Отключить IPv6 через Group Policy

Posted by

Сегодня, а теперь и в повседневности я хочу раз и навсегда разобрать и применить отключение IPv6 на рабочих станциях семейства Windows редакции 7 так и серверной платформы (Windows Server 2008/R2). До этого я использовал простой bat-файл в котором производил данные манипуляции:

rem отключаем ненужные интерфейсы

  • netsh interface teredo set state disabled
  • netsh interface isatap set state disabled

rem отключаем ipv6 из системы

  • reg add HKLM\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters /v DisabledComponents /t REG_DWORD /d 4294967295 /f

rem отключаем службу 6to4

  • netsh in 6to4 set state disabled

,но это все ручной труд, пусть единый центр управления, в частности «Групповые политики» встанут на службу, а меня избавят от однообразия. Хотя уже форматирую данную заметку подумал, а ведь можно же объединить и скрипт и данную заметку все воедино.

Итого, сегодня будут представлены действия которые нужно проделать на домен контроллере (srv-dc.polygon.local) под управлением Windows Enterprise SP1 чтобы отключить ipv6.

Вот еще что, в групповых политиках по умолчанию нет функциональной возможности управлять настройками IPv6, а вследствие этого нужно взять вот IPv6 Configuration for Group Policy Management (md5sum которых)

a4d7ed4ded539f2271cda1fe21f4e277 IPv6Configuration.adml

ba28c51ec2018fe0e77f7b3d9f67334a IPv6Configuration.admx

и добавить их в свою оснастку Group Policy Management, делается это следующим образом:

Через командную строку запущенную с правами администратора:

C:\Windows\system32>xcopy.exe /Y c:\IPv6Configuration.admx %systemroot%\PolicyDefinitions

C:\IPv6Configuration.admx

1 File(s) copied

C:\Windows\system32>xcopy /Y c:\IPv6Configuration.adml %systemroot%\PolicyDefinitions\en-US

C:\IPv6Configuration.adml

1 File(s) copied

Start — Control Panel — Administrative Tools — Group Policy Management, после разворачиваю:

Group Policy Management — Forest: polygon.local — Domains — polygon.local — выбираю контейнер на который хочу настроить политику, к примеру это будет OU=IT где располагаются компьютеры сотрудников информационного отдела и через правый клик мышью: Create a GPO in this domain, and Link it here…

  • Name: GPO_IPv6_Disable
  • Source Starter GPO: (none)

После на созданной групповой политике открываю настройки (EDIT) и вношу следующие изменения:

GPO_IPv6_Disable [srv-dc.polygon.local] — Computer Configuration — Policies —

Administrative Templates — Network — и вот новый компонент настройки: IPv6 Configuration

открываю настройку: IPv6 Configuration Policy и привожу к виду:

Enable: Disable all IPv6 components

После не забываю сохранить внесенные изменения: Apply — OK.

Также следует проверить, что созданная групповая политика нацелена на:

  • OU = IT
  • Security Filtering = на компьютере или группа с именами компьютеров внутри.

т. е. Вот так для наглядности привожу здесь пример:

Политика нацеленная на компьютер: GPO_Disable_IPv6

Чтобы изменения до компьютеров в данном организационном подразделении дошли им просто нужно перезагрузиться свои рабочие места, либо же если Вы делаете данную настройку на всю организацию политика применится если до этого на все компьютеры была настроена политика о автоматическом выключении рабочих компьютеров в конце рабочего дня, как это сделано у меня.

И действительно загрузившись в рабочей операционной системе, в частности Windows 7 (x86/x64) поддержки ipv6 больше нет, что мне и нужно было. А на Windows 10 переходить пока не вижу смысла, тяжело переучивать и без того далеких от компьютера мир пользователей. Итого лучшее средство системного администратора это групповые политики если речь идет об Active Directory, а уже потом скрипты, но на первом месте желание сделать чтобы всем было хорошо предварительно оттестировав шаги, как делаю всегда Я. А уже только потом в продакшн. На этом я прощаюсь и до новых встреч, с уважением автор блога — ekzorchik.