Pada artikel ini kita akan melihat caranya menggunakan kebijakan grup (GPO) secara terpusat mengelola, membuat, mengubah nilai, mengimpor dan menghapus kunci registri apa pun di komputer domain.
Dalam kebijakan grup klasik, tidak ada kemampuan bawaan untuk mengontrol pengaturan registri sewenang-wenang. Oleh karena itu, administrator, untuk manajemen kunci dan parameter registri terpusat melalui GPO, harus membuat templat administratif (.adm / .admx) mereka sendiri (contoh GPO pada templat admx untuk Google Chrome) atau file bat untuk skrip Logon (mengimpor file reg dengan menggunakan perintah impor reg).
Di Windows Server 2008, Microsoft memperkenalkan ekstensi Kebijakan Grup yang disebut Preferensi Kebijakan Grup (Preferensi Kebijakan Grup - GPP). Bagian khusus telah muncul di GPP, dengan bantuan yang administrator dapat mengkonfigurasi (membuat, menghapus) setiap parameter atau cabang registri dan mendistribusikan kunci ini ke semua komputer domain. Pertimbangkan fitur-fitur ini secara lebih rinci..
Misalkan Anda ingin menonaktifkan pembaruan driver otomatis di semua komputer dalam wadah tertentu (OU) domain dengan mengubah nilai parameter CariOrderConfig di cabang registri Hkey_LOCAL_MACHINE\ PERANGKAT LUNAK\ Microsoft\ Windows\ Versi Saat Ini\ DriverSearching. Ada dua cara untuk mengatur parameter registri pada komputer target domain: menggunakan browser registri yang dibangun ke konsol GPP pada komputer jarak jauh atau secara manual dengan secara manual menentukan lintasan ke cabang registri dan nama parameter.
Konten:
- Buat / Edit Wisaya Pengaturan Registri di GPO
- Secara manual membuat pengaturan registri menggunakan kebijakan grup
- Impor file .reg ke GPO
Buat / Edit Wisaya Pengaturan Registri di GPO
Pertama, pertimbangkan metode pertama:
- Buka Konsol Manajemen Kebijakan Grup ()gpmc.msc);
- Buat GPO baru (atau edit yang sudah ada), tetapkan ke wadah AD yang diperlukan dengan komputer (atau pengguna) yang ingin Anda tambahi nilai parameter registri Anda, dan alihkan ke mode pengeditan kebijakan;
- Luaskan Bagian GPO Konfigurasi Komputer (atau Pengguna) -> Preferensi -> Pengaturan Windows -> Daftar dan di menu konteks pilih Baru -> Registry Wizard;
- Tuan Daftar Wisaya memungkinkan Anda untuk terhubung ke registri pada komputer jarak jauh melalui jaringan dan memilih parameter registri di atasnya dan nilainya;
- Tentukan nama komputer yang ingin Anda sambungkan;Catatan. Jika terjadi kesalahan saat menghubungkan ke komputer melalui Browser Browser Jalur jaringan tidak ditemukan, kemungkinan besar komputer dimatikan, akses ke sana diblokir oleh firewall, atau layanan Remote Registry tidak diaktifkan di sana.Untuk mengaktifkan layanan RemoteRegistry secara manual, Anda perlu menjalankan perintah berikut di komputer jarak jauh:
sc config remoteregistry start = demand
net start remoteregistry
- Menggunakan peramban registri jarak jauh, pilih semua pengaturan registri yang ingin Anda konfigurasi melalui GPO;
Catatan. Browser ini memungkinkan Anda untuk memilih tombol pada PC jarak jauh hanya dari bagian HKEY_LOCAL_MACHINE dan HKEY_USERS. Jika Anda perlu mengatur kunci yang terdapat di cabang registri lain, Anda harus menginstal RSAT pada komputer jarak jauh (menginstal RSAT di Windows 10). Kemudian, di komputer ini, mulai konsol gpmc.msc dan gunakan prosedur yang sama untuk menentukan pengaturan registri yang Anda butuhkan. - Dalam contoh kami, kami ingin melalui GPP untuk mengubah nilai hanya satu parameter dalam registri - SearchOrderConfig;
- Entri registri yang ditentukan diimpor ke konsol GPP bersama dengan jalur dan nilai saat ini (0) Seperti yang Anda lihat, pohon registri telah muncul di konsol manajemen GPO tempat parameter ini disimpan. Di masa mendatang, Anda dapat mengubah nilainya dan tindakan dengan itu (kami akan mempertimbangkan sedikit di bawah);
- Ini melengkapi pembuatan kebijakan GPP. Saat berikutnya pengaturan Kebijakan Grup diperbarui pada semua komputer yang dicakup oleh kebijakan ini, nilai kunci registri SearchOrderConfig akan berubah menjadi 0 (jika kebijakan tidak berfungsi pada klien, Anda dapat menggunakan utilitas gpresult untuk diagnostik dan rekomendasi dari artikel "Mengapa GPO tidak diterapkan?").
Jika kebijakan berhenti beroperasi di komputer (kebijakan dihapus atau diputus dari wadah, komputer ditransfer ke OU lain, dll.), Nilai registri tidak akan kembali ke nilai aslinya (default) (seperti halnya dengan pengaturan kebijakan GPO biasa).
Secara manual membuat pengaturan registri menggunakan kebijakan grup
Anda dapat membuat, mengubah, atau menghapus parameter atau kunci registri tertentu menggunakan GPP dengan menentukan cabang registri, nama parameter, dan nilai secara manual.
- Untuk melakukan ini, pilih Registry -> Baru-> Item Registri;
- Di bidang Sarang, Jalur Utama, Nama Nilai, Jenis nilai, Data nilai, Anda harus menentukan kunci registri, cabang, nama, jenis dan nilai parameter yang ingin Anda ubah, masing-masing;
- Secara default, pengaturan registri yang dikonfigurasi melalui GPO diatur ke Perbarui.
Tersedia 4 jenis operasi dengan pengaturan registri.
- Buat - membuat pengaturan registri. Jika suatu parameter sudah ada, nilainya tidak berubah;
- Perbarui (Secara default) - jika parameter sudah ada, nilainya akan berubah ke nilai yang ditentukan dalam kebijakan. Jika parameter registri tidak ada, itu akan dibuat secara otomatis (serta cabang registri di mana ia seharusnya berada);
- Ganti - jika entri registri sudah ada, itu dihapus dan diciptakan kembali (jarang digunakan);
- Hapus - pengaturan registri akan dihapus.
Tab Umum Ada sejumlah opsi berguna:
- Lari masuk dicatat-pada penggunaini keamanan konteks (pengguna kebijakan opsi) - kunci registri dibuat dalam konteks pengguna saat ini (hanya mungkin untuk GPP yang Anda buat di bagian GPO pengguna). Jika pengguna tidak memiliki hak administrator, kebijakan tidak akan dapat menulis ke cabang registri sistem;
- Hapus ini barang kapan itu adalah tidak lebih lama diterapkan - jika kebijakan berhenti mempengaruhi klien, parameter akan dihapus secara otomatis;
- Terapkan satu kali dan lakukan tidak mengajukan kembali - menerapkan kebijakan hanya sekali (untuk komputer atau pengguna). Jika setelah penggunaan GPO pertama kali, pengguna secara manual mengubah nilai pengaturan registri di komputernya, kebijakan tidak akan menimpa nilainya ketika GPO diperbarui lagi;
- Barang-level penargetan - kemampuan untuk secara lebih akurat menargetkan kebijakan kepada klien (Anda dapat menargetkan kebijakan tersebut ke IP, subnet, nama komputer, komputer tertentu dengan karakteristik tertentu - yaitu, Anda dapat mengonfigurasi penegakan kebijakan halus yang serupa dengan filter GMI WMI). Misalnya, Anda dapat menentukan bahwa pengaturan registri harus diterapkan ke komputer yang menjalankan Windows Server 2012 R2 di Server OU.
Jadi, di konsol GPMC (tab Pengaturan), laporan yang dihasilkan dengan pengaturan kebijakan grup sepertinya mengubah nilai satu parameter registri.
Impor file .reg ke GPO
Ekstensi GPP memungkinkan administrator untuk dengan mudah mengimpor file .reg dengan beberapa pengaturan registri ke Kebijakan Grup. Tetapi untuk ini, file reg harus dikonversi ke format XML (Editor Kebijakan Grup memungkinkan Anda hanya mengimpor file dalam format XML).
Sebagai contoh, kami memiliki komputer referensi tempat pengaturan dikonfigurasikan dalam cabang registri. Kami mengekspor pengaturan ini ke file REG dengan mengklik kanan pada nama cabang di editor registri regedit dan memilih Ekspor.
Simpan pengaturan cabang registry ke file reg.
Jika file reg Anda berisi data dari semak-semak registri yang berbeda (HKLM, HKCU, HK_CLASSES), mereka perlu dibagi menjadi file reg yang terpisah.File REG ini harus dikonversi ke format XML (Anda dapat mengonversi reg-> xml menggunakan layanan online https://www.runecasters.com.au/reg2gpp atau skrip RegToXML.ps1 - https://gallery.technet.microsoft. com / scriptcenter / Registry-To-GroupPolicyPref-9feae9a3).
File XML yang dihasilkan harus disalin di Explorer dan di editor Kebijakan Grup di bagian Registry, tempel (Tempel).
Akibatnya, semua pengaturan registri yang Anda impor akan muncul di konsol dan akan diterapkan ke komputer di domain.