Введение
Вам как системному администратору, возможно, при поддержке пользователей понадобиться выполнять такие обыденные действия, как подключения сетевых дисков, настройки электропитания, системных служб, настраивать параметры браузера Internet Explorer, а также выполнять другие подобные действия. До выхода операционной системы Windows Server 2008, в том случае, если пользователь входил в состав домена Active Directory, вы могли написать сценарий и привязать его к объекту групповой политики. В организациях, в большинстве случаев, развертываются два типа настроек: управляемые и неуправляемые.
Управляемые параметры политики влияют на тип изменения конфигурации при применении параметра объектов групповой политики. При этом вы не позволяете пользователю изменять текущие настройки, что помогает предотвратить возможные потери производительности. Групповая политика считается лучшим средством распространения параметров политики для компьютеров под управлением операционных систем Microsoft Windows. Когда пользователь или компьютер больше не попадает под область действия объекта GPO, конфигурация автоматически возвращается в состояние по умолчанию.
Неуправляемые параметры политики также вносят изменения в реестр. В отличие от управляемых параметров политики, при помощи этого типа настроек, после развертывания таких политик, вы позволяете пользователям изменять их настройки. Многие организации пользуются преимуществами предпочтений, поскольку они применяются для включения или отключения аппаратных или различных классов устройств. Например, вы можете запретить подключение к компьютеру внешних жестких дисков. В организациях можно развертывать предпочтения различными способами, но до появления операционной системы Windows Server 2008 самым распространенным способом было развертывание сценариев входа и файлов реестра, но в любом случае все эти способы были очень громоздкими и трудоемкими. Если объект групповой политики больше не применяется, изменение параметра остается в реестре.
Одним из существенных изменений в групповых политиках операционной системы Windows Server 2008 является появление «Предпочтений групповых политик». Предпочтения групповых политик были разработаны в дополнение к групповым политикам, которые впервые появились в операционной системе Windows 2000. Основным назначением предпочтений групповых политик является настройка параметров компьютеров под управлением операционных систем Windows без принудительного их использования. Эта технология обеспечивает единое средство, позволяющее администраторам создавать стандартизированное окружение для пользователя, позволяя им изменять свои настройки. Также предпочтения групповых политик имеют обратную совместимость, что позволяет принять их мощный и гибкий функционал на ваши сервера и клиентские машины без их обновления. Предпочтения групповых политик распространяются на такие операционные системы как Windows XP SP2, Windows Server 2003 SP1, Windows Vista, Windows 7, а также Windows Server 2008 R2.
Предпочтения групповых политик предоставляет более двадцати расширений клиентской стороны (Client-Side Extension - CSE) групповой политики, которые включены в Windows Server 2008 и позволяют управлять параметрами реестра, сопоставлениями дисков, службами, файлами и папками, локальными пользователями и группами, и многим другим, что позволяет существенно увеличивать диапазон настраиваемых параметров предпочтения в объектах групповых политик. Благодаря предпочтениям групповых политик вы можете забыть об использовании большинства сценариев входа, которые разрабатывались для выполнения идентичных действий. В этой статье вы узнаете о целесообразности использования предпочтений групповых политик, а также увидите основные отличия предпочтений групповой политики от параметров групповой политики.
Преимущества предпочтений групповой политики
К основным преимуществам функционала предпочтений групповых политик можно отнести следующее:
- Снижение потребности в использовании сценариев входа в систему. Несмотря на то, что сценарии входа в систему позволяют вам применять нестандартные ращения, предпочтения групповой политики позволяют значительно снизить потребности в их применении. К самым распространенным задачам, которые выполняются при помощи сценариев входа, относятся настройка параметров реестра, копирование файлов и папок, отображение сетевых дисков, а также установка принтеров. Зачастую, такие сложные сценарии требуют затрат времени на их написания, а также на процесс тестирования. Все эти возможности доступны при помощи предпочтений групповой политики;
- Минимизация обслуживания. Использование стратегии тонких образов предпочтений групповой политики позволяет вам существенно сократить время и расходы на обслуживание образов дисков. Для отображения изменения конфигурации, вместо обновления существующих образов, вы можете развернуть в организации один образ, а потом лишь вносить изменения в предпочтения групповой политики, что позволяет значительно снизить затраты на проектирование и тестирование вашей инфраструктуры;
- Повышение производительности ИТ. Как говорилось ранее, для расширения возможностей групповой политики, предпочтения групповой политики предоставляют более 20 клиентских расширений CSE, которые позволяют настраивать компоненты системы, подлежащие изменениям чаще всего. При помощи предпочтений групповой политики вы можете разворачивать и настраивать параметры на одном из серверов вместо того, чтобы переупаковывать и перераспределять параметры на клиентском компьютере с обновленной конфигурацией. Для этого вам достаточно просто изменить объект групповой политики, который содержит те элементы предпочтений, которые вам нужно обновить;
- Сокращение общего количества образов. Совместно со стратегией тонких образов, предпочтения групповых политик позволяют снизить количество образов операционных систем, которые вам необходимо развертывать и поддерживать. Если вы разрабатываете большое количество образов ОС, то зачастую они содержат различные настройки, которые присущи определенным организационным единицам вашей организации. Вместо этого вы можете развертывать единый образ для всех клиентов, а затем при помощи предпочтений групповых политик настраивать конфигурацию пользователей и компьютеров согласно предпочтениям для групп или отделов;
- Ограничение в ошибках конфигурации. Обращение пользователей в службу поддержки зачастую связаны с ошибками конфигурации, возникшими после развертывания системы. Предпочтения групповой политики значительно упрощают процесс поддержки пользователей. Прежде всего, данные настройки предоставляют вам более гибкие возможности по отношению к другим средствам. Например, при помощи предпочтений групповых политик вы можете настроить только свойства браузера Internet Explorer, не трогая остальные параметры. Также вы можете настроить многие элементы, даже не имея представления, где расположены их параметры в системном реестре. Предпочтения групповой политики предоставляют вам знакомый пользовательский интерфейс, при помощи которого вы настраивали бы те же параметры, находясь за компьютером пользователя.
Отличия параметров политики и предпочтений групповой политики
Также как и параметры политики групповой политики, вы можете изменять предпочтения групповой политики при помощи оснастки «Редактор управления групповыми политиками». На многих форумах часто можно встретить вопросы, относительно отличий между параметрами политики и предпочтениями групповой политики. Для полноценного использования групповых политик понимание ключевых отличий является в каком-то роде решающим фактором. Ключевым отличием предпочтения групповой политики от параметров отличий является обеспечение соблюдения настраиваемых параметров. Параметры групповой политики применяются к своей области действия в строгом режиме. Другими словами, групповые политики записывают свои параметры в разделы реестра и списки управления доступом (ACL), тем самым запрещая пользователям изменять эти параметры. Перед тем как операционная система или приложение, совместимое с групповыми политиками выполнит поиск управляемого параметра, предварительно производится поиск параметра политики. Если такого параметра политики не существует, то приложение продолжает искать значение данного параметра в системном реестре. Помимо этого, функции операционной системы или приложений, совместимых с групповой политикой отключают пользовательский интерфейс, позволяющий изменять параметры, которые были настроены при помощи групповой политики, запрещающие изменения текущих параметров. В конце концов, параметры групповой политики регулярно обновляются, по умолчанию, каждые 90 минут.
В отличие от параметров групповой политики, предпочтения групповой политики не так строго привязываются к настройкам определенных компонентов системы. Групповая политика не сохраняет в разделах реестра, где обычно сохраняются параметры групповых политик, параметры, которые были установлены средствами предпочтений групповой политики. Вместо этого, предпочтения групповой политики записывают свои параметры в те разделы, в которых хранятся параметры, изменяемые средствами операционной системы или приложений. Предпочтения групповой политики поддерживают компоненты операционной системы и приложения, которые не совместимы с параметрами групповой политики. Помимо этого, при использовании предпочтений групповой политики, у пользователей не блокируются возможности изменений текущих параметров, то есть после развертывания таких политик они могут сами настроить компоненты системы так, как им удобно. Предпочтения групповой политики обновляются с тем же интервалом, что и обычные параметры GPO, но вы можете настроить предпочтения так, чтобы они обновлялись только один раз. Эта возможность позволяет один раз предложить пользователям оптимальные настройки и дать возможность изменить их в случае необходимости.
Также фильтрация групповой политики существенно отличается от нацеленности на уровень элемента предпочтений групповой политики. Объекты групповой политики для своей фильтрации используют фильтры WMI, которые позволяют определять, будет ли текущая групповая политика применяться ко всему объекту GPO. Причем в объекте групповой политики вы не можете отфильтровать какие-либо индивидуальные параметры. Для того чтобы создавать объекты групповой политики, основанные на вашей фильтрации, вам придется развернуть огромный набор объектов GPO. В свою очередь, при помощи предпочтений групповой политики вы можете применять нацеленность на уровень элемента, что позволяет нацеливать элементы индивидуальных предпочтений на объект групповой политики. Вы можете указать, что в одном объекте групповой политики один элемент будет распространяться на персональные, а второй на мобильные компьютеры, причем, в отличие от сложного функционала WMI объектов групповых политик, нацеленность на уровень элемента настраивается средствами удобного пользовательского интерфейса.
В следующей таблице изображены некоторые отличия между предпочтениями групповой политики и параметрами политики:
Задача | Предпочтения групповой политики | Параметры групповой политики |
Принудительное применение | - Настройки не принудительные;
- Пользовательский интерфейс не отключается;
- Могут быть применены или изменены однократно;
| - Настройки принудительные;
- Пользовательский интерфейс отключается;
- Параметры обновляются;
|
Локальная политика | Не доступны в локальной групповой политике | Доступны в локальной групповой политике |
Гибкость | - Простое создание предпочтений;
- Импортируются индивидуальные параметры реестра из локального или удалённого компьютера;
| - Параметры политики требуют поддержки приложением административных шаблонов;
- Для управления файлами и папками нельзя создавать параметры политики;
|
Хранение | - Исходные параметры перезаписываются;
- Удаление элемента предпочтения не восстанавливает исходное значение
| - Исходные параметры не изменяются;
- Политики хранятся в разделе реестра;
- При удалении политики параметр восстанавливает исходные значения параметров реестра;
|
Информированность | Поддерживаются приложения не совместимые с групповой политикой | Не поддерживаются приложения не совместимые с групповой политикой |
Пользовательский интерфейс | Для большинства параметров предоставляется знакомый пользовательский графический интерфейс | Для большинства параметров политики предоставляется альтернативный пользовательский интерфейс |
Нацеленность и фильтрация | - Нацеленность является гранулированной с интерфейсом пользователя для каждого элемента;
- Поддерживается нацеленность на уровне элементов индивидуальных предпочтений
| - Поддерживается фильтрация на уровне объекта групповой политики;
- Фильтрация основана на WMI и требует написания запросов WMI;
|
Таблица 1. Отличия предпочтений групповой политики от параметров политики
Элементы предпочтений групповой политики
Интерфейс конфигурации параметров предпочтений групповой политики доступен в узле «Настройка» конфигурации пользователя и конфигурации компьютера аналогичен пользовательскому интерфейсу Windows, где изменения можно внести вручную. Стоит обратить внимание на то, что некоторые расширения предпочтений групповой политики расположены в узле «Конфигурация Windows», а некоторые в узле «Параметры панели управления». Предпочтения конфигурации системы узла «Конфигурация компьютера» и «Конфигурация пользователя» почти идентичны. Отличаются они лишь расширениями «Приложения» и «Сопоставления дисков» для конфигурации пользователя и расширением «Сетевые общие ресурсы» конфигурации компьютера. Элементы, которые вы можете настраивать непосредственно из панели управления можно найти в узле «Параметры панели управления». На следующей иллюстрации изображены расширения предпочтений групповой политики конфигурации компьютера и пользователя:
Увеличить рисунок
Рис. 1. Предпочтения групповой политики
Заключение
В этой статье вы узнали об очередном функционале групповых политик Windows Server 2008/2008 R2 – предпочтениях групповой политики, которые были разработаны в дополнение к групповым политикам и предназначены для настройки параметров компьютеров под управлением операционных систем Windows без принудительного их использования. Вы узнали о преимуществах использования предпочтений групповой политики. Также были рассмотрены отличия параметров политики от предпочтений групповой политики. В следующих статьях вы узнаете обо всех параметрах предпочтений групповой политики, а также о нацеленности на уровне элементов.