение MSI пакетов установщиком Windows через редактор локальной групповой политики или реестр.

Служба Windows Installer

Откройте консоль управления службами (services.msc) и убедитесь, что служба Windows Installer (Установщик Windows) присутствует в системе и запущена (если нет, запустите службу).

Групповая политика отключения установщика Windows

1. Нажмите сочетание клавиш Win+R и введите команду «gpedit.msc».
2. В левой части экрана перейдите в раздел GPO «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Установщик Windows» (Computer Configuration -> Administrative Templates -> Windows Components -> Windows Installer). Справа отобразятся допустимые для редактирования элементы.
   
3. Найдите в списке «Отключение установщика Windows» (Disable Windows Installer), откройте его двойным нажатием и выберите «Отключено». Сохраните внесенные изменения с помощью кнопки «Применить».

Проверьте, что в политиках Политики ограниченного использования программ ( Software Restriction Policies) отсутствуют политики, запрещающие запуск указанного файла (типа файлов). Если такие политики есть, удалите их. Данные политики находятся в разделе Computer Configuration -> Windows Settings -> Security Settings -> Software Restriction Policies (Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ)

Откройте командную строку и выполните gpupdate /force.

Ключ реестра DisableMSI

Если вы используете операционную систему Windows редакции Home, то редактор локальной групповой политики в ней не будет доступен. Внести все необходимые изменения можно через реестр. Для этого:

1. Откройте редактор реестра (regedit.exe)
2. Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies \Microsoft\Windows\Installer» найдите и удалите параметры DisableMSI и DisablePatch (при наличии, или измените на 0).

   Совет. Чтобы не перемещаться в редакторе реестра «вручную», скопируйте и вставьте конечный адрес из статьи в соответствующую панель, расположенную сверху.

3. Здесь же перейдите к разделу HKEY_CLASSES_ROOT\Installer\Products. Отобразится список доступных ключей. Каждый из них ссылается на установку конкретной программы. Проверить, принадлежит ли выбранный ключ нужному продукту можно в правой части экрана. Для этого проверьте значение в строке «Product Name».
4. Попытайтесь найти раздел реестра, который относится к проблемной программе (при установке которого возникает ошибка) и полностью удалите его ветку. Найдите нужный ключ в меню «Products» (тот, при установке которого возникает ошибка «Данная установка запрещена политикой, выбранной системным администратором») и полностью удалите папку. Перед этим обязательно сделайте резервную копию.

После проделанных действий обязательно перезагрузите компьютер и запустите установку нужной программы. Ошибка больше не будет появляться.

Если решить проблему не получилось, попробуйте создать новую папку внутри Program Files или Windows, скопировать в нее дистрибутив и запустите его с правами администратора.

Создание правила для входящего порта (Windows 10) — Безопасность Windows

• 17.08.2017
• 2 минуты на чтение

В этой статье

Относится к

• Windows 10
• Windows Server 2016

Чтобы разрешить входящий сетевой трафик только на указанный номер порта TCP или UDP, используйте брандмауэр Защитника Windows с узлом Advanced Security в оснастке MMC управления групповыми политиками для создания правил брандмауэра.Этот тип правила позволяет любой программе, которая прослушивает указанный порт TCP или UDP, получать сетевой трафик, отправленный на этот порт.

Учетные данные администратора

Для выполнения этих процедур вы должны быть членом группы администраторов домена или получить другие разрешения на изменение объектов групповой политики.

В этом разделе описывается, как создать стандартное правило порта для указанного протокола или номера порта TCP или UDP. Для других типов правил входящего порта см .:

Для создания правила входящего порта

1. Откройте консоль управления групповой политикой в ​​брандмауэре Защитника Windows в режиме повышенной безопасности.

2. На панели навигации щелкните Правила для входящих подключений .

3. Щелкните Действие , а затем щелкните Новое правило .

4. На странице Тип правила мастера создания правила для нового входящего подключения щелкните Custom , а затем нажмите Далее .

   Примечание: Хотя вы можете создавать правила, выбрав Программа или Порт , эти варианты ограничивают количество страниц, отображаемых мастером.Если вы выберете

   Custom , вы увидите все страницы и получите максимальную гибкость при создании правил.

5. На странице Программа щелкните Все программы , а затем щелкните Далее .

   Примечание: Этот тип правила часто сочетается с программным или служебным правилом. Если вы объедините типы правил, вы получите правило брандмауэра, которое ограничивает трафик до указанного порта и разрешает трафик только тогда, когда указанная программа работает.Указанная программа не может получать сетевой трафик на других портах, а другие программы не могут получать сетевой трафик на указанном порту. Если вы решите это сделать, выполните действия, описанные в процедуре «Создание входящей программы или правила службы», в дополнение к шагам, описанным в этой процедуре, чтобы создать единое правило, которое фильтрует сетевой трафик с использованием критериев программы и порта.

6. На странице «Протокол и порты » выберите тип протокола, который вы хотите разрешить.Чтобы ограничить правило указанным номером порта, необходимо выбрать TCP или UDP . Поскольку это входящее правило, вы обычно настраиваете только номер локального порта.

   Если вы выберете другой протокол, то через брандмауэр будут пропускаться только пакеты, поле протокола в IP-заголовке которых соответствует этому правилу.

   Чтобы выбрать протокол по его номеру, выберите Custom из списка, а затем введите номер в поле Номер протокола .

   Когда вы настроили протоколы и порты, нажмите Далее .

7. На странице Scope вы можете указать, что правило применяется только к сетевому трафику, поступающему или исходящему от IP-адресов, введенных на этой странице. Настройте в соответствии с вашим дизайном, а затем нажмите

   Далее .

8. На странице Action выберите Разрешить соединение , а затем щелкните Далее .

9. На странице Профиль выберите типы сетевого расположения, к которым применяется это правило, а затем щелкните Далее .

   Примечание. Если этот объект групповой политики нацелен на серверные компьютеры под управлением Windows Server 2008, которые никогда не перемещаются, рассмотрите возможность изменения правил, которые будут применяться ко всем профилям типа сетевого расположения. Это предотвращает неожиданное изменение применяемых правил, если тип сетевого местоположения изменяется из-за установки новой сетевой карты или отключения кабеля существующей сетевой карты. Отключенная сетевая карта автоматически назначается типу расположения в публичной сети.

10. На странице Имя введите имя и описание правила, а затем щелкните Готово .

Как включить $ Admin Shares в Windows 7, 8 или 10. — wintips.org

Последнее обновление: 23 июня 2016 г.

В качестве « административных общих ресурсов » определены все общие сетевые ресурсы по умолчанию, к которым можно получить удаленный доступ только с помощью сетевых администраторов. Общие ресурсы администратора скрыты и по умолчанию отключены на компьютерах под управлением Windows 7, чтобы предотвратить доступ неавторизованных пользователей или их изменение через сетевую среду.

В этом руководстве мы объясняем, как БЕЗОПАСНО включить общие ресурсы Admin $ для ваших дисковых томов (C $, D $ и т. Д.) на компьютере под управлением Windows 7, 8 или 10, поэтому они будут доступны (с другого компьютера в вашей сети) только определенным пользователям.

Как включить административные общие ресурсы в ОС Windows 7, 8, 8.1 или 10.

Чтобы включить (скрытые) общие ресурсы по умолчанию (C $, D $ и т. Д.) В ОС Windows 10, 8 или 10:

Шаг 1. Убедитесь, что оба компьютера принадлежат к одной рабочей группе.

Чтобы проверить, принадлежат ли оба компьютера к одной рабочей группе, выполните следующие действия:

1. Щелкните правой кнопкой мыши на значке « Имя компьютера » на рабочем столе и выберите « Свойства » или (дополнительно) перейдите в Панель управления Windows, выберите «Система и безопасность » и выберите «Система » ,

2. Посмотрите на имя « WORKGROUP » справа и убедитесь, что это одно и то же имя на обоих компьютерах (например, WORKGROUP)

Шаг 2: Укажите, какие пользователи могут получить доступ к общим ресурсам администратора (дисковым томам).

Доступ к административным общедоступным ресурсам может (и должен быть) только для пользователей с правами администратора. Поэтому, если вы хотите, чтобы пользователь из вашей сети имел доступ к общим папкам администратора ($), вы должны предоставить этому пользователю локальные права администратора на компьютере, на котором вы хотите включить общие ресурсы администратора. Для этого:

1. Перейдите в панель управления Windows («Пуск , »> «Панель управления , »).

2. Откройте « Добавить или удалить учетные записи пользователей»

3. Теперь создайте новую учетную запись на вашем компьютере с правами администратора. Кроме того, если вы уже настроили учетную запись, убедитесь, что у него есть права администратора (выберите нужную учетную запись, выберите вариант « Изменить тип учетной записи » и установите его как « Администратор »).

4. Укажите имя пользователя для вашей новой учетной записи (например, пользователь), настройте ее как пользователя Administrator и нажмите кнопку « Create Account ».

5. На этом этапе окно параметров «

Управление учетными записями » должно выглядеть следующим образом:

6. После создания учетной записи необходимо указать пароль. Поэтому щелкните новую учетную запись (например, пользователя) и нажмите « Создать пароль ».

7. Введите надежный пароль (2 раза) и нажмите кнопку « Создать пароль ».

Шаг 3. Включите «Общий доступ к файлам и принтерам» через брандмауэр Windows.

1. Перейдите в панель управления Windows и щелкните « Система и безопасность ».

2. В разделе « Брандмауэр Windows » нажмите « Разрешить программу через брандмауэр Windows ».

3. В списке « Разрешенные программы и функции » отметьте , чтобы включить функцию « Общий доступ к файлам и принтерам

», и нажмите « OK, ».(В Windows 10 снимите и снова отметьте)

4. Перезагрузите компьютер (необязательно).

Шаг 4. Проверьте, есть ли у вас доступ к общим папкам администратора с другого компьютера.

1. На другом компьютере нажмите кнопку « Start » и в поле поиска введите следующую команду:

« \\ \ $ » (без кавычек) и нажмите « Enter ».

Примечание: В качестве « » укажите имя компьютера с активированными общими ресурсами администратора (например,г. «Computer01»), а в качестве «< DiskVolumeName> » укажите имя тома, к которому вы хотите получить доступ (например, « C $ » = Дисковый Том C: \, « D $ » = Дисковый Том D : \ и т. д.)

2. Теперь введите имя пользователя и пароль для доступа к общим папкам администратора удаленного компьютера (как указано в шаге 1) и нажмите

«Enter».

3. Если вы выполните описанные выше действия, то сможете без проблем получить доступ к административным ресурсам удаленного компьютера.

Шаг 5. Измените параметры реестра на компьютере с включенными общими ресурсами администратора (необязательно)

Примечание: Выполняйте этот шаг ТОЛЬКО в случае возникновения проблем / ошибок при попытке доступа к общим ресурсам администратора (например, сбой входа в систему).

1. Перейдите на удаленный компьютер (с включенными административными ресурсами) и откройте редактор реестра. Для этого нажмите кнопку « Start » и в поле поиска введите « regedit » и нажмите « Enter ».

2. В редакторе реестра перейдите по следующему пути:

« HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System »

3. Щелкните правой кнопкой мыши на правой панели и выберите « Новый »> « DWORD (32-битное) Значение ».

4. Введите « LocalAccountTokenFilterPolicy » в качестве имени значения и нажмите « Enter ».

5. Дважды щелкните на значении « LocalAccountTokenFilterPolicy» , чтобы изменить « Value Data » с « 0 » на « 1 » и нажмите « OK »

6. Закройте редактор реестра и попробуйте снова получить доступ к административным общим ресурсам на удаленном компьютере.

Если эта статья была для вас полезной, поддержите нас, сделав пожертвование. Даже 1 доллар может иметь огромное значение для нас в наших усилиях продолжать помогать другим, сохраняя при этом этот сайт бесплатным: Смотрите лучшие предложения на Woot! Компания-амазонка доступна только сегодня.Бесплатная доставка для членов Prime! Если вы хотите, чтобы был постоянно защищен от вредоносных угроз, существующих и будущих , мы рекомендуем вам установить Malwarebytes Anti-Malware PRO , нажав ниже (мы действительно зарабатываете комиссию от продаж, произведенных по этой ссылке, но без дополнительных затрат для вас. У нас есть опыт работы с этим программным обеспечением, и мы рекомендуем его, потому что оно полезно и полезно):

Полная защита домашнего ПК — Защитите до 3 ПК с помощью НОВОГО ПО Malwarebytes Anti-Malware Premium!

Путь сертификации ИТ-администратора сети

Даррил Гибсон, сертифицированный технический инструктор и автор бестселлеров учебных пособий по ИТ, предлагает надежный путь сертификации ИТ, чтобы начать или продвинуть свою карьеру в качестве сетевого администратора.

Начинающие ИТ-специалисты часто задают мне вопросы вроде «Как я могу устроиться на работу в ИТ?» и «Какой путь ИТ-сертификации лучше всего подходит для сетевого администратора?» К сожалению, универсального ответа не существует, потому что существует очень много переменных, например, с какими знаниями вы начинаете и какой тип работы доступен там, где вы живете.

Однако, если вы сосредоточены на получении работы в сфере ИТ и готовы потратить время на освоение материалов, вы можете получить несколько сертификатов, которые сделают вас очень желанным сетевым администратором, что является одним из самых важных и интересных в отрасли. -богатые позиции.Изучите материал, получите сертификаты, и у вас будет возможность проявить себя на собеседованиях с администратором сети.

Во-первых, кто такой сетевой администратор? Большинство людей определяют сетевого администратора как человека, обслуживающего оборудование и программное обеспечение в компьютерной сети. В крупной организации сетевой администратор — это ИТ-работник среднего уровня, занимающийся главным образом обслуживанием сетевых компонентов. Однако в небольших организациях сетевой администратор также отвечает за поддержку настольных компьютеров для конечных пользователей, обслуживание серверов и управление любыми другими устройствами, подключенными к сети.

В этой статье я разделил курс сертификации сетевого администратора на три категории:

• Foundation сертификаты: Эти сертификаты CompTIA не зависят от поставщика и предоставляют прочную базу знаний для любого пути к тому, чтобы стать сетевым администратором.
• Сертификаты Cisco: Эти учетные данные важны для администраторов, управляющих широко используемыми сетевыми устройствами Cisco, такими как маршрутизаторы и коммутаторы.
• Сертификаты Microsoft: Эти сертификаты являются ключевыми для администраторов, предоставляющих услуги сетевого администрирования как на уровне настольных компьютеров, так и на уровне серверов.

Обычно люди хотят знать, сколько времени потребуется на прохождение этих сертификатов, поэтому я привел некоторые общие оценки времени на обучение. Эти рекомендации предполагают, что у вас есть работа, но вы все равно можете регулярно учиться, чтобы усвоить концепции. Тот, кто не работает и тратит 12 часов в день на обучение, может пройти эти сертификаты намного быстрее. Напротив, человеку с постоянной работой, которая регулярно требует сверхурочной работы, может потребоваться больше времени.

Сертификаты CompTIA | Фонд

Многие люди начинают свой путь ИТ-сертификации с сертификатов CompTIA.CompTIA существует уже более 30 лет и сертифицировала сотни тысяч людей по целому ряду основных дисциплин. Основные полномочия CompTIA: A +, Network + и Security +; это три сертификата представляет собой признанный во всем мире фундамент ИТ-знаний.

А +

Сертификация CompTIA A + считается отправной точкой для многих специалистов в области ИТ, поскольку она не требует предварительных условий и знакомит кандидатов с целым рядом фундаментальных дисциплин аппаратного и программного обеспечения, включая ремонт ПК, программное обеспечение и операционные системы, поддержку настольных компьютеров, сети. и кибербезопасность.Учебная программа A + охватывает даже базовые навыки межличностного общения — ключевой атрибут устойчивого успеха ИТ-персонала.

Сеть +

Сертификация CompTIA Network + основана на знаниях, полученных в результате сертификации A +, с акцентом на такие сетевые темы, как установка сети, администрирование, устранение неполадок и безопасность. Кандидатам рекомендуется иметь сертификат A + или эквивалентные знания и не менее девяти месяцев опыта работы в ИТ-сетях.

• Сеть + время обучения: 45 дней, после сдачи обоих экзаменов A +

Безопасность +

CompTIA Security + — это сертификат безопасности начального уровня, который считается минимальным объемом знаний в области безопасности, необходимым для сетевых администраторов.Например, Министерство обороны США требует, чтобы администраторы были по крайней мере сертифицированы Security +, прежде чем им будут предоставлены права администратора в сети DoD. Сертификация Security + подтверждает ваши навыки в таких областях, как сетевая безопасность, оценка угроз, криптография и реагирование на киберинциденты.

Как и в случае с другими сертификатами CompTIA, вы можете посетить класс, чтобы овладеть целями экзамена или самостоятельной работы. Популярное CompTIA Security +: Get Certified Get Ahead: SY0-301 Study Guide использовалось многими людьми для прохождения сертификации Security + при первом прохождении.

• Безопасность + время обучения: 45 дней, после сдачи Сетевого + экзамена

Вилка на дороге

После прохождения сертификации A +, Network + и Security + вы должны принять решение. Вы хотите пойти по пути Cisco или Microsoft? Оба пути являются проприетарными, и между ними нет большого пересечения, поэтому будет очень сложно, если вы решите следовать обоим одновременно.

Во многих случаях работодатель сообщает вам, что является ценным для компании, и это часто является решающим фактором.В других случаях людям просто нравится работать с операционными системами больше, чем с сетевыми устройствами, или наоборот (когда вы пройдете сертификацию CompTIA, вы должны будете знать свои предпочтения). Как гласит старая пословица: «Делай то, что любишь, и не будешь работать ни дня в своей жизни».

Конечно, есть исключения, и нет причин, по которым вы не можете идти обоими путями. Если это ваш выбор, то ранние сертификаты Cisco, такие как CCENT и CCNA R&S, станут следующим логическим шагом. CompTIA Network + закладывает хорошую основу для обоих.После прохождения CCNA R&S вы можете обратить внимание на сертификаты Microsoft.

Сертификаты Cisco

Сертификаты

Cisco ориентированы на популярные сетевые и телекоммуникационные продукты Cisco Systems, но они также предоставляют значительный объем знаний, связанных с сетями в целом. Сетевой администратор должен пройти следующие три сертификата Cisco:

• Сертифицированный специалист по сетям входа в Cisco (CCENT)
• Cisco Certified Network Associate Routing and Switching (CCNA R&S)
• Сертифицированный сетевой специалист Cisco (CCNP)

CCENT

Вы можете получить сертификат CCENT, сдав экзамен Interconnecting Cisco Networking Devices 1 (ICND1).Этот сертификат охватывает основы сетевого администрирования и в первую очередь рассматривается как ступенька к сертификации CCNA. CCENT также охватывает многие общие сетевые темы, охватываемые экзаменом CompTIA Network +.

Часто задаваемый вопрос: «Стоит ли мне использовать CCENT вместо Network +?» На этот вопрос нет однозначного ответа. Network + обеспечивает прочную основу для основных концепций, таких как теория сетей и протоколы, и многие люди считают, что экзамен CCNA намного легче сдать, если они уже освоили материал Network +.Network + также является предварительным условием для получения сертификатов других поставщиков, которые вы, возможно, захотите получить в будущем.

• Срок обучения CCENT: 45 дней после Network + | 60 дней без сети +

Маршрутизация и коммутация CCNA

Вы получаете сертификат CCNA R&S после сдачи комбинированного экзамена CCNA или сдачи экзаменов ICND1 (которые вы уже сдали, если вы получили CCENT) и ICND2. Составной экзамен CCNA может быть довольно сложным, и люди часто сдают его как два отдельных экзамена, а не как один.

Сертификация

CCNA основана на общих навыках, которые вы приобрели во время подготовки к экзамену Network +, с частными темами, такими как установка, мониторинг и устранение неполадок устройств Cisco. Большинство кандидатов проводят много времени с оборудованием Cisco или с лабораторными симуляторами. Через своих партнеров по обучению Cisco предлагает ряд программ обучения CCNA для кампусов и онлайн, где вы можете получить практический опыт использования новейших устройств Cisco.

[ Прочтите о преобразовании Cisco «CCNA» в «CCNA Routing & Switching» ]

После прохождения сертификации CCNA сетевые администраторы могут пройти множество специализированных сертификаций Cisco в зависимости от своих целей и интересов.Специализации включают вопросы сетевой безопасности, голоса и беспроводной связи.

• Срок обучения CCNA: 3 месяца, после сдачи CCENT

CCNP

CCNP является расширенной сертификацией Cisco и включает сложные темы по безопасности, голосовым, беспроводным и видео решениям как в локальных (LAN), так и в глобальных сетях (WAN). После получения сертификата CCNA вам необходимо сдать три дополнительных экзамена, чтобы получить CCNP:

• 642-902 ROUTE — Внедрение Cisco IP Routing
• 642-813 SWITCH — Внедрение IP-коммутируемых сетей Cisco
• 642-832 TSHOOT — Устранение неполадок и обслуживание сетей Cisco IP

Люди, которые изучают CCNP путем самообучения, часто покупают маршрутизаторы и коммутаторы для создания собственной лаборатории.

• Срок обучения CCNP: 6 месяцев (около 2 месяцев на экзамен), после сдачи CCNA

Сертификаты Microsoft

Подавляющее большинство компьютеров, используемых в организациях, работают под управлением операционных систем Microsoft. Помня об этом, знание технологий Microsoft имеет жизненно важное значение. Получение последних сертификатов Microsoft — лучший способ доказать свои знания работодателям.

Как правило, планируйте около 60 дней для подготовки к любому сертификационному экзамену Microsoft.Это предполагает, что у вас есть солидная база знаний в области ИТ и вы отвечаете требованиям для сдачи экзамена.

Люди, которые самостоятельно изучают сертификаты Microsoft, обычно используют виртуализацию для создания целых практических сетей. Если у вас есть мощный компьютер с большим объемом оперативной памяти, вы можете легко настроить виртуальную среду с одним или несколькими виртуальными серверами и одной или несколькими системами виртуальных рабочих столов. Для тех, кто предпочитает учиться в классе (или виртуальном классе), существует множество обучающих программ Microsoft под руководством инструктора.

MCSA

Группа сертификатов Microsoft Certified Solutions Associate (MCSA) обеспечивает основу для технических специалистов Microsoft. В эту группу входят несколько сертификатов, которые должен учитывать сетевой администратор:

Сертификат MCSA: Windows 7 (ранее известный как MCITP: Enterprise Desktop Support Technician) подтверждает навыки настройки и обслуживания компьютеров с Windows 7 в бизнес-среде. Этот сертификат требует двух экзаменов:

• 70-680 | Windows 7 Настройка
• 70-685 | Windows 7, специалист по поддержке рабочего стола предприятия

MCSA: Windows 8 подтверждает опыт настройки, управления и поддержки компьютеров с Windows 8 и включает два экзамена:

• 70-687 | Настройка Windows 8
• 70-688 | Управление и обслуживание Windows 8

ОС Windows 8, оптимизированная для мобильных устройств, внедряется не так быстро, как хотелось бы технологическому гиганту.Многие организации придерживаются Windows 7, поэтому во многих кругах все еще предпочитают эту сертификацию. В интересной статье Forbes говорится, что внедрение Windows 8 может ускориться примерно в 2014 году, когда тенденция BYOD (принесите свое устройство) набирает обороты в корпоративной культуре.

Сертификат MCSA: Windows Server 2012 подтверждает, что вы можете устанавливать, настраивать и управлять решениями Microsoft Windows Server в корпоративной среде, и включает три экзамена:

• 70-410 | Установка и настройка Windows Server 2012
• 70-411 | Администрирование Windows Server 2012
• 70-412 | Настройка Advanced Windows Server 2012 Services

MCSE

После получения сертификата MCSA вы можете получить множество специализированных сертификатов Microsoft Certified Solutions Expert (MCSE).Например, учетные данные MCSE: Desktop Infrastructure и MCSE Server Infrastructure применяются непосредственно к рабочим ролям сетевого администратора.

Сертификат MCSE: Desktop Infrastructure доказывает, что вы можете безопасно развертывать и обслуживать настольные ПК. Эти учетные данные включают два дополнительных экзамена помимо трех тестов, необходимых для MCSA: Windows Server 2012:

• 70-415 | Внедрение инфраструктуры рабочего стола
• 70-416 | Реализация сред настольных приложений

Сертификат MCSE: Server Infrastructure подтверждает вашу способность запускать физические и виртуальные серверы — востребованный навык в современных корпоративных средах — и включает в себя еще два экзамена помимо MCSA: Windows Server 2012:

• 70-413 | Проектирование и реализация серверной инфраструктуры
• 70-414 | Внедрение расширенной серверной инфраструктуры

Резюме

Если вы планируете продолжить работу в качестве сетевого администратора, лучше всего заложить прочный фундамент с сертификатами CompTIA A +, Network + и Security +.Приложив немного усилий, вы сможете получить эти три сертификата примерно за шесть месяцев.

Затем выберите путь Cisco или Microsoft. Если вы планируете работать с устройствами Cisco, вы можете получить сертификаты Cisco CCENT и CCNA и получить их в течение пяти-шести месяцев, а затем еще три экзамена на CCNP через шесть месяцев.

Если вы хотите работать с продуктами Microsoft, логично начать с сертификации MCSA, и обычно вы можете пройти сертификацию в течение четырех-шести месяцев, в зависимости от того, какие сертификаты вы хотите получить.Если вы получили сертификат MCSA: Windows Server 2012, вы можете после него сдать два дополнительных экзамена, чтобы получить один из сертификатов MCSE. Каждый MCSE займет еще около четырех месяцев.

Идеальный курс сертификации сетевого администратора не высечен на камне, однако изложенный выше план обучения поможет вам сформировать хорошо продуманный и востребованный набор навыков и подготовит вас к работе на большинстве должностей сетевого администратора. Удачи!

.