Как обойти ребут РС при применении групповых политик. Часть 1
Почему я задался целью обойти время применения политик к локальным компьютерам?
Обычный интерес — как это сделать. Как сказал один комментатор — работа ради работы.
Для чего мне все это надо — на это вопрос я не смог ответить. На 99% уверен, что никто этот метод применять не будет. Но охота пуще неволи. Очень хотел найти решение.
Методом серфинга в Инете начал собирать разную информацию по политикам, времени их применения. Нашел все необходимое. Нужное оставил, ненужное отсеял.
Начал эксперименты с Windows 7.
За основу взял оригинальный образ (не сборку). После установки чистой винды на чистый диск, накатил необходимый софт для работы, активировал и винду и офис. Прописал адрес, DNS сервера, ввел машинку в домен. Создал на сервере пробного пользователя и под этой учеткой вошел в компьютер.
Все делал на своем рабочем месте. А так, как у меня кроме моего рабочего РС, трех серверов, есть еще 4 подменных компа для юзеров на разном железе (два РС на 775 сокете, один на сокете 1155 и один на сокете 1151), то я мог экспериментировать с разными ОСями.
Далее начал делать настройку локальной машины. После настройки перезагрузил компьютер, опять вошел под пробным юзером и с сервера послал команду на применение политики на локальный комп. И как результат — политика с задержкой 15 сек. применилась.
Почему не сразу, а только через 15 сек после связи GPO с компьютером мне до сих пор непонятно.
Применял политику блокировки флешек, так как видно было, что при применении этой политики на рабочем столе эта флешка сразу получала закрытый доступ,
т.е. содержимое флешки перестало отображаться, а при попытке открыть флешку выскакивает окно, что доступа нет.
Потом отключаю связь этой политики с OU юзера, еще раз даю команду на выполнение политики и опять через 15 сек. политика применилась. Флешка снова стала читаемой и доступной.
Раз применилась эта GPO, значит, остальные так же будут применяться.
Пошел немного дальше. Снова блокировал USB-порты, создал еще одну GPO — применить спящий режим через 10 минут простоя машинки, связал GPO с этим компом и опять даем команду на выполнение политики. Жду 10 минут (ну может 11) и все, экран погас, машинка ушла в сон. Проверяю комп, а опции сна уже серенькие, т.е. юзер теперь никак не может изменить спящий режим.
Отличный результат. Почти то, что хотелось, нашел.
Удаляю в групповых политиках эти GPO (не отключая их), еще раз перезагружаю комп и как результат, флешка видна и спящий режим не применяется. На данном этапе можно было бы и успокоиться, но мне этого показалось мало.
Вывожу машинку из домена, подчищаю комп и готовлю винду к записи в iso. Готовый iso-шник записываю на флешку и приступаю к установке собранного образа.
Винда установилась вместе с софтом, который был мной накатан, снова активирую винду и офис, снова ввожу в домен компьютер и проверяю по новой применение политик, то, что было сказано выше.
Результат прежний — политики применяются через 15 секунд. Бесит только одно — почему не сразу, а через 15 сек. Ладно, думаю, что потом разберусь.
Сохраняю записанный isо в облако и иду пить херши. На работе пиво нельзя.
Дальше решил то же самое проделать с Windows 10. На железе 1155. Накатил винду версии 1809, т.к. она считается наиболее шустрой и стабильной. Обновления пока не ставил. Опять установил софт, опять ввел в домен, применяю политики и тут меня ждет разочарование. GPO и не собирались применяться.
Установил последние обновления, дополнения и т.д. Опять полный ноль. После перезагрузки все прекрасно. Политики применяются. Но это не мой вариант. Оказалось, что с десяткой все не так просто.
Уже начинаю нервничать. Беру еще один комп уже на железе 1151, накатил десятую винду версии 22h2, не стал пока софт устанавливать, ввел машинку в домен. Результат нулевой. Тоже установил последние обновления, дополнения и т.д. Опять облом. Да мало того, но обе десятки странным образом не хотят видеть папки SYSVOL и NETLOGON сервера.
Хотел уже забросить эту идею, но внутреннее я заверещало, что если все бросишь, то ты не мужик. Снова серфинг в Инете.
Ладно, если коротко — разобрался во всем, нашел проблемы. Настроил обе десятки, все прописал, снова ввел обе машины в домен.
Даю команду на выполнение GPO. И счастью нет предела! Политики отлично отработали. Перезагружаю обе машины. Снова применяю политики. Снова все работает. А вот на десятках задержка применения политик составляет уже 1–2 секунды.
Тогда опять полный софт, вывод из домена, запись iso, установка новых образов, ввод в домен и проверка. Все работает. Как в американских фильмах — мы сделали это!
Изошники записал в облако. Теперь у меня 3 готовые винды. Семерка и две десятки, разных версий.
В предыдущей статье я сказал, что только на 3-х машинах применяю политики? Это потому, что на эти компьютеры я установил готовые версии винды. Две десятки и одна семерка. Проверил на юзерах безобидную политику. Все отработало на ура. На этом пока тормознулся.
Ну, а как подготовить операционные системы и сервер к отработке таких политик — в следующей части. Еще раз опробую все на своих запасных компьютерах и окончательно выложу оставшуюся часть.
Всем спасибо и удачи!
