Задача: проработать групповую политику по установки Abblocker на рабочие станции в домене для защиты посещения мировой паутины от всплывающих сообщений.

Дабы хоть как-то защитить рабочие станции в поддерживаемой локальной сети текущего места работы от нежелательного контента, зараженных сайтов интернета мною самому себе была поставлена задумка следующего рода. Когда по заявке приходишь на рабочее место сотрудника то помимо заявки смотришь, а все ли в порядке с системой и в параллели приводишь систему в более удобный и защищенный вид:

Отключаю любые проявления у программ на автоматическое обновление

Отключаю задания в планировщике не относящиеся к рабочему процессу

Отключаю ненужные службы, параметры (можно конечно через GPO все сделать, но вот пока я до этого еще не дошел, но планомерно иду, попутно документируя и анализируя, можно сказать учась всему новому).

И так далее.

Также чтобы у пользователей при работе не появлялись всплывающие окна любимые разработчиками Web-сайтов с целью привлечения внимания к той или иной услуги, я ставлю хорошо себя зарекомендовавший пакет именуемый, как Adblock Plus.

Но что мне надоело, так это монотонная установка одного и того же на различных местах. Вот бы автоматизировать все это, так вот это вроде как возможно, видел уже опубликованные мануалы, но вот в них обычно что-то да опускается (такое ощущение что публикуют их не проверяя всего-того сказанно что публикуют), многое не адаптировано. Я же хочу восполнить этот пробел и сделать настоящую применимую к себе пошаговую заметку нацеленную не только на браузеры Internet Explorer, но и на другие применяемые у меня: Google Chrome, Mozilla Firefox. Что некорректно отображается в одном, сто пудово работает в другом – это статистика и практика.

Т.к. я работаю всегда под Ubuntu 12.04.5 Desktop (рабочий стол Gnome Classic), то и скачиваю msi файлы аплета Adblock какие можно найти в мировой сети под этой системой:

aollo@system:~$ mkdir Downloads/adblock

aollo@system:~$ wget https://downloads.adblockplus.org/adblockplusie-1.5-gpo-x64.msi -O Downloads/adblock/adblockplusie-1.5-gpo-x64.msi

aollo@system:~$ wget https://downloads.adblockplus.org/adblockplusie-1.5-gpo-x86.msi -O Downloads/adblock/adblockplusie-1.5-gpo-x86.msi

После перемещаю их (скачанные файлы) на общедоступный каталог Всем участникам домена где каждый на компьютере может обратиться к нему с целью установки необходимого софта, ну может не каждый, а только Администраторы домена:

aollo@system:~$ sudo nano /etc/fstab

//10.7.8.162/soft /media/soft cifs iocharset=utf8,uid=1000,gid=100,username=aollo,domain=nemdomb.local,password=712mbddr@ 0 0

aollo@system:~$ sudo mount -a

aollo@system:~$ cp Downloads/adblock/* /media/soft/file/Adblock/

Затем, через клиент удаленного рабочего стола Remmina с настроенным ранее rdp соединением до домен контроллера (операционная система Server 2008 R2 SP1 Enterprise с уровнем домена Server 2008 R2) подключаюсь к нему где буду создавать групповую политику с целью установки всем апплета препятствующего появление нежелательных всплывающих окон:

Приложения – Интернет – Клиент удаленного рабочего стола Remmina

Пока тестирую, то назначение политики будет на один компьютер с именем W7X86.

Start – Control Panel – Administrative Tools – Group Policy Management – выделяю текущий домен (nemdomb.local) и через правый клик на нем вызываю меню: Create a GPO in this domain, and Link it here…, именую политику, как GPO_ADBlock_Install_x86 (если установку планируется произвести на компьютеры x86 и x64, то необходимо будет создать два объекта групповой политики), после в элементе Secure Filtering (на кого нацелена политика), убираю/удаляю группу “Authenticated Users” и добавляю компьютер с именем W7X86. Отлично.

Теперь перехожу к настройке данной политики:

GPO_ADBlock_Install → Computer Configuration – Policies – Software Settings – Software Installed – New – Package – через проводник нахожу на файловом ресурсе msi файл: adblockplusie-1.5-gpo-x86.msi, выбираю его, далее указываю метод посредством которого буду разворачивать данный пакет:

  • Assigned (вариант каким образом у пользователя будет данное программное обеспечение, итого вариант “Назначенный”)
  • Advanced

Выбираю метод “Assigned”, после чего на созданном приложении через правый клик открываю Properties (Свойства) и привожу настройки к следующему виду:
Вкладка General:

  • Name: Adblock Plus for IE (32-bit)
  • URL: удаляю содержимое
  • Вкладка Deployment:
  • Deployment type: Assigned
  • Uninstall this application when it falls out of the scope of management: отмечаю галочкой
  • Advanced… → Ignore language when deploying this package: отмечаю галочкой
  • Make this 32-bit X86 application available to Win64 machines: убираю галочку

Остальные вкладки не трогаю (все по дефолтку). Не забываю сохранить внесенные изменения.

Теперь нужно предопределить ключи реестра для разворачиваемого апплета на рабочем компьютере.

Активирую создание лога на клиентском компьютере с целью определения почему установка завершилась не успешно:

Computer Configuration – Administrative Temples: Policy definitions (ADMX files) retrieved from the local machine – Windows Components – Windows Installer, нахожу параметр Logging:

  • Logging – Enable, включение данного параметра произойдет дефолтная активация уровня ведения лога, а именно: iweapx

, где

I → status messages

w → не фатальные ошибки

e → все ошибки

a → запуск приложения

p → свойства терминала

x → расширенная отладочная информация.

(никто не мешает уже в процессе определить необходимые параметры логирования).

Отключаем уведомление в браузере для пользователя, что компонент установлен и его нужно активировать:

Computer Configuration – Policies – Administrative Temples: Policy definitions (ADMX files) retrieved from the local machine – Windows Components – Internet Explorer

  • Automatically activate newly installed add-ons = Enabled

Чтобы с Административной учетной записи (Domain Admins) при составлении групповых политик можно было производить подключение и извлечение необходимых ключей реестра активирую службуУдаленный реестр”:

Computer Configuration – Preferences – Control Panel Settings – Services – New – Service

  • Startup: Automatic
  • Service name: RemoteRegistry
  • Service action: Restart Services
  • Log on as:
  • This account: NT AUTHORITY\Local Service

Для установленного апплета запрещаем автоматическое обновление, все обновления буду ставить через GPO:

User Configuration – Policies – Preferences – Windows Settings – Registry – New – Registry Wizard (предварительно я уже на тестовой станции поставил Adblock чтобы сформировались ключи реестра и их можно было через активационную службу “Удаленный реестр” импортировать, либо поставить на домен контроллер и импортировать с него)

[HKEY_CURRENT_USER\Software\AdblockPlus]

Запрещаем автоматическое обновление аплета ADBlock

Также когда апплет устанавливается впервые, запускается при открытии браузер Internet Explorer окно первого запуска, его также отключаю:

[HKEY_CURRENT_USER\Software\AdblockPlus]

suppress_first_run_page – REG_SZ – true

Отключаю первоначальное приветствие Internet Explorer:

User Configuration – Policies – Preferences – Windows Components – Internet Explorer

Prevent running First Run wizard = Enabled → Go directly to home page

Включаю возможность перейти в настройки:

User Configuration – Policies – Preferences – Windows Settings – Registry – New –

HKCU\Software\Microsoft\Internet Explorer\MAIN

ShowStatusBar – REG_SZ = yes

Start Page – REG_SZ = http:///www.yandex.ru

Search Page – REG_SZ = http://www.yandex.ru

После закрываю оснастку управления групповыми политикам, перезагружаю рабочую станцию и проверяю на ней, что политика применилась.

На заметку: данное составляющее применения групповой политики – синхронизированное время между станцией и доменом

Политика применилась, в “Установка и удаление программ” установленный апплет присутствует:

ADBlocker успешно установлен в систему

Заметка работоспособна, но присутствует следующее замечание:обновил браузер с IE 8 До IE 11, перезагрузился, и вот значка ADP на браузере IE не наблюдаю, пришлось откатывать снапшот тестовой системы и только потом в системе появился долгожданный значок отработанной политики.

Значок ADBlocker присутствует в строке информации при запущенном Internet Explorer

Так что, лучше сперва поставить браузер IE 11, а уже потом назначить политику установки ADBlocker чтобы пакет корректно установился. В дальнейшем данная заметка опубликованная на моем блоге будет дополняться если в моем использовании что-то будет не корректно. Также хочу еще раз напомнить, если после загрузки компьютера ничего не изменилось, тогда нужно в данную политику добавить следующие настройки:

Computer Configuration – Administrative Templates – System – Group Policy – Startup policy processing параметр Startup policy processing wait time (установите в 30 сек).

Computer Configuration – Administrative Templates – System – Logon – Always wait for the network at computer startup and logon = Enabled

А после перезагружаем рабочую станцию и политика отрабатывает устанавливая компонент ADBlocker в систему.

Проверил все выше разобранное, но применительно к рабочей станции под управлением Windows 10 Pro (Microsoft Windows [Version 10.0.10586]) – итог, политика отработала лишь когда на рабочей станции сделал в командной строке gpupdate /force и после перезагрузки уже проверив меню “Установки и удаление” программ наличие установленного апплета “Adblock Plus for IE (32-bit)” – можно сказать работает, но вот почему не сразу установилось – пока загадка. Проверяю, а сама политика применилась к данной рабочей станции:

Win + R → C:\Users\alektest>gpresult /h gp.html /f и самое удивительное в выводе нигде не значится, что политика назначена. Хм, странно, но ведь программное обеспечение Adblocker ведь поставилось.

Если через оснастку Group Policy Management на домен контроллере подключить к текущей рабочей станции W10X86, то можно наблюдать следующую картину о применении групповой политики GPO_ADBlock_Install_x86:

srv-dc – Start – Control Panel – Administrative Tools – Group Policy Management – Group Policy Management – Forest: nemdomb.local – Group Policy Results – через правый клик вызываем мастер Group Policy Results Wizard…Next – Another computer – Browse… в окно вводим W10X86 и нажимаем Check Names – найденное имя рабочей станции должно в итоге стать подчеркнутым (см. Скриншот ниже)

Нацеливаем групповую политику на рабочую станцию Windows 10 Pro

Затем нажимаем кнопку OK, Next и через некоторое время произойдет подключение к рабочей станции и все также посредством мастера можно будет отобразить какие политики назначены,применимы,проигнорированы.

Когда подключение произошло (параметры групповой политики на компьютер подгружены), следующим шагом нужно указать какую учетную запись подгрузить, я выбираю: NEMDOMB\alektest и нажимаю Next, Next – Finish

Результирующая информация по применной GPO на компьютер и пользователя на нем

Но и без но не обошлось, запустив браузер: Пуск – Все приложения – Microsoft Edge и полазив по различным сайтам что-то не обнаружил какого либо блокирования всплывающих окон. Начав читать как активировать расширения/дополнения обнаружил, что пока такой функции не предусмотрено. Смешно конечно, выпустили новую Ось, а от старого функционала предыдущих операционных систем и приложений отказались и нового ничего не принесли.

Посмотрев что может предложить официальный сайт ADBlocker вышел на ссылку: (https://adblockplus.org/ru/edge) а вроде и может, есть упоминание а на делее ничего не скачивается и скачать нет возможности. Вообще все как всегда, а потому в дальнейших заметках буду разбираться, как работает эта самая Windows 10.

А пока лучше не переходить на все новое что предлагает компания Microsoft, остаемся на Windows 7 (XP).

Пора прощаться, с уважением автор блога – ekzorchik.

От ekzorchik

Всем хорошего дня, меня зовут Александр. Я под ником - ekzorchik, являюсь автором всех написанных, разобранных заметок. Большинство вещей с которыми мне приходиться разбираться, как на работе, так и дома выложены на моем блоге в виде пошаговых инструкции. По сути блог - это шпаргалка онлайн. Каждая новая работа где мне случалось работать вносила новые знания и нюансы работы и соответственно я расписываю как сделать/решить ту или иную задачу. Это очень помогает. Когда сам разбираешь задачу, стараешься ее приподнести в виде структурированной заметки чтобы было все наглядно и просто, то процесс усвоения идет в гору. Также прошу на https://win.ekzorchik.ru https://lin.ekzorchik.ru https://net.ekzorchik.ru https://voip.ekzorchik.ru https;//home.ekzorchik.ru