Введение
Предпочтения групповой политики, также называющиеся настройками групповой политики, являются набором расширений клиентской стороны, впервые появившихся в операционной системе Windows Server 2008, обеспечивающие возможность централизованной настройки и управления определенными параметрами операционной системы. В отличие от остальных параметров групповой политики, предпочтения групповой политики записывают свои параметры в те разделы системного реестра, в которых хранятся параметры, изменяемые средствами операционной системы или приложений, что позволяет не блокировать возможности изменений соответствующих параметров в графическом интерфейсе, а просто указать настройки по умолчанию и дать пользователю возможность при необходимости изменить соответствующую настройку. Предпочтения групповой политики предназначены для настройки компонентов Windows и настройки некоторых параметров панели управления. Стоит отметить, что политики конфигурации Windows содержат настройки, отвечающие за переменные среды, параметры реестра, общие сетевые ресурсы и многие другие настройки, которые обычно приходится настраивать, используя различные сценарии входа. В свою очередь, политики параметров панели управления обеспечивают возможность конфигурирования таких настроек, как назначенные задания, системные службы, опции электропитания и прочие параметры, настройки которых в графическом интерфейсе можно найти в панели управления операционной системы. В этой статье будет рассмотрено такое расширение клиентской стороны предпочтения групповой политики, как «Среда», которое можно найти в узле «Конфигурация Windows» родительских узлов конфигурации компьютера и конфигурации пользователя.
Узел предпочитаемой групповой политики «Среда»
Предпочтения групповой политики «Среда» позволяют вам управлять пользовательскими или системными переменными средами целевого компьютера. При помощи этого расширения клиентской стороны вы можете создавать новые пользовательские или системные переменные среды, модифицировать или изменять существующие, например, расположение папки TEMP, командную строку или всю переменную PATH, а также удалять отдельные фрагменты или всю переменную среду. Рассмотрим распространение предпочтения групповой политики «Среда» на простом примере: в следующем сценарии будет создана новая пользовательская переменная среда, а также изменено расположение папки TEMP. Для того чтобы реализовать указанные выше задачи, выполните следующие действия:
- Откройте оснастку «Управление групповой политикой», в дереве консоли разверните узел «Лес: %имя леса%», узел «Домены», затем узел с названием вашего домена, после чего узел «Объекты групповой политики». В узле «Объекты групповой политики» создайте объект GPO, например, «Предпочитаемая политика переменной среды», выберите этот объект GPO, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
- В оснастке «Редактор управления групповыми политиками», в дереве консоли разверните узел Конфигурация пользователя\Настройка\Конфигурация Windows и выберите узел «Среда». Щелкните на данном узле правой кнопкой мыши и из контекстного меню выберите команду «Создать», а затем команду «Переменные среды», как показано на следующей иллюстрации:
- В отобразившемся диалоговом окне на вкладке общие вы можете задать общие настройки для обрабатываемого элемента предпочтения групповой политики. Например, практически для каждого расширения клиентской стороны предпочтения групповой политики, в раскрывающемся меню «Действие» вы можете выполнить одно из четырех следующих действий:
- Создать. Это действие позволяет создать новый элемент переменной среды или добавить разделенный с запятой сегмент в переменную PATH для системной переменной среды. Сама по себе переменная PATH содержит список путей к папкам, используемых операционной системой при размещении файлов;
- Заменить. Текущее действие позволяет удалить существующий элемент и заменить его отконфигурированным элементом настройки переменной среды. В итоге, параметры, связанные с определенной переменой средой будут перезаписаны существующими настройками в текущем параметре групповой политики;
- Обновить. Действие обновления позволяет модифицировать существующий элемент настройки или, в том случае, если такого элемента не существует, предварительно создать его. По сути, от предыдущего действия, действие обновления отличается тем, что это действие только обновляет параметры, заданные в элементе предпочтения, причем, остальные параметры не будут изменяться;
- Удалить. При помощи этого действия вы можете удалить существующий элемент или параметр, в данном случае, удалить переменные среды или удалить разделенный с запятой сегмент в переменную PATH для системной переменной среды.
- Перейдите на вкладку «Общие параметры». Вкладка «Общие параметры» содержит параметры, позволяющие управлять использующим при обработке пользовательских настроек контекстом безопасности, областью предпочтений, а также фильтрами предпочтений совместно с фильтрацией групповой политики. На этой вкладке диалогового окна свойств параметра предпочтения групповой политики вы можете выбрать любое из следующих пяти параметров:
- Остановить обработку элементов в этом расширении при возникновении ошибки. В связи с тем, что для каждого расширения клиентской стороны предпочтения групповой политики могут быть созданы несколько элементов предпочтений и, по умолчанию, в том случае, когда при обработке элемента предпочтения в конкретном объекте GPO происходит сбой, все остальные элементы предпочтений в текущем расширении продолжат выполняться. В том случае, если вам нужно, чтобы при сбое элемента в текущем расширении полностью останавливалась обработка остальных элементов предпочтений, следует установить текущий флажок;
- Выполнять в контексте безопасности вошедшего пользователя (параметр политики пользователя). Предпочтение групповой политики пользователя может обрабатываться в двух контекстах безопасности: учетной записи System и учетных данных пользователя, который на данный момент выполнил вход в систему. По умолчанию предпочитаемая групповая политика пользователя обрабатывается в контексте безопасности учетной записи System, что существенно ограничивает системные ресурсы и переменные среды. Но при выборе данной опции вы можете разрешить предпочтениям групповой политики получать доступ к системным ресурсам в качестве выполнившего вход в систему пользователя, что имеет существенное значение для предпочтений, запрещающих приложениям доступ к ресурсам;
- Удалить элемент, когда он более не применяется. Как, возможно, многим из вас известно, предпочитаемые групповые политики включают в себя неуправляемые параметры политики, то есть, после развертывания таких политик, вы позволяете пользователям изменять их настройки, а также, если пользователь или компьютер перемещается в другое подразделение, где на него больше не будут распространяться настройки определенного объекта GPO, настройки элементов предпочтения не будут удалены. При помощи данной опции, вы можете изменить такие настройки. Другими словами, если учетная запись пользователя или компьютера, к которой применяются параметры предпочтений групповых политик, перемещается и находится вне области распространения объекта GPO, расширение CSE предпочтений групповой политики удаляет параметры, сгенерированные текущим элементом. Следует обратить внимание на то, что если для элемента предпочтения было выбрано действие «Заменить», то в том случае, когда элемент предпочтения будет находиться вне области действия, элемент будет удален без последующего создания параметра, но если вами установлено действие «Удалить», то на текущей вкладке данная опция будет отсутствовать;
- Применить один раз и не применять повторно. Так же как и параметры групповой политики, элементы предпочтений перезаписываются при каждом обновлении групповой политики, то есть, по умолчанию, каждые 90 – 120 минут. Но если вам не нужно повторное применение элемента предпочтения, вы можете выбрать текущую опцию;
- Нацеливание на уровень элемента. У параметров групповой политики есть существенный недостаток – внутри самого объекта групповой политики нельзя обеспечить гибкую фильтрацию для отдельных параметров групповой политики, то есть, для обеспечения такого требования вам нужно будет создавать для каждого параметра групповой политики отдельный объект GPO, а затем применять к ним фильтрацию WMI. Согласитесь, если вы применяете десятки, а то и сотни параметров групповой политики, это не очень удобно. Элементы предпочтений предпочитаемой групповой политики обеспечивают гибкую фильтрацию, называемую нацеливанием на уровень элемента. В рамках данной статьи не будет подробно рассматриваться функционал нацеливания на уровень элемента, а будет рассмотрено лишь несколько определений элементов.
- Нажмите на кнопку «Нацеливание». В этом примере установим фильтры, нацеленные на уровень элемента, в которых будет указано, что операционная система целевого объекта, на который распространяется элемент предпочтения, должна быть Windows 7, а также элемент предпочтения должен применяться только к компьютерам в конкретном диапазоне IP-адресов. В отобразившемся диалоговом окне «Редактор нацеливания» нажмите на кнопку «Создать элемент» и, из раскрывающегося меню, выберите опцию «Операционная система». В соответствующих раскрывающихся меню укажите продукт «Windows 7», выпуск «Ultimate». После этого еще раз нажмите на кнопку «Создать элемент», из списка выберите опцию «Диапазон IP-адресов», и укажите необходимый диапазон адресов, к которым будет применяться элемент предпочтения. Так как нам необходимо, чтобы каждое определение элемента сочеталось с предыдущим, обратите внимание на то, чтобы параметром второго элемента выступала логическая операция «И», как показано на следующей иллюстрации:
- Нажмите на кнопку «ОК» в диалоговом окне редактора нацеливания, после чего нажмите на кнопку «ОК» в диалоговом окне свойств создаваемого вами элемента предпочтения;
- В редакторе управления групповыми политиками, из узла «Среда» конфигурации пользователя, создайте новый элемент предпочтения переменной среды, где будут указаны настройки, предназначенные для изменения расположения папки TEMP. Здесь, на вкладке «Общие», выберите действие «Заменить», установите переключатель на опции пользовательской переменной, укажите имя «TEMP», а в поле значения задайте следующий путь: «%systemroot%\TEMP». На вкладке общих параметров установите флажки на опциях «Выполнять в контексте безопасности вошедшего пользователя (параметр политики пользователя)» и «Нацеливание на уровень элемента». В редакторе нацеливания создайте такой же элемент «Операционная система», как было сделано в шаге 5. Сохраните новый элемент предпочтения. После создания элементов предпочтения, узел «Среда» редактора управления групповыми политиками должен выглядеть следующим образом:
- После того как вы настроили все необходимые параметры групповой политики, можно закрыть оснастку «Редактор управления групповой политики». Теперь осталось связать созданный объект групповой политики с подразделением, содержащим учетные записи мобильных компьютеров, для которых должны применяться параметры текущего объекта групповой политики. В дереве консоли оснастки «Управление групповой политикой» выберите подразделение, содержащее учетные записи компьютеров ваших пользователей, например, в моем случае, это подразделение «Пользователи». Нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Связать существующий объект групповой политики». В отобразившемся диалоговом окне «Выбор объекта групповой политики» выберите данный объект групповой политики и нажмите на кнопку «ОК».
Рис. 1. Создание предпочитаемой групповой политики переменных сред
На вкладке «Общие» вы можете найти два следующих переключателя: пользовательская переменная и системная переменная. Пользовательская переменная устанавливается автоматически в том случае, если создание элемента предпочтения переменной среды было вызвано из узла «Конфигурация пользователя». Выбрав данный параметр, все указанные настройки элемента предпочтения будут влиять только на пользователя. Соответственно, переменная среда будет храниться в разделе системного реестра HKEY_CURRENT_USER. В свою очередь, выбрав системную переменную, указанные настройки элемента предпочтения будут распространяться на всех пользователей целевого компьютера, а сама переменная среда будет храниться в разделе системного реестра HKEY_LOCAL_MACHINE.
Обязательными условиями создания предпочтения групповой политики переменной среды, являются заполнение полей «Имя» и «Значение». Поле «Имя» предназначено для определения наименования переменной среды, к которой будет применимо соответствующее действие. В том случае, если вам нужно внести изменения в переменную PATH, вам не стоит заполнять текущее поле, а нужно лишь установить флажок на опции «PATH», который расположен справа от данного текстового поля. В поле «Значение» укажите значение для редактируемой вами переменной среды. Стоит обратить внимание на то, что если именем переменной среды служит PATH, то вам нужно будет указать список путей к папкам через точку с запятой. Если вы не знаете, как называется определенная переменная, вы можете выбрать требуемую переменную из списка. Для этого в поле «Имя» нажмите на клавишу F3 и в отобразившемся диалоговом окне «Выберите переменную», выберите нужную для вас переменную и нажмите на кнопку «Выбрать», как показано на следующей иллюстрации:
Рис. 2. Диалоговое окно выбора переменной
Укажите в поле «Имя» значение «VARENV», а в поле «Значение» значение «%systemroot\VARENV%», как показано на следующей иллюстрации:
Рис. 3. Вкладка «Общие» предпочитаемой групповой политики
Так как для настройки переменной среды требуется получать доступ к переменным средам в качестве выполнившего вход в систему пользователя, то следует установить флажок на опции «Выполнять в контексте безопасности вошедшего пользователя (параметр политики пользователя)», а также установить флажок «Нацеливание на уровень элемента» для определения гибкой фильтрации, как показано на следующей иллюстрации:
Рис. 4. Вкладка «Общие параметры» предпочтения групповой политики
Рис. 5. Редактор нацеливания
Рис. 6. Узел «Среда» редактора управления групповыми политиками
В результате, у пользователя, входящего в подразделение «Пользователи» под операционной системой Windows 7 будут изменены пользовательские переменные среды, как показано на следующей иллюстрации:
Рис. 7. Диалоговое окно «Переменные среды» на пользовательском компьютере
Заключение
В этой статье было рассмотрено расширение клиентской стороны предпочтений групповой политики переменной среды. Подробным образом был рассмотрен процесс создания элементов предпочтения, где были описаны опции, предназначенные для настройки создаваемого элемента. Также вкратце была рассмотрена фильтрация нацеливания на уровень элемента, обеспечивающая гибкую фильтрацию элемента предпочтения предпочитаемой групповой политики. В следующей статье будут рассмотрены элементы предпочтений файлов и папок.