Пошаговое руководство по использованию возможностей набора Групповой политики

OSzone.net » Microsoft » Windows 2000/NT » Администрирование » Пошаговое руководство по использованию возможностей набора Групповой политики
Автор: Елена Трубицына aka Ginger
Иcточник: (переведено с англ.) Microsoft Technet
Опубликована: 23.07.2006
Club logo

Групповая политика (Group Policy) является главным компонентом управления изменениями и конфигурациями в операционной системе Microsoft® Windows® 2000. Групповая политика определяет параметры для групп пользователей и компьютеров, включая политики реестра, настройки безопасности, установки программного обеспечения, сценарии (загрузка-завершение, вход-выход из системы) и перенаправление папок.

Эта статья является пошаговым руководством, описывающим возможности Групповой политики. Статья предназначена для менеджеров отделов Информационных Технологий, системных администраторов и всех тех, кто интересуется Групповыми политиками для управления пользовательской средой.

На этой странице

 

Введение

Этот документ, описывающий возможности операционной системы Windows 2000®, является частью пошагового руководства для менеджеров отделов Информационных Технологий и системных администраторов. Статья представляет собой краткое описание Групповых политик и наглядно показывает, как использовать оснастку Групповой политики, чтобы установить различные политики для групп пользователей и компьютеров. Статья включает в себя следующую информацию:

Групповая политика и Active Directory

В Windows 2000 администраторы используют Групповую политику (далее ГП) для настройки и контроля рабочей среды пользователей. Для упрощения процесса администраторы могут создавать специальные конфигурации рабочего стола, которые применяются к группам пользователей и компьютеров. В Windows 2000 за применение Групповых политик отвечает служба Active Directory. Информация о политиках содержится в Объектах Групповой политики (ОГП), применяющихся к выбранным контейнерам: сайтам, доменам и подразделениям.
Объекты ГП используются для фильтрации объектов, принадлежащих к разным группам безопасности, что позволяет управлять компьютерами и пользователями как индивидуально, так и централизованно. Для этого администраторы могут использовать фильтрацию по группам безопасности, чтобы определить область действия ГП – для ее централизованного применения на уровне домена или децентрализованного – на уровне подразделения, после чего могут еще раз их отфильтровать группами безопасности. Администраторы используют группы безопасности в ГП для:

Оснастка Групповой политики «Консоль MMC» (Microsoft Management Console) используется администраторами для управления параметрами политики. Групповая политика включает различные возможности управления этими параметрами. Вдобавок, третьи стороны могут расширять ГП, вводя возможности управления установками своего программного обеспечения. Данные, генерируемые Групповой политикой, содержатся в объекте ГП, который копируются на все контроллеры внутри одного домена.
Оснастка «Групповая политика» включает в себя несколько расширений оснастки MMC, которые и создают основные узлы в оснастке «Групповая политика». Существует несколько расширений:

На рисунке 1 показано, как объекты ГП используют иерархию Active Directory для применения Групповой политики.

Figure 1: The Hierarchy of Group Policy and the Active Directory

Рисунок 1. Иерархия Групповой политики и Active Directory.
Увеличить рисунок.


Объекты Групповой политики в Active Directory связаны с сайтом, доменом и контейнерами подразделения. По умолчанию иерархическая структура Active Directory отображает порядок приоритетов: сайты идут первыми, потом домены, затем подразделения. Любой Объект ГП может быть ассоциирован с более чем одним контейнером Active Directory, а также несколько контейнеров могут быть связаны с одним Объектом ГП.

Top of pageНаверх страницы

 

Предварительные условия и начальная конфигурация

Следующий документ, по установке программ, основан на пошаговом руководстве для полного развертывания базовой инфраструктуры Windows 2000 Server
Перед использованием данного руководства необходимо создать инфраструктуру, как описано в документе выше. Если Вы не используете приведенную выше инфраструктуру, то при использовании данного руководства примите к сведению разницу в конфигурациях аппаратного и программного обеспечения.

Сценарии Групповой политики

Данный документ не описывает все возможные сценарии Групповых политик. Пожалуйста, используйте данное руководство для понимания работы ГП и определения того, как Ваша организация может снизить совокупную стоимость владения компьютерами (TCO). Другие возможности Windows 2000, включая «Настройки безопасности» и «Установка программ», построены на Групповой политике. Для информации по использованию ГП в таких характерных сценариях обратитесь к технической документации и интерактивной справке по безопасности в Windows 2000 и «Установке программ». Эта информация доступна веб-сайте Windows 2000.

Важные примечания

Примеры компаний, организаций, продуктов, людей и случаи, описанные в данном руководстве, вымышлены. Всякое сходство с реальными компаниями, организациями, продуктами, людьми и событиями случайно.
Описанная базовая инфраструктура предназначена для использования в частной сети. Вымышленные имена компании и DNS, использованные в данной инфраструктуре, не зарегистрированы для использования в Интернете. Пожалуйста, не используйте эти имена в общественных сетях или Интернете.
Структура службы каталогов Active Directory™ в этой базовой инфраструктуре является примером работы и функциональности управления изменениями и конфигурациями в Windows 2000 совместно с Active Directory. Она не служит моделью конфигурации службы Active Directory для какой-либо организации – для подобной информации обратитесь к документации Active Directory.

Top of pageНаверх страницы

 

Конфигурация оснастки «Групповая политика»

Групповая политика тесно связана со службой Active Directory. Оснастка «Групповая политика» дополняет инструменты управления Active Directory, используя механизм расширения оснастки «Консоль управления MMC» (Microsoft Management Console).
Оснастки Active Directory определяют область управления Групповой политики. Самый простой способ обращения к Групповой политике для определения области управления домена и подразделений – это использование оснастки «Active Directory - Пользователи и Компьютеры». Для назначения области управления сайта также можно использовать оснастку «Active Directory — сайты и службы». Расширение оснастки «Групповая политика» включено в оба эти инструмента. Данные инструменты доступны в группе программ Администрирования. Альтернативно, можно создать модифицированную консоль MMC, следуя инструкциям в следующем разделе.

Создание модифицированной консоли

В примерах, приведенных ниже в этом документе, используется модифицированная консоль MMC, которую можно создать, следуя инструкциям данной секции. Консоль необходимо создать до того, как Вы приступите к выполнению остальных шагов этого документа.
Примечание: Если вы хотите узнать больше о создании консолей управления MMC, обратитесь к документу "Пошаговое руководство по Консоли управления ММС"

Модификация консоли

Сохранение изменений консоли

Консоль должна выглядеть, как показано на рисунке 2:

Figure 2: Group Policy MMC Console

Рисунок 2. Консоль MMC Групповой политики.
Увеличить рисунок.

Доступ к Групповой политике

Для доступа к Групповой политике выбранного сайта, домена или подразделения используйте соответствующие инструменты Active Directory.


Открытие Групповой политики из «Active Directory - сайты и службы»

Открытие Групповой политики из «Active Directory - пользователи и компьютеры»

Для получения доступа к настройкам Групповой политики определенного компьютера (или локального компьютера) необходимо загрузить в пространство имен консоли MMC оснастку «Групповая политика», нацеленную на выбранный компьютер (или локальный компьютер). Это необходимо делать по следующим причинам:

Определение области домена или подразделения

Для определения области домена или подразделения используйте консоль MMC GPWalkthrough, сохраненную ранее.


Определение области Групповой политики для домена или подразделения

Таким образом, открываются свойства Объекта Групповой политики, связанные с выбранным контейнером Active Directory. Эти свойства могут быть использованы для:

Кнопка Правка запускает оснастку «Групповая политика». Дополнительная информация по использованию оснастки «Групповая политика» и ее свойств можно найти ниже в этом документе.
Примечание: Контейнеры компьютеров и пользователей не являются организованными единицами. Поэтому Групповая политика не может быть применена непосредственно к ним. Пользователи или компьютеры этих контейнеров наследуют политики только от Объектов ГП, определенных для данного домена или сайта. А так как контейнер контроллера домена является подразделением, Групповая политика может быть применена непосредственно к нему.

Figure 3: Group Policy Link Management

Рисунок 3. Управление Связью Групповой политики
Увеличить рисунок.

Определение области для локальных или удаленных Компьютеров

Для доступа к Групповой политике локального или удаленного компьютера необходимо добавить оснастку «Групповая политика» в консоль MMC и нацелить ее на локальном или удаленном компьютере. Для доступа к Групповой политике локального компьютера используйте консоль GPWalkthrough, созданную ранее в этом документе, и выберите узел Политика «Локальный компьютер». Вы можете добавлять другие компьютеры в поле консоли, добавив оснастку «Групповая политика» в консоль GPWalkthrough и затем, нажав кнопку Обзор в диалоговом окне Поиск объекта групповой политики, выбрав нужный компьютер.
Примечание: Некоторые расширения Групповой политики не загружаются, если Групповая политика противоречит локальному Объекту ГП.

Создание Объекта Групповой политики

Созданные установки Групповой политики содержатся в Объекте Групповой политики (ОГП),
который в свою очередь привязан к выбранным объектам Active Directory, таким как сайты, домены и подразделения.


Создание Объекта Групповой политики (ОГП)

Рекомендации: Вы можете еще больше усовершенствовать действие Объекта ГП, используя принадлежность пользователя или компьютера к разным группам безопасности и настраивая DACLs в зависимости от членства в этих группах. Как это сделать рассматривается ниже в этом документе в разделе «Фильтрация групп безопасности».

Управление Групповой политикой

Для управления Групповой политикой необходимо вызвать контекстное меню выбранного сайта, домена или подразделения и, выбрав Свойства, перейти на вкладку Групповая политика. Таким образом, отобразятся свойства Групповой политики.
Необходимо учесть следующее:

Примечание: Свойство Не перекрывать может быть выбрано для одного или более Объектов ГП. Все ОГП, с флажком Не перекрывать, будут иметь приоритет над остальными ОГП. Объект, с более высоким приоритетом, будет применен последним.

Примечание: Настройки политики в локальном ОГП применяются всегда, если только они не были специально перекрыты политиками домена. Блокировка наследования на любом уровне не перекрывает локальные политики.

Редактирование Объекта Групповой политики

Для редактирования Объекта ГП воспользуйтесь модифицированной консолью. Для этого необходимо войти на сервер HQ-RES-DC-01 с учетными данными администратора.


Редактирование Объекта Групповой политики (ОГП)

Таким способом открывается оснастка «Групповая политика», сфокусированная на Объекте под названием HQ Policy. Данный Объект в свою очередь привязан к подразделению под названием Headquarters. Это должно выглядеть, как показано на рисунке 5 ниже:

Figure 5: HQ Policy

Рисунок 5: HQ Policy
Увеличить рисунок.

Добавление Объекта Групповой политики

Диалоговое окно Добавить связь объекта групповой политики отображает Объекты ГП, ассоциированные с доменами, подразделениями или сайтами в данный момент или другими словами, все ОГП независимо от их связей. Диалоговое окно Добавить связь объекта групповой политики показано на рисунке 6 ниже:

Figure 6: Add a Group Policy Object Link

Рисунок 6: Добавить связь объекта групповой политики
Увеличить рисунок.

Top of pageНаверх страницы

 



Политики реестра

Пользовательский интерфейс для политик реестра контролируется файлами Административных шаблонов (.adm). Эти файлы описывают пользовательский интерфейс, отображаемый в узле Административные Шаблоны оснастки «Групповая политика». Файлы  Административных шаблонов совместимы с файлами .adm, используемыми Редактором системной политики (poledit.exe) в системах Microsoft Windows NT 4.0. Для Windows 2000 доступные настройки были расширены.
Примечание: Несмотря на то, что в Windows 2000 в пространство имен можно добавить любой файл .adm, при использовании файлов предыдущих версий Windows, скорее всего, ключи реестра не будет иметь никакого эффекта, так как установки реестра не сохраняются.
По умолчанию отображаются только те настройки загруженного .adm файла, которые существуют в разрешенном дереве Групповой политики. Такие настройки называются истинные политики. Это означает, что оснастка ГП не отображает компоненты, настраивающие ключи реестра вне дерева Групповой политики. Такие компоненты называются предпочтения ГП. Ниже приведены разрешенные ветви Групповой политики:

\Software\Policies
\Software\Microsoft\Windows\CurrentVersion\Policies

Групповая политика «Вывод пункта Показывать только политики» доступна в узле Конфигурации пользователя\Административные шаблоны в ветке Система\Групповая политика. Если эта политика включена, то команда «Показывать только политики» будет применена, и администратор не сможет ее отключить. В результате оснастка «Групповая политика» будет отображать только истинные политики. Если отключить данную политику или оставить ее без изменений, команда «Показывать только политики» будет включена по умолчанию, но администраторы могут просматривать предпочтения, отключив команду «Показывать только политики». Данная опция доступна в узле Административные шаблоны (в ветвях Конфигурации пользователя или Конфигурации компьютера). Для этого в меню консоли Групповой политики нажмите Вид и снимите флажок «Показывать только политики». Учтите, что для этой политики невозможно сохранить выбранное состояние. Это происходит из-за того, что не существует параметров позволяющих сохранить выбранные настройки.
В редакторе Групповой политики предпочтения помечаются красным значком, в отличие от истинных политик, которые помечаются синим значком.
Не рекомендуется использовать предпочтения в инфраструктуре Групповой политики, так как состояние политики «Показывать только политики» не сохраняется, как это было уже объяснено выше. Чтобы настроить политики реестра для клиентов в системах Windows NT 4.0, Windows 95 и Windows 98, воспользуйтесь системным редактором политик Windows NT 4.0 - Poledit.exe.
По умолчанию файлы System.adm, Inetres.adm и Conf.adm загружаются в пространство имен, как показано на рисунке 7 ниже:

Figure 7: User Configuration

Рисунок 7. Конфигурации Пользователя
Увеличить рисунок.


Файлы .adm включают следующие настройки:

Добавление Административных Шаблонов

Файл с расширением .adm содержит иерархическую структуру категорий и подкатегорий, совокупность которых определяет организацию параметров в пользовательском интерфейсе Групповой политики.


Добавление административного шаблона (файлы .adm)

Настройка системной политики, с использованием административных шаблонов

Теперь, если Вы зайдете на рабочую станцию домена reskit.com с учетными данными любого пользователя подраздела Headquarters, Вы заметите, что меню Выполнить отсутствует.
Вы можете поэкспериментировать с другими доступными политиками. Смотрите вкладку Объяснения для информации по каждой политике.

Top of pageНаверх страницы

 

Сценарии

Вы можете настроить сценарии, выполняемые на входе/выходе пользователя из системы или при запуске/завершении работы компьютера. Разрешается использовать любые сценарии, совместимые с Сервером Сценариев Windows (WSH). Такими могут быть Java Scripts или VB Scripts, а также .bat и .cmd файлы. Ссылки на дополнительную информацию по Серверу Сценариев Windows (WSH) находятся в разделе Дополнительная Информация в конце этого документа.

Настройка сценария Входа в систему

Используйте данное руководство для добавления сценариев, выполняемых во время входа пользователя в систему.
Примечание: Данное руководство использует сценарий Welcome2000.js, представленный в Приложении А этого документа. В приложение включены инструкции по созданию и сохранению файла сценария. Перед тем, как приступить к изучению руководства по настройке сценариев, выполняемых на входе в систему, необходимо создать файл Welcome2000.js и скопировать его в контроллер домена HQ-RES-DC-01.


Настройка сценариев входа в систему

Выполнив вышеуказанные действия, зайдите на рабочую станцию с учетными данными любого пользователя подразделения Headquarters и убедитесь, что скрипт запускается при входе в систему.

Настройки сценария выхода из системы, загрузки или завершения работы компьютера

Используя процедуру, описанную выше, Вы также можете настроить сценарии, запускаемые:

Другие настройки сценариев

По умолчанию сценарии ГП, выполняемые в командной строке (такие как файлы .bat или .cmd), выполняются скрытно, а наследуемые сценарии по умолчанию выполняются открыто (как это было в Windows NT 4.0). Тем не менее, существует Групповая политика, позволяющая изменять видимость выполнения сценариев. Для пользователей эти политики называются Выполнять сценарии загрузки с отображением команд и Выполнять сценарии выхода с отображением команд. Они доступны в узле Конфигурации пользователя\Административные шаблоны в ветке Система\Вход/выход. Для компьютеров существует Групповая политика - Выполнять сценарии загрузки с отображением команд, она доступна в узле Конфигурации компьютера\Административные шаблоны в ветке Система\Вход.

Top of pageНаверх страницы

 

Фильтрация Групп Безопасности

Изменяя принадлежность пользователя или компьютера к той или иной группе безопасности, можно изменять поведение любого Объекта ГП. Для этого используйте вкладку Безопасность в свойствах Объекта ГП для указания Избирательных таблиц управления доступом (DACLs). Избирательные таблицы управления доступом (DACLs) используются для увеличения производительности. Более детально это было рассмотрено в технических документах, упомянутых выше в этом руководстве. Фильтрация групп безопасности позволяет более гибкое создание и развертывание Объектов ГП и содержащихся в них политик. По умолчанию любые Объекты ГП действуют на всех пользователей и компьютеры, находящиеся в связанном сайте, домене или подразделении. Использование Избирательных таблиц управления доступом (DACLs) позволяет включать или исключать членов какой-либо группы безопасности, чтобы изменить действие любого Объекта ГП.
Избирательные таблицы управления доступом (DACLs) можно изменять, используя стандартную вкладку Windows 2000 - Безопасность, которая доступна в Свойствах любого Объекта ГП.

Доступ к свойствам ОГП из свойств Групповой политики домена или подразделения

Варианты настроек могут включать:

Примечание: Вы можете использовать такие же типы настроек безопасности для сценария Входа, который Вы создали в предыдущем разделе. Возможно, настроить сценарии так, чтобы они выполнялись только для членов выбранной группы или для всех, кроме какой-либо указанной группы.
Фильтрация групп безопасности имеет две функции. Во-первых, определить, какие группы подвержены выбранному ОГП. Во-вторых, определить, какая из групп администраторов может изменять ОГП (назначив Полный Доступ определенной группе администраторов). Это рекомендуется, поскольку снижается вероятность внесения одновременных изменений несколькими администраторами.

Top of pageНаверх страницы

 



Блокировка наследования и Блокировка сверху

Блокировка наследования и Блокировка сверху позволяют контролировать правила наследования, выставленные по умолчанию. В этой инструкции Вы настроите Объект ГП в подразделении Accounts, по умолчанию применяемый к пользователям (и компьютерам) в подразделениях Headquarters, Production и  Marketing.
Затем Вы создадите другой Объект ГП в подразделении Accounts и настроите его с опцией Блокировка сверху. Блокировка сверху применяется к дочерним подразделениям, даже если для этого подразделения установлены конфликтующие настройки ОГП.
После чего Вы будете использовать Блокировку наследования, чтобы предотвратить применение Групповых политик родительского сайта, домена или подразделения к подразделению Production.
В данную секцию также включено описание того, как повысить производительность, запретив некоторые части ОГП (GPO).

Настройка среды

Для действий в этой секции сначала необходимо настроить среду.


Настройка среды ОГП

Теперь, если Вы войдете на рабочую станцию с учетными данными пользователя в любом дочернем подразделении Accounts, Вы заметите, что Диспетчер задач более не может быть запущен – вкладка просто не доступна при комбинации клавиш CTRL+SHIFT+ESC и CTRL+ALT+DEL. Вдобавок, Active Desktop так же не может быть включен. Если Вы щелкните правой кнопкой мыши на Рабочем столе и выберите Свойства, Вы увидите, что вкладка Web отсутствует.
Как дополнительный шаг, Вы можете полярно развернуть настройки политики «Отключить Диспетчер задач» в каком-либо Объекте ГП, связанном с любым дочерним подразделением Accounts (Headquarters, Production, Marketing). Для этого измените переключатель для этой политики.
Примечание: Это действие не окажет никакого влияния, пока включен Объект ГП - Enforced User Policies в подразделении Accounts.

Отключение частей Объекта Групповой политики

Так как созданные ранее Объекты ГП используются только для конфигураций пользователя, то часть ОГП (GPO), отвечающая за настройки компьютера, может быть отключена. Это снизит время загрузки компьютера, так как Объекты ГП компьютера не нуждаются в проверке на существование. В этой инструкции не рассматриваются компьютеры, на которых распространяется действие этих двух Объектов ГП, поэтому отключение части Объекта ГП не несет очевидной пользы. Тем не менее, так как данные Объекты ГП в дальнейшем могут быть связаны с другим подразделением, которое может содержать настройки для компьютеров, Вы, возможно, захотите отключить «компьютерную» часть этих Объектов ГП.


Отключение Компьютерной части Объекта ГП

Блокировка наследования

Можно заблокировать наследование политик так, чтобы один Объект ГП не переписывал политику другого Объекта в лестнице иерархии. После блокировки наследования на пользователей данного подразделения действуют только настройки Enforced User Policies.


Блокировка наследования Групповой политики для подразделения Production

Чтобы убедиться, что настройки наследования теперь заблокированы, войдите в систему с учетными данными пользователя подразделения Production. Обратите внимание, что закладка Web теперь присутствует в свойствах экрана. Также обратите внимание, что Диспетчер задач по прежнему не доступен, так как для него был выставлен параметр «Блокировка сверху» в родительском подразделении.

Top of pageНаверх страницы

 

Связь Объекта ГП с несколькими сайтами, доменами и подразделениями

В этом разделе рассматривается соединение одного Объекта ГП с несколькими контейнерами (сайт, домен, подразделение) в Active Directory. В зависимости от точной конфигурации подразделения можно использовать другие способы для достижения такого же результата. Например, Вы можете использовать фильтрацию по группам безопасности или блокировку наследования. Тем не менее, в некоторых случаях описанные методы не дают нужного эффекта.
Если Вам когда-либо понадобится отдельно указать, какие сайты, домены или подразделения подвергаются одинаковому набору политик, используйте метод, описанный ниже:
Связь ОГП с несколькими сайтами, доменами и подразделениями

Следующим шагом Вы подключите Linked Policies ОГП к другому подразделению.

Так образом Вы связали один Объект ГП с двумя подразделениями. Изменения в Объекте ГП, сделанные из любого места, будут иметь эффект на оба подразделения. Это можно проверить, изменив какие-либо политики в ОГП Linked Policies, а потом войдя в систему в каждом из подразделений Headquarters и Production.

Top of pageНаверх страницы

 

Процесс замыкания на себя

Этот раздел демонстрирует, как использование процесса замыкания на себя позволяет применять различные наборы групповых политик в зависимости от того, на какой компьютер вошел пользователь. Это полезно, когда Вам необходимо применять различные пользовательские политики на разных компьютерах. Существует два метода. Первый позволяет применение настроек данного пользователя, также как и применяет политики, в зависимости от того, на каком компьютере работает пользователь. Второй метод не применяет настройки пользователя, а только применяет политики, в зависимости от списка Объектов ГП для данного компьютера. Детально этот метод был рассмотрен в технической документации Групповой политики, упомянутой выше в этом документе.


Использование политики замыкания на себя

Следующим шагом будет настройка несколько полити Конфигурации пользователя, используя кнопку Следующая политика в диалоговом окне политики.

Политика

Параметры

Удалить стандартные программы из меню Пуск

Включена

Удалить документы из меню Пуск

Включена

Отключить программы в меню Установки

Включена

Удалить Сетевые подключения из меню Пуск

Включена

Удалить Избранные из меню Пуск

Включена

Удалить Поиск из меню Пуск

Включена

Удалить Справку из меню Пуск

Включена

Удалить команду Выполнить из меню Пуск

Включена

Добавить Выход в меню Пуск

Включена

Отключить Выход в меню Пуск

Не задана

Отключить и удалить команду Выключить

Не задана

Отключить перетаскивание контекстного меню в меню Пуск

Включена

Отключить изменения для Панели задач и настроек меню Пуск.

Включена

Отключить контекстное меню панели задач

Включена

Не сохранять историю недавно открываемых документов

Включена

Очищать историю недавно открываемых документов на выходе

Включена

Политика

Параметры

Спрятать Убрать Мои документы из меню Пуск

Включена

Спрятать значок Мои сетевые ресурсы на рабочем столе

Включена

Спрятать значок Internet Explorer на рабочем столе

Включена

Запретить пользователю изменять путь к Моим документам

Включена

Отключить добавление, перетаскивание и закрытие панели задач и его компонентов

Включена

Отключить регулировку панелей инструментов рабочего стола

Включена

Не сохранять настройки на выходе

Включена

В данный момент для пользователей компьютеров в подразделении Desktops нет применяемых политик. Вместо этого для них настроены политики пользователя в Объекте ГП Loopback Policies. Вы можете использовать инструкцию в разделе Фильтрация по группам безопасности, чтобы ограничить политику Loopback Policies для определенных групп компьютеров. Альтернативно, Вы можете перенести некоторые компьютеры в другое подразделение.
Для следующего примера необходимо создать группу безопасности No Loopback. Для этого воспользуйтесь оснасткой Active Directory - пользователи и компьютеры, выберите контейнер по названием Groups, нажмите Создать и создайте глобальную группу безопасности.
В этом примере из политики замыкания на себя мы исключим компьютеры, принадлежащие к группе безопасности No Loopback. Следуйте шагам, описанным ниже:

Top of pageНаверх страницы

 



Другие сценарии Групповой политики

Теперь, когда Вы ознакомились с методами администрирования Групповой политики, Вы, возможно, захотите установить некоторые параметры безопасности, сделать установки программного обеспечения или перенаправить такие папки, как Мои документы. Как это сделать было детально рассмотрено в следующих пошаговых руководствах, доступных на веб-сайте Windows 2000 Server:

Top of pageНаверх страницы

 

Дополнительная информация

Для помощи в конкретных ситуациях во время установки и/или использованию Windows 2000 смотрите интерактивную справку Windows 2000 Professional http://windows.microsoft.com/windows2000/en/professional/help/
А также интерактивную справку Windows 2000 Server http://windows.microsoft.com/windows2000/en/server/help/.

Для помощи в подборе наиболее подходящих примеров развертывания для Вашей организации обратитесь к руководству по планировке и полной развертке Windows 2000 http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/w2rkbook/dpg.asp.

Для дополнительной информации о Групповой политике обратитесь к технической документации Windows 2000 http://www.microsoft.com/downloads/details.aspx?familyid=354B9F45-8AA6-4775-9208-C681A7043292&displaylang=en. Эта документация включает в себя:

Документация также включает в себя инструкции по созданию административных шаблонов (файлов .adm).

За дополнительной информацией по Серверу сценариев Windows обращайтесь к официальной документацию по ссылке http://www.microsoft.com/windows2000/docs/winscrwp.doc.

Для дополнительной информации по использованию консоли MMC обращайтесь к официальной документации Обзор консоли управления (Microsoft Management Console Overview) http://www.microsoft.com/windows2000/techinfo/howitworks/management/mmcover.asp, а также Пошаговое руководство по Консоли управления ММС (MMC).

Для дополнительной информации по файлам .adm, устойчивым настройкам реестра и использованию Редактора системной политики Windows NT 4.0 смотрите техническую документацию по Групповой политике Windows 2000 http://www.microsoft.com/downloads/details.aspx?familyid=354B9F45-8AA6-4775-9208-C681A7043292&displaylang=en и Внедрение профилей и политик в Windows NT 4.0 http://www.microsoft.com/technet/archive/winntas/maintain/featusability/prof_pol.mspx.

Top of pageНаверх страницы

 

Приложение А. Пример сценария Welcome2000.js

Используйте код приведенного ниже примера для создания и сохранения сценария Welcome2000.js.


Создание и сохранения сценария

Пример кода сценария Welcome2000.js.
// Script Sample for Windows Script Host
//
// Define constant values.
//
var MB_ICONINFORMATION  = 0x40;
var MB_ICONQUESTION     = 0x20;
var MB_ICONYESNO        = 0x04
var IDYES               = 6;
var IDTIMEOUT           = -1;
var POPUP_WAIT          = 5;   // close popup after 5 seconds.
//
// Create ActiveX Controls
//
var Shell = WScript.CreateObject("WScript.Shell")
var Env = Shell.Environment("PROCESS")
//
// Set greeting message.
//
var strTitle = "Sample Login Script";
var strMsg = "Welcome \"" + Env("UserName")
strMsg += "\" to the \"" + Env("UserDomain") + "\" domain\r\n\r\n"
Shell.Popup(strMsg, POPUP_WAIT, strTitle, MB_ICONINFORMATION);
//
// Launch Internet Explorer if user wants.
//
strMsg = "Do you want to visit the Windows 2000 web site?";
var strURL;
strURL = "http://www.microsoft.com/windows";
var intAnswer = Shell.Popup(strMsg,
POPUP_WAIT,
strTitle,
MB_ICONQUESTION | MB_ICONYESNO );
if (intAnswer == IDYES) {
Shell.Run(strURL);
}

Top of pageНаверх страницы


Обсуждение статьи на форуме

Ссылка: http://www.oszone.net/3981/Step-by-Step_Guide_to_Understanding_the_Group_Policy