Онлайн-журнал о технологиях
HomeWindows не удается подключиться к службе “клиент групповой политики”

Windows не удается подключиться к службе “клиент групповой политики”

Отключение протокола NetBIOS over TCP/IP

Примечание. Протокол NetBIOS может используется старыми версиями Windows и некоторыми не-Windows-системами, поэтому его процесс его отключения в конкретной среде стоит тестировать.

На конкретном клиенте отключить NetBIOS можно вручную.

  1. Откройте свойства сетевого подключения
  2. Выберите протокол TCP/IPv4 и откройте его свойства
  3. Нажмите кнопку Advanced, затем перейдите на вкладку WINS и выберите опцию Disable NetBIOS over TCP (Отключить NetBIOS через TCP/IP)
  4. Сохраните изменения

Отключить поддержку NetBIOS для конкретного сетевого адаптера можно и из реестра.  Для каждого сетевого адаптера компьютера есть отдельная ветка с его TCPIP_GUID внутри HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces.

Чтобы отключить NetBIOS для конкретного адаптера, нужно открыть его ветку и изменить значение параметра NetbiosOptions на 2 (по умолчанию значение – 0).

Для полного отключение протокола NetBIOS, рассмотренные выше операции нужно выполнить для всех сетевых адаптеров компьютера.

На клиентах домена, получающих IP адреса с DHCP сервера, отключить NetBIOS можно через настройку опций DHCP сервера.

  1. Для этого откройте консоль dhcpmgmt.msc и выберите настройки зоны Scope Option (или сервера – Server Options)
  2. Перейдите на вкладку Advanced, в выпадающем списке Vendor class выберите Microsoft Windows 2000 Options
  3. Включите опцию 001 Microsoft Disable Netbios Option и измените ее значение на x2

Отдельной опции, позволяющей отключить NETBIOS over TCP/IP для всех сетевых адаптеров компьютера через групповые политики нет. Чтобы отключить NETBIOS для всех адаптеров компьютера воспользуйтесь следующим PowerShell скриптом, который нужно поместить в политику Computer Configuration -> Policies -> Windows Settings ->Scripts ->Startup->PowerShell Scripts

Примечание. Для вступления изменений в силу, нужно отключить/включить сетевые адаптеры или перезагрузить компьютер.

Ограничиваем вход на компьютеры с помощью GPO

В больших доменах использовать свойство пользователя LogonWorkstations для ограничения доступ пользователей к компьютерам нецелесообразно из-за ограничений и недостаточной гибкости. Как правило, чтобы запретить пользователям входить на некоторые ПК? используют групповые политики.

Можно ограничить список пользователей в локальной группе Users с помощью политики Restricted Groups (Windows Settings -> Security Settings), но мы рассмотрим другой вариант.

Есть две групповые политики, которые находятся в разделе Computer Configuration -> Policies -> Security Settings -> Local Policies -> User Rights Assignment (Конфигурация пользователя -> Политики -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя):

  • Deny log on locally (Запретить локальный вход) – позволяет запретить локальный вход на компьютеры для определенных пользователей или групп;
  • Allow log on locally (Локальный вход в систему) – содержит список пользователей и групп, которым разрешено входить на компьютер локально.

Например, чтобы запретить пользователям определенной группы входить на компьютеры в некой OU, вы можете создать отдельную группу пользователей, добавить ее в политику Deny log on locally и назначить ее на OU с компьютерами, доступ к которым вы хотите ограничить.

В больших доменах можно использовать комбинацию этих политик. Например, вы хотите запретить пользователям входить на компьютеры других OU.

Для этого в каждой OU нужно создать группу безопасности, куда нужно включить всех пользователей OU.

Совет. Группы можно автоматически наполнять пользователями из OU с помощью командлетов PowerShell Get-ADUser и таким скриптом:

Затем нужно включить политику Allow log on locally, добавить в нее эту группу (+ различные администраторские группы: Domain Admins, администраторы рабочих станций и прочее) и назначить политику на OU с компьютерами. Таким образом вы разрешите только пользователям конкретного OU входить на компьютеры.

При попытке входа пользователя, которому не разрешен локальный вход, появится окно с предупреждением:

You cannot log on because the logon method you are using is not allowed on this computer.  Please see your network administrator for more information.

Или

The sign-in method you are trying to use isn’t allowed. For more info, contact your network administrator.

Несколько важных моментов касательно данных политик:

  • Не стоит применять данные политики, для ограничения доступа к серверам и тем более к контроллерам домена. Как разрешить обычным пользователям RDP доступ к DC.
  • Не включаете эти политики через стандартные GPO: Default Domain Policy или Default Domain Controllers Policy.
  • Запрещающая политика имеет больший приоритет.
  • Не забывайте про сервисные учетные записи(в том числе gMSA), которые могут использоваться для запуска служб на компьютерах.
  • Не стоит применить политики, ограничивающие локальный вход на весь домен. Назначайте их на конкретные OU.

Скрыть от пользователя Windows кнопки выключения и перезагрузки

Кроме того, есть специальная политика, позволяющей убрать у пользователя команды выключения, перезагрузки и гибернации компьютера со стартового экрана и меню Start. Политика называется «Удалить команды Завершение работы, Перезагрузка, Сон, Гибернация и запретить доступ к ним” (Remove and Prevent Access to the Shut Down, Restart, Sleep, and Hibernates commands) и находится в разделе GPO пользователя и компьютера: Конфигурация компьютера (пользователя) -> Административные шаблоны -> Меню “Пуск” и панель задач (Computer Configuration -> Administrative Templates -> Start Menu and Taskbar).

После включения этой политики пользователь сможет завершить работу с Windows, только выполнив логофф. Кнопки выключения, сна и перезагрузки компьютера станут недоступными.

Установка административных (ADMX) шаблонов административных политик для Chrome

Чтобы вы могли управлять параметрами Chrome через групповые политики, вы должны скачать и установить специальный набор административных шаблонов GPO для Google Chrome.

  1. Скачайте и распакуйте архив с ADM/ADMX шаблонами групповых политик для Google Chrome( http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip — размер архива около 7 Мб);
  2. В архиве находятся 3 каталога:
    • chromeos (административные шаблоны для Chromium);
    • common (содержит html файлы с полным описанием всех настраиваемых параметров политик Chrome – см. файл chrome_policy_list.html);
    • каталог windows — содержит шаблоны политик Chrome в двух форматах: ADM и ADMX (admx это более новый формат административных политики, поддерживается начиная с Windows Vista / Windows Server 2008 и выше).В этом же каталоге есть файл chrome.reg, в нем содержится пример настроек реестра, которые задаются для Chrome из GPO). Вы можете использовать примеры из этого reg файла для прямого импорта настроек Chrome в реестр через GPO);
  3. Скопируйте файлы административных шаблонов Chrome в каталог C:\Windows\PolicyDefinitions (в этом каталоге хранятся локальные административные шаблоны GPO). Чтобы настройки групповых политик Chrome были локализованы (русифицированы) нужно скопировать советующий файл шаблона. Для русского языка в случае использования ADMX формата шаблона, нужно скопировать сам файл шаблона \policy_templates\windows\admx\admx и файлы локализации \policy_templates\windows\admx\ru\chrome.adml;
    Примечание. Если вы планируете использовать политик Chrome в домене Active Directory, нужно скопировать ADMX и ADML файлы в каталог определенной GPO (не лучший вариант) или в каталог PolicyDefinitions, расположенный в паке SYSVOL на котроллере домена (в случае использовании централизованного хранилища GPO).
  4. Предположим вы планируете использовать ADMX-формат шаблона GPO и централизованное доменное хранилище политик. Скопируйте файл chrome.admx и каталоги локализации в папку \\winitpro.loc\SYSVOL\winitpro.loc\Policies\PolicyDefinitions на контроллере домена;
  5. Откройте консоль управления доменными групповыми политиками (gpmc.msc) и перейдите в режим редактирования любой существующей политики (или создайте новую). Убедитесь, что и в пользовательском и системном разделах Policies -> Administrative Templates появилась новая секция Google, в которой содержаться два подраздела Google Chrome и Google Chrome – Default Settings (users can override);
    Совет. Если вы не используете централизованное хранилище GPO, шаблон групповых политик для Google Chrome можно добавить в редактор политики вручную, для этого щелкните ПКМ по разделу Administrative Templates и выберите пункт Add/Remove Templates. В открывшемся окне укажите путь файлу chrome.adm . Путь желательно указывать в UNC формате, например так: \\winitpro.loc\SYSVOL\winitpro.loc\Policies\{60556A6F-2549-4C8E-A522-D3CF668E56B4}\Adm\chrome.adm

После того, как вы установили административные шаблоны групповых политик для браузера Google Chrome, вы можете перейти к настройке параметров Chrome на компьютерах пользователей.

Данные административные шаблоны содержат порядка 300+ различных настроек Google Chrome, которыми можно управлять. Вы можете исследовать их самостоятельно и настроить параметры браузера, которые нужны в вашей среде.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Рекомендуем
Админка wordpress: все про административную панель wordpress сайта
0
41 вопрос о работе со строками в python
Usb vid 18d1 pid 0fff rev 0327
Opva
0
1с не совпадает версия временного файла
0
Как увеличить максимальное количество подключений в postgres?
0
Основы системы wordpress для начинающих
0
Это странное диафрагменное число
0
10 лучших приложений для взлома пароля facebook для android и iphone
0
Как создать и удалить пользователя на debian 9
Онлайн-журнал о технологиях
Нашли ошибку, неточность или опечатку в тексте?
Выделите её и нажмите Ctrl + Enter Система Orphus
Adblock
detector