Чтобы выключить распространение групповой политики в домене (polygon.local) существует несколько способов:
- Удаление из фильтров безопасности групп, пользователей, компьютеров
- Удаление связи (т.е. к какому сайту, домены, организационному подразделению привязана политика)
- Отключение связи
Вот последний способ я рассмотрю в текущей заметке, но делать это буду посредством консоли командной строки с применением дополнения Powershell. Рассматривать буду применительно к Windows 7 (рабочая станция) и Windows Server 2008 R2 (домен контроллер).
На Windows Server 2008 R2 для удобства понадобится установить дополнение PowerShell ISE, но можно и обойти уже установленным PowerShell без дополнения.
Start – Control Panel – Administrative Tools – Server Manager – Features – Add Features выставить следующие пункты для установки в систему
На Windows 7 устанавливать дополнение не нужно оно уже есть.
Отлично с этим разобрались.
Далее открываем консоль Powershell с Административными правами:
Start – All Programs – Accessories – Windows PowerShell
Загружаем модуль управления групповыми политиками:
PS C:\Windows\system32>import-module GroupPolicy
Чтобы отключить связь групповой политики нужно набрать следующую команду:
PS C:\Windows\system32> set-gplink -name ‘GPO_Lock_Out’ -target ‘ou=IT,dc=polygon,dc=local’ -linkenabled no
GpoId : 79ad6ffa-be85-4910-99fd-3f5c426efc64
DisplayName : GPO_Lock_Out – Название групповой политики
Enabled : False
Enforced : False
Target : OU=IT,DC=polygon,DC=local
Order : 1
, если открыть оснастку: Start – Control Panel –Administrative Tools – Group Policy Management (Управление групповой политикой) и развернуть контейнер IT, увидим что политика стала затемнённой, т.е. у неё удалена связь и её распространение приостановлено.
Чтобы включить связь групповой политики нужно набрать следующую команду:
PS C:\Windows\system32> set-gplink -name ‘GPO_Lock_Out’ -target ‘ou=IT,dc=polygon,dc=local’ -linkenabled yes
GpoId : 79ad6ffa-be85-4910-99fd-3f5c426efc64
DisplayName : GPO_Lock_Out – Название групповой политики
Enabled : True
Enforced : False
Target : OU=IT,DC=polygon,DC=local
Order : 1
, если открыть оснастку: Start – Control Panel –Administrative Tools – Group Policy Management (Управление групповой политикой) и развернуть контейнер IT, увидим что политика стала активной, т.е. у неё появилась связь и её распространение возоблено.
Для того чтобы использовать возможности PowerShell для управления групповыми политиками на рабочей станции под управлением Windows 7 нужно установить пакет Remote Server Administration Tools (RSAT) в систему, который включает в себя командлеты Group Policy.
После открываем консоль PowerShell и набираем следующие команды:
PS C:\Users\ekzorchik>enter-pssession –computername dc1 credential polygon.local\ekzorchik
указываем пароль от учётной записи ekzorchik
Нажимаем “OK”, теперь уже в контексте [dc1] набираем:
[dc1]: PS C:\Users\ekzorchik\Documents> import-module activedirectory – загружаем модуль
[dc1]: PS C:\Users\ekzorchik\Documents> import-module GroupPolicy – загружаем модуль
[dc1]: PS C:\Users\ekzorchik\Documents> set-gplink –name ‘GPO_Lock_Out’ –target ‘ou=IT,dc=polygon,dc=local’ –linkenabled no – снимаем связь с групповой политики.
GPO_Lock_Out – Название групповой политики
Как видите мощь командной строки на лицо, таким образом можно подготовить политику и скриптом, через планировщик включить её. Для администратора домена данный способ представляет удобство. На этом всё, удачи!!!