Изменения, связанные с групповой политикой, в Windows Server 2008 — часть 2: консоль управления групповыми политиками, версия 2

Если вы хотите прочитать другие части этой серии статей, перейдите по ссылке:

• Изменения, связанные с групповой политикой, в Windows Server 2008. Часть 3. Введение в настройки групповой политики
• Изменения, связанные с групповой политикой в Windows Server 2008 — Часть 4. Настройки групповой политики (продолжение)

В первой части этой серии статей мы обсудили «начальные объекты групповой политики». Часть 2 посвящена консоли управления групповыми политиками (GPMC) версии 2 и ее новым параметрам поиска, фильтрации и комментирования.

В следующих статьях этой серии будут рассмотрены все новые возможности, доступные благодаря новым параметрам политики для Windows Server 2008, расширениям предпочтений групповой политики и многому другому…

Примечание:
Обратите внимание, что часть информации в этой серии статей основана на информации из бета-версий Windows Server 2008 (бета-версия 3, RC0 и RC1). Таким образом, некоторые функции и диалоговые окна могут незначительно измениться перед финальным релизом.

это мои комментарии

Вы, вероятно, знаете проблему — имя данного объекта групповой политики (GPO) на самом деле не говорит , что делает GPO, кто приказал ему делать то, что он делает, почему он должен делать то, что он делает, и тому подобное. Часть «что он делает» можно увидеть на вкладке «Настройки» в консоли управления групповыми политиками (GPMC), о которой вы можете спорить (здесь вы можете распечатать или сохранить подробный отчет), но другие вопросы все еще остаются без ответа.

В версии 2.0 GPMC вы получаете 2 разных типа комментариев. Эти комментарии могут быть использованы именно для тех ситуаций, которые я упомянул выше, и, конечно же, в зависимости от ваших потребностей.

Первый тип комментария, который мы рассмотрим, — это основной комментарий GPO. У вас может быть один из этих «общих» комментариев только для каждого GPO.

Существует только один официальный способ редактирования этого типа комментариев — щелкнуть правой кнопкой мыши объект политики в редакторе управления групповыми политиками (GPME) и выбрать «Свойства» (см. рис. 1).

Фигура 1:
Выбор свойств объекта групповой политики

В свойствах выбранного GPO вы увидите новую вкладку «Комментарий», см. рис. 2.

Рисунок 2: Новая вкладка «Комментарий» в объекте групповой политики

В текстовом поле вы можете ввести любой комментарий, который вы хотите. Вы можете создать синтаксис компании, который необходимо использовать, чтобы убедиться, что включена вся необходимая информация (например, «кто запросил этот объект групповой политики», «кто создал этот объект групповой политики», «контактная информация» и т. д.).

Комментарий объекта групповой политики можно просмотреть в консоли управления групповыми политиками на вкладке «Подробности» — вместе с информацией о GUID, данными создания, датой последнего изменения и т. д., которые были доступны с первой версии консоли управления групповыми политиками (см. рис. 3).

Рисунок 3:
Комментарий объекта групповой политики, отображаемый на вкладке "Сведения о консоли управления групповыми политиками"

Второй тип комментариев доступен для отдельных параметров групповой политики — не только для самого объекта групповой политики, но и для каждого параметра в нем! Это хорошая новость, однако плохая новость заключается в том, что это верно только для параметров политики административных шаблонов (как для пользователя, так и для конфигурации компьютера). На рис. 4 показан пример настройки безопасности/политики паролей — и, как вы, вероятно, видите, вкладки «Комментарии», к сожалению, нет.

Рис. 4. Вкладка «Без комментариев», все те же старые вкладки.

Вкладка «Комментарий» отображается в параметрах политики только в параметрах административного шаблона (см. рис. 5), оставляя многое вне поля зрения. Было бы очень приятно получить функцию комментариев и для других параметров политики, но я думаю, что должна быть веская причина, по которой они были опущены на данный момент.

Рис. 5. Наличие вкладки «Комментарий»

Как и в случае с комментарием к объекту групповой политики, комментарии к параметрам политики (например, на рис. 5) могут включать базовый синтаксис компании. В моем примере я включил ссылочный номер для внутренней системы запроса на изменение или поддержки, дату, когда этот параметр был установлен в первый раз, кто запросил изменение, кто санкционировал изменение и кто его реализовал. Я думаю, вы уловили суть, и, надеюсь, вы найдете эту функцию очень полезной.

Комментарии к параметрам политики также можно увидеть в отчете, который вы получаете в GPMC на вкладке «Настройки», для этой цели был добавлен новый столбец (как при печати, так и при сохранении отчета).

Для начала я заявил: «Есть только один официальный способ редактирования этого комментария» — тем самым я также говорю, что должен быть «недокументированный» способ сделать это — и он есть. В первой части этой серии статей я упомянул некоторые файлы, помещаемые в SYSVOL, когда комментировал Starter GPO. То же самое и с обычными объектами групповой политики, на этот раз вам просто нужно посмотреть ниже \domain.comSYSVOLdomain.comPolicies{GUID}, где GUID — уникальный идентификатор объекта групповой политики (см. рис. 3). Все дело в том, что эти файлы, конечно же, можно редактировать и/или создавать вручную, или с помощью скрипта, если вы того пожелаете.

Файлы, упомянутые в Таблице 1, являются причиной, по которой теперь возможно комментирование объекта групповой политики и отдельных параметров политики. Файлы отсутствуют, пока не будет сделан комментарий, см. таблицу для получения дополнительной информации.

Таблица 1: Файлы комментариев

На этом завершается часть комментариев об улучшениях, которые мы получим в Windows Server 2008 и GPMC версии 2.0. Далее мы рассмотрим некоторые интересные новости, связанные с функциональностью поиска групповой политики, или, если быть более точным, с фильтрацией.

Фильтрация для поиска

Если вы занимаетесь администрированием групповых политик в течение короткого периода времени, вы, вероятно, несколько раз спрашивали себя: «Почему я не могу найти определенные параметры политики?» или «Могут ли другие люди запомнить 2400 параметров политики?». Это просто одна из тех функций, которые «должны были быть там все время», без которых вы не можете жить, но до сих пор вам приходилось…

Поиск не называется «поиском» в GPME, он по-прежнему называется «фильтрацией», как и ограниченная функциональность, которая была у нас в предыдущих версиях, но теперь она намного более продвинута. Вы сможете увидеть это, как только выберете «Параметры фильтра» в меню «Вид» или как это сделано на рисунке 6.

Рисунок 6: Выбор параметров фильтра

Важный!
Как и в случае с комментариями, фильтрация доступна только в рамках административных шаблонов… Можно сказать, есть место для улучшений! Это означает, что вам нужно выбрать «Административные шаблоны» (ниже части «Конфигурация компьютера» или «Конфигурация пользователя» выбранной политики), чтобы появился выбор «Параметры фильтра».

Расширение функциональности поиска, чтобы включить возможность поиска в других частях объекта групповой политики, особенно в «Параметры безопасности», было бы очень приятно, будем надеяться, что это станет частью предстоящих задач группы групповой политики… Но пока вам придется живите с листом Excel «Справочник по параметрам групповой политики для Windows Vista» (см. раздел «Внешние ссылки») для поиска этих других параметров.

Диалоговое окно «Параметры фильтра», см. рис. 7, разделено на 3 части. Сверху у нас есть несколько раскрывающихся списков для выбора, затем у нас есть «Фильтры ключевых слов» и внизу «Фильтры требований».

Рисунок 7: Диалоговое окно «Параметры фильтра»

Начнем сверху — или с первого куска, который…

В первом раскрывающемся списке (см. рис. 8) можно выбрать отображение только управляемых политик (тех, которые не «татуируют» реестр) — это можно сделать, выбрав «Да». Вы также можете выбрать «Нет», что означает, что вы не хотите видеть какие-либо управляемые политики. Или вы можете выбрать «Любой», чтобы получить как управляемые, так и неуправляемые политики.

Рис. 8. Фильтр по «управляемому»

Во втором раскрывающемся списке (см. рис. 9) можно выбрать отображение только настроенных параметров политики (тех, которые заданы) — это можно сделать, выбрав «Да». При выборе «Нет» вы получаете только параметры политики, которые остаются нетронутыми, и, наконец, «Любой» оставляет вам как настроенные, так и ненастроенные параметры политики.

Рисунок 9: Фильтр по «Настроено»

В третьем раскрывающемся списке (см. рис. 10) можно выбрать отображение только параметров политики с комментариями (тех, которые имеют связанный комментарий) — это можно сделать, выбрав «Да». При выборе «Нет» вы получаете только параметры политики, которые не комментируются, и, наконец, «Любой» оставляет вам параметры политики как с комментариями, так и без комментариев.

Рисунок 10: Фильтр по «Комментарии»

Выбор, который вы делаете в 3 раскрывающихся списках, конечно, объединяется, чтобы сузить поиск.

Второй фрагмент предназначен для файлов ключевых слов, см. рис. 11 — это то, что вы могли бы назвать «Поиск», да!

Сначала нажмите «Включить фильтры ключевых слов», а затем введите несколько слов для поиска в поле поиска, например. «Подождите сети», как показано на рисунке 11. Затем выберите, в чем вы хотите искать, установив/сняв флажки под полем поиска. Вы можете искать совпадения в поле «Заголовок настройки политики», «Объяснить текст» или «Комментарий» (материал, который вы написали сами) — очень круто, я думаю!

Рисунок 11: Фильтры ключевых слов

В раскрывающемся списке справа на рисунке 11 есть 3 возможных параметра:

• «Все» — все слова, которые вы ввели в поле поиска, должны присутствовать в заголовке параметра политики, пояснительном тексте или комментарии — в зависимости от выбранных вами флажков (см. выше).
• «Любой» — если присутствует только одно из слов, это будет считаться хорошим совпадением.
• «Точный» — слова должны присутствовать в точном порядке, в котором вы их ввели, напр. «Ждать сеть» оставит вас без каких-либо попаданий, но «ожидание сети» должно дать вам «Всегда ждать сети при запуске компьютера и входе в систему» и другие политики с точными словами (в этом точном порядке) в них.

Последний блок предназначен для фильтров требований, см. рис. 12. Нажмите «Включить фильтры требований», чтобы установить эти фильтры. Некоторые параметры политики применяются только к платформе «Windows Vista», другие — только к «Windows Vista Service Pack 1» и т. д. — с помощью этих фильтров вы можете точно увидеть, что возможно, когда у вас есть данная операционная система/Internet Explorer/Media. Версия игрока и т.д.

Вы можете выбрать из двух критериев:

• — будут возвращены параметры политики, которые может обрабатывать любая из выбранных платформ (здесь не все платформы должны соответствовать).
• — будут возвращены параметры политики, которые могут обрабатывать все выбранные платформы — поэтому, если вы выберете «Microsoft Windows 2000» и «Windows Vista», должны быть возвращены только параметры политики, которые ОБЕ эти платформы соответствовать*.

Рисунок 12: Фильтры требований

Примечание:
Эта функция имеет некоторые известные ошибки в Windows Server 2008 RC0, которые исправлены в более поздних версиях БЕТА, поэтому не беспокойтесь, если она не работает в вашей тестовой лаборатории БЕТА.

Когда вы закончите настройку и настройку параметров фильтра, нажмите «ОК» и вуаля … Теперь вы видите то, что хотели (WYSIWYW, шучу). Щелкните новый и блестящий узел «Все настройки», показанный на рисунке 13.

Рисунок 13: Узел «Все настройки»

Узел «Все настройки» очень удобен — есть один для части конфигурации компьютера и один для части политики, посвященной конфигурации пользователя. Обратите внимание, что когда параметры фильтра включены, фильтрация выполняется как для компьютера, так и для конфигурации пользователя. Вы также можете просматривать иерархию контейнеров политик, как мы это делали раньше (см. рис. 14), но я думаю, что всем нам очень понравится узел «Все настройки». Обратите внимание, что значки изменились там, где фильтр вступает в силу.

Рис. 14. Просмотр устаревшего фильтра

Если вам нужно что-то изменить в политике, пока фильтр активен, скажем, вы настроили ранее не настроенный параметр политики, и вы думаете, что это может повлиять на то, что должен показывать фильтр, вам придется «обновить» представление. вручную, известный как «Повторно применить фильтр» (см. рис. 15). На самом деле это то же самое, что выключить фильтр, а затем снова включить.

Рисунок 15: Выбор повторного применения фильтра

Если вы больше не хотите использовать фильтр, вы можете выключить его, сняв галочку рядом с «Фильтр вкл.», см. рис. 16. Обратите внимание, что ваши параметры фильтра «запоминаются» GPME, поэтому следующий при загрузке GPME вы можете сразу включить последний использованный фильтр.

Рисунок 16: Включение/выключение фильтра

Последнее, что я хочу показать, — это узел «Все настройки» во всей его красе — даже без активированных фильтров это представление действительно приятно иметь. Это представление дает нам в алфавитном порядке все, что находится под разделом «Конфигурация компьютера» (см. рис. 17) или «Конфигурация пользователя» (см. рис. 18) политики.

Рисунок 17: Конфигурация компьютера: узел «Все настройки»

Щелкните столбец «Настройка», «Состояние», «Комментарий» или «Путь», чтобы упорядочить отображаемые параметры политики, если вы хотите что-то быстро найти, например. просмотреть все параметры политики, для которых определены комментарии, или все параметры, находящиеся в состоянии «Включено». Обратите внимание, что на данный момент (Windows Server 2008 RC0) у нас есть 1375 параметров конфигурации компьютера только ниже «Административных шаблонов» и 1307 для части «Конфигурация пользователя», см. рис. 18 — это нужно помнить!

Рисунок 18: Конфигурация пользователя: узел «Все настройки»

Функциональность поиска — или, я бы сказал, фильтрации — станет огромным преимуществом для всех нас. Мы не так уж далеки от выпуска консоли управления групповыми политиками версии 2.0 для Windows Vista — команда групповой политики однажды пообещала выпустить ее как отдельную загрузку, когда будет выпущен пакет обновления 1 для Windows Vista (потому что, как вы знаете, если вы прочитаете хотя бы первую часть, встроенная консоль управления групповыми политиками будет удалена во время установки пакета обновления 1). Так что держитесь там…

Вывод

В Windows Server 2008 и версии 2 консоли управления групповыми политиками реализовано несколько замечательных новых функций, связанных с групповой политикой. Некоторые из них являются крошечными улучшениями, другие — огромными улучшениями. Большая часть этого может быть очень полезна для администраторов в большинстве сред. Функциональность поиска просили уже много-много лет — и, наконец, она (частично) появилась. Спасибо, Майкрософт.

Обновлять

С момента публикации этой статьи корпорация Майкрософт выпустила необходимые клиентские расширения предпочтений групповой политики. Это ссылки:

• CSE GPP для Windows Vista (KB943729)
• GPP CSE для Windows Vista x64 Edition (KB943729)
• CSE GPP для Windows Server 2003 (KB943729)
• CSE GPP для Windows Server 2003 x64 Edition (KB943729)
• CSE GPP для Windows XP (KB943729)
• GPP CSE для Windows XP x64 Edition (KB943729)

• Изменения, связанные с групповой политикой в Windows Server 2008. Часть 1. Что такое начальные объекты групповой политики?
• Изменения, связанные с групповой политикой, в Windows Server 2008. Часть 3. Введение в настройки групповой политики
• Изменения, связанные с групповой политикой в Windows Server 2008 — Часть 4. Настройки групповой политики (продолжение)

внешние ссылки

Справочник по параметрам групповой политики Windows Vista