Hkey classes root gpo

Hkey classes root gpo Техника

При попытке установить программу из MSI пакета на рабочей станции (права администратора имеются) возникает ошибка «Данная установка запрещена политикой, заданной системным администратором». Проверили – ни какой другой MSI файл также не запускается. Что делать?

Данная установка запрещена политикой, заданной системным администратором

Содержание
  1. Ответ
  2. Настройки элементов контекстного меню
  3. Создаем свой элемент контекстного меню
  4. Добавляем элементы в контекстное меню средствами GPO
  5. Импорт REG файлов реестра через GPO
  6. Временное отключение UAC
  7. Сброс всех ассоциаций файлов в Windows
  8. Служба Windows Installer
  9. Создать параметр реестра в GPO вручную
  10. Настройка ассоциаций файлов в Windows с помощью GPO
  11. Изменить ассоциации программ с типами файлами в Windows из командной строки
  12. Задать программу по умолчанию для открытия типа файлов в Windows 10/11
  13. Групповая политика отключения установщика Windows
  14. Файл настроек политики
  15. Экспорт, импорт и перенос настроек ассоциаций файлов Windows через XML файл
  16. Ключ реестра DisableMSI
  17. Изменить файловые ассоциации через реестр Windows
  18. Мастер настройки параметров реестра через GPO
  19. На машине ALT
  20. На машине Windows
  21. Внести изменения в реестр через Logon скрипт GPO
  22. Задать разрешения на ветку реестра через групповые политики

Ответ

В этой статье мы рассмотрим, как ассоциировать разные расширения (типы) файлов с программами в Windows 10/11 и Windows Server 2022/2019/2016/2012R2. В качестве примера мы покажем, как в Windows назначать программу по-умолчанию для открытия *.pdf файлов, импортировать эти настройки в xml файл и распространить полученный файл с параметрами сопоставления файлов на другие компьютеры вручную или с помощью групповых политик.

Главное отличие Windows 10 и 11 от предыдущих версий ОС — теперь нельзя назначить файловые ассоциации через реестр или функционал Group Policy Preferences Open With. Зато появилась новая возможность выгрузить текущие настройки файловых ассоциаций (FTA, File Type Assotiations) с “эталонного” компьютера в xml файл и использовать данный файл для изменения настроек сопоставления расширений файлов на других компьютерах. Также вы можете экспортировать файл с настройками ассоциаций файлов в стандартный образ системы, который разворачивается на клиентах в вашей сети (вручную, через WDS или SCCM).

В этой статье мы рассмотрим, как с помощью групповых политик (GPO) централизованно создавать, изменять значения, импортировать и удалять любые ключи и параметры реестра на компьютерах домена.

Для управления параметрами реестра в групповых политиках есть специальные расширения — предпочтения групповых политик (Group Policy Preferences — GPP). В GPP есть отдельный раздел, с помощью которого может настроить (создать, удалить, изменить) любой параметр или ветку реестра и распространить этот ключ на все компьютеры домена.

Допустим, вы хотите отключить автоматическое обновление драйверов на всех компьютерах в определенно контейнере (OU, Organizational Unit) в AD. Для этого нужно изменить значение параметра SearchOrderConfig в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching. Вы можете настроить параметр реестра на целевых компьютерах домена двумя способами: с помощью встроенного в консоль GPP браузера реестра на удаленных компьютерах или вручную, путем ручного указания пути к ветке реестра и имени параметра.

Update 05/05/2020 – Method explain below works on Windows 10 as well.

Handy Tweak with GPO for showing Computer Name in Start Menu and Windows Explorer.

To do that we need to modify Registry Key, we can easily modify registry with GPO and apply to all Desktop PC.

To start from PC with RSAT installed open Group Policy Management console, expand your Domain. We can create new GPO in two places, first right-click Group Policy Object container and select New after finish we can link this GPO to correct OU.

gpoobjectnew

Create New GPO

OULInk.png

Create New GPO under OU

After New GPO is created we can proceed to next step by right clicking GPO and selecting Edit.

securitygpo

Registry Security Location

selectregistrykey

Selecting Registry Key

Next right-click new create object and select Properties, select Replace existing permissions on all subkeys with inheritable permissions. This will allow the key to be change by GPO

SecurityGPOEdit.JPG

Next step is to update required key to show Computer Name. Open Computer Configuration > Preferences > Windows Settings > Registry, right-click and select New > Registry Item

RegistryPreference.jpg

Registry Key location

RegistryB4Change.JPG

registrybrowser

Registry Item Browser

All date will be populated to Registry Properties window, replace Value Date: with %COMPUTERNAME% string, click Apply and OK to close the window.

registryafterchange

Updated Registry String

Now we just need to Link to correct OU and force or wait for GPO replication which is by default every 90 minute. If you are running AD server on Windows Server 2012 R2 from Group Policy Management console we  can force GPO Update for OU which contain Computer Object. Select OU right-click and choose Group Policy Update.. 

screen-shot-2016-10-02-at-10-16-20

Server 2012 Update Policy

Force Group Policy update window will open with information how many Computer object will be updated. Click Yes to proceed, next Result window will open showing progress and errors if any.

policyforce

Force Group Policy update window

policyforceresult

Group Policy update results

Hkey classes root gpoWindow Explorer

» data-medium-file=»https://szumigalskidotcom.files.wordpress.com/2016/10/windowsexplorer.jpg?w=300″ data-large-file=»https://szumigalskidotcom.files.wordpress.com/2016/10/windowsexplorer.jpg?w=452″ src=»https://szumigalskidotcom.files.wordpress.com/2016/10/windowsexplorer.jpg?w=470″ alt=»windowsexplorer» srcset=»https://szumigalskidotcom.files.wordpress.com/2016/10/windowsexplorer.jpg 452w, https://szumigalskidotcom.files.wordpress.com/2016/10/windowsexplorer.jpg?w=150 150w, https://szumigalskidotcom.files.wordpress.com/2016/10/windowsexplorer.jpg?w=300 300w» sizes=»(max-width: 452px) 100vw, 452px»>

This setup works for Windows 8.1 for Windows Explorer window.

Thank you for reading.

Как создать уникальные элементы и настроить контекстные меню своих рабочих систем под конкретные потребности

Хотя на тему добавления возможностей к контекстным меню операционной системы Windows уже написан целый ряд статей, она не становится менее актуальной. Контекстным меню пользуемся мы все, причем независимо от того, работаем за классическими либо за планшетными компьютерами. Сегодня я расскажу о том, как при помощи реестра Windows и возможностей групповой политики можно добавить новые пункты в контекстное меню, а также о методе обнаружения разделов и параметров реестра, отвечающих за добавление пунктов, которые можно найти в контекстных меню системы Windows.

Настройки элементов контекстного меню

Как известно, каждый раз, когда пользователь щелкает правой кнопкой мыши по определенному объекту в графическом интерфейсе операционной системы, открывается контекстное меню, включающее в себя список команд, которые конечный пользователь может выбрать для выполнения того или иного действия. Такие команды также известны как элементы контекстного меню, или же глаголы (Verbs). При взаимодействии с объектами вы можете обнаружить как стандартные элементы меню (к которым относятся, например, команды «Вырезать», «Вставить», «Удалить»), так и специальные команды, к которым пользователь получает доступ при взаимодействии с определенными типами файлов (например, для медиафайлов это могут быть команды, связанные с воспроизведением, а для текстовых файлов — команды печати либо редактирования содержимого файла). Ввиду того что все типы файлов регистрируются в системном реестре операционной системы, если вы попробуете вызвать меню для незарегистрированного типа файла (например, *.abc123), вам будут предоставлены лишь стандартные элементы меню.

Обратите внимание на то, что каждая команда в контекстном меню должна быть идентифицирована в системном реестре при помощи определенного глагола, который в свою очередь используется функцией ShellExecuteEx для запуска конкретного приложения. Этот глагол представляет собой обыкновенную текстовую строку, используемую оболочкой Shell для идентификации связанной команды. Каждый такой глагол соответствует команде, запускаемой в командной строке консоли или пакетному файлу с расширением bat.

Как и в случае с использованием командной строки, если какой-либо элемент для добавляемого вами объекта контекстного меню содержит пробелы, он должен быть заключен в кавычки. В противном случае, если элемент содержит пробел, но не заключен в кавычки, он будет обрабатываться неправильно. Например, если указать в качестве пути к приложению, скажем, «New Application.exe», приложение будет выполнено корректно. Но если вы укажете в качестве пути New Application.exe без кавычек, то операционная система попытается запустить несуществующую программу New с Application.exe в качестве первого параметра. А ввиду того что имя выполняющегося процесса может быть не самым информативным (вспомним в качестве примера файл «powershell.exe» и его отображаемое имя «Windows PowerShell»), выполнить такую задачу не удастся. Кстати, глаголы могут еще включать в себя имя, которое будет отображаться уже в самом контекстном меню, так что эти имена также следует указывать в кавычках.

В операционной системе Windows для каждого типа файлов задано определение элементов контекстного меню, что позволяет понять по расширению файла, какое приложение должно взаимодействовать с теми или иными файлами. При установке приложений, использующих уникальные (или стандартные) типы файлов, выполняется регистрация так называемой процедуры по умолчанию, которая будет применяться при попытке запуска приложения для открытия типа файла, не связанного с приложением.

Эта процедура по умолчанию, в сущности, выполняет две основные задачи:

  • определение того, как приложение должно запускаться для открытия произвольного типа файла;
  • определение дополнительных уникальных характеристик для типа файла, к которым можно отнести элементы контекстного меню и ярлыки.

Вернемся теперь к настройкам элементов контекстного меню и рассмотрим, где в реестре размещаются параметры, отвечающие за эти элементы. Вся информация, которую операционная система Windows использует при работе с файлами, заключена в ветви реестра HKEY_CLASSES_ROOT. Другими словами, если вы в «Проводнике Windows» открываете какой-то документ, в этот момент операционная система Windows запускает программу, которая при помощи процедуры по умолчанию связана с этим документом. Информация о тех функциях системы, о которых говорилось выше, включая расширения файлов, их взаимодействие с программами, печать, значки для зарегистрированных типов документов и многое другое, хранится в ветви HKEY_CLASSES_ROOT.

Беглое изучение разделов этой ветви реестра показывает, что здесь можно найти практически все возможные типы файлов. Огромное количество типов файлов регистрируется в операционной системе в процессе установки. К таким типам файлов можно отнести JPG, DOCX и другие. В свою очередь, некоторые специальные типы файлов появятся в системном реестре только после установки соответствующих приложений. К таким типам файлов можно отнести, например, VSDX после установки продукта Microsoft Office Visio.

В ветви реестра HKEY_CLASSES_ROOT для каждого зарегистрированного типа файлов отведено два специальных раздела. Имя первого такого раздела совпадает с расширением файла (например,. mkv) и содержит идентификатор (в данном случае — WMP11.AssocFile.MKV). А вот уже в разделе WMP11.AssocFile.MKV вы найдете дополнительную информацию о выбранном типе файлов. К такой информации можно отнести определение этого типа файлов, его значок, действия, которые должны выполняться при его использовании и многое другое. Все эти нюансы мы рассмотрим ниже.

Помимо упомянутых двух разделов для редактирования различных пунктов контекстного меню, вам еще могут пригодиться следующие ключевые подразделы ветви HKEY_CLASSES_ROOT:

  • *. Этот подраздел отвечает за все файлы, хранящиеся на компьютере, причем независимо от того, зарегистрирован выбранный тип файла или нет.
  • AllFileSystemObjects. В этом разделе реестра хранится информация, связанная со всеми файлами и папками. По сути, если вы хотите внести изменения в эту категорию, то лучше всего изменять параметры именно в данном разделе.
  • Folder. Изменив содержимое этого раздела, вы сможете управлять пунктами контекстного меню для выбранной в проводнике папки.
  • Directory. В данном случае изменениям подвергнутся все файлы, находящиеся внутри открытой пользователем папки.
  • Directory\Background. Изменив содержимое этого раздела, вы сможете добавить, изменить или удалить пункты контекстного меню для фоновой области папки «Проводника Windows» (когда вы вызываете контекстное меню внутри какой-то папки, при этом не выделяя ни одного файла).
  • DesktopBackground. Здесь нам предоставляется возможность изменить контекстное меню для рабочего стола операционной системы Windows.
  • Drive. Если вы внесете изменения в реестр для этого подраздела, то ваши действия повлекут за собой изменения, связанные с дисками в «Проводнике Windows».
  • Network. Внутри данного раздела вы можете вносить изменения в контекстное меню объектов, связанных с сетевым окружением.
  • Network\Type\#. Данные подразделы позволяют вам вносить изменения в объекты типа #, где «#» — это код типа сетевого провайдера, указанный в десятичном формате.
  • Printers. Здесь можно получить доступ к пунктам контекстного меню, связанного с принтерами.
Дополнительно:  Исправьте ошибку «синий экран» BUGCODE_USB_DRIVER в Windows 10

Кроме того, можно выделить несколько канонических глаголов, которые вы найдете почти в каждом разделе Shell идентификатора типа файлов. К таким глаголам относятся:

  • Open. Элемент, отвечающий за открытие файла или папки.
  • Opennew. Открытие файла или папки в новом окне.
  • Print. Печать файла.
  • Explore. Открытие «Проводника Windows» для выбранной папки.
  • Find. Открытие диалогового окна системного поиска с папкой, заданной в качестве расположения поиска, установленного по умолчанию.
  • Openas. Отвечает за диалоговое окно «Открыть с помощью».
  • Properties. Открытие диалогового окна свойств выделенного объекта.

Создаем свой элемент контекстного меню

Выбрав раздел «HKEY_CLASSES_ROOT\giffile», вы сразу обратите внимание на значение этого раздела по умолчанию: оно представляет собой описание выбранного вами типа файлов — «GIF Image». Это означает, что данный идентификатор отвечает за изображения типа GIF. Также в корневом разделе идентификаторов присутствуют дополнительные параметры. Рассмотрим некоторые из них.

  • EditFlags. Представляет собой двоичное значение длиной в 4 байт, которое может применяться для того, чтобы пользователи не могли при помощи контекстного меню задействовать определенные команды для выбранных ассоциаций файлов. В некоторых случаях этот параметр реестра может быть как типа REG_DWORD, так и REG_BINARY. Также стоит обратить внимание на то, что данный параметр может присутствовать и в подразделах shell, предопределяя наложенные ограничения корневого параметра.
  • FriendlyTypeName. В этот параметр реестра записывается отображаемое имя для идентификатора. Таким образом, значение данного параметра должно содержать те же данные, что и запись по умолчанию. Эта запись может представляться типом REG_SZ или REG_EXPAND_SZ, но она обязательно должна быть отформатирована как косвенная строка (это полное имя файла и значение ресурса, которым предшествует символ @), например @%SystemRoot%\System32\shell32.dll,-30595, как в данном случае.

Следующий раздел, Shell, имеет, пожалуй, основное значение для нас. А считается он важнейшим из разделов этой категории по той причине, что операционная система именно отсюда вытягивает сведения о том, какие действия должны выполняться при двойном щелчке на выбранном файле данного типа или же других возможных операциях. Как правило, этот раздел включает в себя несколько глаголов. К стандартным глаголам можно отнести такие глаголы, как edit, open и print, что в графическом интерфейсе пользователя эквивалентно командам контекстного меню «Изменить», «Открыть» и «Печать». Каждый такой глагол должен включать подраздел command, в котором в параметре по умолчанию необходимо добавить команду, запускаемую из командной строки и определяющую выполняемое действие.

Более того, наряду с приложением, указанным в кавычках, необходимо использовать такой параметр, как «%1», например, как показано на экране 1; при работе с файлами gif на данном компьютере должен открыться Microsoft Internet Explorer. Что же означает эта единица? При запуске браузера Internet Explorer параметр %1 будет заменяться именем выбранного файла. Иными словами, когда пользователь попробует открыть файл funnygif.gif, который находится на диске D, операционная система запустит программу C:\Program Files\Internet Explorer\iexplore.exe с файлом D:\funnygif.gif.

Если внимательно посмотреть на различные разделы для типов файлов, можно обнаружить, что помимо Shell, можно еще встретить такой раздел, как Shellex. А в чем разница между разделами Shell и Shellex? Здесь все просто. В случае с Shell вы можете применять статические глаголы, которые будут использоваться методом ShellExecute, а также контекстными меню для различных типов файлов. Как вы уже заметили, они достаточно просты в реализации, так как представляют собой, по сути, лишь определенную команду, выполняемую в командной строке. Однако в случае необходимости глаголы могут быть расширены дополнительными COM-объектами.

В свою очередь, раздел Shellex предназначен для управления расширениями shell, к которым как раз и относятся различные COM-объекты. Например, перейдя к разделу Drive, вы можете в разделе shellex найти такие подразделы как ContextMenuHandlers, Drag­DropHandlers, Folder­Extensions и PropertySheetHandlers, которые, собственно, и считаются расширениями для обычного раздела Shell.

Теперь перейдем непосредственно к созданию нового элемента контекстного меню. На примере я покажу, как можно добавить в контекстное меню папки пункт «Открыть Windows PowerShell здесь». Для того чтобы этот элемент был доступен при щелчке правой кнопкой мыши как по папке, так и по свободной фоновой области внутри папки, параметры реестра будут изменяться внутри уже существующих разделов Directory и Directory\Background. Обратите внимание, что в случае с изменением параметров внутри разделов Directory и Background вам необходимо сменить для этих разделов владельца и предоставить группе администраторов полные права на изменение содержимого внутри разделов PowerShell.

Это простой пример, поскольку контекстное меню папок уже обладает данным параметром, однако его можно вызвать только при помощи расширенного контекстного меню (в комбинации с нажатой клавишей Shift). За пункты из расширенного контекстного меню отвечает параметр «Extended», поэтому для решения данной задачи нам достаточно удалить текущий параметр из соответствующих разделов реестра, а все остальные параметры можно оставить без изменений. Содержимое файла reg будет выглядеть так, как показано в листинге 1.

Как мы видим на экране 2, теперь в контекстном меню появился соответствующий элемент.

Возьмем другой пример, предполагающий добавление новых разделов и параметров реестра — добавление пункта «Скрыть выделенные» в контекстное меню выбранного файла. При помощи этой функции можно скрыть все выбранные файлы одним лишь нажатием клавиши мыши из контекстного меню выделенных объектов. В данном случае нам понадобится вносить изменения в раздел AllFilesystemObjects, так как действия должны выполняться при выборе любого объекта проводника Windows. Кроме того, поскольку операция, можно сказать, штатная, для реализации этой задачи будет использоваться системная функция ShellExecute. Сразу обращаю ваше внимание на то, что ввиду применения функции ShellExecute, в данном разделе не создается подраздел Command.

Должны быть выполнены следующие операции:

  1. Внутри раздела HKEY_CLASSES_ROOT\AllFilesystemObjects\shell создается дочерний раздел Windows.HideSelected.
  2. Добавляется строковый параметр «Description» со значением «@shell32.dll,-37575»;
  3. Добавляется строковый параметр «ExplorerCommandHandler» со значением «{0947c622-f98a-48a5-9df7-60e5fe202e07}».
  4. Добавляется строковый параметр «Icon» со значением «imageres.dll,-5314».
  5. Добавляется строковый параметр «MUIVerb» со значением «@shell32.dll,-37574».

Получаемый reg-файл будет выглядеть так, как показано в листинге 2.

На экране 3 видно, что нам дали выполненные изменения в реестре.

Как мы видим, в обоих примерах фигурировали две библиотеки: shell32.dll и imageres.dll. Первая библиотека включает в себя команды, выполняемые операционной системой (функция ShellExecute), а вторая представляет собой хранилище системных значков, которые можно ассоциировать с тем или иным элементом контекстного меню. По этой причине я рекомендую создать документ, описывающий возможности данных библиотек.

Добавляем элементы в контекстное меню средствами GPO

С добавлением пунктов в контекстное меню мы разобрались, а это означает, что настало время перей­ти к выполнению аналогичных действий для большого количества пользователей сразу. Для этого мы воспользуемся возможностями групповой политики.

В следующем примере попробуем решить следующую задачу: добавить в контекстное меню для папок пункт открытия Windows PowerShell, а также пункт скрытия выбранных элементов. Выполним следующие шаги:

  1. Для начала откроем оснастку «Управление групповой политикой». В ней нужно создать новый или выбрать существующий объект групповой политики. Так как большинство изменяемых параметров реестра входит в раздел из «HKEY_CLASSES_ROOT», данный объект следует связать с подразделением, к которому относятся целевые компьютеры. Затем следует открыть для данного объекта редактор управления GPME. Так, в нашем примере создается объект GPO «Контекстные меню» и он привязывается ко всему домену. Открываем для этого объекта редактор политик.
  2. Поскольку для подраздела PowerShell из раздела реестра Directory необходимо сменить владельцев, для начала следует предоставить пользователям разрешения на изменение параметров в разделах реестра. Для этого переходим к разделу «Конфигурация компьютера»\«Политики»\«Конфигурация» Windows\«Параметры безопасности»\«Реестр». В области действий вызываем контекстное меню и выбираем пункт добавления раздела. В открывшемся диалоговом окне следует перейти к разделу реестра CLASSES_ROOT\Directory\shell\Powershell. Далее в диалоговом окне дополнительных параметров безопасности в разделе изменений владельца выбирается группа безопасности, для которой будут предоставлены полные права (учтите, что предоставлять такие права для группы пользователей в большинстве случаев рискованно и распределять права следует с осторожностью). Включите флажок наследования. Кроме того, добавьте для выбранной группы разрешения, включающие полный доступ к разделу. В открывшемся диалоговом окне добавления проекта оставляем переключатель на режиме распространения наследуемых разрешений на все подразделы и вносим изменения. В случае добавления идентичных пунктов для свободного пространства «Проводника Windows» предоставьте соответствующие разрешения еще и для раздела Directory\Background.
  3. Теперь при помощи предпочтений групповой политики из раздела HKEY_CLASSES_ROOT\Directory\shell\Powershell будет удаляться параметр «Extended». Для этого следует развернуть узел «Конфигурация компьютера», а затем перейти к узлу «Настройка»\«Конфигурация Windows». Щелкните в области сведений правой кнопкой мыши и из контекстного меню последовательно выберите команды «Создать» и «Элемент реестра». Поскольку у нас будет удаляться параметр реестра, выберите из раскрывающегося списка «Действие» пункт «Удалить». В раскрывающемся списке «Куст» (Hive) выберите ветвь реестра «HKEY_CLASSES_ROOT». После этого при помощи браузера элементов реестра укажите параметр «Extended». Элемент предпочтения реестра готов. Можно сохранять изменения. Диалоговое окно элемента предпочтений групповой политики показано на экране 4.
  4. Теперь осталось создать раздел реестра с соответствующими параметрами для добавления в контекстное меню второго пункта. В принципе, так как требуется добавить четыре параметра, все эти действия можно выполнить при помощи элементов предпочтения реестра, но если операция предполагает добавление большого количества параметров, то можно воспользоваться возможностями сценариев автозагрузки. Для этого перейдите в раздел «Конфигурация компьютера»\«Политики»\«Конфигурация» Windows\«Сценарии (запуск/завершение)» и откройте диалоговое окно свойств параметра политики «Автозагрузка». В диалоговом окне «Свойства: Автозагрузка» нажмите на кнопку «Добавить» и при помощи кнопки обзора поместите требуемый Reg-файл (например, файл AddHideItem.reg) в папку сценариев автозагрузки. После этого укажите в поле «Имя сценария» значение «regedit.exe», а в текстовом поле «Параметры сценария» значение «/s и имя файла», как показано на экране 5.
  5. После этого можно обновлять параметры политики на целевых компьютерах и проверять выполненные действия.

Теперь вы знаете, из каких компонентов состоят контекстные меню операционных систем Windows и как можно добавить в различные контекстные меню свои уникальные пункты. Мы рассмотрели основные подразделы реестра, отвечающие за пункты контекстных меню. На нескольких примерах были продемонстрированы методы добавления новых пунктов в контекстное меню как вручную, так и централизованно, при помощи групповой политики. Я надеюсь, что благодаря данной статье вы сможете с легкостью настроить контекстные меню своих рабочих систем под конкретные потребности.

Листинг 1. Пример содержимого реестра 

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\Directory\shell\Powershell]
@="@shell32.dll,-8508"
"Extended"=-
"NoWorkingDirectory"=""
"ShowBasedOnVelocityId"=dword:00639bc8
[HKEY_CLASSES_ROOT\Directory\shell\Powershell\command]
@="powershell.exe -noexit -command Set-Location -literalPath ‘%V’"
[HKEY_CLASSES_ROOT\Directory\Background\shell\Powershell]
@="@shell32.dll,-8508"
"Extended"=-
"NoWorkingDirectory"=""
"ShowBasedOnVelocityId"=dword:00639bc8
[HKEY_CLASSES_ROOT\Directory\Background\shell\Powershell\command]
@="powershell.exe -noexit -command Set-Location -literalPath ‘%V’"

Листинг 2. Параметры реестра для добавления пункта «Скрыть выделенные» в контекстное меню 

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Windows.HideSelected]
"Description"="@shell32.dll,-37575"
"ExplorerCommandHandler"="{0947 c622-f98 a-48 a5-9 df7-60 e5 fe202 e07}"
"Icon"="imageres.dll, —5314"
"MUIVerb"="@shell32.dll, —37574" 

Импорт REG файлов реестра через GPO

Расширение GPP позволяет администратору легко импортировать в групповую политику .REG файл сразу с несколькими параметрами реестра. Но для этого REG файл нужно сконвертировать в XML формат (редактор Group Policy Editor позволяет импортировать только файлы в XML формате).

Например, у нас имеется эталонный компьютер, на котором сконфигурированы настройки в некой ветке реестра. Экспортируйте эти настройки в REG файл, щелкнув правой кнопкой по имени ветки в редакторе реестра regedit и выбрав Export.

экспорт настроек реестра в reg файл

Сохраните параметры ветки реестра в файл с расширением REG.

Если в вашем REG файле присутствуют данные из разных кустов реестра (HKLM, HKCU, HK_CLASSES), их нужно разделить на отдельные файлы.

сохранить reg файл

Данный REG файл нужно преобразовать в XML формат (вы можете выполнить конвертацию reg->xml с помощью онлайн сервиса Reg2GPP или PowerShell скрипта RegToXML.ps1.

Полученный XML файл нужно скопировать в проводнике, и выполните вставку (Paste) в секции Registry редактора Group Policy.

Дополнительно:  Container service for nvidia root features что это за служба

импорт reg xml файла в GPO

Так все настройки реестра из вашего REG файла появятся в консоли и будут применены к компьютерам в домене.

настройка нескольких параметров реестра через gpo

Временное отключение UAC

Возможной причиной проблемы с установкой приложения может быть политики UAC. Попробуйте установить приложение при отключенном UAC (напомню, что отключение UAC это не рекомендуемый шаг, и после тестирования его нужно включить обратно).

  1. Через меню «Пуск» введите и запустите «Изменение параметров контроля учетных записей».
    Изменение параметров контроля учетных записей
  2. Переместите ползунок в положение «Не уведомлять»(уровни UAC). Необходимы права администратора.Никогда не уведомлять (отключить UAC)
  3. Перезагрузите компьютер, чтобы проделанные изменения вступили в силу.

Если это не помогло избавиться от уведомления, то попробуйте отключить политику блокировки, блокирующего выполнение MSI пакетов установщиком Windows через редактор локальной групповой политики или реестр.

Сброс всех ассоциаций файлов в Windows

С помощью следующей команды можно сбросить импортированные ранее настройки ассоциаций файлов в Windows:

Dism.exe /Online /Remove-DefaultAppAssociations

После выполнения данной команды, все новые пользователи системы будут загружаться со стандартными настройками ассоциаций (на имеющиеся профили пользователей системы такой сброс не действует).

Чтобы сбросить ассоциации файлов, настроенные пользователем вручную, нужно в панели Параметры -> Система -> Приложения по умолчанию (Default Apps) нажать на кнопку Сброс (Reset).

wiindows 10 сбросить ассоциации файлов

При этом все ассоциации файлов вернутся к состоянию чистой Windows 10.

Служба Windows Installer

Откройте консоль управления службами (services.msc) и убедитесь, что служба Windows Installer (Установщик Windows) присутствует в системе и запущена (если нет, запустите службу).

Создать параметр реестра в GPO вручную

Вы можете создать, изменить или удалить конкретный параметр или ключ реестра с помощью GPP, указав ветку реестра, имя и значение параметра вручную.

  1. Для этого выберите пункт Registry -> New->Registry Item;Создать новый ключ реестра
  2. Задайте ваши настройки реестра:Action: Update
    Hive: HKEY_LOCAL_MACHINE
    Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching
    Value name: SearchOrderConfig
    Value type: REG_DWORD
    Value date: 00000000

    создать параметр реестра с помощью GPO

    Не указывайте имя HIVE в поле Key path, иначе в реестре будет создан дполнительный раздел вида HKEY_HKEY_XXX.

  3. По умолчанию для параметра реестра, которые настраиваются через GPO, устанавливается режим Update

Доступны 4 вида операции с параметрами реестра.Действия с ключом реестра

  • Create – создает параметр реестра. Если параметр уже имеется, его значение не меняется;
  • Update (По-умолчанию) – если параметр уже имеется, его значение изменится на значение, указанное в политике. Если параметр реестра не существует, он будет создан автоматически (как и ветка реестра, в которой он должен находится);
  • Replace — если элемент реестра уже существует, он удаляется и создается заново (применяется редко);
  • Delete – параметр реестра будет удален.

На вкладке Common есть еще ряд полезных опций:

Опции создания ключей в GPP

  • Run in logged-on user’s security context (user policy option) — ключ реестра создается в контексте текущего пользователя (возможно только для GPP, которые вы создаете в пользовательском разделе GPO User Configuration). Если у пользователя нет прав администратора, политика не сможет выполнить запись в системные ветки реестра;
  • Remove this item when it is no longer applied – если политика перестает действовать на клиента, параметр будет автоматически удален;
  • Apply once and do not reapply –п рименить политику только один раз (для компьютера, или пользователя). Если после первого применения GPO пользователь вручную изменит значение параметра реестра на своем компьютере, политика не перезатрет его значение при повторном обновлении GPO;
  • Item-level targeting – – возможность более точного таргетирования политики на клиентов (вы можете нацелить политику на конкретный IP, подсеть, имя компьютера, компьютеры с определенными характеристиками – т.е. можно настроить тонкое применение политик по аналогии с WMI фильтрами GPO). Например, вы можете указать, что параметр реестра должен применится на компьютеры с Windows Server 2016 в OU Servers.gpp тонкий таргетинг параметра реестра через политики

Вот так в консоли GPMC (вкладка Settings) выглядит результирующей отчет с настройками групповой политики, которая меняет значение одного параметра реестра.

Результирующий отчет политики

Настройка ассоциаций файлов в Windows с помощью GPO

В современных версиях Windows можно использовать новый параметр групповых политик, позволяющий применить xml файл с настройками ассоциаций файлов ко всем текущим пользователям компьютера.

Например, вы хотите применить групповую политику с настройками ассоциаций файлов ко всем компьютерам в определенном OU (Organizational Unit) Active Directory.

  1. Откройте консоль управления доменными GPO (
    gpmc.msc
    );
  2. Найдите OU с компьютерами, для которых вы хотите применить файловые ассоциации и создайте новую GPO;
  3. Переключитесь в режим редактирования GPO и перейдите в раздел Computer Configuration -> Administrative Templates -> Windows Components -> File Explorer;
  4. Найдите параметр Set a default associations configuration file (Задать файл конфигурации сопоставлений по умолчанию);
  5. Включите политику и укажите UNC путь к вашему xml файлу (убедитесь, что путь не содержит кавычки или пробелы). Его можно разместить на общедоступном файловом сервере, в каталоге SYSVOL на контроллере домена, или предварительно скопировать файл на компьютеры с помощью GPP/ SCCM;применить настройки ассоциаций файлов с помощью групповой политики
  6. Перезагрузите компьютер, чтобы применить новые ассоциации файлов.

Новые настройки сопоставлений будут применены ко всем пользователям компьютера после следующего входа.

Путь к XML файлу с новыми настройками ассоциации файлов содержится в параметре реестра DefaultAssociationsConfiguration в разделе Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System.DefaultAssociationsConfiguration параметр реестра windows 10

Т.к. Windows 10 отслеживает настройки файловых ассоциаций, при первой попытке открыть PDF файл может появится окно с подтверждением использования Acrobat Reader как программы по–умолчанию для открытия этого типа файлов (запрос появляется только один раз). Такой запрос будет всегда появляться также после установки нового приложения, которое регистрируется для открытия существующего типа файлов или протоколов. Можно скрыть данные уведомления, включив в этом же разделе GPO политику Do not show the ‘new application installed‘ notification (Не показывать уведомление “установлено новое приложение”).

Отметим, что пользователь в своем сеансе может изменить назначенные ассоциации файлов. Но при следующем обновлении групповой политики во время входа в систему, ассоциаций файлов пользователя будут перезаписаны настройками из xml файла.

Изменить ассоциации программ с типами файлами в Windows из командной строки

В Windows вы можете использовать утилиту командной строки assoc для настройки сопоставления типов файлов с приложениями. Например, чтобы вывести программу, которая назначена для открытия файлов PDF, выполните команду:

В данном примере видно, что с этим расширением ассоциирован тип файлов AcroExch.Document.DC:

.pdf=AcroExch.Document.DC

команда assoc в windows для настройки сопоставления типов файлов с программой

Вывести все сопостаяления расширения с типами файлов:

Чтобы понять с каким исполняемым файлом ассоциирован тип файла AcroExch.Document.DC, выполните:

команда ftype задать программу для типов файлов

Вы можете задать тип для определенных файлов с помощью команды:

В этом примере мы указали, что все CSV файлы нужно открывать как обычные текстовые файлы (по умолчанию с помощью notepad.exe).

Из командной строки вы можете создать или изменить ассоциацию файл с программой. Например, вы хотите чтобы все файлы с расширением tx1 открывались с помощью notepad++.exe. Сначала нужно создать ассоциацию расширения .tx1 с новым типом файлов tx1file.

Теперь укажем программу, которая должна использоваться по умолчанию при открытии файлов с расширением tx1.
ftype tx1file="%programfiles(x86)%\"Notepad++\notepad++.exe" "%1"

Список текущих ассоциаций и заданных для них progid в Windows можно вывести так:

setuserfta утилита для настройки ассоциаций файлов

Чтобы задать ассоциацию для определенного типа файлов, используется команда:

Например, назначить Chrome браузером по-умолчанию:

Если для приложения не создан класс файлов или Progid, можно указать его исполняемый файл. Например:

Это возможно для приложений, зарегистрированных в ветке реестра
\HKEY_CLASSES_ROOT\Applications
.

Задать программу по умолчанию для открытия типа файлов в Windows 10/11

Предположим, вы хотите использовать Adobe Reader DC для открытия *.pdf файлов на всех компьютерах домена. Т.е. вы хотите создать ассоциацию этого расширения файлов с приложением. Для этого нам понадобится эталонный компьютер с Windows 10 или 11 (в этом примере используется актуальный билд 22H1) и установленным Acrobat Reader DC.

Обратите внимание, что в Windows 10 и 11 теперь по умолчанию установлен браузер Microsoft Edge, который используется как программа по-умолчанию для просмотра PDF файлов.

Чтобы вручную создать сопоставление определенного типа файла с программой, откройте панель Settings -> Default Apps (для быстрого перехода используйте команду быстрого доступа Settings ->
ms-settings:defaultapps
) и нажмите кнопку Choose default apps by file type.

Настройка программ по умолчанию и типов файлов в windows 10

Найдите в списке расширений тип файлов .pdf. Затем щелкните по значку программы, которая ассоциирована с этим расширением и смените программу по-умолчанию для просмотра PDF файлов с Microsoft Edge на Acrobat.

задать программу по умолчанию для открытия типа файлов в windows

Можно автоматически ассоциировать определенную программу с типами файлов, для которых она зарегистрирована. Для этого в разделе Default Apps выберите Set default by apps, найдите в списке нужную программу и нажмите кнопку Manage.

выбрать программу для открытия определенного расширения файлов

В открывшемся списке будет присутствовать список поддерживаемых приложением типов файлов. Выберите расширения файлов, которые должны открываться с помощью Acrobat Reader.

сопоставление программ с поддерживаемыми типами файлов в windows 10

Групповая политика отключения установщика Windows

  1. Нажмите сочетание клавиш Win+R и введите команду «gpedit.msc».
  2. В левой части экрана перейдите в раздел GPO «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Установщик Windows» (Computer Configuration -> Administrative Templates -> Windows Components -> Windows Installer). Справа отобразятся допустимые для редактирования элементы.
    Установщик Windows - политики
  3. Найдите в списке «Отключение установщика Windows» (Disable Windows Installer), откройте его двойным нажатием и выберите «Отключено». Сохраните внесенные изменения с помощью кнопки «Применить». Отключение установщика Windows

Проверьте, что в политиках Политики ограниченного использования программ ( Software Restriction Policies) отсутствуют политики, запрещающие запуск указанного файла (типа файлов). Если такие политики есть, удалите их. Данные политики находятся в разделе Computer Configuration -> Windows Settings -> Security Settings -> Software Restriction Policies (Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ)

Откройте командную строку и выполните gpupdate /force.

Файл настроек политики

Все настройки политики для ярлыков хранятся в:

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
 
     
               
              
              
              
              
              
               
                          
                           
                          
                          
                          
                          
                          
                           
              
    

Экспорт, импорт и перенос настроек ассоциаций файлов Windows через XML файл

Текущие настройки ассоциаций файлов с программами, которые настроены под текущим пользователем, можно экспортировать в файл .XML с помощью DISM:

Dism.exe /online /Export-DefaultAppAssociations:C:\PS\DefaultAssoc.xml

Команда экспортирует в XML файл все настроенные у вас сопоставлений программ. Вы можете открыть файл DefaultAssoc.xml в любом текстовом редакторе, и посмотреть полный список настроек. Если вы хотите использовать только часть ассоциаций из этого списка (чтобы не переопределять имеющиеся настройки для остальных расширений файлов на других компьютерах), можно вручную отредактировать XML файл. Оставьте только строки с нужными вам расширениями файлов. К примеру, оставьте только строки для расширений .pdf и .fdf, остальные строки удалите. Должен получиться примерно такой XML-файл:

<?xml version="1.0" encoding="UTF-8"?>
<DefaultAssociations>
<Association Identifier=".fdf" ProgId="AcroExch.FDFDoc" ApplicationName="Adobe Acrobat Reader DC" />
<Association Identifier=".pdf" ProgId="AcroExch.Document.DC" ApplicationName="Adobe Acrobat Reader DC" />
</DefaultAssociations>

Dism Export-DefaultAppAssociations в XML файл

Полученный XML файл можно импортировать в образ Windows на другом компьютере с помощью DISM в режиме онлайн:

Dism.exe /Online /Import-DefaultAppAssociations:C:\PS\DefaultAssoc.xml

Важно. Данные настройки сопоставления расширений файлов с программами будут применены только к новым пользователям системы во время их первого входа. Если при импорте появится ошибка App default reset notification, проверьте синтаксис XML файла.

Также можно импортировать параметры ассоциаций в офлайн образ Windows в wim файл (который вы используете для раскатки образа на новые компьютеры). Сначала нужно смонтировать образ:

Dism /Mount-Image /ImageFile:C:\mnt\images\install.wim /MountDir:C:\mnt\offline

А затем импортировать xml файл:

Совет. Текущие настройки ассоциаций файлов в офлайн образе Windows можно получить с помощью такой команды:

Dism.exe /Image:C:\mnt\offline /Get-DefaultAppAssociations

Ключ реестра DisableMSI

Если вы используете операционную систему Windows редакции Home, то редактор локальной групповой политики в ней не будет доступен. Внести все необходимые изменения можно через реестр. Для этого:

  1. Откройте редактор реестра (regedit.exe)
  2. Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies \Microsoft\Windows\Installer» найдите и удалите параметры DisableMSI и DisablePatch (при наличии, или измените на 0).DisableMSI

    Совет. Чтобы не перемещаться в редакторе реестра «вручную», скопируйте и вставьте конечный адрес из статьи в соответствующую панель, расположенную сверху.

  3. Здесь же перейдите к разделу HKEY_CLASSES_ROOT\Installer\Products. Отобразится список доступных ключей. Каждый из них ссылается на установку конкретной программы. Проверить, принадлежит ли выбранный ключ нужному продукту можно в правой части экрана. Для этого проверьте значение в строке «Product Name».HKEY_CLASSES_ROOT\Installer\Products
  4. Попытайтесь найти раздел реестра, который относится к проблемной программе (при установке которого возникает ошибка) и полностью удалите его ветку. Найдите нужный ключ в меню «Products» (тот, при установке которого возникает ошибка «Данная установка запрещена политикой, выбранной системным администратором») и полностью удалите папку. Перед этим обязательно сделайте резервную копию.
Дополнительно:  windows-7 - Перестали работать клавиши Ctrl, Shift и Alt - PowerUser

После проделанных действий обязательно перезагрузите компьютер и запустите установку нужной программы. Ошибка больше не будет появляться.

Если решить проблему не получилось, попробуйте создать новую папку внутри Program Files или Windows, скопировать в нее дистрибутив и запустите его с правами администратора.

Этот элемент предпочтений групповой политики позволяет вам управлять настройками реестра Windows.

Изменить файловые ассоциации через реестр Windows

Как мы уже говорили выше, в Windows 10/11 изменился подход к изменению настроек ассоциации файлов. В предыдущей секции мы показали, как настроить ассоциацию .pdf файла с Acrobat Reader через XML файл и групповую политику. Теперь посмотрим, как это выглядит в реестре.

Обратите внимание, что в данной ветке с настройками ассоциация для расширения html есть два параметра:

  • ProgId – идентификатор зарегистрированной программы для открытия этого типа файлов. Если вместо имени приложения указан длинный идентификатора, значит назначена ассоциация файла с современным приложением UWP/Metro. Проверьте, что оно не удалено из вашего образа Windows 10;
  • Hash – хеш, который генерируется автоматически для валидации настройки сопоставления типа файлов с программой. Наличие этого хэша, гарантирует, что именно пользователь или администратор (через GPO) настроил данное сопоставление. Этот механизм нужен для защиты пользователей от вредоносных программ, которые могут подменить ассоциации файлов без его ведома.

progid и hash в реестре для ассоциаций программ с файлами

Если вы попробуете руками изменить значение ProgId и назначить другую программу, значение Hash перестанет быть валидным. В этом случае Windows автоматически сбросит настройки ассоциации файла к значению по-умолчанию и пользователь увидит уведомление:

Стандартное приложение сброшено.
Приложение вызвало проблемы с настройкой стандартного приложения для файлов .html, поэтому оно сброшено для Microsoft Edge.
An app default was reset.
An app caused a problem with the default app setting for .html files, so it was reset to Microsoft Edge.

windows 10 Стандартное приложение сброшено, сброс сопоставления между программой и файлом

Соотвественно, в Windows 10 не сможете настроить сопоставление файлов через реестр, как это работало в Windows 7.

Мастер настройки параметров реестра через GPO

Самый простой способ внести изменения в реестр через групповый Сначала рассмотрим первый способ:

  1. Откройте консоль управления доменными политиками Group Policy Management Console (gpmc.msc);
  2. Создайте новую (или отредактируйте существующую) GPO, назначьте ее на нужный контейнер AD с компьютерами (или пользователями), на которые нужно распространить значение вашего параметра реестра. Перейдите в режим редактирования политики;
  3. Разверните раздел GPO Computer (или User) Configuration -> Preferences -> Windows Settings -> Registry и в контекстном меню выберите пункт New -> Registry Wizard; Group Policy Preferences - создать новый ключ реестра
  4. Мастер Registry Wizard позволяет по сети подключиться к реестру на удаленном компьютере и выбрать имеющийся на ней параметр реестра и его значение;
  5. Укажите имя компьютера, к которому нужно подключиться;Браузер удаленного реестра

    Примечание. Если при подключении к компьютеру через Registry Browser появляется ошибка The network path was not found, скорее всего компьютер отключен, доступ к нему заблокирован файерволом, или на нем отключена служба Remote Registry (Удаленный реестр)The network path was not foundЧтобы вручную включить службу RemoteRegistry, нужно на удаленном компьютере выполнить команды:
    sc config remoteregistry start= demand

    net start remoteregistry
    net start remoteregistry

  6. С помощью браузера удалённого реестра выберите все параметры реестра, которые вы хотите настроить через GPO;
  7. В нашем примере мы хотим через GPP изменить в реестре значение только одного параметра— SearchOrderConfig;Выбор ключа реестра на удаленной машине
  8. Указанный параметр реестра импортируется в консоль GPP вместе с путем и текущим значением (0). В консоли управления GPP появится полное дерево реестра Registry Wizard Values, в котором хранится данный параметр. В дальнейшем вы можете изменить его значение и действие с ним (рассмотрим чуть ниже);Ключ реестра в GPO
  9. На этом настройка GPO завершена. При следующем обновлении настроек групповых политик на целевых компьютерах, значение ключа реестра SearchOrderConfig изменится на 0.

    Если политика не отработала клиенте, воспользуйтесь для диагностики командой gpresult, и рекомендациями из статьи “Почему не применяется GPO?”).

Если политика перестанет действовать на компьютер (политика удалена или отлинкована от контейнера, компьютер перенесен в другой OU и т.д.), значение параметра реестра не вернется на первоначальное (дефолтное) значение.

На машине ALT

Примечание: Управление ini-файлами в GPUI возможно, начиная с версии 0.2.17-alt5.

Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.

Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, в который входят машины или учетные записи пользователей.

Шаг 3. Запустить GPUI:

  • из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
    Запуск GPUI из ADMC
  • или с указанием каталога групповой политики:

Откроется окно редактирования групповых политик.

Шаг 4. Перейти в «Компьютер»/«Пользователь» -> «Настройки» -> «Настройки системы» -> «Реестр». В контекстном меню свободной области выбрать пункт «Новый» -> «Значение реестра»:

GPUI. Создание новой политики «Значение реестра»

Шаг 5. В диалоговом окне «Диалог настроек» задать настройки политики:

GPUI. Диалоговое окно настройки политики «Значение реестра» ­— вкладка «Основные настройки»

Доступные опции на вкладке «Основные настройки» («General»):

  • «Действие» — действие, которое будет выполняться для элемента реестра:
    • «Создать» — создание нового значения или раздела реестра;
    • «Удалить» — удаление значения или раздела реестра и всех его значений и подразделов;
    • «Заменить» — удаление и повторное создание значения или раздела реестра. Если целевым объектом является значение реестра, то конечным результатом действия будет перезапись всех существующих параметров, сопоставленных данному значению реестра. Если целевым объектом является раздел реестра, то конечным результатом будет удаление всех значений и подразделов реестра, и останется только имя значения по умолчанию без данных. Если значение или раздел реестра не существует, то действие «Заменить» приведет к созданию нового значения или раздела;
    • «Обновить» — изменение параметров существующего значения или раздела реестра. Это действие отличается от «Заменить» тем, что оно обновляет только параметры, определенные в элементе настройки. Все остальные параметры значения или раздела реестра остаются прежними. Если значение или раздел реестра не существует, то действие «Обновить» приведет к созданию нового значения или раздела.
  • «Улей» — улей (куст) для раздела реестра:
    • HKEY_CLASSES_ROOT — информация о зарегистрированных в Windows типах файлов (это псевдоним для HKEY_LOCAL_MACHINE\Software\Classes);
    • HKEY_CURRENT_USER — настройки пользователя, вошедшего в Windows (это псевдоним для HKEY_USERS\куст текущего пользователя). HKEY_USERS\.Default используется в том случае, когда HKEY_CURRENT_USER настроен в разделе конфигурации компьютера;
    • HKEY_LOCAL_MACHINE — настройки, относящиеся к компьютеру (параметр по умолчанию для политики компьютера). Эти параметры применяются ко всем пользователям компьютера;
    • HKEY_USERS — настройки для всех пользователей (параметр по умолчанию для политики пользователя). Эти параметры применяются к отдельным пользователям;
    • HKEY_CURRENT_CONFIG — сведения о настройках оборудования (это псевдоним для HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\Current).
  • «Путь к ключу» — путь к ключу. Не нужно указывать улей и вводить косую черту до или после пути. Это поле воспринимает переменные процесса настройки.
  • «Имя значения» — для настройки значения следует установить либо отметку в пункте «По умолчанию», чтобы принять значение раздела по умолчанию, либо ввести имя настраиваемого значения. Чтобы настроить только раздел, следует оставить это поле пустым. В этом поле можно указать переменные.
  • «Тип значения» — тип значения. Данный параметр доступен только при выбранном действии «Создать», «Заменить» или «Обновить» и введенном значении «Имя значения».
  • «Данные значения» — значения реестра. Чтобы настроить только раздел, следует оставить это поле пустым. В этом поле можно указать переменные. Данный параметр доступен только при выбранном действии «Создать», «Заменить» или «Обновить» и введенном значении «Имя значения».

GPUI. Диалоговое окно настройки предпочтения ­— вкладка «Общие»

Доступные опции на вкладке «Общие» («Common»):

  • «Остановить обработку элементов в этом расширении при возникновении ошибки» — при сбое элемента предпочтений обработка других элементов предпочтений в этом расширении останавливается;
  • «Выполнять в контексте безопасности текущего пользователя (опция пользовательских политик)»;
  • «Удалить элемент если больше не применим»;
  • «Описание».

На машине Windows

Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).

Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU, в который входят машины или учетные записи пользователей.

Шаг 3. В контекстном меню GPO, выбрать пункт «Редактировать». Откроется редактор GPO.

Шаг 4. Перейти в «Конфигурация компьютера»/«Конфигурация пользователя» -> «Настройка» -> «Конфигурация Windows» -> «Реестр». В контекстном меню свободной области (или в контекстном меню пункта «Реестр»), выбрать «Создать» -> «Элемент реестра»:

RSAT. Контекстное меню «Реестр»

Шаг 5. В диалоговом окне «Новые свойства реестра» задать настройки политики:

Диалоговое окно «Новые свойства реестра»

Доступные опции на вкладке «Общие» («General»):

Доступные опции на вкладке «Общие параметры» («Common»):

  • «Остановить обработку элементов в этом расширении при возникновении ошибки»;
  • «Выполнять в контексте безопасности вошедшего пользователя»;
  • «Удалить этот элемент, когда он более не применяется»;
  • «Применить один раз и не применять повторно»;
  • «Нацеливание на уровень элемента».

Внести изменения в реестр через Logon скрипт GPO

До Windows Server 2008 для изменения параметров реестра через GPO можно использовать только bat-файлов для Logon скриптов ( с командой reg add или reg import для импорта reg файла с настройками реестра.

Чтобы внести изменения в реестр через логон скрипт GPO, нудно создать текстовый файл myreg.bat со нужными командами. Например:

  • Эти две команды позволяют задать настройки прокси сервера в Windows (запускать через Startup скрипт в Computer Configuration)
    reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 1 /f
    reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d yourproxyadress:proxyport /f
  • Следующие две команды очищают историю RDP подключений клиента. В этом примере мы обращаемся к пользовательскому разделу реестра, поэтому скрипт нужно запускать через Logon скрипт в User Configuration:
    reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
    reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
  • Последняя команда позволяет импортировать в реестр сразу целый куст из REG файла. Для экспорта локальной ветки реестра в файл используется команда: reg export HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate c:\WindowsUpdateRegFile.reg

    reg import "%~dp0"WindowsUpdateRegFile.reg

    Параметр
    %~dp0
    означает, что нужно подставить в скрипт текущий путь к каталогу, в котором находится bat файл.

Скопируйте ваш bat файл (и reg файл, если нужно импортировать его) в каталог Netlogon на контроллере домена (
\\winitpro.ru\netlogon
).
команда reg add в логон скрипте GPO
Откройте вашу GPO и перейдите в раздел Computer Configuration -> Windows Settings -> Scripts -> Startup.
Нажмите Add и укажите UNC путь к вашему bat файлу в NETLOGON.
запуск bat скрипт через логон скрипт групповых политик
Ваш bat файл будет выполнен при загрузке Windows и внесет соответствующие изменения в реестр.

Задать разрешения на ветку реестра через групповые политики

Через групповые политики вы можете изменить права доступа (ACL) на определенные ветки реестра. Вы можете использовать эту возможность чтобы запретить доступ не-администратором к защищенным разделам реестра, или наоборот предоставить пользователям права на внесение изменение в системные разделы реестра.

  1. Параметр ACL реестра в GPO можно задать через раздел Computer Configuration -> Windows Settings -> Security Settings -> Registry
  2. Создайте новый параметр (Add key);
  3. Воспользуйтесь встроенным Registry Browser, чтобы найти нужный вам раздел реестра (или укажите путь вручную в формате
    MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching
    ); изменить права на ветку реестра через групповые политики
  4. В окне Database Security задайте настройки ACL для вашего раздела реестра, которые вы хотите применить. В этом примере я хочу разрешить пользователям вносить любые изменения в этот раздел реестра. Нужно выбрать группу Users и разрешить для нее Full control. Если нужно включить наследование разрешений на вложенные ветки, нажмите Advanced -> Enable inheritance; Настроить ACL права доступа на ветку реестра

    Вы можете добавить или удалить любые другие группы безопасности или пользователей с локального компьютера или AD.

  5. Сохраните изменения. Теперь после обнвления GPO, на клиентах будут применены новые разрешения на ветку реестра.
Оцените статью
Master Hi-technology
Добавить комментарий