Изменения, связанные с групповой политикой, в Windows Server 2008. Часть 4. Настройки групповой политики (продолжение)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылке:

• Изменения, связанные с групповой политикой в Windows Server 2008. Часть 1. Что такое начальные объекты групповой политики?
• Изменения, связанные с групповой политикой, в Windows Server 2008 — часть 2: консоль управления групповыми политиками, версия 2

В части 1 этой серии статей обсуждались «Starter GPO». Во второй части мы рассмотрели консоль управления групповыми политиками (GPMC) версии 2 и ее новые параметры поиска, фильтрации и комментариев. В части 3 вы познакомились с настройками групповой политики, а в части 4 более подробно рассматриваются настройки групповой политики, включая действия, таргетинг на уровне элементов, экспорт/импорт, общие параметры, ярлыки и многое другое.

Обратите внимание, что часть информации в этой серии статей основана на информации из бета-версий Windows Server 2008 (бета-версия 3, RC0 и RC1). Таким образом, некоторые функции и диалоговые окна могут немного измениться перед финальным релизом. Предпочтения групповой политики являются частью бета-версии Release Candidate 1 (RC1) Windows Server 2008.

Действия

Для каждого параметра предпочтения групповой политики ( GPP ) обычно можно выбрать одно из 4 различных действий (см. рис. 1). Эти действия определяют, как клиентское расширение ( CSE ) будет обрабатывать элемент предпочтений.

фигура 1
: вкладка «Общие» свойств среды

Это краткое введение в доступные действия:

1. Создать = создать новый параметр, если он не существует на целевой машине.
2. Заменить = удалить настройку, если она существует, а затем установить с новыми настройками («воссоздать»).
3. Обновление (по умолчанию) = действие по умолчанию, которое изменяет существующие настройки. Если настройки не существуют, они будут установлены.
4. Удалить = удалить настройку предпочтения на целевой машине.

Примечание:
Скорее всего, мы увидим действие Migrate, когда Microsoft выпустит некоторые дополнения к узлу Applications (подробнее об этом далее в этой статье).

Выбор правильного действия имеет решающее значение, но в большинстве случаев вариант по умолчанию (Обновить) будет идеальным.

Вкладка Общие и порядок обработки

Давайте взглянем на вкладку Common в настройках GPP. Здесь мы можем указать, как СПП будет обрабатывать конкретный параметр предпочтения (или «элемент»).

Фигура 2:
вкладка «Общие» свойств среды

Если щелкнуть любую вкладку GPP Common, все они будут иметь абсолютно одинаковые параметры, и они будут следующими (хотя нерелевантные параметры могут быть выделены серым цветом, как показано на рис. 2):

«Прекратить обработку элементов в этом расширении, если возникает ошибка» изменяет обработку ошибок по умолчанию. Если во время обработки GPP возникает какая-либо ошибка, действие по умолчанию — продолжить со следующими настройками в очереди. Чтобы изменить это поведение, можно выбрать этот параметр — это остановит обработку оставшихся элементов предпочтений в том же расширении/категории внутри текущего объекта групповой политики.

«Выполнять в контексте безопасности вошедшего в систему пользователя (параметр пользовательской политики)» изменяет контекст пользователя по умолчанию. Обычно настройки обрабатываются с использованием учетной записи локальной системы (SYSTEM), при выборе этого параметра вместо этого будет использоваться контекст пользователя. Сопоставления сетевых дисков и принтеров игнорируют этот параметр, поскольку они все равно всегда используют контекст пользователя.

«Удалить этот элемент, когда он больше не применяется» может удалить настройки предпочтений, когда пользователь или компьютер выходят за рамки управления. Но вы должны быть предельно осторожны с этой опцией, так как в зависимости от того, какие действия вы предпримете, она может полностью удалить параметр (например, значение реестра), а не просто красиво заменить его исходным значением, как вы могли бы подумать. При выборе этой опции действие «Обновить» будет принудительно включено.

Пример (небольшое предупреждение)
Допустим, у вас есть приложение, которое жестко закодировано для просмотра следующей части реестра, чтобы определить конкретный параметр пользователя во время запуска (например, для получения выбранной пользователем визуальной темы):
Текущий пользователь > Программное обеспечение > Windowsecurity.com > MyTheme = «По умолчанию»

Затем администратор решает предоставить всем пользователям определенную визуальную тему в приложении, создавая параметр реестра, который присваивает ключу «MyTheme» значение «DeepPurple». Он/она также выбирает параметр «Удалить этот элемент, когда он больше не применяется» для настройки реестра. Все работает нормально в течение пары месяцев, а затем решено, что объект групповой политики должен быть отключен — намерение состоит в том, чтобы вернуть исходное значение. Но что произойдет, так это то, что значение строки реестра «MyTheme» будет полностью удалено — в худшем случае приложение останется в сломанном состоянии. Поэтому рекомендуется тщательно протестировать поведение этой опции, прежде чем использовать ее в производственной среде. Итак, берегитесь!

«Применить один раз и не применять повторно» изменяет поведение по умолчанию, которое обычно заключается в обработке настройки предпочтения при каждом фоновом обновлении. Однако следует сказать, что некоторые настройки по умолчанию обрабатываются только во время входа в систему (например, сетевой диск и сопоставление принтеров). При использовании этого параметра CSE применяет конкретный элемент предпочтения один раз и никогда больше. С этого момента пользователь может делать все, что захочет, с настройкой предпочтения «Конфигурация пользователя» — или, если это предпочтение конфигурации компьютера, компьютер больше никогда не будет обрабатывать этот параметр предпочтения.

«Нацеливание на уровне элемента» похоже на фильтры WMI, но только для выбранного параметра предпочтения, а не всего объекта групповой политики (как с фильтрами WMI) или других предпочтений в этом отношении. Более подробная информация о ILT приведена далее в этой статье.

Порядок обработки и параметры меню
Порядок обработки элементов предпочтений может быть определен вручную администратором — или вы можете использовать порядок по умолчанию, который обычно подходит.

Зеленые стрелки вверх и вниз (см. рис. 3) позволяют вручную определить порядок обработки предпочтений в определенной категории.

Рисунок 3:
Порядок обработки и опции меню (для категории «Локальные пользователи и группы»)

Это краткое введение в опции меню, показанные на рис. 3:

Значок «вопросительный знак» предлагает помощь для открытой категории предпочтений. Файл справки на самом деле довольно хорош и охватывает наиболее распространенные ситуации.

Значок «Документы» предлагает способ отображения XML-данных для выбранных элементов.

Красный значок «Стоп» предлагает возможность отключить текущий выбранный элемент предпочтений. Это означает, что СПП вообще не будет обрабатывать элемент. Значок меняется на зеленый «знак Стоп», когда элемент предпочтения отключен. Щелчок по зеленому значку снова активирует настройку.

SYSVOL

Вам может быть интересно, как на самом деле работают GPP, и вы, возможно, уже догадались об этом. Настройки работают примерно так же, как и обычная технология групповой политики: CSE берет то, что ему нужно, из SYSVOL и обязательно применяет параметры к клиенту (в большинстве случаев в контексте учетной записи SYSTEM).

Рисунок 4:
Различные категории предпочтений групповой политики

На самом деле GPP — это «просто» папки и файлы — да, как вы уже догадались: файлы в формате XML — добавлены в SYSVOL. Папка «Preferences» создается либо под папкой «User» (для настроек «Конфигурация пользователя»), либо под папкой «Machine» (для настроек «Конфигурация компьютера») в объекте групповой политики в SYSVOL. И для каждой категории предпочтений (см. рис. 4) создается папка под папкой «Предпочтения» (см. рис. 5).

Рисунок 5:
Папка создается для каждой включенной категории предпочтений групповой политики.

Под папкой каждой категории вы найдете XML-файл для каждой имеющейся у вас настройки предпочтений, содержащий соответствующие параметры конфигурации и т. д. — просто и очень эффективно!

Ориентация на уровень предмета

Таргетинг на уровне элементов (ILT) — это дополнительный «фильтр» к тем, которые у вас есть в самом объекте групповой политики (фильтры WMI и группы безопасности), который применяется только к конкретному элементу предпочтений GP в объекте групповой политики, а не ко всему объекту групповой политики, как при существующей фильтрации. опции. Так, например, если вы создаете объект групповой политики, в котором есть элемент GPP, создающий общий ресурс на клиенте, вы можете установить своего рода фильтр только для этого конкретного элемента, чтобы убедиться, что вы попадаете только на те компьютеры/пользователи, которые применяются к настройкам ILT. ) вы определили. В рамках одного объекта групповой политики у вас может быть несколько элементов предпочтений, каждый со своими собственными параметрами таргетинга.

С ILT вы можете использовать логические функции, такие как И/Или и Есть/Не Есть. Вы можете создавать коллекции логических функций, чтобы сделать их очень гибкими и чрезвычайно удобными для пользователя. ILT немного быстрее, чем фильтры WMI, поскольку они используют встроенные API операционной системы вместо WMI.

Это полный список условий, которые вы можете использовать в «фильтрах» ILT:
Наличие батареи, имя компьютера, скорость процессора, совпадение даты, удаленное подключение, место на диске, домен
Переменная среды, соответствие файлов, диапазон IP-адресов, язык, запрос LDAP, диапазон MAC-адресов, запрос MSI, операционная система, организационная единица, присутствие PCMCIA, портативный компьютер, режим обработки, ОЗУ, совпадение реестра, группа безопасности, сайт, сеанс терминала, Временной диапазон, пользователь и/или пользовательский запрос WMI. Впечатляет, правда?

Кроме того, вы можете добавлять как метки, так и комментарии к коллекциям или элементам ILT для лучшего обзора — таргетинг может стать довольно сложным в больших средах.

На рис. 6 показан «Targeting Editor» с двумя коллекциями, каждая коллекция с несколькими булевыми элементами ILT (или «запросами») — одна из коллекций должна быть истинной, чтобы конкретный параметр предпочтения применялся к пользователю или объекту-компьютеру.

Рисунок 6:
Редактор таргетинга

ILT дает нам полный контроль над тем, кто получает какой элемент предпочтений.

Экспорт и импорт настроек групповой политики

Ваши GPP можно очень легко экспортировать в XML. Просто щелкните правой кнопкой мыши параметр, выберите «Копировать», а затем «Вставить» на рабочий стол или в другую папку — и XML-документ будет создан. Этот документ включает в себя все, что вам нужно для импорта GPP в другой GPO (или среду, если уж на то пошло). Чтобы импортировать XML-документ, все, что вам нужно сделать, это скопировать и вставить информацию о документе в область предпочтений в редакторе управления групповыми политиками. Даже Drag & Drop работает для импорта и экспорта — это слишком просто.

Кончик:
Если вы откроете XML-документ (используя Блокнот, XML-блокнот, Internet Explorer или что-то еще), вы быстро сможете определить настройки предпочтений, включая конфигурацию ILT. Если хотите, просто скопируйте раздел ITL в другие политики, где вам нужен точно такой же «фильтр» — на самом деле с ним очень просто работать. Этот совет может быть полезен, если у вас есть определенный «фильтр» ILT, который должен применяться к множеству различных элементов предпочтений.

Ярлыки, цвета и переменные

Некоторые «скрытые» (может быть, слишком скрытые?) параметры доступны в разных местах графического интерфейса GPP. Возможно, вам интересно, что обозначают зеленые линии (см. рис. 7 ниже) или кружки (см. рис. 8 ниже).

Рисунок 7:
Параметры папки Свойства и цветные линии

Зеленая линия под настройкой, например. «Скрыть расширения для известных типов файлов» в показанной выше настройке «Параметры папки» означает, что она должна быть обработана CSE. Пунктирная красная линия означает, что параметр не будет обрабатываться CSE, независимо от настроенного значения. Ниже свойств Internet Explorer вы найдете такое же использование цветов, но на этот раз это не линии, а круги — значение цветов точно такое же.

Рисунок 8:
Свойства Internet Explorer и цветные круги

Вот краткое введение в некоторые сочетания клавиш, которые упрощают настройку того, должен ли элемент предпочтения (или все элементы) обрабатываться СПП:

F5: Определить все настройки в этом диалоговом окне — включить обработку всех настроек в диалоговом окне. Очень полезно, если вы отключили какие-то настройки, а потом хотите «сбросить» форму.

F6: определить текущую выбранную настройку — включить обработку одной настройки в диалоговых окнах. Полезно, если вы отключили один параметр с помощью F7 и хотите снова включить этот элемент.

F7: Не определять текущую выбранную настройку — отключает обработку одной настройки в диалоговом окне. Полезно, если вы хотите «обойти» один параметр от обновления или изменения на клиенте.

F8: Не задавать никаких настроек в этом диалоговом окне — отключает обработку всех настроек в диалоговом окне. Полезно, если вы хотите, чтобы все настройки на одной вкладке не устанавливались на клиенте.

переменная с
Во многих случаях очень полезно иметь возможность использовать переменные для установки разных/индивидуальных значений для каждого пользователя/компьютера и т. д. При нажатии кнопки F3 открывается список доступных общих переменных (см. рис. 9). Опция «Разрешить переменную» обычно должна быть отмечена, так как это будет переводить переменную, когда предпочтение обрабатывается на стороне клиента, или же оно будет просто представлять имя переменной, например. «%AppDataDir%», который редко вам понадобится.

Рисунок 9:
Диалог выбора с общими переменными (клавиша F3)

Дополнительные возможности

К сожалению, я не могу охватить в этих статьях всю технологию GPP, но позвольте мне кратко упомянуть некоторые дополнительные возможности:

Регистрация и отслеживание
Можно настроить подробное ведение журнала поведения CSE — каждая категория предпочтений имеет свои собственные параметры ведения журнала (например, «Обработка политики источников данных», «Обработка политики среды», «Обработка политики реестра» и т. д.). Можно применить групповую политику (или взлом реестра), чтобы различные CSE записывали в журнал то, что происходит за кулисами. Иногда устранение неполадок внутри файлов журналов — единственный путь к успеху, но по умолчанию ведение журналов не включено. Ниже вы найдете параметры политики ведения журнала и отслеживания:
Конфигурация компьютера | Политика | Административные шаблоны | Система | групповая политика | Регистрация и отслеживание

События
Журнал приложений Windows также включает информацию о событиях для каждой категории GPP. Каждая категория имеет собственный источник событий, что упрощает фильтрацию журнала событий.

Настройки и отчеты о результатах
Были предприняты большие усилия, чтобы позволить администраторам создавать отчеты о настройках в консоли управления групповыми политиками, как в групповых политиках «старого стиля». Это делает задачи документирования очень простыми и предлагает отличный обзор того, что делает каждая политика.

То же самое касается отчетов о результатах групповой политики — они будут включать настройки, однако конфигурации таргетинга на уровне элементов не рассчитываются (вероятно, потому, что они используют локальные API вместо WMI).


Приложения
На данный момент нет официального заявления Microsoft о предпочтениях приложений, которые мы также имели с DesktopStandard PolicyMaker (см. рис. 10). Контент для настройки приложения, который по умолчанию пуст, скорее всего, когда-нибудь в будущем будет доступен для отдельной загрузки.

Рисунок 10:
Настройки приложения с PolicyMaker

Шифрование
Если вы беспокоитесь о том, как хранятся пароли для учетных записей пользователей, учетных записей служб, учетных записей входа в систему по расписанию и т. д. (зная, что для настроек используются простые XML-файлы), я могу сказать вам, что они зашифрованы. Я не знаю (пока) используемый алгоритм, но могу сказать вам, что «пароль» переводится как «wWHIrHyXsbFpBhpQ/fMKbwEEg3Ko0Es+RskCj/W6F8I», а «Пароль» переводится как «VPe/o9YRyz2cksnYRbNeQmFQgz60no44B/3YywYtmYU» — кто бы мог подумать, что ?

Я постараюсь получить подробную информацию и опубликовать ее позже — пока все, что я могу сказать, это то, что это хороший признак того, что небольшое изменение в текстовой строке (строчная «p» заменена на прописную «P») дает огромное изменение в строке шифрования.

Политика и предпочтения пересекаются
Как вы, возможно, заметили, у нас есть некоторые совпадения между обычными политиками и предпочтениями. Например, существуют перекрытия для настроек Internet Explorer, развертывания принтера, параметров питания, безопасности файлов, ограничений устройств и настроек службы — но не паникуйте! Воспринимайте это как новые возможности, а не проблемы — настройка вашей среды именно так, как вы этого хотите, станет еще более гибкой, если эти технологии будут работать одновременно.

Как мне получить этот материал?

Самая невероятная вещь, когда дело доходит до настроек групповой политики, — это, пожалуй, тот факт, что она предоставляется вам почти БЕСПЛАТНО от Microsoft.

Все, что вам нужно, — это доменная среда Windows Server 2003 или 2008, одна операционная система Windows Vista с пакетом обновлений 1 и загруженным набором средств удаленного администрирования сервера (RSAT). Затем вы можете использовать компьютер с Vista SP1 для редактирования объектов групповой политики и включения параметров по вашему выбору. Разумеется, Windows Server 2008 также можно использовать в качестве станции управления групповыми политиками.

Чтобы настройки работали на корпоративных компьютерах, на них должен быть установлен клиент CSE. Такой клиент будет доступен для загрузки для Windows XP и более поздних версий (CSE встроен в Windows Server 2008). Клиент CSE (небольшой файл MSI) можно установить с помощью установки программного обеспечения групповой политики (GPSI). Windows 2000 не поддерживает использование Microsoft GPP. Также обратите внимание, что настройки недоступны в локальных политиках.

Вывод

В Windows Server 2008 и версии 2 консоли управления групповыми политиками реализовано несколько замечательных новых функций, связанных с групповой политикой. Некоторые из них являются крошечными улучшениями, другие — огромными улучшениями. Большая часть этого определенно может быть очень полезной для администраторов в большинстве сред.

Предпочтения групповой политики должны предоставить нам более простую настройку с помощью общих пользовательских интерфейсов, уменьшить потребность в создании и поддержке сложных сценариев конфигурации, гибкость (администратор может первоначально настроить элемент предпочтения, но позволить конечному пользователю изменить настройки позже), вам потребуется меньше образы и, конечно же, дополнительные параметры настройки и безопасности (упомянутые в части 3 этой серии статей) — и нам даже не нужно тратить много денег, чтобы получить их!

внешние ссылки

• Настройки групповой политики Часто задаваемые вопросы
• Групповая политика

Обновлять

С момента публикации этой статьи корпорация Майкрософт выпустила необходимые клиентские расширения предпочтений групповой политики. Это ссылки:

• CSE GPP для Windows Vista (KB943729)
• GPP CSE для Windows Vista x64 Edition (KB943729)
• CSE GPP для Windows Server 2003 (KB943729)
• CSE GPP для Windows Server 2003 x64 Edition (KB943729)
• CSE GPP для Windows XP (KB943729)
• GPP CSE для Windows XP x64 Edition (KB943729)

• Изменения, связанные с групповой политикой в Windows Server 2008. Часть 1. Что такое начальные объекты групповой политики?
• Изменения, связанные с групповой политикой, в Windows Server 2008 — часть 2: консоль управления групповыми политиками, версия 2