Пошаговое руководство по использованию возможностей набора Групповой политики

Политики реестра

Пользовательский интерфейс для политик реестра контролируется файлами Административных шаблонов (.adm). Эти файлы описывают пользовательский интерфейс, отображаемый в узле Административные Шаблоны оснастки «Групповая политика». Файлы  Административных шаблонов совместимы с файлами .adm, используемыми Редактором системной политики (poledit.exe) в системах Microsoft Windows NT 4.0. Для Windows 2000 доступные настройки были расширены.
Примечание: Несмотря на то, что в Windows 2000 в пространство имен можно добавить любой файл .adm, при использовании файлов предыдущих версий Windows, скорее всего, ключи реестра не будет иметь никакого эффекта, так как установки реестра не сохраняются.
По умолчанию отображаются только те настройки загруженного .adm файла, которые существуют в разрешенном дереве Групповой политики. Такие настройки называются истинные политики. Это означает, что оснастка ГП не отображает компоненты, настраивающие ключи реестра вне дерева Групповой политики. Такие компоненты называются предпочтения ГП. Ниже приведены разрешенные ветви Групповой политики:

\Software\Policies
\Software\Microsoft\Windows\CurrentVersion\Policies

Групповая политика «Вывод пункта Показывать только политики» доступна в узле Конфигурации пользователя\Административные шаблоны в ветке Система\Групповая политика. Если эта политика включена, то команда «Показывать только политики» будет применена, и администратор не сможет ее отключить. В результате оснастка «Групповая политика» будет отображать только истинные политики. Если отключить данную политику или оставить ее без изменений, команда «Показывать только политики» будет включена по умолчанию, но администраторы могут просматривать предпочтения, отключив команду «Показывать только политики». Данная опция доступна в узле Административные шаблоны (в ветвях Конфигурации пользователя или Конфигурации компьютера). Для этого в меню консоли Групповой политики нажмите Вид и снимите флажок «Показывать только политики». Учтите, что для этой политики невозможно сохранить выбранное состояние. Это происходит из-за того, что не существует параметров позволяющих сохранить выбранные настройки.
В редакторе Групповой политики предпочтения помечаются красным значком, в отличие от истинных политик, которые помечаются синим значком.
Не рекомендуется использовать предпочтения в инфраструктуре Групповой политики, так как состояние политики «Показывать только политики» не сохраняется, как это было уже объяснено выше. Чтобы настроить политики реестра для клиентов в системах Windows NT 4.0, Windows 95 и Windows 98, воспользуйтесь системным редактором политик Windows NT 4.0 - Poledit.exe.
По умолчанию файлы System.adm, Inetres.adm и Conf.adm загружаются в пространство имен, как показано на рисунке 7 ниже:

Рисунок 7. Конфигурации Пользователя
Увеличить рисунок.

Файлы .adm включают следующие настройки:

• System.adm: настройки операционной системы  
• Inetres.adm: Ограничения Internet Explorer
• Conf.adm: настройки NetMeeting

Добавление Административных Шаблонов

Файл с расширением .adm содержит иерархическую структуру категорий и подкатегорий, совокупность которых определяет организацию параметров в пользовательском интерфейсе Групповой политики.

Добавление административного шаблона (файлы .adm)

• В консоле Групповой политики дважды щелкните на Active Directory - пользователи и компьютеры, выберите домен или подразделение, для которого хотите установить политику, нажмите Свойства и выберите Групповая политика.
• В свойствах Групповой политики выберите из списка Объект ГП (GPO) для редактирования и нажмите Изменить. Откроется оснастка «Групповая политика».
• В консоле ГП раскройте узел Конфигурации пользователя или Конфигурации компьютера. Файл .adm определяет, где будет отображена политика, поэтому не имеет значения, в котором из этих узлов она была открыта.
• Щелкните правой кнопкой мыши на Административные шаблоны, выберите Добавить/удалить шаблоны. Отобразится список шаблонов, активных на данный момент для выбранного контейнера Active Directory.
• Нажмите Добавить. Отобразится список файлов .adm, доступных в директории %systemroot%\inf компьютера, где запущена Групповая политика. Файл .adm может быть выбран из любого другого места. В таком случае файл .adm будет скопирован в выбранный Объект ГП.

Настройка системной политики, с использованием административных шаблонов

• В консоле GPWalkthrough дважды щелкните Active Directory - пользователи и компьютеры, затем дважды щелкните домен reskit.com, и дважды щелкните Accounts. Щелкните правой кнопкой мыши на подразделении Headquarters, после чего выберите Свойства.
• В диалоговом окне Свойства Headquarters нажмите Групповая политика.
• Для редактирования HQ Policy дважды щелкните на Объекте ГП HQ Policy в списке Ссылки на объект групповой политики.
• В консоле ГП в ветке Конфигурации пользователя нажмите знак «+» рядом с Административные шаблоны.
• Щелкните на Меню Пуск и Панель Задач. Заметьте, что в окне сведений все политики показаны как «Не задана».
• В окне сведений дважды щелкните на политике Удалить меню «Выполнить» из меню «Пуск». Отобразится диалоговое окно для этой политики, как показано на рисунке 8 ниже:
  
  
  
  Рисунок 8: Удаление меню Выполнить из меню Пуск
  Увеличить рисунок.
  
  
• В диалоговом окне Удалить меню «Выполнить» из меню «Пуск» нажмите Включена. Обратите внимание на кнопки Предыдущий параметр и Следующий параметр.
• Эти кнопки могут быть использованы для навигации в окне сведений при переходе к настройкам других политик. Вы можете оставить диалоговое окно открытым и выбрать другую политику в окне сведений оснастки Групповой политики. После того как выбран какой-либо элемент в окне сведений, Вы можете использовать клавиши клавиатуры - или нажимать клавишу Ввод, для того, чтобы быстро просматривать настройки (или Объяснения) для каждой политики выбранного узла.
• Нажмите OK. Обратите внимание на изменение состояния в колонке окна сведений – Состояние. Это изменение имеет мгновенный эффект – настройки были сохранены. Если вы работаете в среде реплицируемого контроллера домена, то это действие инициирует цикл копирования.

Теперь, если Вы зайдете на рабочую станцию домена reskit.com с учетными данными любого пользователя подраздела Headquarters, Вы заметите, что меню Выполнить отсутствует.
Вы можете поэкспериментировать с другими доступными политиками. Смотрите вкладку Объяснения для информации по каждой политике.

Наверх страницы

Сценарии

Вы можете настроить сценарии, выполняемые на входе/выходе пользователя из системы или при запуске/завершении работы компьютера. Разрешается использовать любые сценарии, совместимые с Сервером Сценариев Windows (WSH). Такими могут быть Java Scripts или VB Scripts, а также .bat и .cmd файлы. Ссылки на дополнительную информацию по Серверу Сценариев Windows (WSH) находятся в разделе Дополнительная Информация в конце этого документа.

Настройка сценария Входа в систему

Используйте данное руководство для добавления сценариев, выполняемых во время входа пользователя в систему.
Примечание: Данное руководство использует сценарий Welcome2000.js, представленный в Приложении А этого документа. В приложение включены инструкции по созданию и сохранению файла сценария. Перед тем, как приступить к изучению руководства по настройке сценариев, выполняемых на входе в систему, необходимо создать файл Welcome2000.js и скопировать его в контроллер домена HQ-RES-DC-01.

Настройка сценариев входа в систему

• В консоле GPWalkthrough дважды щелкните Active Directory - пользователи и компьютеры, затем дважды щелкните домен reskit.com, выберите Свойства и нажмите Групповая политика.
• В свойствах Групповой политики выберите ОГП Политика домена по умолчанию из списка Ссылки на объект групповой политики и нажмите кнопку Изменить для открытия оснастки «Групповая политика».
• В оснастке «Групповая политика» в ветке Конфигурации пользователя раскройте узел Конфигурация Windows и затем щелкните на узле Сценарии (вход/выход из системы).
• В окне сведений дважды щелкните на Вход в систему.
• Диалоговое окно свойств Входа в систему отображает список сценариев, которые запускаются, когда пользователи, на которых распространяется политика, входят в систему. Порядок запуска сценариев определяется сортировкой списка – сценарий во главе списка запускается первым. Вы может изменить порядок, используя кнопки Вверх и Вниз.
• Чтобы добавить новый сценарий в список, нажмите кнопку Добавить. Отобразится диалоговое окно Добавление сценария. С помощью диалогового окна можно указать имя существующего сценария, находящегося в данном ОГП (GPO), или выбрать сценарий, располагающийся в другом месте, для использования в текущем ОГП (GPO). Сценарий должен быть доступен пользователю во время входа в систему, в противном случае он не будет выполнен. Сценарии в текущем ОГП автоматически доступны пользователю. Вы можете создать новый сценарий, щелкнув на пустом месте правой кнопкой мыши, выбрав пункт Создать и указав тип файла.
• Примечание: Если в Свойствах папки на вкладке Вид установлен флажок Скрывать расширения для зарегистрированных типов файлов, то файл может получить нежелательное расширение, которое будет мешать запуску сценария.
• Для редактирования имени или параметров существующего сценария выделите его в списке и нажмите кнопку Изменить. Эта кнопка не позволяет редактировать код сценария. Для таких целей используйте кнопку Показать файлы.
• Для удаления сценария их списка выделите его и нажмите кнопку Удалить.
• Кнопка Показать файлы отображает сценарии ОГП в Проводнике, что дает быстрый доступ к этим файлам или к месту для копирования вспомогательных файлов, если сценарии в них нуждаются. Если Вы изменили имя файла сценария, используя Проводник, Вы также должны изменить его, используя кнопку Изменить. В противном случае сценарий не будет выполняться.
• Нажмите кнопку Пуск, наведите курсор на Программы, перейдите в Стандартные, затем выберите команду Проводник и перейдите к файлу Welcome2000.js (используйте Приложение А, чтобы создать этот файл), щелкните правой кнопкой мыши на нем и выберите Копировать.
• Закройте Проводник.
• В диалоговом окне свойств Входа в систему нажмите кнопку Показать файлы и вставьте сценарий в местоположение по умолчанию. Это должно выглядеть, как показано на Рисунке 9 ниже:
  
  
  
  Рисунок 9. Welcome2000.js
  Увеличить рисунок.
  
  
• Закройте окно Вход в систему.
• В диалоговом окне Свойства входа в систему нажмите кнопку Добавить.
• В диалоговом окне Добавление сценария нажмите Обзор, и затем в диалоговом окне Обзора дважды щелкните на файле Welcome2000.js.
• Нажмите Открыть.
• В диалоговом окне Добавить сценарий и дважды нажмите ОК (параметры сценария в данном случае не нужны).

Выполнив вышеуказанные действия, зайдите на рабочую станцию с учетными данными любого пользователя подразделения Headquarters и убедитесь, что скрипт запускается при входе в систему.

Настройки сценария выхода из системы, загрузки или завершения работы компьютера

Используя процедуру, описанную выше, Вы также можете настроить сценарии, запускаемые:

• при выходе пользователя из системы
• при загрузке или завершении работы компьютера.
• Для сценариев выхода из системы Вам нужно выбрать Выход из системы в пункте 3.

Другие настройки сценариев

По умолчанию сценарии ГП, выполняемые в командной строке (такие как файлы .bat или .cmd), выполняются скрытно, а наследуемые сценарии по умолчанию выполняются открыто (как это было в Windows NT 4.0). Тем не менее, существует Групповая политика, позволяющая изменять видимость выполнения сценариев. Для пользователей эти политики называются Выполнять сценарии загрузки с отображением команд и Выполнять сценарии выхода с отображением команд. Они доступны в узле Конфигурации пользователя\Административные шаблоны в ветке Система\Вход/выход. Для компьютеров существует Групповая политика - Выполнять сценарии загрузки с отображением команд, она доступна в узле Конфигурации компьютера\Административные шаблоны в ветке Система\Вход.

Наверх страницы

Фильтрация Групп Безопасности

Изменяя принадлежность пользователя или компьютера к той или иной группе безопасности, можно изменять поведение любого Объекта ГП. Для этого используйте вкладку Безопасность в свойствах Объекта ГП для указания Избирательных таблиц управления доступом (DACLs). Избирательные таблицы управления доступом (DACLs) используются для увеличения производительности. Более детально это было рассмотрено в технических документах, упомянутых выше в этом руководстве. Фильтрация групп безопасности позволяет более гибкое создание и развертывание Объектов ГП и содержащихся в них политик. По умолчанию любые Объекты ГП действуют на всех пользователей и компьютеры, находящиеся в связанном сайте, домене или подразделении. Использование Избирательных таблиц управления доступом (DACLs) позволяет включать или исключать членов какой-либо группы безопасности, чтобы изменить действие любого Объекта ГП.
Избирательные таблицы управления доступом (DACLs) можно изменять, используя стандартную вкладку Windows 2000 - Безопасность, которая доступна в Свойствах любого Объекта ГП.

Доступ к свойствам ОГП из свойств Групповой политики домена или подразделения

• В консоле GPWalkthrough дважды щелкните Active Directory - пользователи и компьютеры, затем дважды щелкните домен reskit.com и потом дважды щелкните Accounts, щелкните правой кнопкой мыши на подразделении Headquarters и выберите Свойства.
• В диалоговом окне свойств Headquarters нажмите Групповая политика.
• Щелкните правой кнопкой мыши ОГП HQ Policy в списке Ссылки на объект групповой политики, выберите Свойства из контекстного меню.
• В Свойствах перейдите на вкладку Безопасность. Здесь отображены стандартные настройки свойств Безопасности.
• Вы увидите группы безопасности и пользователей, основанные на базовой инфраструктуре. Для дополнительной информации обратитесь к пошаговому руководству Windows 2000 - Базовая инфраструктура для управления изменениями и конфигурациями. Перед тем как продолжить, убедитесь, что Вы выполнили соответствующие шаги этого документа.
• В свойствах Безопасности нажмите Добавить.
• В диалоговом окне Выбор: пользователи, компьютеры или группы выберите из списка группу Management и нажмите Добавить, затем нажмите ОК, чтобы закрыть диалоговое окно.
• На вкладке Безопасность свойств HQ Policy выберите группу Management и просмотрите разрешения. По умолчанию для группы Management разрешен только один элемент списка управления доступом (ACE) - Чтение. Это означает, что данный ОГП не применяется к группе Management. Исключение составляют члены группы, которые также являются членами другой группы (по умолчанию, они также являются Прошедшими проверку), у которой выбрана опция ACE – Применить групповую политику.
• В таком случае этот Объект ГП применяется ко всем пользователям в группе Прошедшие проверку, невзирая на то, что группа Management не была добавлена в список, как показано на рисунке 10 ниже:
  
  
  
  Рисунок 10. Настройки безопасности.
  Увеличить рисунок.
  
  
• Сконфигурируйте ОГП так, чтобы он применялся только к членам группы Management. Выберите Разрешить для команды Применить групповую политику к группе Management и удалите Применить групповую политику из группы Прошедшие проверку.
• Изменяя элементы списка управления доступом (ACEs), применяющиеся к различным группам, администраторы могут изменять действие ОГП для пользователей и компьютеров, на которых распространяется действие этого ОГП. Разрешение на Запись необходимо для внесения изменения, а Чтение и Разрешить групповую политику необходимы для применения политики к данной группе.
• Осторожно используйте элемент списка управления доступом (ACE) – Запретить. Параметр Запретить для любой группы имеет превосходство над всеми элементами Разрешить для пользователя или компьютера в какой-либо другой группе. Детально это взаимодействие рассмотрено в интерактивной справке Windows 2000 Server по группам безопасности.
• На рисунке 11 ниже показан пример настроек безопасности, когда действие HQ Policy применяется ко всем, за исключением членов группы Management. Группе Management этот ОГП был явно запрещен (Применить групповую политику указана, как Запретить). Обратите внимание, что если какой-либо член группы Management также является членом другой группы, для которой указан элемент Применить групповую политику, как Разрешена, команда Запретить все равно будет иметь приоритет и ОГП не будет оказывать на пользователя никакого влияния.
  
  
  Рисунок 11. Security Settings
  Увеличить рисунок.

Варианты настроек могут включать:

• Добавление дополнительных ОГП с различными наборами политик, применяемые ко всем группам, кроме группы Management.
• Создание еще одной группы, состоящей из членов других групп, и использование этих групп, как фильтров для ОГП

Примечание: Вы можете использовать такие же типы настроек безопасности для сценария Входа, который Вы создали в предыдущем разделе. Возможно, настроить сценарии так, чтобы они выполнялись только для членов выбранной группы или для всех, кроме какой-либо указанной группы.
Фильтрация групп безопасности имеет две функции. Во-первых, определить, какие группы подвержены выбранному ОГП. Во-вторых, определить, какая из групп администраторов может изменять ОГП (назначив Полный Доступ определенной группе администраторов). Это рекомендуется, поскольку снижается вероятность внесения одновременных изменений несколькими администраторами.

Наверх страницы