Изменения, связанные с групповой политикой в Windows Server 2008 — Часть 3. Введение в настройки групповой политики
Если вы хотите прочитать другие части этой серии статей, перейдите по ссылке:
- Изменения, связанные с групповой политикой в Windows Server 2008. Часть 1. Что такое начальные объекты групповой политики?
- Изменения, связанные с групповой политикой, в Windows Server 2008 — часть 2: консоль управления групповыми политиками, версия 2
- Изменения, связанные с групповой политикой в Windows Server 2008 — Часть 4. Настройки групповой политики (продолжение)
В части 1 этой серии статей обсуждались так называемые «Starter GPO». Во второй части мы рассмотрели консоль управления групповыми политиками (GPMC) версии 2 и ее новые параметры поиска, фильтрации и комментариев. Эта часть 3 будет посвящена новому ребенку в городе под названием «Настройки групповой политики».
В следующей статье этой серии мы более подробно рассмотрим предпочтения групповой политики, как они работают и как их использовать.
Примечание:
Часть информации в этой серии статей основана на информации из бета-версий Windows Server 2008 (бета-версия 3, RC0 и RC1). Таким образом, некоторые функции и диалоговые окна могут немного измениться перед финальным релизом. Предпочтения групповой политики являются частью бета-версии Release Candidate 1 (RC1) Windows Server 2008.
Настройки групповой политики
Еще в октябре 2006 года Microsoft приобрела компанию DesktopStandard. Один из их замечательных продуктов, PolicyMaker, теперь перешел в линейку продуктов Microsoft как часть Windows Server 2008, а фактически также и набора средств удаленного администрирования сервера (RSAT), к которому я вернусь позже в этой статье.
Программное обеспечение PolicyMaker включает в себя возможность контролировать и настраивать намного больше из центральной точки, чем это могут делать обычные групповые политики. Некоторые настройки предпочтений на самом деле пересекаются с «настоящими» настройками политики, но в этом случае у вас есть выбор между политикой и предпочтением. Итак, вы можете спросить: какая разница? Что ж, «политика» — это то, что вы применяете и что пользователь не может изменить. «Предпочтение» — это параметр, который вы бы предпочли, чтобы пользователь взял на себя, но пользователь все равно может его изменить.
Предпочтение можно настроить так, чтобы оно применялось только один раз, и с этого момента пользователь может делать все, что захочет, или применять его каждый раз при обновлении групповой политики (по умолчанию от 90 до 120 минут на клиентах). Я вернусь к плюсам и минусам такого поведения в следующей статье этой серии.
На рисунке 1 вы увидите новое представление инструмента «Редактор управления групповыми политиками». Обратите внимание, что моя политика под названием «Настройки GP» разделена на «Конфигурацию компьютера» и «Конфигурацию пользователя», как обычно, но каждый из этих узлов разделен на два дополнительных узла: « Политики» (красный цвет), который является старой доброй групповой политикой, которую мы все знаем, и «Предпочтения» (зеленый цвет), которые предназначены для настроек предпочтений групповой политики (Windows или панель управления).
Фигура 1: Политики против предпочтений
Причина, по которой предпочтения групповой политики работают и предлагают больше функциональных возможностей, чем существующие параметры групповой политики, заключается в небольшой части программного расширения клиента, Client Side Extension (CSE). Эта небольшая часть программного обеспечения должна присутствовать на управляемых клиентах для работы предпочтений групповой политики. Требуемый CSE является встроенной частью Windows Server 2008, но его необходимо загрузить и установить в Windows XP с пакетом обновления 2 (SP2), Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Vista (Windows 2000 и более ранние операционные системы Windows не поддерживаются). Пакет CSE будет доступен как для 32-битных, так и для 64-битных операционных систем.
Что мы можем с этим сделать?
Настройки групповой политики предлагают множество полезных возможностей для администраторов по всему миру. На самом деле многое из этого нам бы понравилось с самого начала дней Active Directory, но эй: лучше поздно, чем никогда, верно! Многие из возможностей, предлагаемых предпочтениями групповой политики, представляют собой настройки, которые люди создали более или менее сложными сценариями — или настраиваемые административные шаблоны (файлы ADM/ADMX/ADML) — для освоения, такие как сопоставление дисков и принтеров, задачи копирования файлов, ярлыки на рабочем столе, создание Источник данных ODBC и, возможно, самое главное: настраиваемые настройки реестра для приложений, не поддерживающих групповую политику! Но предпочтения групповой политики предлагают еще больше — следующие 4 таблицы дают «краткий обзор» того, что может предложить эта технология.
Таблица 1 дает представление о том, что предлагают предпочтения групповой политики в отношении параметров Windows на уровне конфигурации компьютера.
Таблица 1: Конфигурация компьютера — настройки Windows
Окружающая среда | Позволяет вам установить переменные среды для пользователя или системы. Вы можете создавать/заменять/обновлять или удалять переменные – даже важную переменную PATH. |
Файлы | Создание/замена/обновление или удаление файлов на клиентах. Определив исходный файл (файлы) и место назначения, вы получаете функциональность, подобную «копированию». Кроме того, вы можете установить атрибуты (только чтение, скрытый и архивный) для файлов. |
Папки | Позволяет создавать/заменять/обновлять или удалять папки на клиентах. При замене или удалении папок вы получаете больше возможностей, чтобы убедиться, что все происходит так, как вы хотите. Кроме того, вы можете установить атрибуты (только для чтения, скрытые и архивные) для папок. |
INI-файлы | Создайте/замените/обновите или удалите файлы INI. Вы можете указать имена разделов и свойств файла INI, а также значения свойств. |
Реестр | Это позволяет вам изменять параметры реестра на клиентах — вы выбираете элементы реестра, элементы коллекции и мастер реестра, который поможет вам в этом процессе. Мастер позволяет вам просматривать реестр на удаленных компьютерах, чтобы выбрать ключевой путь, который вы хотите создать/заменить/обновить или удалить. Вы можете выбрать один из следующих типов значений: REG_SZ, REG_DWORD, REG_BINARY, REG_MULTI_SZ и REG_EXPAND_SZ — огромное улучшение по сравнению с процессом создания пользовательских файлов ADM (который не поддерживал все типы значений реестра). |
Сетевые ресурсы | Позволяет создавать/заменять/обновлять или удалять общие ресурсы на клиентах. Вы выбираете имя общего ресурса, путь к папке, комментарий, ограничение пользователя и даже статус перечисления на основе доступа. Вы также можете обновить все обычные общие ресурсы, все скрытые неадминистративные общие ресурсы и все административные общие ресурсы с буквой диска. |
Ярлыки | Создание/замена/обновление или удаление ярлыков на клиентах. Вы определяете тип цели (объект файловой системы, URL-адрес или объект оболочки), местоположение, путь, аргументы, «Начать в», сочетания клавиш, значок и т. д. |
Таблица 2 дает представление о том, что предлагают предпочтения групповой политики в отношении настроек панели управления на уровне конфигурации компьютера.
Таблица 2: Конфигурация компьютера — настройки панели управления
Источники данных | Создание/замена/обновление или удаление пользовательских или системных источников данных. Выберите из доступных имен источников данных (DSN), выберите драйвер источника данных (например, Excel, Access, SQL Server), установите имя пользователя/пароль, атрибуты и т. д. Итак, это простой способ создать Open Database Connectivity (ODBC) на клиентах. |
Устройства | Управляйте устройствами на клиенте, включив или отключив использование данного класса устройств (GUID) или типа устройства (GUID). Это близко к той же функциональности, что и в Windows Vista. |
Опции папки | Определите типы файлов и связанные классы (например, текстовый документ, файл сценария VBScript, пакет установщика Windows и т. д.). Кроме того, вы можете настроить параметры класса, такие как значок, действия и многое другое. |
Локальные пользователи и группы | Управляйте локальными пользователями и группами, создавая/заменяя/обновляя или удаляя пользователей или группы. Вы можете изменять пароли, отключать локальных пользователей, контролировать членство в локальной группе, устанавливать параметры пароля, устанавливать дату истечения срока действия учетной записи, удалять всех членов группы (пользователей и/или групп), добавлять/удалять текущего пользователя в/из группы, переименовывать пользователи или группы и т. д. |
Параметры сети | Создание/замена/обновление или удаление подключения к виртуальной частной сети (VPN) или сети удаленного доступа (DUN) — как подключение «пользователь» или «все пользователи». Вы можете определить параметры набора номера, безопасность (шифрование/аутентификация и т. д.), параметры сети и т. д. |
Параметры питания | Настройте параметры питания и схемы для компьютеров с Windows XP. Параметры электропитания включают такие параметры, как: «Запрашивать пароль при выходе компьютера из режима ожидания», «Включить спящий режим» и настройки кнопки питания. Схемы питания могут быть созданы, заменены, обновлены или удалены. Таким образом, вы можете создать свою идеальную схему, развернуть ее на своих клиентах и сделать ее активной схемой питания. |
Принтеры | Создавайте/заменяйте/обновляйте или удаляйте локальные принтеры — даже принтеры TCP/IP. Вы определяете такие вещи, как имя, порт (LPT/COM/USB), IP-адрес, настройки порта (RAW/LPR/SNMP), путь к принтеру, местоположение, комментарий. |
Дела по расписанию | Создание/замена/обновление или удаление запланированных или немедленных задач. Для запланированных задач вы выбираете имя, файл (обычно сценарий или исполняемый файл) для запуска, любые аргументы, «Начать в», комментарии, свойства «Запуск от имени» (укажите домен/локальную учетную запись пользователя и пароль), должна ли задача быть включенным или нет, фактическое расписание (даже несколько расписаний) и некоторые более продвинутые настройки задач. Немедленная задача предлагает почти те же настройки, что и упомянутые выше, за исключением фактического расписания — немедленные задачи запускаются, как только они загружаются с политикой, и только после этого. |
Услуги | Установите свойства для служб, такие как параметр запуска (без изменений, автоматический, ручной или отключенный), выберите действие (без изменений, запуск/остановка/перезапуск службы), установите время ожидания в случае блокировки службы, установите свойства входа и восстановления и т. д.. |
Таблица 3 дает представление о том, что предлагают предпочтения групповой политики в отношении параметров Windows на уровне конфигурации пользователя.
Таблица 3: Конфигурация пользователя — настройки Windows
Приложения | Я вернусь к этой части настроек групповой политики в следующей статье… |
Карты диска | Создайте/замените/обновите или удалите подключенные сетевые диски (например, NET USE). Вы можете сопоставить конкретную букву диска или только следующую доступную букву диска. Доступна опция «Подключиться от имени» другого пользователя — просто укажите необходимые учетные данные (имя пользователя/пароль). Кроме того, вы можете скрыть подключенный диск или все диски. |
Окружающая среда | Позволяет вам установить переменные среды для пользователя или системы. Вы можете создавать/заменять/обновлять или удалять переменные – даже важную переменную PATH. |
Файлы | Создание/замена/обновление или удаление файлов на клиентах. Определив исходный файл (файлы) и место назначения, вы получаете функциональность, подобную «копированию». Кроме того, вы можете установить атрибуты (только для чтения, скрытые и архивные) для файлов. |
Папки | Позволяет создавать/заменять/обновлять или удалять папки на клиентах. При замене или удалении папок вы получаете больше возможностей, чтобы убедиться, что все происходит так, как вы хотите. Кроме того, вы можете установить атрибуты (только для чтения, скрытые и архивные) для папок. |
INI-файлы | Создайте/замените/обновите или удалите файлы INI. Вы можете указать имена разделов и свойств файла INI, а также значения свойств. |
Реестр | Это позволяет вам изменять параметры реестра на клиентах — вы выбираете элементы реестра, элементы коллекции и мастер реестра, который поможет вам в этом процессе. Мастер позволяет вам просматривать реестр на удаленных компьютерах, чтобы выбрать ключевой путь, который вы хотите создать/заменить/обновить или удалить. Вы можете выбрать один из следующих типов значений: REG_SZ, REG_DWORD, REG_BINARY, REG_MULTI_SZ и REG_EXPAND_SZ — огромное улучшение по сравнению с процессом создания пользовательских файлов ADM (который не поддерживал все типы значений реестра). |
Ярлыки | Создание/замена/обновление или удаление ярлыков на клиентах. Вы определяете тип цели (объект файловой системы, URL-адрес или объект оболочки), местоположение, путь, аргументы, «Начать в», сочетания клавиш, значок и т. д. |
Таблица 4 дает представление о том, что предлагают предпочтения групповой политики в отношении настроек панели управления на уровне конфигурации пользователя.
Таблица 4: Конфигурация пользователя — настройки панели управления
Источники данных | Создание/замена/обновление или удаление пользовательских или системных источников данных. Выберите из доступных имен источников данных (DSN), выберите драйвер источника данных (например, Excel, Access, SQL Server), установите имя пользователя/пароль, атрибуты и т. д. Итак, это простой способ создать Open Database Connectivity (ODBC) на клиентах. |
Устройства | Управляйте устройствами на клиенте, включив или отключив использование данного класса устройств (GUID) или типа устройства (GUID). Это близко к той же функциональности, что и в Windows Vista. |
Опции папки | Позволяет вам установить параметры папки для Windows XP или Windows Vista — или установить ассоциации «Открыть с помощью» для заданных расширений файлов (например, «Блокнот» для файлов.TXT и т. д.). Настройка параметров папки для Windows XP/Vista включает возможность включать или отключать такие параметры, как: «Показать скрытые файлы и папки», «Скрыть расширения для известных типов файлов», «Скрыть защищенные файлы операционной системы», «Показать зашифрованные или сжатые файлы NTFS». в цвете», «Используйте простой общий доступ к файлам» и многое другое в той же категории. |
Настройки Интернета | Позволяет установить параметры Интернета для Internet Explorer 5 и 6 и/или Internet Explorer 7. Некоторые из них пересекаются с обычными параметрами групповой политики, и вам решать, что использовать. Настройки Интернета включают в себя такие вещи, как домашняя страница (страницы), история просмотров, просмотр с вкладками, доступность, уровни безопасности для определенных зон, блокировщик всплывающих окон, программы, настройки удаленного доступа / локальной сети и т. д. |
Локальные пользователи и группы | Управляйте локальными пользователями и группами, создавая/заменяя/обновляя или удаляя пользователей или группы. Вы можете изменять пароли, отключать локальных пользователей, контролировать членство в локальной группе, устанавливать параметры пароля, устанавливать дату истечения срока действия учетной записи, удалять всех членов группы (пользователей и/или групп), добавлять/удалять текущего пользователя в/из группы, переименовывать пользователи или группы и т. д. |
Параметры сети | Создание/замена/обновление или удаление подключения к виртуальной частной сети (VPN) или сети удаленного доступа (DUN) — как подключение «пользователь» или «все пользователи». Вы можете определить параметры набора номера, безопасность (шифрование/аутентификация и т. д.), параметры сети и т. д. |
Параметры питания | Настройте параметры питания и схемы для компьютеров с Windows XP. Параметры электропитания включают такие параметры, как: «Запрашивать пароль при выходе компьютера из режима ожидания», «Включить спящий режим» и настройки кнопки питания. Схемы питания могут быть созданы, заменены, обновлены или удалены. Таким образом, вы можете создать свою идеальную схему, развернуть ее на своих клиентах и сделать ее активной схемой питания. |
Принтеры | Создавайте/заменяйте/обновляйте или удаляйте локальные принтеры — даже принтеры TCP/IP. Вы определяете такие вещи, как имя, порт (LPT/COM/USB), IP-адрес, настройки порта (RAW/LPR/SNMP), путь к принтеру, местоположение, комментарий. Для пользователей вы даже можете выбрать, что должно быть принтером по умолчанию. |
Региональные параметры | Позволяет установить региональные параметры, такие как язык пользователя, числа, валюта, формат времени и формат даты. |
Дела по расписанию | Создание/замена/обновление или удаление запланированных или немедленных задач. Для запланированных задач вы выбираете имя, файл (обычно сценарий или исполняемый файл) для запуска, любые аргументы, «Начать в», комментарии, свойства «Запуск от имени» (укажите домен/локальную учетную запись пользователя и пароль), должна ли задача быть включенным или нет, фактическое расписание (даже несколько расписаний) и некоторые более продвинутые настройки задач. Немедленная задача предлагает почти те же настройки, что и упомянутые выше, за исключением фактического расписания — немедленные задачи запускаются, как только они загружаются с политикой, и только после этого. |
Стартовое меню | Настройте меню «Пуск» Windows XP или Windows Vista. Это включает в себя все хорошо известные настройки, такие как большие / маленькие значки, количество программ в меню «Пуск», «Отображение запуска», «Отображение выхода из системы» и т. Д. |
Как вы можете видеть в приведенных выше 4 таблицах, мы получаем много возможностей с настройками групповой политики — настройками, которые большинству из нас не хватало в течение долгого времени… Представьте, если бы мы могли получить все это бесплатно — ну, вы не надо больше представлять.
Кто может получить этот материал?
Эта часть самая лучшая — поэтому, пожалуйста, слушайте внимательно… Вы ожидаете, что такие классные вещи, как StarterGPO, комментарии, поиск/расширенная фильтрация и настройки групповой политики, должны вам чего-то стоить, верно? Что ж, на самом деле это не обязательно должно быть дорого, вам не нужно будет устанавливать Windows Server 2008 на все ваши контроллеры домена или что-то в этом роде — все, что вам нужно сделать, это иметь один Windows Vista SP1 с предстоящим выпуском и бесплатно загружаемый набор инструментов «Remote Server Administration Tools» (RSAT) установлен, и у вас есть все это почти даром! RSAT будет включать GPMC версии 2 и обновленные версии инструментов администрирования, которые были в «Пакете инструментов администрирования» для более ранних систем Windows Server.
Пакеты CSE можно бесплатно загрузить с веб-сайта Microsoft. Просто разверните программный клиент на своих компьютерах с Windows XP SP2, Windows 2003 SP1 и/или Windows Vista (например, с помощью установки программного обеспечения групповой политики) — и все готово… Вы почти не могу перестать кричать «Ура-ки-яй», верно?
На самом деле, я сначала не понял — зачем Microsoft раздавать такие классные штуки, DesktopStandard не был бесплатным, могу вам сказать. Лучший ответ, который у меня есть для вас, это мой хороший друг Джереми Московиц: «Люди». Microsoft не просто купила технологию, они хотели, чтобы Человеческие Существа стояли за крутым программным обеспечением — эти умные люди будут следующими в очереди, чтобы сделать Microsoft Group Policy еще лучше, чем сейчас!
Примечание:
Окончательные версии RSAT и Windows Server 2008 будут доступны в первом квартале 2008 года.
Вывод
В Windows Server 2008 и версии 2 консоли управления групповыми политиками реализовано несколько замечательных новых функций, связанных с групповой политикой. Некоторые из них являются крошечными улучшениями, другие — огромными улучшениями. Большая часть этого определенно может быть очень полезна для администраторов в большинстве сред... Настройки групповой политики приносят нам новые и очень полезные функции, которых у нас раньше не было, и вам даже не нужно тратить много денег, чтобы получить их!
внешние ссылки
- Предпочтения групповой политики объявлены на IT Forum
- Обзор предпочтений групповой политики
Обновлять
С момента публикации этой статьи корпорация Майкрософт выпустила необходимые клиентские расширения предпочтений групповой политики. Это ссылки:
- CSE GPP для Windows Vista (KB943729)
- GPP CSE для Windows Vista x64 Edition (KB943729)
- CSE GPP для Windows Server 2003 (KB943729)
- CSE GPP для Windows Server 2003 x64 Edition (KB943729)
- CSE GPP для Windows XP (KB943729)
- GPP CSE для Windows XP x64 Edition (KB943729)
- Изменения, связанные с групповой политикой в Windows Server 2008. Часть 1. Что такое начальные объекты групповой политики?
- Изменения, связанные с групповой политикой, в Windows Server 2008 — часть 2: консоль управления групповыми политиками, версия 2
- Изменения, связанные с групповой политикой в Windows Server 2008 — Часть 4. Настройки групповой политики (продолжение)