Возвратимся в Октябрь 2006 – тогда Микрософт купил компанию DesktopStandard. Один из их самых выдающихся продуктов – PolicyMaker – теперь стал элементом серии продуктов Микрософта как часть Windows Server 2008, а также инструментального комплекта администрирования удаленного сервера (Remote Server Administration Toolkit – RSAT), к которому я еще вернусь в этой статье.
Программное обеспечение PolicyMaker, в отличие от постоянной Групповой Политики, включает в себя возможности контроля и настройки с центрального компьютера более большого количества объектов. Некоторые установки глобальных параметров на самом деле перекрыты «реальными» установками Политики, но в этом случае у вас есть выбор между Политикой и глобальными параметрами. Поэтому вы можете спросить: так в чем же разница? Хорошо, «Политика» – это что-то, на что вы влияете, и что не может быть изменено пользователем; «глобальные параметры» – это установка, которую вы можете предпочесть для использования пользователем, но пользователь все еще не может их менять.
Глобальные параметры могут быть установлены только для единичного использования, и поэтому у пользователя есть выбор, что делать – или использовать каждый раз, когда обновляется Групповая Политика (по умолчанию: каждые 90 или 120 минут). В следующей части статьи я еще вернусь ко всем «плюсам» и «минусам» такого поведения.
На Рисунке 1 вы видите новый вид из устройства редакции управления Групповой Политики, заметьте, что моя Политика, называемая «Глобальные GP параметры» разбита в настройках компьютера (Computer Configuration) и настройках пользователя (User Configuration), но каждый из этих узлов разделен на два дополнительных узла: «Политики» (красный цвет) и «Глобальные параметры» (зеленый цвет) – каждый из этих узлов предназначен для установок глобальных параметров Групповой Политики (Windows или панель контроля).
Рисунок 1: Политика и глобальные параметры
Причиной, по которой глобальные параметры Групповой Политики работают более функционально, чем существующие установки Групповой Политики, является небольшой кусочек расширенного программного обеспечения – Client Side Extension (CSE). Этот небольшой кусочек программного обеспечения в целях успешной работы глобальных параметров Групповой Политики должен быть представлен управляемым клиентам. Требуемый CSE является встроенной частью Windows Server 2008 – но должен быть скачан и установлен в Windows XP SP2, Windows Server 2003 SP1 и Windows Vista (Windows 2000 и более ранние операционные системы Windows не поддерживаются). Пакет CSE будет доступен как для 32, так и 64-битных операционных систем.
Что мы можем с ними делать?
Глобальные параметры Групповой Политики имеют множество «плюсов» для администраторов в любом конце света, большинство из которых – это заполнитель, который мы полюбили еще со времен появления активной директории, но: лучше поздно, чем никогда! Многие возможности, предлагаемые глобальными параметрами Групповой Политики – это установки с созданными более или мне комплексными командными файлами – или обычные административные шаблоны (файлы ADM/ADMX/ADML) – чтобы осваивать назначение диска и принтера, задачи копирования файлов, уменьшение «рабочего стола», создание источника данных ODBC и, возможно, более важное: обычное регистрационное «вылизывание» прикладных программ Групповой Политики! Но глобальные параметры групповой политики предлагают еще больше – приведенные ниже 4 таблицы позволят «быстро ознакомиться» с тем, что может предложить эта технология.
В Таблице 1 показана идея того, что предлагают глобальные параметры Групповой Политики относительно Установок Windows на уровне компьютерных настроек.
Операционная среда | Позволяет вам установить меняющиеся параметры операционной среды для Пользователя или Системы. Вы можете Создать/Переместить/Обновить или Удалить изменяющиеся параметры – даже такой важный изменяющийся параметр как PATH. |
---|---|
Файлы | Создание/ Перемещение/Обновление или Удаление файлов клиентов. В качестве файлов определения источников и адресатов вы можете использовать такую «копию» как функциональность. К тому же вы можете установить в файлы атрибуты (Read-Only, Hidden & Archive). |
Папки | Позволяет вам Создавать/ Перемещать/Обновлять или Удалять папки клиентов. При замене или удалении папок вы можете пользоваться более большим количеством опций, чтобы быть уверенным, что все происходит так, как вы хотите. К тому же вы можете установить в папки атрибуты (Read-Only, Hidden & Archive). |
INI файлы | Создание/ Перемещение/Обновление или Удаление INI файлов. Вы можете задавать имена секций и характеристик INI файлов – а также значение характеристик. |
Регистрация | Дает вам возможность изменять регистрационные установки клиентов – вы можете выбрать для помощи элементы регистрации (Registry Items), элементы группы (Collection Items) и эксперт-программу регистрации (Registry Wizard). Последняя позволяет вам ознакомиться с регистрацией удаленных компьютеров, чтобы выбрать путь, которым вы хотите воспользоваться для Создания/Замены/Обновления или Удаления. Вам выбор состоит из следующего: REG_SZ, REG_DWORD, REG_BINARY, REG_MULTI_SZ и REG_EXPAND_SZ – заметное улучшение процесса создания обычных ADM файлов (которое не поддерживает все типы значений регистра). |
Общие сетевые каталоги | Позволяет Создавать/ Перемещать/Обновлять или Удалять каталоги клиентов. Вы выбираете имя каталога (Share name), путь к папке (Folder path), комментарий (Comment), лимит пользователя (User limit) и даже созданный на основе доступа статус нумерации. Также вы можете выбрать обновление всех постоянных каталогов, всех скрытых неадминистративных каталогов и всех административных каталогов. |
Ярлыки | Создание/ Перемещение/Обновление или Удаление ярлыков клиентов. Вы ограничиваете конечный тип (Target Type) (объект файловой системы (File System Object), URL или Shell Object), расположение, путь, аргументы, «начало», клавиши быстрого вызова, ярлык и т.д. |
В Таблице 2 вы можете наблюдать идею того, что предлагают глобальные параметры групповой политики относительно Установок Панели Контроля на уровне настроек компьютера.
Источники данных | Создание/ Перемещение/Обновление или Удаление источников данных пользователя или системы. Выбирайте из доступных имен источников данных (Data Source Names – DSN), выбирайте драйвер источников данных (Data Source Driver) (например, серверы Excel, Access, SQL), устанавливайте Имя пользователя/Пароль, атрибуты и т.д. Это самый просто путь создания Открытого Соединения Баз Данных (Open Database Connectivity – ODBC) для пользователей. |
---|---|
Устройства | Устройство контроля клиентов на основе включения или выключения использования данного Класса Устройства (GUID) или Типа устройства (GUID). Похоже на ту же функциональность, которая есть и у Windows Vista. |
Опции папок | Ограниченные типы файлов и соответствующие классы (например, текстовые документы, VBScript файл сценария, пакет установки Windows и т.д.). К тому же вы можете настроить такие установки Класса, как Ярлык, Действия и другие. |
Локальные пользователи и группы | Управляйте локальными пользователями и группами с помощью Создания/ Перемещения/Обновления или Удаления пользователя или группы. Вы можете менять пароли, отключать локальных пользователей, контролировать состав членов локальных групп, устанавливать опции паролей, устанавливать устаревшие данные аккаунта, удалять всех членов группы (пользователей и/или группы), добавлять/перемещать существующих пользователей в/из группы, давать новые имена пользователям или группам и т.д. |
Сетевые опции | Создание/Перемещение/Обновление или Удаление Виртуальной личной сети (VPN) или соединение с Dial-Up Network (DUN) – соединение как «пользователь» или «все пользователи». Вы можете ограничить опции кодового вызова (Dialing Options), Безопасность (кодирование/аутентификация и т.д.), сетевые опции и т.д. |
Power Options | Настраивание Power Options и Схем для устройств Windows XP. Power Options состоят из таких установок как: «Командная строка для пароля, когда компьютер находится в режиме ожидания», «Включение «спящего режима»» и установки кнопки энергии. Power схемы могут быть Созданы, Перемещены, Обновлены или Удалены. Поэтому вы можете создать собственную совершенную схему, установить ее у ваших клиентов и сделать ее активной Power схемой. |
Принтеры | Создание/ Перемещение/Обновление или удаление локальных принтеров – дажеn TCP/IP принтеров. Вы ограничиваете Имя, Порт (LPT/COM/USB), IP адрес, Настройки порта (RAW/LPR/SNMP), Путь к принтеру, Расположение, Комментарий. |
Запланированные задачи | Создание/ Перемещение/Обновление или Удаление запланированных или непосредственных задач. Для запланированных задач вы выбираете Имя, Файл запуска (обычно файл сценария или выполняемый файл), любые аргументы, «начало», комментарии, «запуск как» характеристики (заданный домен аккаунта локального пользователя; пароль), будет ли задача включена или нет, действительный План (даже сложные планы) и другие сложные установки задачи. Непосредственная задача предлагает те же установки, о которых говорилось выше, за исключением действительного Плана – непосредственные задачи запускаются сразу после их загрузки с политикой и только тогда. |
Сервисы | Установка таких характеристик сервисов, как Опция запуска (Без изменений, Автоматически, Вручную или Отключение), Выбор действия (Без изменений, Запуск/Остановка/Перезапуск сервиса), установка перерыва в случае блокирования сервиса, установка характеристик регистрации и восстановления и т.д. |
В Таблице 3 вы можете наблюдать идею того, что предлагают глобальные параметры групповой политики относительно Установкам Windows на уровне настроек пользователя
Прикладные программы | В следующей статье я вернусь к этой части глобальных параметров групповой политики… |
---|---|
Карты диска | Создание/Перемещение/Обновление или Удаление отображенных сетевых дисков (как NET USE). Вы можете выбирать карту для заданной буквы диска или только для следующей доступной буквы диска. Опция, доступная для «Подключения как» другой пользователь – только чтобы обеспечить необходимые полномочия (Имя пользователя/Пароль). Более того, вы можете выбирать – скрывать карту диска или все диски. |
Операционная система | Позволяет вам устанавливать для Пользователя или Системы изменяющиеся характеристики операционной системы. Вы можете Создавать/Перемещать/Обновлять или Удалять изменяющиеся характеристики – даже такую важную характеристику как PATH. |
Файлы | Создание/Перемещение/Обновление или Удаление файлов клиентов. В качестве файлов определения источников и адресатов вы можете использовать такую «копию» как функциональность. К тому же вы можете установить в файлы атрибуты (Read-Only, Hidden & Archive). |
Папки | Позволяет вам Создавать/ Перемещать/Обновлять или Удалять папки клиентов. При замене или удалении папок вы можете пользоваться более большим количеством опций, чтобы быть уверенным, что все происходит так, как вы хотите. К тому же вы можете установить в папки атрибуты (Read-Only, Hidden & Archive). |
INI файлы | Создание/ Перемещение/Обновление или Удаление INI файлов. Вы можете задавать имена секций и характеристик INI файлов – а также значение характеристик. |
Регистрация | Дает вам возможность изменять регистрационные установки клиентов – вы можете выбрать для помощи элементы регистрации (Registry Items), элементы группы (Collection Items) и эксперт-программу регистрации (Registry Wizard). Последняя позволяет вам ознакомиться с регистрацией удаленных компьютеров, чтобы выбрать путь, которым вы хотите воспользоваться для Создания/Замены/Обновления или Удаления. Вам выбор состоит из следующего: REG_SZ, REG_DWORD, REG_BINARY, REG_MULTI_SZ и REG_EXPAND_SZ – заметное улучшение процесса создания обычных ADM файлов (которое не поддерживает все типы значений регистра). |
Ярлыки | Создание/ Перемещение/Обновление или Удаление ярлыков клиентов. Вы ограничиваете конечный тип (Target Type) (объект файловой системы (File System Object), URL или Shell Object), расположение, путь, аргументы, «начало», клавиши быстрого вызова, ярлык и т.д. |
В Таблице 4 показана идея того, что предлагают глобальные параметры групповой политики относительно Установок Панели Контроля на уровне настроек пользователя.
Источники данных | Создание/ Перемещение/Обновление или Удаление источников данных пользователя или системы. Выбирайте из доступных имен источников данных (Data Source Names – DSN), выбирайте драйвер источников данных (Data Source Driver) (например, серверы Excel, Access, SQL), устанавливайте Имя пользователя/Пароль, атрибуты и т.д. Это самый просто путь создания Открытого соединения баз данных (Open Database Connectivity – ODBC) для пользователей. |
---|---|
Устройства | Устройство контроля клиентов на основе включения или выключения использования данного Класса Устройства (GUID) или Типа устройства (GUID). Похоже на ту же функциональность, которая есть и у Windows Vista. |
Опции папок | Позволяет установить опции папок для Windows XP или Windows Vista – или установить «Свободные» соединения для заданных файловых расширений (например, Блокнот для .TXT файлов и т.д.). Установка опции папок для Windows XP/Vista включает в себя возможность включения или выключения таких настроек как: «Показать скрытые файлы и папки», «Скрыть расширения для неизвестных типов файлов», «Скрыть файлы защищенной операционной системы», «Выделить зашифрованные или сжатых NTFS файлы», «Использовать простые совместные файловые соединения» и многое другое. |
Настройки Интернета | Позволяет установить настройки Интернета для Internet Explorer 5 и 6 и/или Internet Explorer 7. Некоторые из них совмещаются с регулярными установками групповой политики, выбор за вами, что выбирать. Настройки Интернета включают в себя Домашнюю страницу, Историю браузера, Браузинг с ярлычками, Доступ, Уровни безопасностей для определенных зон, Блокирующее устройство всплывающих элементов, Программы, Dial-up/LAN установки и т.д. |
Локальные пользователи и группы | Управляйте локальными пользователями и группами с помощью Создания/ Перемещения/Обновления или Удаления пользователя или группы. Вы можете менять пароли, отключать локальных пользователей, контролировать состав членов локальных групп, устанавливать опции паролей, устанавливать устаревшие данные аккаунта, удалять всех членов группы (пользователей и/или группы), добавлять/перемещать существующих пользователей в/из группы, давать новые имена пользователям или группам и т.д. |
Сетевые опции | Создание/Перемещение/Обновление или Удаление Виртуальной личной сети (VPN) или соединение с Dial-Up Network (DUN) – соединение как «пользователь» или «все пользователи». Вы можете ограничить опции кодового вызова (Dialing Options), Безопасность (кодирование/аутентификация и т.д.), сетевые опции и т.д. |
Power Options | Настраивание Power Options и Схем для устройств Windows XP. Power Options состоят из таких установок как: «Командная строка для пароля, когда компьютер находится в режиме ожидания», «Включение «спящего режима»» и установки кнопки энергии. Power схемы могут быть Созданы, Перемещены, Обновлены или Удалены. Поэтому вы можете создать собственную совершенную схему, установить ее у ваших клиентов и сделать ее активной Power схемой. |
Принтеры | Создание/ Перемещение/Обновление или удаление локальных принтеров – дажеn TCP/IP принтеров. Вы ограничиваете Имя, Порт (LPT/COM/USB), IP адрес, Настройки порта (RAW/LPR/SNMP), Путь к принтеру, Расположение, Комментарий. |
Региональные опции | Позволяет установить такие характеристики региональных опций, как: Локализация пользователя, Числа, Денежная единица, Дата и время. |
Запланированные задачи | Создание/ Перемещение/Обновление или Удаление запланированных или непосредственных задач. Для запланированных задач вы выбираете Имя, Файл запуска (обычно файл сценария или выполняемый файл), любые аргументы, «начало», комментарии, «запуск как» характеристики (заданный домен, аккаунт локального пользователя; пароль), будет ли задача включена или нет, действительный План (даже сложные планы) и другие сложные установки задачи. Непосредственная задача предлагает те же установки, о которых говорилось выше, за исключением действительного Плана – непосредственные задачи запускаются сразу после их загрузки с политикой и только тогда. |
Меню Пуск | Меню Пуск и меню «вылизывания» в Windows XP или Windows Vista. Сюда входят все известные установки – такие, как Большие/Маленькие ярлыки, номера программ в меню Пуск, запуск дисплея, конец сеанса дисплея и т.д. |
Как вы можете видеть в выше приведенной Таблице 4, мы имеем множество возможностей относительно глобальных параметров групповой политики – установки, которые многие из нас так долго ждали… Представьте, если бы мы могли получить все это бесплатно – ну что же, вам больше не надо фантазировать.
Кто может получить этот наполнитель?
Эта часть – самая важная, поэтому, пожалуйста, внимательно с ней ознакомьтесь… Вы, наверное, думаете, что такие элементы наполнителя как StarterGPO, Комментарии, Поисковая/Усовершенствованная фильтрация и глобальные параметры Групповой Политики Group Policy Preferences будут вам что-то стоить, ведь правда? Ну что же, это не так уж и дорого, вам не нужно устанавливать Windows Server 2008 во все Контроллеры Домена, или что-то в этом роде; все, что вам нужно – это иметь Windows Vista SP1 с обновленным и бесплатно скачанным набором инструментальных средств «Устройства администрирования Удаленного Сервера» (RSAT)! В RSAT входит GPMC версии 2 и обновленные версии устройств администрирования, которые были «Пакете Устройств Администрирования» для более ранних систем Windows Server.
Пакет CSE можно бесплатно скачать с веб-сайта Микрософт, просто откройте прикладную программу клиента на компьютерах с Windows XP SP2, Windows 2003 SP1 и/или Windows Vista (например, используя Инсталляцию Программного Обеспечения Групповой Политики – Group Policy Software Installation) – и подождите… Вы просто не сможете не закричать «Ура», ведь правда?
На самом деле, я не был первым, кто это сделал – я не могу скачать, почему Микрософт отдает такой наполнитель, хотя DesktopStandard не был бесплатным. Наилучший ответ дал мою хороший друг Джереми Москвитц: «Друзья, Микрософт купил не только технологию, они хотят, чтобы у людей было популярное программное обеспечение – Эти умные люди будут следующими в списке, кто сделает Групповую Политику Микрософт еще лучше, чем сейчас!
Примечание: Последняя версия RSAT и Windows Server 2008 будет выпущена в первом квартале 2008.
Заключение
Windows Server 2008 и GPMC версии 2 имеют несколько великолепных новых устройств, относящихся к Групповой Политике. Некоторые – небольшие улучшения, другие – более заметные улучшения. Большинство из них могут очень полезными для администраторов во многих других операционных средах … Глобальные параметры Групповой Политики содержат новые и очень полезные устройства, которых раньше не было – и не нужно иметь много денег, чтобы их приобрести!
Автор: Якоб Хейдельберг (Jakob H. Heidelberg)
Источник: www.winsecurity.ru