Управление групповой политикой Windows Vista (часть 1)
Введение
Windows Vista включает некоторые важные изменения по сравнению с более ранними операционными системами Windows в отношении групповой политики ( GP ). Эта статья знакомит вас с тем, как файлы ADM превратились в многоязычные файлы благодаря использованию XML (файлы ADMX/ADML ) и центральному хранилищу во всей его красе.
Добро пожаловать в постоянно расширяющуюся вселенную Microsoft Group Policy.
Сравнение файлов ADM и ADMX/ADML
Файлы ADM были впервые представлены в Windows NT4 и с тех пор застряли. Прежде всего, важно понимать, что файлы ADM представляют собой не что иное, как шаблоны (административные шаблоны). Это означает, что при загрузке редактора объектов групповой политики ( GPOE) или консоли управления групповыми политиками ( GPMC) содержимое представляется пользователям консоль — больше ничего (административный опыт можно сказать). Когда политика изменяется или создается, файл Registry.pol создается в контейнере объекта групповой политики ( GPO ) — это фактическая политика со всеми соответствующими и конкретными параметрами реестра, определенными в файле (файлах) шаблона. Таким образом, машина или пользователь, получающие политику, на самом деле вообще не нуждаются в файлах ADM.
Файлы ADM с самого начала имели непонятный синтаксис со своим особым языком разметки, который довольно сложно освоить. Благодаря настраиваемым административным шаблонам у вас есть множество возможностей для создания собственных «политик реестра», обеспечивающих настройку ваших клиентов определенным образом.
Новые файлы ADMX/ADML заменяют файлы ADM. Они по-прежнему являются просто шаблонами и предназначены только для администраторов, создающих и изменяющих групповые политики, как локальные, так и доменные. Управляемые «конечные пользователи» и «конечные машины» не будут знать, были ли параметры политики настроены в Vista (с использованием файлов ADMX/ADML) или Windows 2000/2003 (с использованием файлов ADM) — мы по-прежнему просто редактируем и заполняем Файл реестра.pol. По этой причине файлы ADM и ADMX/ADML могут сосуществовать. Вы не заметите присутствие файлов ADMX во время повседневных задач администрирования политик.
Вы можете спросить, почему теперь у нас есть файлы шаблонов ADMX и ADML! Ну, причина этого в том, что файлы ADM поддерживают только один язык — теперь мы получаем настоящую многоязычную поддержку. Во французской Windows XP были включены французские файлы ADM, а в датской Windows XP были включены датские файлы ADM — у вас не могло быть обоих. Файлы ADMX не зависят от языка и не содержат описаний политик и т. д., как файлы ADM. Вместо этого они ссылаются на файлы ADML, которые являются файлами для конкретного языка, требуется один файл ADML pr. язык, что делает файлы ADMX многоязычными без особых усилий.
Файлы ADMX и ADML используют преимущества формата на основе XML — это должно упростить их чтение, запись и понимание (однако я все еще думаю, что создавать собственные файлы вручную сложно). Возможно, теперь стало проще создавать административные шаблоны для разработчиков или сторонних инструментов групповой политики, но не для обычного человека. На самом деле я не верю, что в старом добром Блокноте работать с XML проще. К сожалению, в наши дни вы не найдете много информации о том, как создавать/настраивать собственные шаблоны ADMX. Пока это кажется «секретом», но вы можете использовать такую утилиту, как XML Notepad 2006 v1.0, для просмотра и редактирования содержимого, а также Visual Studio поддерживает и «понимает» формат XML с помощью Intellisense ( технология, которая помогает разработчику при программировании, показывая доступные классы, методы, свойства, синтаксис и т. д.). Вы также можете использовать другие XML-инструменты или программные XML-библиотеки (например,.NET Framework) для создания/изменения ADMX-файлов — просто помните, что «лучшей практикой» по-прежнему является оставлять нетронутыми ADMX-файлы по умолчанию и создавать собственные настраиваемые версии. Справочник по схеме ADMX можно найти в Интернете.
фигура 1
В Windows Vista RC 2 build 5744 мы получили 132 файла ADMX (см. рис. 1) и 132 соответствующих файла ADML, что дает нам только 3,74 МБ файлов ADMX и 1,86 МБ файлов ADML — немного по сравнению со всеми функциями и возможностями, которые дают эти файлы. в жизнь администраторов! В Windows XP было 7 файлов ADM по умолчанию, содержащих все параметры политики Windows, доступные от Microsoft. Windows Vista будет использовать встроенные файлы ADMX для представления всех параметров политики для Windows XP/2000/2003 и самой Vista — файлы ADM больше не включаются. Это возможно, потому что файлы Vista ADMX представляют собой НАБОР старых файлов ADM и, следовательно, заменяют эти файлы; они просто включают все «устаревшие» настройки и множество новых (около 800) только для Vista/Longhorn.
Однако, если Vista обнаружит пользовательский файл ADM в редактируемом объекте групповой политики, она также отобразит параметры политики, определенные в этом файле ADM (конечно, только без многоязычных преимуществ файлов AMDX/ADML). Если вы ранее изменили содержимое некоторых файлов ADM по умолчанию (даже если это далеко не лучшая практика), вам придется повторить те же изменения в настроенных файлах ADMX (и создать соответствующий файл ADML).
Microsoft пока не планирует выпускать инструмент для преобразования ADM в ADMX, если вам интересно.
Мы по-прежнему можем использовать диалоговое окно «Добавить/удалить шаблоны» для файлов ADM — это не вариант с файлами ADMX, поскольку новая версия GPOE будет читать и загружать все файлы ADMX из центрального хранилища (см. ниже) или локального каталога, в графический интерфейс при запуске полностью прозрачным для пользователя. Если нам нужно добавить настраиваемые файлы ADMX, все, что нам нужно сделать, это скопировать файл(ы) в центральное хранилище или локальный каталог и перезапустить GPOE.
Рабочая станция администрирования политик домена должна работать под управлением Windows Vista (или Longhorn) для наилучшего взаимодействия и удобства администрирования. Windows Vista можно использовать для управления всеми операционными системами, поддерживающими групповую политику (начиная с Windows 2000 и выше).
GPOE на компьютерах с Windows 2000/XP/2003 не будет отображать новые параметры политики административных шаблонов Windows Vista, которые могут быть включены или отключены в GPO. Функция отчетов GPMC в Windows XP/2003 (GPMC вообще не работает в Windows 2000) будет отображать новые параметры политики административного шаблона Windows Vista как «Дополнительные параметры реестра».
Инструменты групповой политики, такие как GPOE/GPMC, настраивают свой язык отображения в соответствии с языком операционной системы ( ОС ), настроенным администратором. В Windows Vista есть «механизм резервного выбора языка», который срабатывает, если языковой файл недоступен для языка операционной системы пользователя. Английский является резервным языком по умолчанию, поэтому предпочтительным будет языковой файл из папки US-EN (см. ниже). Если файл ADML на английском языке также отсутствует, параметры политики будут отображаться в разделе «Дополнительные параметры реестра» без какого-либо текста и пояснений.
Имейте в виду, что расположение файлов административных шаблонов изменилось в Windows Vista. В более ранних версиях Windows файлы ADM находились в каталоге %WINDIR%inf, файлы ADMX — в каталоге %WINDIR%PolicyDefinitions, а соответствующие файлы ADML — в каталоге %WINDIR%PolicyDefinitions<LanguageFolder>. <LanguageFolder> может называться EN-US для американского английского, FR для французского и т. д. — в соответствии с языком в стиле ISO или «именем культуры» (см. Идентификаторы локали).
Центральный магазин
Центральное хранилище (также называемое центральным репозиторием или общедоменным репозиторием) имеет смысл только в доменной среде, но по умолчанию оно не используется и не «активируется». Центральное хранилище ( CS ) на самом деле является просто новым каталогом, реплицируемым между контроллерами домена в области SYSVOL (которая уже используется Windows 2000/XP/2003 для хранения объектов групповой политики). В этой папке нет ничего таинственного, но она помогает централизованно администрировать файлы ADMX и ADML, используемые для создания и редактирования политик, и снижает требования к хранилищу для объектов групповой политики в области SYSVOL.
Мы либо используем одно центральное хранилище в домене, либо локальные каталоги на каждом клиенте администратора для хранения файлов ADMX/ADML (последний — старый подход). Эти два метода являются взаимоисключающими: используются либо «онлайн» файлы ADMX, либо локальные файлы. После создания центрального хранилища локальные файлы ADMX/ADML больше не используются, если только центральное хранилище по какой-либо причине недоступно, тогда мы возвращаемся к локальным файлам.
Шаблоны ADM могут быть довольно раздражающими в ситуациях, когда политики всего домена администрируются с разных административных рабочих станций. Между используемыми файлами ADM могут быть несоответствия языка и версии, поэтому, когда французский администратор редактирует политику домена по умолчанию, его язык и версия операционной системы (2000/XP/2003) будут отражены в файлах ADM, скопированных в SYSVOL, а также уровень пакета обновлений компьютера.
В Windows Vista нет пользовательского интерфейса для создания и заполнения центрального хранилища, но этот процесс очень прост и должен выполняться только один раз для каждого домена. Все, что вам нужно сделать, это создать папку центрального хранилища, предпочтительно на основном контроллере домена (эмуляторе PDC), поскольку и GPMC, и GPOE по умолчанию подключаются к PDC, скопировать все файлы ADMX в каталог, создать подпапку для каждого языка, скопируйте файлы ADML в эти каталоги и позвольте службе репликации файлов (FRS) выполнить свою работу по репликации содержимого на все контроллеры домена.
Итак, где именно я должен создать эту папку? Ну, это довольно просто… Вам нужна следующая структура каталогов «домен-корневой уровень» в SYSVOL: %logonserver%SYSVOL\%userdnsdomain%PoliciesPolicyDefinitions с подпапками для всех необходимых языков — см. выше информацию о языке имена папок. Обратите внимание, что локально на контроллере домена путь должен быть %WINDIR%SYSVOLdomainPoliciesPolicyDefinitions (расположение SYSVOL по умолчанию). Вы должны быть членом группы «Администраторы домена», чтобы создать папку центрального хранилища, а местоположение нельзя настроить или изменить пользователем. Пользовательские политики ADMX (и связанные с ними языковые файлы) можно скопировать в центральное хранилище — все GPOE на компьютерах администраторов групповой политики будут использовать и отражать эти настройки… Это все, что вам нужно сделать, чтобы «поделиться» вашими шаблонами ADMX!
«Раздувание SYSVOL» — это существующее явление, происходящее с областью SYSVOL в более крупных организациях. При старой структуре политики файлы ADM копировались в каждый объект групповой политики в структуре каталогов SYSVOL ( %SYSVOL%Policies<Unique GPO GUID>ADM ). Для каждого объекта групповой политики требовалось минимум 4 МБ, поэтому с сотнями политик хранение и репликация могли стать проблемой. Файлы ADMX/ADML не будут многократно копироваться в область SYSVOL — это «неудачное» поведение уже в прошлом.
CS уменьшает объем необходимой памяти, сводя к минимуму ненужные избыточные файлы данных в SYSVOL. Функциональность CS НЕ требует сервера «Longhorn» — она прекрасно работает в чистой среде домена Windows 2000 или Windows 2003 Active Directory. Помните, что групповая политика — это в основном архитектура на стороне клиента, использующая только структуру AD (сайты, домены, подразделения и т. д.) для развертывания настроек и SYSVOL для хранения данных.
Вывод
В этой части, одной из трех статей, мы рассказали о разнице между файлами ADM и ADMX/ADML и о том, что такое центральное хранилище.
Во второй части этой серии статей «Управление групповой политикой Windows Vista», которая будет опубликована на сайте www.windowssecurity.com в ближайшем будущем, будет рассмотрено наличие нескольких объектов локальной групповой политики.
В третьей (последней) части этой серии статей «Управление групповой политикой Windows Vista», которая также будет опубликована на сайте www.windowssecurity.com в ближайшем будущем, будут рассмотрены основные способы устранения неполадок, повышенная стабильность и определение сетевого расположения.
Ссылки по теме
Пошаговое руководство по управлению файлами ADMX
Изменения групповой политики в Vista, Дерек Мелбер
Пошаговое руководство по управлению ADMX-файлами групповой политики Джудит Херман
Групповая политика в Windows Vista (уровень 200) — веб-трансляция Майкла Мерфи
Начало работы с групповой политикой в Windows Vista (уровень 200) — веб-трансляция Кевина Ремде