Управляем связями GPO в консоли

Posted by

Чтобы выключить распространение групповой политики в домене (polygon.local) существует несколько способов:

  • Удаление из фильтров безопасности групп, пользователей, компьютеров
  • Удаление связи (т.е. к какому сайту, домены, организационному подразделению  привязана политика)
  • Отключение связи

Вот последний способ я рассмотрю в текущей заметке, но делать это буду посредством консоли командной строки с применением дополнения . Рассматривать буду применительно к Windows 7 (рабочая станция) и Windows Server 2008 R2 (домен контроллер).

На Windows Server 2008 R2 для удобства понадобится установить дополнение PowerShell ISE, но можно и обойти уже установленным PowerShell без дополнения.

Start – Control Panel – Administrative Tools – Server Manager – Features – Add Features выставить следующие пункты для установки в систему

Устанавливаем дополнение для PowerShell

На Windows 7 устанавливать дополнение не нужно оно уже есть.

Отлично с этим разобрались.

Далее открываем консоль Powershell с Административными правами:

Start – All Programs – Accessories – Windows PowerShell

Запускаем командную строку PowerShell с правами администратора

Загружаем модуль управления групповыми политиками:

PS C:\Windows\system32>import-module GroupPolicy

Загружаем модуль Group Policy

Чтобы отключить связь групповой политики нужно набрать следующую команду:

PS C:\Windows\system32> set-gplink -name ‘_Lock_Out’ -target ‘ou=IT,dc=polygon,dc=local’ -linkenabled no

GpoId       : 79ad6ffa-be85-4910-99fd-3f5c426efc64

DisplayName : GPO_Lock_Out – Название групповой политики

Enabled     : False

Enforced    : False

Target      : OU=IT,DC=polygon,DC=local

Order       : 1

, если открыть оснастку: Start – Control Panel –Administrative Tools – Group Policy Management (Управление групповой политикой) и развернуть контейнер IT, увидим что политика стала затемнённой, т.е. у неё удалена связь и её распространение приостановлено.

Удаляем связь и приостанавливаем выполнение

Чтобы включить связь групповой политики нужно набрать следующую команду:

PS C:\Windows\system32> set-gplink -name ‘GPO_Lock_Out’ -target ‘ou=IT,dc=polygon,dc=local’ -linkenabled yes

GpoId       : 79ad6ffa-be85-4910-99fd-3f5c426efc64

DisplayName : GPO_Lock_Out – Название групповой политики

Enabled     : True

Enforced    : False

Target      : OU=IT,DC=polygon,DC=local

Order       : 1

, если открыть оснастку: Start – Control Panel –Administrative Tools – Group Policy Management (Управление групповой политикой) и развернуть контейнер IT, увидим что политика стала активной, т.е. у неё появилась связь и её распространение возоблено.

Активируем политику, т.е. возобновляем распространение

Для того чтобы использовать возможности PowerShell для управления групповыми политиками на рабочей станции под управлением Windows 7 нужно установить пакет Remote Server Administration Tools (RSAT) в систему, который включает в себя командлеты Group Policy.

После открываем консоль PowerShell и набираем следующие команды:

PS C:\Users\ekzorchik>enter-pssession –computername dc1 credential polygon.local\ekzorchik

указываем пароль от учётной записи ekzorchik

Подключаемся к домен контроллеру

Нажимаем “OK”, теперь уже в контексте [dc1] набираем:

[dc1]: PS C:\Users\ekzorchik\Documents> import-module activedirectory – загружаем модуль

[dc1]: PS C:\Users\ekzorchik\Documents> import-module GroupPolicyзагружаем модуль

[dc1]: PS C:\Users\ekzorchik\Documents> set-gplink –name ‘GPO_Lock_Out’ –target ‘ou=IT,dc=polygon,dc=local’ –linkenabled noснимаем связь с групповой политики.

GPO_Lock_Out  – Название групповой политики

Скриншот успешного выполнения команды по отключению связи политики

Как видите мощь командной строки на лицо, таким образом можно подготовить политику и скриптом, через планировщик включить её. Для администратора домена данный способ представляет удобство. На этом всё, удачи!!!

 

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

четыре + 15 =