— Меня на планету, где не знают, кто перед кем должен приседать — чушь!
© «Кин-дза-дза»
Продолжим тему нетрадиционного использования средств администрирования NT-систем;). На этот раз поговорим о такой концептуальной для домена Active Directory вещи, как групповая политика (Group policy). Не пугайтесь слова «домен» — о нем речь идти не будет, мы рассмотрим применение групповой политики только на локальной машине.
Сначала, как всегда, немного теории
Для эффективного управления пользователями и компьютерами еще в Windows NT 4.0 существовала системная политика, хранящая свои параметры в реестре (она по умолчанию поддерживается и более поздними версиями ОС). С помощью редактора системной политики (System Policy Editor) мы могли изменять заданные установки, тем самым конфигурируя рабочую среду пользователей. Однако данный механизм был весьма ограничен — подробности опустим. С появлением на рынке ОС Windows 2000 и службы каталогов Active Directory ситуация изменилась в лучшую сторону. Теперь мы имеем в своем распоряжении гибкое средство по определению параметров для пользователей и компьютеров — групповые правила (политику). Данный механизм разработан в первую очередь для применения в домене, где показывает всю свою мощь, однако наша статья рассчитана на домашнего пользователя, не обремененного обязанностью администрирования сети компьютеров, объединенных в домен, поэтому рассмотрим только применение групповой политики на одном локальном компьютере.
К слову, даже если у вас есть домашняя сеть, т.е. рабочая группа, а не домен, то с помощью групповых правил вы сможете управлять только своей машиной либо удаленной при соответствующих правах, но не в коем разе не всей сетью. Да зачем это нам нужно? Скажем так, у вас в ОС зарегистрировано несколько пользователей (для NT это закономерность) и вам, как местному администратору, хотелось бы немножко «подправить» настройки программ, в том числе и рабочего стола Windows (отключить всем, скажем, Панель управления от греха подальше), изменить параметры безопасности системы по умолчанию, причем так, чтобы обратно все смогли вернуть только вы. С помощью групповой политики все это делается в один присест. Так что приступим к изучению предмета.
Подробности
Как уже говорилось, групповые правила применяются для конфигурирования пользователей и компьютеров и никак иначе. К группам безопасности правила применять нельзя, однако тут возможно обратное действие — фильтрация правил для отдельных групп. Продолжать данную тему не будем — это удел администраторов домена.
Для пользователей можно конфигурировать следующие параметры:
- поведение ОС;
- параметры рабочего стола;
- параметры приложений;
- параметры безопасности;
- параметры назначенных и опубликованных приложений (только для домена);
- сценарии регистрации пользователя в системе и выхода из нее;
- параметры перенаправления папок (только для домена).
Данные правила применяются при входе пользователя в систему (при регистрации) и во время периодических циклов обновления (с контроллеров домена, в случае наличия самого домена).
Для каждого отдельного компьютера имеется набор следующих параметров:
- поведение ОС;
- параметры рабочего стола;
- параметры приложений;
- параметры безопасности;
- параметры приложений, назначенных для компьютера (только для домена);
- сценарии запуска и выключения компьютера.
Эти правила применяются при инициализации ОС, т.е. загрузке, и во время периодических циклов обновления.
Правила групповой политики хранятся в объектах групповой политики, а не в реестре, что было свойственно для системной политики NT 4.0. Объекты бывают двух типов: локальные и нелокальные. Первые хранятся на каждой клиентской машине, вторые — на контроллерах доменов и действуют на сайт, домен, подразделение. Нелокальные правила в случае конфликта перекрывают локальные, иначе просто добавляют свои параметры. Мы рассмотрим только локальный объект. Физически он хранится в папке %SystemRoot%\ system32\ GroupPolicy. Данная папка имеет следующую структуру (для XP):
- Adm — содержит административные шаблоны (.adm);
- Machine — данные, специфичные для компьютера;
- Scripts — сценарии для компьютера;
- Shutdown — сценарии выключения машины;
- Startup — сценарии запуска машины;
- Registry.pol — файл, содержащий изменения, которые будут внесены в ветку HKEY_LOCAL_MACHINE реестра;
- User — данные, специфичные для пользователя;
- Scripts — сценарии для пользователя;
- Logoff — сценарии выхода из системы;
- Logon — сценарии регистрации в системе;
- Registry.pol — файл, содержащий изменения, которые будут внесены в ветку HKEY_CURRENT_USER реестра;
- gpt.ini — некоторые настройки групповой политики и номер версии.
Учтите, что в зависимости от выбранных правил содержимое и структура локального объекта групповых правил может изменяться, хотя приведенная информация является основополагающей. Теперь рассмотрим процесс (упрощенный) применения правил групповой политики для компьютера, не входящего в домен.
- Запуск компьютера и сети. Запуск поддержки удаленного вызова процедур (RPC).
- Применение политики для компьютера, пользовательский интерфейс не отображается.
- Запускаются сценарии автозагрузки. Это происходит по умолчанию скрыто и синхронизировано; каждый сценарий должен быть завершен или прерван до запуска следующего. Таймаут по умолчанию 600 секунд.
- Для входа в систему пользователь нажал клавиши CTRL-ALT-DEL (по умолчанию для Windows 2000).
- После проверки пользователя (аутентификации) загружается профиль пользователя.
- Применяется пользовательская политика, пользовательский интерфейс не отображается.
- Запускаются сценарии входа. По умолчанию они работают скрытно и асинхронно, параллельно с запуском Проводника.
- Пользовательский интерфейс операционной системы назначается групповой политикой.
Применение
Для начала запустим оснастку групповой политики (как видите, большинство средств администрирования работает именно через MMC). Сделать это можно так: нажать Win+R и ввести gpedit.msc. При этом редактор запустится для правки локального объекта групповых правил данного компьютера, если же его запускать из консоли MMC путем добавления оснастки, то можно указать конкретный компьютер в сети. Ну, а теперь рассмотрим, что реально нам позволяют сделать групповые правила через данную оснастку. Политика делится на конфигурацию пользователя и компьютера, как и было ранее сказано (для сокращения объема статьи я буду приводить только русские названия элементов интерфейса; те, кто пользуется английским вариантом ОС, думаю, без труда их переведут на English). В свою очередь обе группы предоставляют нам следующие основные возможности (для домена их будет побольше):
- Сценарии — позволяют автоматизировать процесс включения/выключения компьютера, а также входа/выхода пользователя из системы. Их использование целесообразно для компьютера, входящего в состав домена.
- Параметры безопасности — определяют параметры безопасности локальной системы. Данная тема очень обширна, поэтому мы поговорим о ней всерьез в другой раз.
- Административные шаблоны — содержат параметры ОС и ее компонентов, хранимые в реестре.
Замечу, что воздействие групповой политики на компьютер реализуется с помощью вспомогательных компонентов, расширений на клиентской стороне, представляющих собой обычные DLL.
Наибольший интерес для нас представляют административные шаблоны. Итак, административные шаблоны — это файлы с расширением .adm, в которых в текстовом виде записаны параметры, модифицирующие реестр компьютера (ветку HKLM для параметров компьютера и HKCU — для пользователя). По умолчанию, к административным шаблонам относятся (перечислим только основные):
- Компоненты Windows — содержат сведения о системных приложениях Windows, таких как Internet Explorer, Microsoft Management Console etc.
- Система — позволяет изменять системные правила, например, параметры регистрации пользователя, групповой политики, защиты файлов
и т.д. - Сеть — как можно догадаться, содержит настройки сети.
- Принтеры — параметры подключенных к системе локальных и удаленных принтеров.
- Панель задач и меню Пуск — позволяет управлять свойствами и содержимым данных элементов интерфейса.
- Рабочий стол — управляет свойствами рабочего стола, а также параметрами Active Desktop.
- Панель управления — настраивает количество элементов в Панели управления и возможности по их управлению.
Довольно богатые возможности, не правда ли? Так давайте ими воспользуемся! Попробуем, например, отключить доступ к дискам из Проводника. Находим ветвь Конфигурация пользователя\ Административные шаблоны\ Компоненты Windows\ Проводник, а в ней — ключ Запретить доступ к дискам через «Мой компьютер», и «кликаем» на него 2 раза. Тут нужны пояснения. Окно изменения свойств имеет две закладки: Параметр и Объяснение.
В первой производится непосредственное редактирование свойства, а вторая служит справочной системой по данному параметру.
Параметр может быть включен, отключен и не задан. Когда он включен, соответствующее значение заносится в нужный ключ реестра; если он отключен, то в реестр заносится другое значение (либо ключ удаляется), а при не заданном параметре в реестре никаких изменений не происходит, при этом используется значение по умолчанию.
Ко всему прочему, свойство может иметь несколько дополнительных параметров, указанных ниже (у нас такой случай). В XP появилась строка «Поддерживается», указывающая на версию ОС, для которой доступно редактирование данной опции.
После повторного входа в систему (нужно, чтобы политика пришла в силу) мы обнаруживаем отсутствие доступа к указанным дискам из Проводника, что и требовалось доказать.
Замечание: групповая политика действует на всех пользователей, разграничить ее воздействие на отдельные группы можно, судя по всему, только при наличии домена.
Теперь поговорим о создании административных шаблонов. В комплекте с ОС идет ряд шаблонов, таких как System.adm, Inetres.adm и др., предназначенных для базового конфигурирования системы. Вполне возможно, что вам захочется дополнить возможности данных шаблонов способностью настраивать другие приложения (если, конечно, они хранят свои настройки в реестре). Редактировать уже имеющиеся шаблоны не рекомендуется, поэтому лучше создать новый шаблон, а потом добавить его к уже имеющимся. Это можно сделать, щелкнув правой кнопкой на ветке Административные шаблоны в оснастке Групповая политика и выбрав пункт Добавление и удаление шаблонов. После проверки синтаксиса новый шаблон будет загружен в систему.
Все шаблоны лежат в паке %SystemRoot%\ inf. Они представляют собой обыкновенные текстовые файлы в формате UNICODE (точнее, двухбайтовый UNICODE — UTF16), поэтому редактировать и создавать новые шаблоны можно в Блокноте. Описание формата шаблона можно найти в справочной системе Windows. Следует отметить, что все параметры групповой политики для приложений (если вы их разработчик) нужно хранить в следующих ветках реестра: [HKLM\ SOFTWARE\ Policies]; [HKCU\ Software\ Policies]; [(HKCU или HKLM)\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies], как делает система. Дело в том, что только для этих веток при отключении параметра он удаляется из реестра.
На этом стоит пока остановиться. Экспериментируйте, но только обдуманно и осторожно.
Все вопросы и пожелания шлите на мой адрес электронной почты.
До скорого!
Creator
<< Назад | < Оглавление > | Далее >>