Предпочтения групповой политики: запустите их уже сегодня!

Введение

Я всегда говорю, что Microsoft делает что-то классное, а что-то не очень. Windows Me… не очень. Настройки групповой политики… УДИВИТЕЛЬНО! Если вы не слышали о предпочтениях групповой политики, вы, вероятно, не обращали особого внимания на то, что происходит, но вы еще не опоздали! Предпочтения групповой политики — это параметры групповой политики, но с новыми параметрами и функциями. Они включают в себя более 3000 настроек и могут управлять областями операционной системы, которые никто никогда не считал возможным. Преимущества на этом не заканчиваются. Предпочтения групповой политики можно установить для компьютеров с Windows XP SP2 и Windows Server 2003 SP1, а также для Windows Vista и Windows Server 2008. Я уверен, что большинство из вас используют по крайней мере одну из этих операционных систем для большей части вашей сети, так что не ждите… реализуйте их сегодня! Позвольте мне показать вам, как заставить их работать.

Основы групповой политики: две части

Чтобы полностью понять концепцию того, что нужно делать с настройками групповой политики, давайте сначала посмотрим, как групповая политика разделена. Первая часть — это развертывание, а вторая — реализация. Для начала позвольте мне сказать, что технология групповой политики не основана на агентах. Таким образом, не будет необходимости в распространении каких-либо агентов. Очень важно понимать, что производительность не ухудшится, если вы просто развернете возможности ваших компьютеров для использования и реализации предпочтений групповой политики.

Первая часть групповой политики — это компонент «серверная сторона». Это, по сути, «административная» консоль. С момента запуска Windows XP мы использовали консоль управления групповыми политиками (GPMC) и редактор объектов групповой политики (GPOE), встроенный в GPMC. Этот интерфейс позволяет вам видеть различные настройки групповой политики, такие как; параметры безопасности, настройки программного обеспечения и, наконец, административные шаблоны. Консоль управления групповыми политиками может быть установлена в любой операционной системе после Windows 2000. Как я уже говорил выше, Windows 2000 не может администрировать или получать настройки предпочтений групповой политики. Загвоздка здесь в том, что консоль управления групповыми политиками, поддерживающая предпочтения групповой политики, должна работать на компьютере под управлением Windows Server 2008 или Windows Vista.

Примечание:
Я НИЧЕГО не упоминал о версии домена Windows; это может быть достигнуто в Windows 2000, если вы хотите.

Вторая часть групповой политики касается компонента «клиентская сторона». Расширение на стороне клиента (CSE) — это библиотека DLL, которая находится на компьютере, который получит параметр групповой политики. Существует много CSE, а теперь с настройками групповой политики их 38! Для сравнения, в Windows XP SP2 их было около 15! Поскольку это DLL (а не EXE или другой файл, который выполняется сам по себе), никакой активности нет, пока DLL не будет инициирована чем-то другим. Обработка групповой политики на целевом компьютере доставляет любые новые параметры групповой политики в библиотеку DLL, которая затем применяет этот параметр к компьютеру.

Правильная установка консоли управления групповыми политиками

Те из вас, кто считает, что у вас уже есть GPMC, все равно прочитайте эту часть. Я видел слишком много администраторов, которые разочаровывались из-за того, что у них не была установлена правильная консоль управления групповыми политиками. Позвольте мне как можно яснее объяснить правила участия, чтобы запустить консоль управления групповыми политиками, которая поддерживает предпочтения групповой политики:

Вы должны запустить консоль управления групповыми политиками на компьютере под управлением Windows Vista SP1 или Windows Server 2008. Компьютер, на котором работает консоль управления групповыми политиками, должен быть подключен к домену Windows Active Directory.

Если вы решите использовать Windows Server 2008 в качестве административного компьютера для предпочтений групповой политики, вам не нужно будет ничего устанавливать, чтобы получить инструмент в комплекте. Windows Server 2008 поставляется с доступной консолью управления групповыми политиками, но это может быть незаметно. Если вы не видите Консоль управления групповыми политиками в своем списке инструментов администрирования, вам может потребоваться включить функцию управления групповыми политиками. Это сделает консоль управления групповыми политиками доступной на компьютере. Вам нужно будет сделать это через консоль диспетчера серверов. Оказавшись в консоли диспетчера серверов, вы выберете параметр «Функции» в левом списке параметров. Вы можете использовать Диспетчер серверов на рисунке 1.

Рисунок 1. Диспетчер серверов позволяет добавлять удаленные или отключенные функции в Windows Server 2008.

Если вы хотите использовать Vista в качестве административного компьютера, вам сначала нужно будет выполнить еще несколько задач. Во-первых, вам нужно будет установить Service Pack 1. Это фактически удалит старую версию GPMC, которая поставляется с версией Vista для производителей. Конечным результатом является то, что у вас вообще не будет версии GPMC. Во-вторых, вы должны установить средства администрирования удаленного сервера (RSAT) (его можно легко загрузить с веб-сайта Microsoft). В-третьих, вы должны включить GPMC на компьютере с Vista, добавив функцию Windows.

Примечание:
Если вам нужны пошаговые инструкции по установке GPMC на компьютер с Vista, прочтите другую мою статью на эту тему на WindowSecurity.com.

Когда у вас будет установлена новая консоль управления групповыми политиками, вы сможете управлять предпочтениями групповой политики. Просто отредактируйте любой объект групповой политики из консоли управления групповыми политиками и разверните узел «Предпочтения» в узле «Конфигурация компьютера или пользователя». Оттуда вы сможете настроить любые параметры, как показано на рисунке 2.

Рисунок 2: Новые GPMC и GPME позволяют просматривать и настраивать предпочтения групповой политики

Правильная установка CSE

Теперь, когда у вас установлена административная часть предпочтений групповой политики, вы готовы подготовить целевые компьютеры. Помните, что следующие операционные системы могут быть целью настройки предпочтения групповой политики:

• Windows ХР с пакетом обновлений 2
• Windows Server 2003 SP1
• Виндоус виста
• Windows Сервер 2008

Примечание:
Если у вас есть компьютер с Windows Server 2008 в качестве цели, вам не нужно устанавливать CSE, она есть по умолчанию!

Существует несколько вариантов установки CSE. Прежде всего, вы можете выполнить установку вручную, загрузив статью установки KB943729 для CSE. Вот ссылки на эти статьи:

• Windows ХР с пакетом обновлений 2
• Виндоус виста
• Windows Server 2003 SP1

Второй вариант — использовать WSUS для загрузки и установки CSE. Вам нужно будет перейти к необязательным загрузкам, где вы найдете CSE.

После установки CSE вам нужно только настроить предпочтение групповой политики в объекте групповой политики, предназначенном для компьютера. Параметр теперь будет применяться, и вы используете предпочтения групповой политики!

Резюме

Чтобы установить и развернуть предпочтения групповой политики, необходимо выполнить два шага. Прежде всего, вам необходимо установить GPMC на компьютер с Windows Server 2008 или Windows Vista. Отсюда вы можете настроить любые параметры предпочтения групповой политики. Во-вторых, вам необходимо установить CSE на каждый компьютер, который будет получать настройку предпочтения групповой политики. Это либо устанавливается вручную, либо вы можете использовать WSUS для выполнения установки. В любом случае, после того как вы установили предпочтение групповой политики в объекте групповой политики и установили CSE, будут применяться предпочтения групповой политики! Имея на выбор более 3000 параметров, нет причин двигаться вперед с настройками групповой политики.