8 параметров групповой политики windows, которые должен знать каждый администратор
Содержание:
- Сценарии подключения и отключения Править
- Открытие оснастки и изменение пользовательского интерфейса
- Принцип работы с групповыми политиками
- Фильтры политик
- Редактор групповой политики
- Управляем обновлениями
- Применение групповых политик Править
- Принцип работы с групповыми политиками
- Клиенты, которые могут использовать групповую политику
- Настройка брандмауэра Windows в правилах входящего трафика с повышенной безопасностьюTo configure Windows Firewall with Advanced Security Inbound Traffic Rules
- Политика установки обновлений WSUS для рабочих станций
Сценарии подключения и отключения Править
Сценарии, определенные в рамках групповой политики Править
Эти сценарии применяются в отношении контейнеров OU. Иными словами, чтобы назначить пользователю сценарий подключения или отключения, следует сделать пользователя членом контейнера OU, для которого определена политика, в рамках которой назначен сценарий подключения или отключения. Этот метод является более гибким.
Если вы переводите свою сеть на использование Windows 2000, вы также должны учитывать некоторые другие особенности, связанные со сценариями. Во многих сетях наряду с машинами Windows 2000 используются компьютеры, оснащенные более ранними версиями Windows, по этой причине рекомендуется выполнять обновление сервера, содержащего общую папку NETLOGON, в последнюю очередь. Это связано с тем, что служба репликации, используемая в Windows 2000 (FRS), не совместима со службами репликации NT. Таким образом, обновляя сеть, вы должны быть уверены в том, что абсолютно все клиенты имеют возможность доступа к папке Netlogon и сценариям подключения вне зависимости от того, какую операционную систему они используют.
Следует также учитывать, что в Windows NT сценарии подключения работают в контексте безопасности пользователя. В Windows 2000 это справедливо лишь отчасти. В Windows 2000 сценарии, имеющие отношение к пользователю (подключения к системе и отключения от системы), также выполняются в контексте безопасности пользователя, в то время как сценарии, имеющие отношение к компьютеру (начала работы системы и завершения работы системы), выполняются в контексте безопасности LocalSystem.
Открытие оснастки и изменение пользовательского интерфейса
Также есть альтернативный способ установки данного компонента – использование командной строки и утилиты управления конфигурацией сервера. В командной строке, запущенной с правами администратора введите ServerManagerCmd -install gpmc. При желании вы можете вывести результат установки в xml файл, используя параметр –resultPath.
Для того чтобы открыть оснастку «Управление групповой политикой», выполните любое из следующих действий:
- Нажмите на кнопку «Пуск», выберите меню «Администрирование», а затем откройте «Управление групповой политикой»;
- Воспользуйтесь комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите gpmc.msc и нажмите на кнопку «ОК»;
- Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Управление групповой политикой и откройте приложение в найденных результатах;
- Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Управление групповой политикой» и нажмите на кнопку «Добавить», а затем нажмите на кнопку «ОК».
На следующей иллюстрации изображена оснастка «Управление групповой политикой»:
Рис. 1. Оснастка «Управление групповой политикой»
Содержимое оснастки «Управление групповой политикой» предоставляет множество средств, предназначенных для обеспечения централизованного управления инфраструктурой организации. Но если вас не устраивает интерфейс данной оснастки, вы можете его изменить, используя функционал редактирования параметров пользовательского интерфейса. Для того чтобы изменить отображение некоторых элементов оснастки, откройте меню «Вид» и выберите команду «Параметры». В диалоговом окне «Параметры» вы можете настроить элементы, параметры которых располагаются в следующих вкладках:
- Вкладка «Столбцы». На этой вкладке вы можете изменить отображение и порядок столбцов для основных таблиц текущей оснастки, а именно: «Наследование групповой политики», «Начальные объекты групповой политики», «Объекты групповой политики», «Связанные объекты групповой политики» и «Фильтры WMI». Вам достаточно просто выбрать из раскрывающегося списка редактируемую таблицу, в поле «Столбцы отображаются в следующем порядке» снять флажки с наименований лишних столбцов и установить их порядок, используя кнопки «Вверх» или «Вниз». Также вы можете изменять порядок столбцов непосредственно из таблицы, меняя их местами так, как вам удобно. Для того чтобы ваши изменения были сохранены при повторном открытии оснастки, в окне параметров установите флажок «Сохранять порядок и размеры изменяемых столбцов», как показано на следующей иллюстрации:
Рис. 2. Вкладка «Столбцы» параметров оснастки
Вкладка «Отчет». Используя эту вкладку, вы можете изменить папку, которая используется по умолчанию для расположения ADM-файлов. Следует помнить, что изменения, которые проводятся на данной вкладке, будут распространяться только на устаревшие ADM-файлы, а расположение файлов ADMX, которые используются в операционных системах Windows Vista и Windows 7 останется без изменений. Если переключатель будет установлен на параметре «По умолчанию», то поиск файлов ADM изначально будет проводиться в папке Windows и в том случае, если файл не будет найден, консоль GPMC будет просматривать папку объектов групповой политики (GPO), находящуюся в папке Sysvol. Если установить переключатель на параметр «настраиваемое», то консоль GPMC изначально будет искать файлы adm в той папке, которая будет указана вами, а затем в расположениях по умолчанию. Настройки данной вкладки изображены ниже:
Рис. 3. Вкладка «Отчет» параметров оснастки
Вкладка «Общие». На вкладке «Общие» настраиваются параметры, которые распространяются на отображение лесов и доменов только с двухсторонними отношениями доверия, отображения имени контроллеров домена, а также для отображения диалогового окна подтверждения для различия между объектами групповой политики и связи этих объектов. Эта вкладка отображена на следующей иллюстрации:
Рис. 4. Вкладка «Общие» параметров оснастки
Принцип работы с групповыми политиками
Рассматриваемый в этой статье инструмент позволяет применять множество самых разнообразных параметров. К сожалению, большинство из них понятно только профессионалам, использующим групповые политики в рабочих целях. Однако и обычному пользователю есть что настроить, используя некоторые параметры. Разберем несколько простых примеров.
Изменение окна безопасности Windows
Если в Виндовс 7 зажать сочетание клавиш Ctrl + Alt + Delete, то будет запущено окно безопасности, где осуществляется переход к диспетчеру задач, блокировка ПК, завершение сеанса системы, смена профиля пользователя и пароля.
Каждая команда за исключением «Сменить пользователя» доступна для редактирования путем изменения нескольких параметров. Выполняется это в среде с параметрами или путем изменения реестра. Рассмотрим оба варианта.
- Откройте редактор.
- Перейдите в папку «Конфигурация пользователя», «Административные шаблоны», «Система» и «Варианты действий после нажатия Ctrl + Alt + Delete».
Откройте любую необходимую политику в окне справа.
В простом окне управления состоянием параметра поставьте галочку напротив «Включить» и не забудьте применить изменения.
Пользователям, у которых нет редактора политик, все действия нужно будет выполнять через реестр. Давайте рассмотрим все действия пошагово:
- Перейдите к редактированию реестра.
Подробнее: Как открыть редактор реестра в Windows 7
Перейдите к разделу «System». Он находится по этому ключу:
Там вы увидите три строки, отвечающие за появление функций в окне безопасности.
Откройте необходимую строку и поменяйте значение на «1», чтобы активировать параметр.
После сохранения изменений деактивированные параметры больше не будут отображаться в окне безопасности Windows 7.
Изменения панели мест
Многие используют диалоговые окна «Сохранить как» или «Открыть как». Слева отображается навигационная панель, включая раздел «Избранное». Данный раздел настраивается стандартными средствами Windows, однако это долго и неудобно. Поэтому лучше воспользоваться групповыми политиками для редактирования отображения значков в данном меню. Редактирование происходит следующим образом:
- Перейдите в редактор, выберите «Конфигурация пользователя», перейдите к «Административные шаблоны», «Компоненты Windows», «Проводник» и конечной папкой будет «Общее диалоговое окно открытия файлов».
Здесь вас интересует «Элементы, отображаемые в панели мест».
Поставьте точку напротив «Включить» и добавьте до пяти различных путей сохранения в соответствующие строки. Справа от них отображается инструкция правильного указания путей к локальным или сетевым папкам.
Теперь рассмотрим добавление элементов через реестр для пользователей, у которых отсутствует редактор.
- Перейдите по пути:
Выберите папку «Policies» и сделайте в ней раздел comdlg32.
Перейдите в созданный раздел и сделайте внутри него папку Placesbar.
В этом разделе потребуется создать до пяти строковых параметров и назвать их от «Place0» до «Place4».
После создания откройте каждый из них и в строку введите необходимый путь к папке.
Слежение за завершением работы компьютера
Когда вы завершаете работу за компьютером, выключение системы происходит без показа дополнительных окон, что позволяет не быстрее выключить ПК. Но иногда требуется узнать почему происходит выключение или перезапуск системы. В этом поможет включение специального диалогового окна. Включается оно с помощью редактора или путем изменения реестра.
- Откройте редактор и перейдите к «Конфигурация компьютера», «Административные шаблоны», после чего выберите папку «Система».
В ней нужно выбрать параметр «Отображать диалог слежения за завершением работы».
Откроется простое окно настройки, где необходимо поставить точку напротив «Включить», при этом в разделе параметры во всплывающем меню необходимо указать «Всегда». После не забудьте применить изменения.
Данная функция включается и через реестр. Вам нужно совершить несколько простых действий:
- Запустите реестр и перейдите по пути:
Найдите в разделе две строки: «ShutdownReasonOn» и «ShutdownReasonUI».
Введите в строку с состоянием «1».
В этой статье мы разобрали основные принципы использования групповых политик Виндовс 7, объяснили значимость редактора и сравнили его с реестром. Ряд параметров предоставляет пользователям несколько тысяч различных настроек, позволяющие редактировать некоторые функции пользователей или системы. Работа с параметрами осуществляется по аналогии с приведенными выше примерами.
Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.
Фильтры политик
Минусом редактора является отсутствие функции поиска. Существует множество различных настроек и параметров, их больше трех тысяч, все они разбросаны по отдельным папкам, а поиск приходится осуществлять вручную. Однако данный процесс упрощается благодаря структурированной группе из двух ветвей, в которых расположились тематические папки.
Например, в разделе «Административные шаблоны», в любой конфигурации, находятся политики, которые никак не связаны с безопасностью. В этой папке находится еще несколько папок с определенными настройками, однако можно включить полное отображение всех параметров, для этого нужно нажать на ветвь и выбрать пункт в правой части редактора «Все параметры», что приведет к открытию всех политик данной ветви.
Экспорт списка политик
Если все-таки появляется необходимость найти определенный параметр, то сделать это можно только путем экспорта списка в текстовый формат, а потом уже через, например Word, осуществлять поиск. В главном окне редактора есть специальная функция «Экспорт списка», он переносит все политики в формат TXT и сохраняет в выбранном месте на компьютере.
Применение фильтрации
Благодаря появлению ветви «Все параметры» и улучшению функции фильтрации поиск практически не нужен, ведь лишнее откидывается путем применения фильтров, а отображаться будут только необходимые политики. Давайте подробнее рассмотрим процесс применения фильтрации:
- Выберите, например, «Конфигурация компьютера», откройте раздел «Административные шаблоны» и перейдите в «Все параметры».
Разверните всплывающее меню «Действие» и перейдите в «Параметры фильтра».
Поставьте галочку возле пункта «Включить фильтры по ключевым словам». Здесь имеется несколько вариантов подбора соответствий. Откройте всплывающее меню напротив строки ввода текста и выберите «Любой» – если нужно отображать все политики, которые соответствуют хотя бы одному указанному слову, «Все» – отобразит политики, содержащие текст из строки в любом порядке, «Точный» – только параметры, точно соответствующие заданному фильтру по словам, в правильном порядке. Флажками снизу строки соответствий отмечаются места, где будет осуществляться выборка.
Нажмите «ОК» и после этого в строке «Состояние» отобразятся только подходящие параметры.
В том же всплывающем меню «Действие» ставится или убирается галочка напротив строки «Фильтр», если нужно применить или отменить заранее заданные настройки подбора соответствий.
Редактор групповой политики
В Windows 7 Домашняя Базовая/Расширенная и Начальная редактор групповых политик просто отсутствует. Разработчики
позволяют использовать его только в профессиональных версиях Виндовс, например, в Windows 7 Максимальная. Если
вы не обладаете этой версией, то те же действия вам придется выполнять через изменения параметров реестра.
Давайте подробнее рассмотрим редактор.
Запуск редактора групповой политики
Переход к среде работы с параметрами и настройками осуществляется за несколько простых действий. Вам только
необходимо:
-
- Зажать клавиши Win + R, чтобы открыть «Выполнить».
-
- Напечатать в строке gpedit.msc и подтвердить действие,
нажав «ОК». Далее запустится новое окно.
- Напечатать в строке gpedit.msc и подтвердить действие,
Теперь можно приступать к работе в редакторе.
Работа в редакторе
Разделяется главное окно управления на две части. Слева располагается структурированные категории политик. Они в
свою очередь делятся еще на две различные группы – настройка компьютера и настройка пользователя.
В правой части отображается информация о выбранной политике из меню слева.
Из этого можно сделать вывод, что работа в редакторе осуществляется путем перемещения по категориям для поиска
необходимой настройки. Выберите, например, «Административные
шаблоны» в «Конфигурации пользователя» и перейдите в
папку «Меню «Пуск» и диспетчер задач». Теперь справа отобразятся параметры
и их состояния. Нажмите на любую строку, чтобы открыть ее описание.
Управляем обновлениями
И давайте рассмотрим, как можно более гибко управлять обновлениями в Windows 10.
На официальном сайте есть целая заметка по этой теме — https://docs.microsoft.com
В этой статье подробно рассказываться о том, как можно запланировать установку обновления, настроить политики перезапуска, указать период активности с помощью групповых политик.
В первую очередь необходимо зайти в раздел Настройка автоматического обновления. Это раздел можно найти по адресу Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows. Выбираем параметр 4 — Загружать автоматически и вносить установки в расписание.
Это важно сделать, так как иначе управлять перезагрузкой компьютера после установки обновления мы не сможем.

Теперь можно переходить к настройке перезагрузки. Мы можем либо отключить перезагрузку компьютера во время периода активности, либо не выполнять перезагрузку компьютера, если в системе работают пользователи
Периоду активности была посвящена предыдущая заметка. Если ваш режим работы за компьютером укладывается в период активности, то можно использовать эти настройки. Если же вы хотите предотвратить перезагрузку компьютера в том случае, когда вы за ним не находитесь, но какая-то программа на нем запущена и работает, то второй вариант будет более предпочтителен.
Но обратите внимание на то, что если время перезапуска задано в параметрах, то компьютер все равно перезагрузится!
Таким образом можно отложить обновления хоть на месяц, но все же не стоит с перезагрузкой затягивать, так как появятся новые обновления и процесс их установки не только будет более продолжительным, но и совместная установка нескольких обновлений может привести к проблемам.
Применение групповых политик Править
Работая с групповыми политиками, следует учитывать, что:
- объекты GPO применяются в отношении контейнеров, а не замыкающих объектов;
- один контейнер может быть связан с несколькими объектами GPO;
- объекты GPO, связанные с одним и тем же контейнером, применяются в отношении этого контейнера в том порядке, в котором они были назначены;
- объект GPO включает в себя две составляющие: параметры, относящиеся к компьютеру, и параметры, относящиеся к пользователю;
- обработку любой из этих составляющих можно отключить;
- наследование объектов GPO можно блокировать;
- наследование объектов GPO можно форсировать;
Принцип работы с групповыми политиками
Рассматриваемый в этой статье инструмент позволяет применять множество самых разнообразных параметров. К
сожалению, большинство из них понятно только профессионалам, использующим групповые политики в рабочих целях.
Однако и обычному пользователю есть что настроить, используя некоторые параметры. Разберем несколько простых
примеров.
Изменение окна безопасности Windows
Если в Виндовс 7 зажать сочетание клавиш Ctrl + Alt + Delete, то будет запущено окно безопасности,
где осуществляется переход к диспетчеру задач, блокировка ПК, завершение сеанса системы, смена профиля
пользователя и пароля.
Каждая команда за исключением «Сменить пользователя» доступна для редактирования
путем изменения нескольких параметров. Выполняется это в среде с параметрами или путем изменения реестра.
Рассмотрим оба варианта.
-
- Откройте редактор.
- Перейдите в папку «Конфигурация
пользователя», «Административные
шаблоны», «Система» и «Варианты действий
после нажатия Ctrl + Alt + Delete».
-
- Откройте любую необходимую политику в окне справа.
-
- В простом окне управления состоянием параметра поставьте галочку
напротив «Включить» и не забудьте применить изменения.
- В простом окне управления состоянием параметра поставьте галочку
Пользователям, у которых нет редактора политик, все действия нужно будет выполнять через реестр. Давайте
рассмотрим все действия пошагово:
-
- Перейдите к редактированию реестра.
-
- Перейдите к разделу «System». Он находится по этому ключу:
-
- Там вы увидите три строки, отвечающие за появление функций в окне безопасности.
- Откройте необходимую строку и поменяйте значение на «1», чтобы активировать
параметр.
После сохранения изменений деактивированные параметры больше не будут отображаться в окне безопасности Windows 7.
Изменения панели мест
Многие используют диалоговые окна «Сохранить как» или «Открыть
как». Слева отображается навигационная панель, включая
раздел «Избранное». Данный раздел настраивается стандартными средствами Windows,
однако это долго и неудобно. Поэтому лучше воспользоваться групповыми политиками для редактирования отображения
значков в данном меню. Редактирование происходит следующим образом:
-
- Перейдите в редактор, выберите «Конфигурация пользователя», перейдите
к «Административные шаблоны», «Компоненты
Windows», «Проводник» и конечной папкой будет
«Общее диалоговое окно открытия файлов».
- Перейдите в редактор, выберите «Конфигурация пользователя», перейдите
-
- Здесь вас интересует «Элементы, отображаемые в панели мест».
-
- Поставьте точку напротив «Включить» и добавьте до пяти различных путей
сохранения в соответствующие строки. Справа от них отображается инструкция правильного указания путей к
локальным или сетевым папкам.
- Поставьте точку напротив «Включить» и добавьте до пяти различных путей
Теперь рассмотрим добавление элементов через реестр для пользователей, у которых отсутствует редактор.
-
- Перейдите по пути:
-
- Выберите папку «Policies» и сделайте в ней раздел comdlg32.
-
- Перейдите в созданный раздел и сделайте внутри него папку Placesbar.
-
- В этом разделе потребуется создать до пяти строковых параметров и назвать их
от «Place0» до «Place4».
- В этом разделе потребуется создать до пяти строковых параметров и назвать их
-
- После создания откройте каждый из них и в строку введите необходимый путь к папке.
Слежение за завершением работы компьютера
Когда вы завершаете работу за компьютером, выключение системы происходит без показа дополнительных окон, что
позволяет не быстрее выключить ПК. Но иногда требуется узнать почему происходит выключение или перезапуск
системы. В этом поможет включение специального диалогового окна. Включается оно с помощью редактора или путем
изменения реестра.
-
- Откройте редактор и перейдите к «Конфигурация
компьютера», «Административные шаблоны», после чего выберите
папку «Система».
- Откройте редактор и перейдите к «Конфигурация
-
- В ней нужно выбрать параметр «Отображать диалог слежения за завершением
работы».
- В ней нужно выбрать параметр «Отображать диалог слежения за завершением
-
- Откроется простое окно настройки, где необходимо поставить точку
напротив «Включить», при этом в разделе параметры во всплывающем меню
необходимо указать «Всегда». После не забудьте применить изменения.
- Откроется простое окно настройки, где необходимо поставить точку
Данная функция включается и через реестр. Вам нужно совершить несколько простых действий:
-
- Запустите реестр и перейдите по пути:
- Найдите в разделе две
строки: «ShutdownReasonOn» и «ShutdownReasonUI». - Введите в строку с состоянием «1».
Клиенты, которые могут использовать групповую политику
В процессе перехода на использование Windows 2000 в вашей сети наверняка будут присутствовать компьютеры, оснащенные более ранними версиями Windows
Чтобы эффективно управлять такой сетью, важно понимать, в отношении каких компьютеров будет действовать групповая политика. Далее перечисляются операционные системы, в отношении которых действует групповая политика.
- Windows 2000 & 2003 Server. Компьютеры, оснащенные операционной системой Windows 2000 Server, могут быть либо обычными членами домена Active Directory, либо контроллерами домена. Групповая политика в полной мере применяется к обеим разновидностям серверов.
- Windows 2000 & XP Professional. Групповая политика в полной мере применяется в отношении клиентских компьютеров, оснащенных Windows 2000 Professional.
- Windows NT 4.0 Workstation и Server. В отношении таких компьютеров можно применить только системные политики в стиле NT 4.0. Для создания таких политик используется редактор poledit.exe. При помощи poledit.exe администратор может создавать файлы .adm. Windows NT 4.0 не поддерживает Active Directory и не использует объектов локальной политики, поэтому в отношении компьютеров, оснащенных этой операционной системой, групповая политика не применяется.
- Windows 95 и Windows 98. Для создания системной политики в операционных системах Windows 98 и Windows 95 используется специальный редактор системной политики. Получившийся в результате редактирования файл с расширением .pol следует скопировать в каталог SysVol. Редакторы системной политики, входящие в комплект Windows 2000 и Windows NT, не совместимы с Windows 98 и Windows 95. Групповая политика Windows 2000 в отношении таких компьютеров не применяется.
- Windows NT 3.51, Windows 3.1 и DOS. Групповая политика не применяется.
Настройка брандмауэра Windows в правилах входящего трафика с повышенной безопасностьюTo configure Windows Firewall with Advanced Security Inbound Traffic Rules
В консоли управления групповая политика разверните следующий путь: лес: example.com, домены, example.com, Групповая политика объекты, где example.com — это имя домена, в котором находятся учетные записи клиентского компьютера BranchCache, которые требуется настроить.In the Group Policy Management console, expand the following path: Forest: example.com, Domains, example.com, Group Policy Objects, where example.com is the name of the domain where the BranchCache client computer accounts that you want to configure are located.
В консоли управления групповая политика убедитесь, что выбран параметр Групповая политика объекты , и в области сведений щелкните правой кнопкой мыши объект групповой политики «клиентские компьютеры BranchCache», созданный ранее.In the Group Policy Management console, ensure that Group Policy Objects is selected, and in the details pane right-click the BranchCache client computers GPO that you created previously. Например, если вы наназвали клиентские компьютеры BranchCache объекта групповой политики, щелкните правой кнопкой мыши клиентские компьютеры BranchCache.For example, if you named your GPO BranchCache Client Computers, right-click BranchCache Client Computers. Нажмите кнопку Изменить.Click Edit. Откроется консоль редактор «Управление групповыми политиками».The Group Policy Management Editor console opens.
В консоли редактор «Управление групповыми политиками» разверните следующий путь: Конфигурация компьютера, политики, Параметры Windows, Параметры безопасности, Брандмауэр Windows в расширенной безопасности, Брандмауэр Windows в Advanced Security-LDAP, правила для входящих подключений.In the Group Policy Management Editor console, expand the following path: Computer Configuration, Policies, Windows Settings, Security Settings, Windows Firewall with Advanced Security, Windows Firewall with Advanced Security — LDAP, Inbound Rules.
Щелкните правой кнопкой мыши элемент Правила для входящих подключений и выберите команду Новое правило.Right-click Inbound Rules, and then click New Rule. Откроется мастер создания правила для нового входящего подключения.The New Inbound Rule Wizard opens.
В поле тип правилащелкните предопределенный, разверните список вариантов, а затем щелкните BranchCache — получение содержимого (используется HTTP).In Rule Type, click Predefined, expand the list of choices, and then click BranchCache — Content Retrieval (Uses HTTP)
Щелкните Далее.Click Next.
В окне предопределенные правиланажмите кнопку Далее.In Predefined Rules, click Next.
В поле действиеубедитесь, что выбран параметр Разрешить подключение , а затем нажмите кнопку Готово.In Action, ensure that Allow the connection is selected, and then click Finish.
Важно!
Необходимо выбрать параметр Разрешить клиенту BranchCache подключение к этому порту получать трафик.You must select Allow the connection for the BranchCache client to be able to receive traffic on this port.
Чтобы создать исключение брандмауэра WS-Discovery, снова щелкните правой кнопкой мыши правила для входящих подключенийи выберите команду создать правило.To create the WS-Discovery firewall exception, again right-click Inbound Rules, and then click New Rule. Откроется мастер создания правила для нового входящего подключения.The New Inbound Rule Wizard opens.
В поле тип правилащелкните предопределенный, разверните список вариантов, а затем щелкните BranchCache — обнаружение кэширующих узлов (использует WSD).In Rule Type, click Predefined, expand the list of choices, and then click BranchCache — Peer Discovery (Uses WSD)
Щелкните Далее.Click Next.
В окне предопределенные правиланажмите кнопку Далее.In Predefined Rules, click Next.
В поле действиеубедитесь, что выбран параметр Разрешить подключение , а затем нажмите кнопку Готово.In Action, ensure that Allow the connection is selected, and then click Finish.
Важно!
Необходимо выбрать параметр Разрешить клиенту BranchCache подключение к этому порту получать трафик.You must select Allow the connection for the BranchCache client to be able to receive traffic on this port.
Политика установки обновлений WSUS для рабочих станций
Мы предполагаем, что обновления на клиентские рабочие станции, в отличии от серверной политики, будут устанавливаться автоматически ночью сразу после получения обновлений. Компьютеры после установки обновлений должны перезагружаться автоматически (предупреждая пользователя за 5 минут).
В данной GPO (WorkstationWSUSPolicy) мы указываем:
- Allow Automatic Updates immediate installation (Разрешить немедленную установку автоматических обновлений): Disabled — запрет на немедленную установку обновлений при их получении;
- Allow non-administrators to receive update notifications (Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях): Enabled — отображать не-администраторам предупреждение о появлении новых обновлений и разрешить их ручную установку;
- Configure Automatic Updates: Enabled. Configure automatic updating: 4 — Auto download and schedule the install. Scheduled install day: 0 — Every day. Scheduled install time: 05:00 – при получении новых обновлений клиент скачивает в локлаьный кэш и планирует их автоматическую установку на 5:00 утра;
- Target group name for this computer: Workstations – в консоли WSUS отнести клиента к группе Workstations;
- No auto-restart with logged on users for scheduled automatic updates installations: Disabled — система автоматически перезагрузится через 5 минут после окончания установки обновлений;
- Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates: https://srv-wsus.winitpro.ru:8530, Set the intranet statistics server: https://srv-wsus.winitpro.ru:8530 –адрес корпоративного WSUS сервера.
В Windows 10 1607 и выше, несмотря на то, что вы указали им получать обновления с внутреннего WSUS, все еще могут пытаться обращаться к серверам Windows Update в интернете. Эта «фича» называется Dual Scan. Для отключения получения обновлений из интернета нужно дополнительно включать политику Do not allow update deferral policies to cause scans against Windows Update (ссылка).
Совет. Чтобы улучшить «уровень пропатченности» компьютеров в организации, в обоих политиках можно настроить принудительный запуск службы обновлений (wuauserv) на клиентах. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services найдите службу Windows Update и задайте для нее автоматический запуск (Automatic).