NT club. Часть 14. Group policy
NT club. Часть 14. Group policy
— Меня на планету, где не знают, кто перед кем должен приседать — чушь!
(с) "Кин-дза-дза!"
Продолжим тему нетрадиционного использования средств администрирования NT-систем;). На этот раз поговорим о такой концептуальной для домена Active Directory вещи, как групповая политика (Group policy). Не пугайтесь слова "домен" — о нем речь идти не будет, мы рассмотрим применение групповой политики только на локальной машине.
Сначала, как всегда, немного теории.
Для эффективного управления пользователями и компьютерами еще в Windows NT 4.0 существовала системная политика, хранящая свои параметры в реестре (она по умолчанию поддерживается и более поздними версиями ОС). С помощью редактора системной политики (System Policy Editor) мы могли изменять заданные установки, тем самым конфигурируя рабочую среду пользователей. Однако данный механизм был весьма ограничен — подробности опустим. С появлением на рынке ОС Windows 2000 и службы каталогов Active Directory ситуация изменилась в лучшую сторону. Теперь мы имеем в своем распоряжении гибкое средство по определению параметров для пользователей и компьютеров — групповые правила (политику). Данный механизм разработан в первую очередь для применения в домене, где показывает всю свою мощь, однако наша статья рассчитана на домашнего пользователя, не обремененного обязанностью администрирования сети компьютеров, объединенных в домен, поэтому рассмотрим только применение групповой политики на одном локальном компьютере.
К слову, даже если у вас есть домашняя сеть, т.е. рабочая группа, а не домен, то с помощью групповых правил вы сможете управлять только своей машиной либо удаленной при соответствующих правах, но не в коем разе не всей сетью. Да зачем это нам нужно? Скажем так, у вас в ОС зарегистрировано несколько пользователей (для NT это закономерность) и вам, как местному администратору, хотелось бы немножко "подправить" настройки программ, в том числе и рабочего стола Windows (отключить всем, скажем, Панель управления от греха подальше), изменить параметры безопасности системы по умолчанию, причем так, чтобы обратно все смогли вернуть только вы. С помощью групповой политики все это делается в один присест. Так что приступим к изучению предмета.
Подробности
Как уже говорилось, групповые правила применяются для конфигурирования пользователей и компьютеров и никак иначе. К группам безопасности правила применять нельзя, однако тут возможно обратное действие — фильтрация правил для отдельных групп. Продолжать данную тему не будем — это удел администраторов домена.
Для пользователей можно конфигурировать следующие параметры:
— поведение ОС;
— параметры рабочего стола;
— параметры приложений;
— параметры безопасности;
— параметры назначенных и опубликованных приложений (только для домена);
— сценарии регистрации пользователя в системе и выхода из нее;
— параметры перенаправления папок (только для домена).
Данные правила применяются при входе пользователя в систему (при регистрации) и во время периодических циклов обновления (с контроллеров домена, в случае наличия самого домена).
Для каждого отдельного компьютера имеется набор следующих параметров:
— поведение ОС;
— параметры рабочего стола;
— параметры приложений;
— параметры безопасности;
— параметры приложений, назначенных для компьютера (только для домена);
— сценарии запуска и выключения компьютера.
Эти правила применяются при инициализации ОС, т.е. загрузке, и во время периодических циклов обновления.
Правила групповой политики хранятся в объектах групповой политики, а не в реестре, что было свойственно для системной политики NT 4.0. Объекты бывают двух типов: локальные и нелокальные. Первые хранятся на каждой клиентской машине, вторые — на контроллерах доменов и действуют на сайт, домен, подразделение. Нелокальные правила в случае конфликта перекрывают локальные, иначе просто добавляют свои параметры. Мы рассмотрим только локальный объект. Физически он хранится в папке %System Root%\system32\GroupPolicy. Данная папка имеет следующую структуру (для XP):
Adm — содержит административные шаблоны (.adm);
Machine — данные, специфичные для компьютера;
Scripts — сценарии для компьютера;
Shutdown — сценарии выключения машины;
Startup — сценарии запуска машины;
Registry.pol — файл, содержащий изменения, которые будут внесены в ветку HKEY_ LOCAL_MACHINE реестра;
User — данные, специфичные для пользователя;
Scripts — сценарии для пользователя;
Logoff — сценарии выхода из системы;
Logon — сценарии регистрации в системе;
Registry.pol — файл, содержащий изменения, которые будут внесены в ветку HKEY_ CURRENT_USER реестра;
gpt.ini — некоторые настройки групповой политики и номер версии.
Учтите, что в зависимости от выбранных правил содержимое и структура локального объекта групповых правил может изменяться, хотя приведенная информация является основополагающей. Теперь рассмотрим процесс (упрощенный) применения правил групповой политики для компьютера, не входящего в домен.
1. Запуск компьютера и сети. Запуск поддержки удаленного вызова процедур (RPC).
2. Применение политики для компьютера, пользовательский интерфейс не отображается.
3. Запускаются сценарии автозагрузки. Это происходит по умолчанию скрыто и синхронизировано; каждый сценарий должен быть завершен или прерван до запуска следующего. Таймаут по умолчанию 600 секунд.
4. Для входа в систему пользователь нажал клавиши CTRL-ALT-DEL (по умолчанию для Windows 2000).
5. После проверки пользователя (аутентификации) загружается профиль пользователя.
6. Применяется пользовательская политика, пользовательский интерфейс не отображается.
7. Запускаются сценарии входа. По умолчанию они работают скрытно и асинхронно, параллельно с запуском Проводника.
8. Пользовательский интерфейс операционной системы назначается групповой политикой.
Применение
Для начала запустим оснастку групповой политики (как видите, большинство средств администрирования работает именно через MMC). Сделать это можно так: нажать Win+R и ввести gpedit.msc. При этом редактор запустится для правки локального объекта групповых правил данного компьютера, если же его запускать из консоли MMC путем добавления оснастки, то можно указать конкретный компьютер в сети. Ну, а теперь рассмотрим, что реально нам позволяют сделать групповые правила через данную оснастку. Как видно на рисунке 1, политика делится на конфигурацию пользователя и компьютера, как и было ранее сказано (для сокращения объема статьи я буду приводить только русские названия элементов интерфейса; те, кто пользуется английским вариантом ОС, думаю, без труда их переведут на English). В свою очередь обе группы предоставляют нам следующие основные возможности (для домена их будет побольше):
— Сценарии — позволяют автоматизировать процесс включения/выключения компьютера, а также входа/выхода пользователя из системы. Их использование целесообразно для компьютера, входящего в состав домена.
— Параметры безопасности — определяют параметры безопасности локальной системы. Данная тема очень обширна, поэтому мы поговорим о ней всерьез в другой раз.
— Административные шаблоны — содержат параметры ОС и ее компонентов, хранимые в реестре.
Замечу, что воздействие групповой политики на компьютер реализуется с помощью вспомогательных компонентов, расширений на клиентской стороне, представляющих собой обычные DLL.
Наибольший интерес для нас представляют административные шаблоны. Итак, административные шаблоны — это файлы с расширением .adm, в которых в текстовом виде записаны параметры, модифицирующие реестр компьютера (ветку HKLM для параметров компьютера и HKCU — для пользователя). По умолчанию, к административным шаблонам относятся (перечислим только основные):
— Компоненты Windows — содержат сведения о системных приложениях Windows, таких как Internet Explorer, Microsoft Management Console etc.
— Система — позволяет изменять системные правила, например, параметры регистрации пользователя, групповой политики, защиты файлов
и т.д.
— Сеть — как можно догадаться, содержит настройки сети.
— Принтеры — параметры подключенных к системе локальных и удаленных принтеров.
— Панель задач и меню Пуск — позволяет управлять свойствами и содержимым данных элементов интерфейса.
— Рабочий стол — управляет свойствами рабочего стола, а также параметрами Active Desktop.
— Панель управления — настраивает количество элементов в Панели управления и возможности по их управлению.
Довольно богатые возможности, не правда ли? Так давайте ими воспользуемся! Попробуем, например, отключить доступ к дискам из Проводника. Находим ветвь Конфигурация пользователя\Административные шаблоны\ Компоненты Windows\Проводник, а в ней — ключ Запретить доступ к дискам через "Мой компьютер" (см. рис 2), и "кликаем" на него 2 раза.
Тут нужны пояснения. Как видно на рисунке, окно изменения свойств имеет две закладки: Параметр и Объяснение.
В первой производится непосредственное редактирование свойства, а вторая служит справочной системой по данному параметру.
Параметр может быть включен, отключен и не задан. Когда он включен, соответствующее значение заносится в нужный ключ реестра; если он отключен, то в реестр заносится другое значение (либо ключ удаляется), а при не заданном параметре в реестре никаких изменений не происходит, при этом используется значение по умолчанию.
Ко всему прочему, свойство может иметь несколько дополнительных параметров, указанных ниже (у нас такой случай). В XP появилась строка "Поддерживается", указывающая на версию ОС, для которой доступно редактирование данной опции.
После повторного входа в систему (нужно, чтобы политика пришла в силу) мы обнаруживаем отсутствие доступа к указанным дискам из Проводника, что и требовалось доказать.
Замечание: групповая политика действует на всех пользователей, разграничить ее воздействие на отдельные группы можно, судя по всему, только при наличии домена.
Теперь поговорим о создании административных шаблонов. В комплекте с ОС идет ряд шаблонов, таких как System.adm, Inetres.adm и др., предназначенных для базового конфигурирования системы. Вполне возможно, что вам захочется дополнить возможности данных шаблонов способностью настраивать другие приложения (если, конечно, они хранят свои настройки в реестре). Редактировать уже имеющиеся шаблоны не рекомендуется, поэтому лучше создать новый шаблон, а потом добавить его к уже имеющимся. Это можно сделать, щелкнув правой кнопкой на ветке Административные шаблоны в оснастке Групповая политика и выбрав пункт Добавление и удаление шаблонов. (см. рис. 3). После проверки синтаксиса новый шаблон будет загружен в систему.
Все шаблоны лежат в паке %SystemRoot%\inf. Они представляют собой обыкновенные текстовые файлы в формате UNICODE (точнее, двухбайтовый UNICODE — UTF16), поэтому редактировать и создавать новые шаблоны можно в Блокноте. Описание формата шаблона можно найти в справочной системе Windows. Следует отметить, что все параметры групповой политики для приложений (если вы их разработчик) нужно хранить в следующих ветках реестра: HKLM\SOFTWARE\Policies; HKCU\Software\Policies; (HKCU или HKLM)\Software\Microsoft\ Windows\CurrentVersion\Policies, как делает система. Дело в том, что только для этих веток при отключении параметра он удаляется из реестра.
На этом стоит пока остановиться. Экспериментируйте, но только обдуманно и осторожно.
Все вопросы и пожелания шлите на мой адрес электронной почты.
До скорого!
Creator, creator_vom@tut.by
— Меня на планету, где не знают, кто перед кем должен приседать — чушь!
(с) "Кин-дза-дза!"
Продолжим тему нетрадиционного использования средств администрирования NT-систем;). На этот раз поговорим о такой концептуальной для домена Active Directory вещи, как групповая политика (Group policy). Не пугайтесь слова "домен" — о нем речь идти не будет, мы рассмотрим применение групповой политики только на локальной машине.
Сначала, как всегда, немного теории.
Для эффективного управления пользователями и компьютерами еще в Windows NT 4.0 существовала системная политика, хранящая свои параметры в реестре (она по умолчанию поддерживается и более поздними версиями ОС). С помощью редактора системной политики (System Policy Editor) мы могли изменять заданные установки, тем самым конфигурируя рабочую среду пользователей. Однако данный механизм был весьма ограничен — подробности опустим. С появлением на рынке ОС Windows 2000 и службы каталогов Active Directory ситуация изменилась в лучшую сторону. Теперь мы имеем в своем распоряжении гибкое средство по определению параметров для пользователей и компьютеров — групповые правила (политику). Данный механизм разработан в первую очередь для применения в домене, где показывает всю свою мощь, однако наша статья рассчитана на домашнего пользователя, не обремененного обязанностью администрирования сети компьютеров, объединенных в домен, поэтому рассмотрим только применение групповой политики на одном локальном компьютере.
К слову, даже если у вас есть домашняя сеть, т.е. рабочая группа, а не домен, то с помощью групповых правил вы сможете управлять только своей машиной либо удаленной при соответствующих правах, но не в коем разе не всей сетью. Да зачем это нам нужно? Скажем так, у вас в ОС зарегистрировано несколько пользователей (для NT это закономерность) и вам, как местному администратору, хотелось бы немножко "подправить" настройки программ, в том числе и рабочего стола Windows (отключить всем, скажем, Панель управления от греха подальше), изменить параметры безопасности системы по умолчанию, причем так, чтобы обратно все смогли вернуть только вы. С помощью групповой политики все это делается в один присест. Так что приступим к изучению предмета.
Подробности
Как уже говорилось, групповые правила применяются для конфигурирования пользователей и компьютеров и никак иначе. К группам безопасности правила применять нельзя, однако тут возможно обратное действие — фильтрация правил для отдельных групп. Продолжать данную тему не будем — это удел администраторов домена.
Для пользователей можно конфигурировать следующие параметры:
— поведение ОС;
— параметры рабочего стола;
— параметры приложений;
— параметры безопасности;
— параметры назначенных и опубликованных приложений (только для домена);
— сценарии регистрации пользователя в системе и выхода из нее;
— параметры перенаправления папок (только для домена).
Данные правила применяются при входе пользователя в систему (при регистрации) и во время периодических циклов обновления (с контроллеров домена, в случае наличия самого домена).
Для каждого отдельного компьютера имеется набор следующих параметров:
— поведение ОС;
— параметры рабочего стола;
— параметры приложений;
— параметры безопасности;
— параметры приложений, назначенных для компьютера (только для домена);
— сценарии запуска и выключения компьютера.
Эти правила применяются при инициализации ОС, т.е. загрузке, и во время периодических циклов обновления.
Правила групповой политики хранятся в объектах групповой политики, а не в реестре, что было свойственно для системной политики NT 4.0. Объекты бывают двух типов: локальные и нелокальные. Первые хранятся на каждой клиентской машине, вторые — на контроллерах доменов и действуют на сайт, домен, подразделение. Нелокальные правила в случае конфликта перекрывают локальные, иначе просто добавляют свои параметры. Мы рассмотрим только локальный объект. Физически он хранится в папке %System Root%\system32\GroupPolicy. Данная папка имеет следующую структуру (для XP):
Adm — содержит административные шаблоны (.adm);
Machine — данные, специфичные для компьютера;
Scripts — сценарии для компьютера;
Shutdown — сценарии выключения машины;
Startup — сценарии запуска машины;
Registry.pol — файл, содержащий изменения, которые будут внесены в ветку HKEY_ LOCAL_MACHINE реестра;
User — данные, специфичные для пользователя;
Scripts — сценарии для пользователя;
Logoff — сценарии выхода из системы;
Logon — сценарии регистрации в системе;
Registry.pol — файл, содержащий изменения, которые будут внесены в ветку HKEY_ CURRENT_USER реестра;
gpt.ini — некоторые настройки групповой политики и номер версии.
Учтите, что в зависимости от выбранных правил содержимое и структура локального объекта групповых правил может изменяться, хотя приведенная информация является основополагающей. Теперь рассмотрим процесс (упрощенный) применения правил групповой политики для компьютера, не входящего в домен.
1. Запуск компьютера и сети. Запуск поддержки удаленного вызова процедур (RPC).
2. Применение политики для компьютера, пользовательский интерфейс не отображается.
3. Запускаются сценарии автозагрузки. Это происходит по умолчанию скрыто и синхронизировано; каждый сценарий должен быть завершен или прерван до запуска следующего. Таймаут по умолчанию 600 секунд.
4. Для входа в систему пользователь нажал клавиши CTRL-ALT-DEL (по умолчанию для Windows 2000).
5. После проверки пользователя (аутентификации) загружается профиль пользователя.
6. Применяется пользовательская политика, пользовательский интерфейс не отображается.
7. Запускаются сценарии входа. По умолчанию они работают скрытно и асинхронно, параллельно с запуском Проводника.
8. Пользовательский интерфейс операционной системы назначается групповой политикой.
Применение
Для начала запустим оснастку групповой политики (как видите, большинство средств администрирования работает именно через MMC). Сделать это можно так: нажать Win+R и ввести gpedit.msc. При этом редактор запустится для правки локального объекта групповых правил данного компьютера, если же его запускать из консоли MMC путем добавления оснастки, то можно указать конкретный компьютер в сети. Ну, а теперь рассмотрим, что реально нам позволяют сделать групповые правила через данную оснастку. Как видно на рисунке 1, политика делится на конфигурацию пользователя и компьютера, как и было ранее сказано (для сокращения объема статьи я буду приводить только русские названия элементов интерфейса; те, кто пользуется английским вариантом ОС, думаю, без труда их переведут на English). В свою очередь обе группы предоставляют нам следующие основные возможности (для домена их будет побольше):
— Сценарии — позволяют автоматизировать процесс включения/выключения компьютера, а также входа/выхода пользователя из системы. Их использование целесообразно для компьютера, входящего в состав домена.
— Параметры безопасности — определяют параметры безопасности локальной системы. Данная тема очень обширна, поэтому мы поговорим о ней всерьез в другой раз.
— Административные шаблоны — содержат параметры ОС и ее компонентов, хранимые в реестре.
Замечу, что воздействие групповой политики на компьютер реализуется с помощью вспомогательных компонентов, расширений на клиентской стороне, представляющих собой обычные DLL.
Наибольший интерес для нас представляют административные шаблоны. Итак, административные шаблоны — это файлы с расширением .adm, в которых в текстовом виде записаны параметры, модифицирующие реестр компьютера (ветку HKLM для параметров компьютера и HKCU — для пользователя). По умолчанию, к административным шаблонам относятся (перечислим только основные):
— Компоненты Windows — содержат сведения о системных приложениях Windows, таких как Internet Explorer, Microsoft Management Console etc.
— Система — позволяет изменять системные правила, например, параметры регистрации пользователя, групповой политики, защиты файлов
и т.д.
— Сеть — как можно догадаться, содержит настройки сети.
— Принтеры — параметры подключенных к системе локальных и удаленных принтеров.
— Панель задач и меню Пуск — позволяет управлять свойствами и содержимым данных элементов интерфейса.
— Рабочий стол — управляет свойствами рабочего стола, а также параметрами Active Desktop.
— Панель управления — настраивает количество элементов в Панели управления и возможности по их управлению.
Довольно богатые возможности, не правда ли? Так давайте ими воспользуемся! Попробуем, например, отключить доступ к дискам из Проводника. Находим ветвь Конфигурация пользователя\Административные шаблоны\ Компоненты Windows\Проводник, а в ней — ключ Запретить доступ к дискам через "Мой компьютер" (см. рис 2), и "кликаем" на него 2 раза.
Тут нужны пояснения. Как видно на рисунке, окно изменения свойств имеет две закладки: Параметр и Объяснение.
В первой производится непосредственное редактирование свойства, а вторая служит справочной системой по данному параметру.
Параметр может быть включен, отключен и не задан. Когда он включен, соответствующее значение заносится в нужный ключ реестра; если он отключен, то в реестр заносится другое значение (либо ключ удаляется), а при не заданном параметре в реестре никаких изменений не происходит, при этом используется значение по умолчанию.
Ко всему прочему, свойство может иметь несколько дополнительных параметров, указанных ниже (у нас такой случай). В XP появилась строка "Поддерживается", указывающая на версию ОС, для которой доступно редактирование данной опции.
После повторного входа в систему (нужно, чтобы политика пришла в силу) мы обнаруживаем отсутствие доступа к указанным дискам из Проводника, что и требовалось доказать.
Замечание: групповая политика действует на всех пользователей, разграничить ее воздействие на отдельные группы можно, судя по всему, только при наличии домена.
Теперь поговорим о создании административных шаблонов. В комплекте с ОС идет ряд шаблонов, таких как System.adm, Inetres.adm и др., предназначенных для базового конфигурирования системы. Вполне возможно, что вам захочется дополнить возможности данных шаблонов способностью настраивать другие приложения (если, конечно, они хранят свои настройки в реестре). Редактировать уже имеющиеся шаблоны не рекомендуется, поэтому лучше создать новый шаблон, а потом добавить его к уже имеющимся. Это можно сделать, щелкнув правой кнопкой на ветке Административные шаблоны в оснастке Групповая политика и выбрав пункт Добавление и удаление шаблонов. (см. рис. 3). После проверки синтаксиса новый шаблон будет загружен в систему.
Все шаблоны лежат в паке %SystemRoot%\inf. Они представляют собой обыкновенные текстовые файлы в формате UNICODE (точнее, двухбайтовый UNICODE — UTF16), поэтому редактировать и создавать новые шаблоны можно в Блокноте. Описание формата шаблона можно найти в справочной системе Windows. Следует отметить, что все параметры групповой политики для приложений (если вы их разработчик) нужно хранить в следующих ветках реестра: HKLM\SOFTWARE\Policies; HKCU\Software\Policies; (HKCU или HKLM)\Software\Microsoft\ Windows\CurrentVersion\Policies, как делает система. Дело в том, что только для этих веток при отключении параметра он удаляется из реестра.
На этом стоит пока остановиться. Экспериментируйте, но только обдуманно и осторожно.
Все вопросы и пожелания шлите на мой адрес электронной почты.
До скорого!
Creator, creator_vom@tut.by
Компьютерная газета. Статья была опубликована в номере 24 за 2003 год в рубрике soft :: win