В каждой новой версии Windows — и это в первую очередь касается сферы групповых политик — реализуются уникальные дополнительные возможности: новые модули управления, новые средства и функции, которые избавляют нас от необходимости бегать от компьютера к компьютеру, решая ту или иную задачу. Как правило, все эти средства реализуются в операционной системе. Так, когда на рынке появилась версия Windows Vista, к ней прилагались политика Wired Ethernet, политика Enterprise QoS, новый механизм управления принтерами и т.д.
В 2007 году корпорация Microsoft выпустила дополнительный набор функций групповых политик Group Policy Preferences. Некоторые функции Group Policy Preferences имеют имена, сходные с именами базовых функций групповых политик, и потенциально дублируют их, но в данной статье я хочу показать, как использовать эти новые возможности так, чтобы получить от механизма групповых политик максимальную отдачу.
Где найти Group Policy Preferences
Всего в набор Group Policy Preferences входит 21 функция. Можно подумать, что для размещения такого количества новых функций необходим большой объем программных средств. На самом же деле комплект Group Policy Preferences поставляется в виде единого набора клиентских расширений (Client-Side Extensions, CSE). Когда целевой компьютер обрабатывает объект групповой политики (Group Policy Object, GPO), содержащий функцию Group Policy Preferences, он просто вызывает нужное расширение, которое и выполняет соответствующую задачу.
Клиентское расширение Group Policy Preferences входит в комплект поставки Windows Server 2008 (и будет входить в комплект поставки Windows 7), так что под управлением этих систем директивы Group Policy Preferences выполняются без каких-либо дополнительных действий со стороны пользователя. Но если на ваших компьютерах установлены системы Windows Vista, Windows Server 2003 или Windows XP, вы сможете воспользоваться новой технологией только при условии обновления этих систем. Компьютеры Windows 2000 несовместимы с расширением Group Policy Preferences. Более подробную информацию об этом можно найти на GPanswers.com (http://gpanswers.com/resources/newsletter-archives.html).
Учтите, что на компьютере, где установлена консоль управления, должна также использоваться обновленная консоль управления групповыми политиками Group Policy Management Console (GPMC) с обновленным редактором групповых политик Group Policy Editor (GPE). Обновленная GPMC поставляется с Server 2008 и совместима с Windows Vista SP1 и более поздними системами, если установить набор инструментов для администрирования удаленного сервера — Remote Server Administration Toolkit (RSAT), который можно получить на сайте Microsoft Download Center. Обновленная версия GPMC несовместима с XP.
Расширения Group Policy Preferences позволяют выполнять большее число задач, нежели базовые групповые политики. Исходя из этого обстоятельства, давайте рассмотрим те области, где расширения Group Policy Preferences дают возможность расширить потенциал механизма групповых политик.
Развертывание принтеров
Когда-то развертывание принтеров с помощью групповых политик было заветной мечтой многих администраторов. Наконец эта функция была реализована в системе Windows Server 2003 R2, хотя администраторы на первых порах активно ее критиковали. Начать с того, что для успешной работы функции необходимо было обновление схемы. Требовалось также, чтобы администраторы вводили в свои сценарии запуска и регистрации специальный дополнительный модуль. И, что хуже всего, функция работала неустойчиво.
Настройки политики Deployed Printers можно найти в редакторе GPE в разделе \Computer Configuration\Policies\Windows Settings\Deployed Printers and\User Configuration\Windows Settings\Deployed Printers. Имейте в виду, что на системе управления Server 2008 или Windows Vista вы не увидите узел Deployed Printers до тех пор, пока не будут загружены компоненты Print Management, которые можно установить с помощью инструментов RSAT; последние располагаются в разделе Feature узла \Remote Server Administration Tools\Role Administration Tools\Print Services Tools.
Обычно внимание администраторов привлекает не столько расширение Deployed Printers, сколько функция Group Policy Preferences Printers. Для ее использования не требуются ни расширения схемы, ни обновления сценариев запуска или регистрации. Узел Group Policy Preferences Printers располагается в двух местах: \Computer Configuration\Preferences\Control Panel Settings\Printers и \User Configuration\Preferences\Control Panel Settings\Printers. Данная функция дает возможность развертывать принтеры TCP/IP и локальные принтеры (для пользователя или для компьютера) либо совместно используемые принтеры (только для пользователя).
Если на целевом компьютере установлен клиент Group Policy Preferences, развертывание принтеров — это сплошное удовольствие.
Расширения Group Policy Preferences несовместимы с Windows 2000, поэтому, если у вас возникает необходимость развертывать принтеры на этих системах, следует продолжать применять традиционный метод Group Policy Deployed Printers.
Управление браузером IE
Механизм групповых политик предоставляет ряд возможностей для управления одним из наиболее популярных приложений Windows — браузером Microsoft Internet Explorer. Исходные настройки политики размещаются в одной из папок User Configuration или Computer Configuration в каталоге \Policies\Administrative Templates\Windows Components\Internet Explorer. Эти настройки могут помочь администратору определить, что пользователи могут делать с браузером IE и чего не могут.
Дополнительные настройки IE, именуемые IE Maintenance, размещаются в папке \User Configuration\Policies\Windows Settings\Internet Explorer Maintenance. Некоторые из этих настроек выполняют блокировку аналогично тому, как это делают политики; другие дают пользователям возможность обходить предустановленные настройки.
Настройки Internet Settings набора Group Policy Preferences несколько расширяют эти возможности. Настройки IE размещаются в папке \User Configuration\Preferences\Control Panel Settings\Internet Settings. Указание установок (preferences) означает следующее: администратор задает первоначальные настройки, но пользователи могут изменять их. Пример: вы можете указать Web-страницу компании в качестве начальной страницы для всех пользователей, но дать им возможность при желании изменить данную настройку. В этом отношении установки Group Policy Preferences подобны настройкам IE Maintenance; в то же время интерфейс Group Policy Preferences Internet Settings на удивление оригинален и приятен. В сущности, он напоминает интерфейс браузера Internet Explorer, что должно понравиться большинству администраторов.
Управление энергопитанием
В системе Windows Vista реализован ряд весьма добротных функций управления электропитанием. Они размещаются в разделе \Computer Configuration\Policies\System\Power Management. Эти установки управляют настройками режима ожидания, реакцией системы на нажатие пользователем тех или иных кнопок управления энергопитанием, инициируют остановку жесткого диска, но все они доступны только в системе Windows Vista.
Настройки Group Policy Preferences Power Options располагаются в разделах Computer Configuration и User Configuration папки \Preferences\Control Panel Settings\Power Options. Эти настройки дают возможность использовать в системе Windows XP новые средства управления электропитанием на базе групповых политик. Благодаря такому пополнению в семействе средств управления электропитанием остро необходимая функция переносится на широкую базу установленных систем. Мало того, пользовательский интерфейс для установки настроек Power Options и Power Schemes напоминает интерфейс XP, что существенно сокращает время его освоения. Поэтому администраторы могут быстро приступать к использованию новой функции.
Управление файлами
Иногда у администраторов возникает необходимость устанавливать для отдельных файлов ту или иную степень защиты на серверах и настольных системах. Для выполнения этой задачи совсем не обязательно переходить от компьютера к компьютеру. Вместо этого можно воспользоваться групповой политикой. Фактический перенос таких файлов на настольные системы — вопрос отдельный. Файлы приходится копировать вручную или использовать для этой цели сценарии регистрации либо что-то в этом роде.
Но теперь вы можете доставить на клиентскую систему файл или несколько файлов с помощью расширения Group Policy Preferences Files, расположенного в разделе \Computer Configuration\Preferences\Windows Settings\Files. А с помощью настроек политики Group Policy File Security, расположенных в разделе \Computer Configuration\Policies\Windows Settings\Security Settings\ File System, можно применить к этим файлам список управления доступом. Ну просто волшебное сочетание!
Настройка служб
Менять параметры службы, перебегая от сервера к серверу (особенно если их в хозяйстве целая сотня) — удовольствие сомнительное. Вот почему в системе групповых политик реализован метод управления службами; он размещается в разделе \Computer Configuration\Policies\Security Settings\System Services. Эти настройки дают возможность устанавливать для учетной записи тот или иной уровень защиты, например указывать, кто может запускать службу, а также прекращать и временно приостанавливать ее работу.
Однако с помощью настройки Group Policy Preferences Services (\Computer Configuration\Preferences\Control Panel Settings\Services) можно также изменять пароль локальной системной учетной записи, изменять параметры восстановления в случае сбоя службы, а также назначать другую программу, выполняемую в случае отказа службы, или предусматривать перезапуск компьютера при сбое.
Обслуживание реестра
Установка одного значения реестра для всех целевых систем сети может быть делом весьма хлопотным. Для выполнения этой задачи многие администраторы используют сценарии регистрации и другие квазиавтоматические методы.
Система групповых политик всегда обеспечивала перенос конкретных значений реестра на клиенты с помощью встроенных шаблонов ADM и ADMX. Вы всегда видите результаты этих шаблонов при просмотре раздела \Computer Configuration\Policies\Administrative Templates or\User Configuration\Policies\Administrative Templates. Эти настройки групповых политик просто присваивают желаемые значения параметрам реестра на целевых системах.
Файлы ADM и ADMX могут быть модифицированы таким образом, чтобы доставлять установки реестра для ваших приложений. Однако эти параметры могут быть доставлены только в ветви HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER; доставка их в другие разделы невозможна. Кроме того, надо отметить, что файлы ADM и ADMX не могут доставлять параметры, имеющие популярный тип данных REG_BINARY. Наряду с этим хорошо известно, что файлы ADM и ADMX оставляют после себя нежелательные настройки, если соответствующее приложение не следует строгим требованиям Microsoft. Так, если пользователь исключается из группы или объект GPO удаляется или отсоединяется, параметр сохраняется.
Элемент Group Policy Preferences Registry открывает перед администратором новые возможности. Эти настройки размещаются в разделах \User Configuration\Preferences\Windows Settings\Registry и \Computer Configuration\Preferences\Windows Settings\Registry. Данный элемент конфигурации позволяет размещать параметры реестра практически в любой его области.
Возможно, вы захотите и дальше использовать файлы ADM и ADMX, если нужно, чтобы администраторы могли выбирать из целого диапазона значений. Допустим, у вас имеется прикладная программа, в которой применяются задаваемые пользователем значения. Вы можете создать файл ADM или ADMX, чтобы администраторы на выбор задавали цвет фона как зеленый, красный или персиковый. Эти цвета могут соответствовать значениям 1, 2 и 4.57. Администраторы могут выбирать цвет по его названию в простом раскрывающемся меню — так им не нужно будет запоминать цифровые значения цветов.
Настройки Group Policy Preferences Registry не позволяют задействовать диапазон параметров. С помощью настроек Group Policy Preferences Registry можно присваивать значения только конкретным параметрам реестра; если файлы ADM и ADMX позволяют описывать пользовательский интерфейс для целевого приложения, то настройки Group Policy Preferences Registry не дают такой возможности.
Ограничение на использование устройств
Всем администраторам требуются средства для указания тех устройств, которые могут быть подключены к сети, а также тех, подключение которых не допускается. Такие устройства, как накопители USB или внешние накопители, часто являются первыми кандидатами на запрет: они дают возможность извлекать информацию из корпоративной сети и переносить в нее данные извне. В операционной системе Windows Vista был реализован новый набор ограничений в групповых политиках на использование устройств; эти ограничения размещаются в разделе \Computer Configuration\Policies\System\Device Installation\Device Installation Restrictions. Упомянутые настройки блокируют подключение к целевым системам Windows Vista устройств с заданными идентификаторами.
Существующая база систем Windows XP не позволяла выполнять подобные действия, но теперь узел Group Policy Preferences Devices дает возможность реализовать некоторые средства управления подключением устройств к системам Windows XP. Узел Devices имеется как для раздела Computer Configuration, так и для раздела User Configuration по адресу \Preferences\Control Panel Settings\Devices. Настройки Group Policy Device Installation Restrictions действуют только в среде Windows Vista, однако метод Group Policy Preferences функционирует во всех совместимых операционных системах (Windows XP SP2 и более новых).
Кстати, следует отметить, что упомянутые технологии строятся на абсолютно разных принципах. Расширение Group Policy Device Installation Restrictions блокирует попытки пользователей устанавливать драйверы для новых аппаратных компонентов. Поэтому, когда вы налагаете ограничение на подключение к системам Windows Vista того или иного устройства, фактически осуществляется блокировка использования соответствующего драйвера. Этот механизм прекрасно работает с картами памяти и другими USB-устройствами, которые, как правило, часто устанавливаются в системе и удаляются из нее, поскольку при следующей проверке наложенное ограничение блокирует подключение устройства.
Но расширение Group Policy Device Installation Restrictions не всегда функционирует в соответствии с ожиданиями применительно к устройствам, которые уже установлены и используются на данном компьютере, таким как жесткие диски, платы SCSI и сканеры. Необходимые драйверы уже установлены, между тем порядок использования соответствующих устройств не предусматривает их отключения и повторного подключения. Следовательно, повторные проверки драйвера не выполняются, и ограничений на использование устройства не налагается — даже в том случае, когда применяется ограничивающая политика.
Механизм действия расширения Group Policy Preferences Devices иной. Оно не блокирует загрузку драйвера, а вместо этого отключает само устройство или порт. Следовательно, если устройство уже установлено, оно может быть просто отключено, что делает невозможным его использование. Здесь нужно отметить, что, поскольку расширение ограничивается отключением устройства, установка драйвера устройства не блокируется. Как показано на экране, любой обладающий соответствующими правами пользователь — обычно это локальный администратор — может просто вновь активировать устройство. Но у обычных пользователей таких прав нет, а значит, рассматриваемая настройка расширения может помочь вам немедленно приступить к ограничению применения устройств: сразу же по получении объекта GPO с элементом Group Policy Preferences Devices использование соответствующего устройства прекращается.
Работа с пользователями и группами
Нередко администраторы хотят только сами определять, какие именно пользователи и группы могут работать на целевых компьютерах. Кроме того, некоторые администраторы стараются добиться того, чтобы членство в отдельных группах внутри каталога Active Directory (AD) соблюдалось без каких-либо иск лючений. Настройки групповых политик, обеспечивающие указанный уровень контроля, расположены в разделе \Computer Configuration\Policies\Security Settings\Restricted Groups. Эти настройки жестко контролируют членство в группах как для локальных групп, так и для групп на базе AD.
Однако многим администраторам необходимо иметь возможность определять круг пользователей, которые могут входить в состав тех или иных локальных групп. Параметр Group Policy Preferences Local Users and Groups размещается в двух узлах — Users и Computer — в разделе \Preferences\Control Panel Settings\Local Users and Groups, что свидетельствует о высокой степени универсальности механизма управления. Этот параметр можно также использовать для добавления новой оснащенной всеми настройками учетной записи пользователя в компьютеры по выбору администратора. С помощью расширения Local Users and Groups можно удалять локальные группы и указывать для удаления из групп тех или иных пользователей; эта функция может пригодиться, если вам, к примеру, нужно исключить из группы локальных администраторов одного пользователя.
Отметим, кстати, что расширение Local Users and Groups может действовать лишь применительно к локальным пользователям и группам, а не к группам на базе AD (как это делает функция Group Policy Restricted Groups).
Настройка меню Start
Возможность управлять средой, в которой работает пользователь, относится к числу основных достоинств системы групповых политик, и средства настройки меню Start традиционно используются администраторами. Настройки групповой политики меню Start находятся в разделе \User Configuration\Administrative Templates\Start Menu and Taskbar.
Однако в этом методе не предусмотрена возможность установки базовой предпочтительной конфигурации элементов. Кроме того, поскольку при использовании настроек меню Start и панели задач возможности операционной системы, в сущности, ограничиваются, а пользователи вынуждены принимать предложенные изменения, некоторые считают данные настройки политики недостаточно гибкими.
С другой стороны, настройки Group Policy Preferences Start Menu, находящиеся в разделе \User Configuration\Preferences\Control Panel Settings\Start Menu, представляют собой предпочтительные установки, а это значит, что их можно рассматривать скорее как рекомендации для пользователя. Если пользователям не нравятся предложенные вами настройки меню Start, дайте им возможность при желании изменять эти настройки. Позднее вы сможете отменить это право, используя параметр Apply once and do not reapply соответствующего элемента Group Policy Preferences.
Широкие возможности управления
Исходный набор настроек групповых политик позволяет решать множество задач, но потребности администраторов растут, в том числе и потребность в новых функциях. Расширения Group Policy Preferences открывают доступ к новым функциям, сохраняя в то же время потенциал базового механизма групповых политик.
Настройки исходных групповых политик и расширения Group Policy Preferences должны дополнять друг друга, один механизм не следует противопоставлять другому.
Джереми Московиц — организатор сайта http://www.gpanswers.com, общественного форума по групповым политикам. Имеет сертификат MCSE
Журнал «Windows IT Pro», Издательство «Открытые системы» (http://www.osp.ru/)