Как добавлять, устанавливать, удалять или импортировать ключи реестра с помощью GPO

at0mSec

В этой статье мы рассмотрим, как использовать групповую политику (GPO) для централизованного создания, изменения, импорта и удаления любых ключей и параметров реестра на компьютерах, подключенных к домену.

Вы можете управлять элементами реестра с помощью специальных расширений, называемых Предпочтения групповой политики (GPP). В GPP есть отдельный раздел, в котором можно централизованно настроить (создать, удалить, изменить, обновить) любой параметр или ветвь реестра и развернуть эти изменения на всех компьютерах в домене

Предположим, вы хотите отключить автоматическое обновление драйверов на всех компьютерах в определенной Active Directory OU (Organizational Unit). Для этого вам нужно изменить значение параметра реестра SearchOrderConfig в ключе reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching. Вы можете настроить параметр реестра на целевых компьютерах в домене двумя способами: используя встроенный GPP Registry Browser или вручную, указав путь к ключу реестра, имя параметра и значение.

Содержание:

Развертывание элементов реестра с помощью мастера реестра в GPO

Мастер реестра в GPO – это самый простой способ внесения изменений в реестр.

  1. Запустите консоль управления групповой политикой (gpmc.msc);
  2. Создайте новый GPO (или отредактируйте существующий), привяжите его к нужному контейнеру (OU) в AD с компьютерами (или пользователями), к которым нужно применить ключ реестра, и перейдите в режим редактирования политики;
  3. Разверните раздел GPO Компьютер (или Пользователь) Конфигурация -> Предпочтения -> Настройки Windows -> Реестр и выберите Новый -> Мастер реестра в контекстном меню;Мастер реестра консоли GPPМастер реестра консоли GPP
  4. Сайт Мастер реестра позволяет подключиться к реестру на удаленном компьютере и выбрать существующий ключ реестра;
  5. Укажите имя удаленного компьютера, к которому необходимо подключиться;Обозреватель удаленного реестраБраузер удаленного реестра
    Примечание. Если ошибка Сетевой путь не найден появляется при попытке подключиться к компьютеру через Браузер реестра, скорее всего, этот удаленный компьютер выключен, доступ к нему заблокирован брандмауэром или на нем не запущена служба удаленного реестра. Сетевой путь не найден Сетевой путь не найден Чтобы запустить службу вручную, выполните эти команды на удаленном компьютере: sc config remoteregistry start= demand
    net start remoteregistry    запустить службу remoteregistryзапуск службы remoteregistry
  6. С помощью браузера удаленного реестра найдите и выберите все параметры реестра, которые вы хотите развернуть с помощью GPO;
    Примечание. Этот браузер реестра позволяет выбрать только ключи реестра из разделов HKEY_LOCAL_MACHINE и HKEY_USERS на удаленном компьютере. Если вам нужно задать ключи, содержащиеся в других разделах реестра, необходимо установить RSAT на удаленном компьютере. Затем запустите консоль gpmc.msc на этом компьютере и используйте ту же процедуру для выбора нужных ключей реестра.
  7. В этом примере я хочу импортировать только один параметр реестра в GPP – SearchOrderConfig;Выберите элемент реестра в обозревателе реестраВыбор элемента реестра в браузере реестра
  8. Указанный элемент реестра импортируется в консоль GPP вместе с путем и текущим значением (0). Вы можете изменить его значение и желаемое действие (это будет рассмотрено позже);Элемент обновления реестра GPOЭлемент обновления реестра GPO
  9. Таким образом, вы создали групповую политику для развертывания ключа реестра. В следующий раз, когда параметры групповой политики будут обновлены на целевых компьютерах, значение ключа реестра SearchOrderConfig изменится на 0.
    Если политика не применяется к клиенту, для диагностики можно использовать инструмент GPResult.

Если этот GPO удален, отсоединен от контейнера AD или целевой компьютер перемещен в другую OU, то значение параметра реестра не вернется к исходному (по умолчанию) значению.

Как вручную создать, отредактировать или удалить ключ реестра с помощью групповой политики?

Вы можете использовать GPP для создания, изменения или удаления определенного параметра или ключа реестра, вручную указав путь и значение элемента реестра.

  1. Выберите Реестр -> Новый -> Элемент реестра;новый элемент реестра gppновый пункт реестра gpp
  2. Настройте параметры элемента реестра: 
    Action: Update
Hive: HKEY_LOCAL_MACHINE
Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching
Value name: SearchOrderConfig
Value type: REG_DWORD
Value date: 00000000

    установка значения параметра реестра через gpoустановить значение параметра реестра через gpo

    Не указывайте имя HIVE в пути к ключу, иначе в реестре будет создан дополнительный подключ (например, HKEY_HKEY_XXX).
  3. По умолчанию для элементов реестра, настроенных GPO, установлено значение Обновить режим.

В GPO доступны 4 типа действий для ключей реестра:

действия с элементами реестрадействия элементов реестра

  • Создать – создает ключ/параметр реестра. Если параметр уже существует, его значение не изменяется;
  • Обновить (по умолчанию) – обновляет значение существующего параметра в соответствии с GPP. Если параметр в реестре не существует, он будет создан автоматически (как и ключ реестра, в котором он должен быть расположен);
  • Заменить – если параметр/ключ реестра уже существует, он будет удален и создан заново (используется редко);
  • Удалить – удаляет элемент реестра.

Существует ряд других полезных опций в меню Common вкладка:

общие параметрыобщие опции

  • Запуск в контексте безопасности вошедшего пользователя (опция политики пользователя) – ключ реестра создается только в контексте текущего пользователя (это возможно только для GPP в разделе Конфигурация пользователя GPO). Если пользователь не обладает правами администратора, политика не сможет ничего записать в защищенные ключи системного реестра;
  • Удалите этот элемент, когда он больше не будет применяться – если политика больше не применяется к клиенту, изменение реестра будет автоматически удалено;
  • Применить один раз и не применять повторно – Политика применяется к клиенту (пользователю или компьютеру) только один раз. В дальнейшем она не будет применяться повторно. Если после применения GPO пользователь вручную изменит значение элемента реестра, политика не будет переопределять его значение при следующем цикле обновления политики;
  • Нацеливание на уровне элемента – позволяет более точно нацелить политику на клиентов (вы можете нацелить политику на определенный IP-адрес, сетевую маску, имя компьютера или компьютеры с определенными характеристиками, аналогично тому, как вы используете фильтры WMI в GPO). Например, можно указать, что параметр реестра должен применяться к компьютерам под управлением Windows Server 2016 в AD OU с именем Servers.установка элемента реестра с таргетингом на уровне элемента в gpoустановить элемент реестра с таргетингом на уровне элементов в gpo

Вот как будут выглядеть результирующие параметры групповой политики в консоли GPMC (на вкладке Settings).

Отчет о политике GPMCДоклад о политике GPMC

GPO: Импорт данных реестра из REG-файла

Привилегия групповой политики реестра позволяет администратору импортировать файл .REG, содержащий несколько записей реестра, в групповую политику за один раз. Для этого REG-файл должен быть преобразован в XML (редактор групповой политики позволяет импортировать файлы только в формате XML).

Например, у вас есть эталонный компьютер, на котором некоторые параметры настроены через реестр. Вы можете экспортировать эти параметры в REG-файл, щелкнув правой кнопкой мыши на имени reg-ключа в regedit.exe и выбрав Экспорт.

экспорт рег-ключа в файлэкспорт reg-ключа в файл

Сохраните записи ключей реестра в REG-файле.

сохранить reg-файлсохранить рег файл

Если ваш REG-файл содержит данные из разных ветвей реестра (HKLM, HKCU, HKEY_CLASSES_ROOT, HKEY_USERS), вам необходимо разделить их на отдельные REG-файлы.

Далее необходимо преобразовать этот REG-файл в формат XML. Вы можете выполнить преобразование reg->xml с помощью онлайн-сервиса Reg2GPP https://www.runecasters.com.au/reg2gpp с помощью сценария PowerShell RegToXML.ps1.

Скопируйте полученный XML-файл в File Explorer и вставьте его в раздел Registry редактора групповой политики.

импорт reg-файла для развертывания через gpoимпорт reg-файла для развертывания через gpo

В результате все параметры реестра из вашего REG-файла появятся в консоли групповой политики и будут применены к целевым компьютерам домена.

развертывание нескольких параметров реестра из xml через gpoразвертывание нескольких параметров реестра из xml через gpo

Установка разрешений для ключей реестра с помощью групповой политики

Вы можете использовать групповую политику для изменения разрешений доступа (ACL) для определенных ключей реестра. Вы можете использовать эту функцию для предотвращения доступа неадминистративных пользователей к защищенным ключам реестра или для предоставления обычным пользователям права изменять системные ключи.

Параметры ACL реестра можно настроить в разделе GPO Конфигурация компьютера -> Настройки Windows -> Настройки безопасности -> Реестр

  1. Выберите Добавить ключ;
  2. Воспользуйтесь встроенным браузером реестра, чтобы найти нужный ключ реестра (или укажите путь вручную в следующем формате MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching );установка разрешений рег ключа с помощью групповой политикиустановка разрешений для ключа reg с помощью групповой политики
  3. Установите новые параметры ACL для ключа реестра, которые вы хотите применить в окне Database Security. В этом примере я хочу разрешить пользователям вносить любые изменения в защищенный системой ключ реестра. Для этого необходимо выбрать Пользователи группа и грант Полный контроль разрешение на него. Вы можете включить наследование прав на подключи с помощью параметра Дополнительно -> Включить наследование вариант; изменение ключа реестра acl с помощью gpoизменение ключа реестра acl с помощью gpo
    Вы можете добавлять или удалять любые другие группы безопасности, пользователей и другие принципы с локального компьютера или из Active Directory.
  4. Сохраните изменения. Новые разрешения ключа реестра будут применяться к клиентам после обновления GPO.

Как изменять записи реестра с помощью сценария входа GPO?

До Windows Server 2008 для изменения параметров реестра с помощью GPO можно было использовать только BAT-файлы сценария входа в систему. Вы должны использовать reg add или импорт рег команды в таком .bat-файле для внесения изменений в реестр.

Чтобы внести изменения в реестр с помощью сценария входа в GPO, необходимо создать текстовый файл myreg.bat с необходимыми командами. Например:

  • Эти две команды позволяют настроить параметры прокси в Windows (запускаются через скрипт Startup в Computer Configuration):
    reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 1 /f
    reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d yourproxyadress:proxyport /f
  • Следующие две команды очищают историю RDP-соединений клиента. В этом примере сценарий должен быть запущен из раздела Logon script в User Configuration, поскольку мы обращаемся к ветке реестра пользователя:
    reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
    reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
  • Последняя команда позволяет импортировать весь ключ реестра из REG-файла (чтобы экспортировать локальный ключ реестра, используйте следующую команду: reg export HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate c:\WindowsUpdateRegFile.reg):
    reg import "%~dp0"WindowsUpdateRegFile.reg
Чтобы использовать путь к текущему каталогу, в котором находится скрипт BAT, необходимо использовать специальную команду %~dp0 параметр.

Скопируйте свой *.bat (и *.reg, если нужно импортировать) в каталог Netlogon на контроллере домена ( \\woshub.loc\netlogon).

пакетный файл входа в систему gpo с помощью команды reg addgpo logon batch file with reg add command

Откройте GPO и перейдите в раздел Конфигурация компьютера -> Настройки Windows -> Скрипты -> Запуск.
Нажмите Добавить и укажите UNC-путь к вашему bat-файлу в NETLOGON.
запуск reg bat-файла с помощью сценария запуска gpoзапуск reg bat-файла с помощью скрипта запуска gpo
При следующем перезапуске Windows ваш BAT-файл будет запущен и внесет изменения в реестр.

По умолчанию этот bat-файл запускается каждый раз при перезагрузке компьютера. Вы можете настроить GPO так, чтобы сценарий запускался только один раз.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *