Сейчас во многих организациях системные администраторы стараются полностью автоматизировать процесс установки и развертывания приложений на свои клиентские компьютеры. Автоматизировать развертывание приложений на клиентские компьютеры вы можете разными способами. Например, вы можете устанавливать некоторые программные продукты при помощи функционала групповых политик, продукта System Center Configuration Manager (SCCM) или использовать продукты от сторонних разработчиков. При создании инфраструктуры Active Directory у вас могут быть реализованы группы пользователей с расширенными правами, то есть пользователи, у которых есть права локальных администраторов. Соответственно, у таких пользователей могут быть права на удаление программ при помощи компонента «Программы и компоненты». В некоторых случаях такие разрешения для пользователей могут быть лишними и, возможно, именно из-за того, что вы дали пользователям много разрешений вам придется периодически повторно устанавливать приложения на компьютеры этих пользователей. При помощи функционала групповых политик у вас есть возможность оградить своих пользователей от выполнения таких задач как удаление программного обеспечения или добавление и отключение определенных компонентов операционной системы Windows. В совете этой недели вы узнаете о том, как можно скрыть от ваших пользователей компоненты системы, позволяющие управлять удалением программ и компонентов Windows. Итак, для того чтобы задать вашим пользователям такие ограничения, выполните следующие действия:
В том случае, если вы настраиваете групповые политики на локальном компьютере не входящем в домен, откройте оснастку «Редактор локальной групповой политики». Если же вам нужно настроить конкретную группу компьютеров, которые входят в домен Active Directory, на контроллере домена, откройте оснастку «Управление групповой политикой», в дереве консоли разверните узел «Лес: %имя леса%», узел «Домены», затем узел с названием вашего домена, после чего узел «Объекты групповой политики». В узле «Объекты групповой политики» создайте объект GPO, выберите его, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
В отобразившейся оснастке «Редактор управления групповыми политиками» в дереве консоли разверните узел Конфигурация пользователя\Политики\Административные шаблоны\Панель управления\Программы, как показано на следующей иллюстрации:
Как вы заметили, в этом узле можно найти 7 параметров политики. Первый параметр, который мы с вами рассмотрим, позволяет полностью скрыть страницу «Просмотр установленных обновлений», которую можно открыть в окне «Программы и компоненты» или непосредственно из группы «Программы» панели управления. Для этого откройте параметр политики «Скрыть страницу «Установленные обновления»» и в соответствующем диалоговом окне установите переключатель на опцию «Включить», как показано на следующей иллюстрации:
Следующий параметр, который будет рассматриваться, позволяет вам запретить пользователям изменять и удалять установленные приложения из окна «Программы и компоненты», к которому можно получить доступ из группы «Программы» в панели управления. Для этого откройте параметр политики «Скрыть страницу «Программы и компоненты»» и в диалоговом окне свойств параметра установите переключатель на опцию «Включить»;
Для того чтобы пользователям запретить включать и отключать системные компоненты операционной системы, вам нужно открыть параметр политики «Скрыть «Компоненты Windows»» и установить переключатель на опцию «Включить», что и изображено на следующей иллюстрации:
Рис. 3. Отключение доступа к диалоговому окну «Компоненты Windows»
Если ваши пользователи любят изменять программы, которые вы установили по умолчанию, для вас окажется полезным использование текущего параметра групповой политики. Например, если в вашей организации, согласно корпоративной политике должен быть установлен по умолчанию браузер Internet Explorer, а пользователи пытаются задать по умолчанию браузер сторонних производителей, скажем, Mozilla FireFox, откройте параметр политики «Скрытие страницы доступа к программам и параметров по умолчанию» и в отобразившемся диалоговом окне свойств параметра политики установите переключатель на опцию Включить.
После того как вы настроили все необходимые параметры групповой политики, можно закрыть оснастку «Редактор управления групповой политики». Теперь осталось только связать созданный нами объект групповой политики с подразделением, содержащим учетные записи компьютеров, для которых должны применяться параметры текущего объекта групповой политики. В дереве консоли оснастки «Управление групповой политикой» выберите подразделение, содержащее учетные записи компьютеров ваших пользователей, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Связать существующий объект групповой политики». В отобразившемся диалоговом окне «Выбор объекта групповой политики» выберите данный объект групповой политики и нажмите на кнопку «ОК».
После того как установленные вами ограничения будут применены на клиентские компьютеры, у ваших пользователей будут следующие ограничения:
При попытке просмотреть установленные на компьютер системные обновления на странице «Установленные обновления», которую можно вызвать из группы «Программы» на панели управления или со страницы «Программы и компоненты», пользователи увидят текст с предупреждением «Системный администратор отключил компонент «Установленные обновления»»;
При попытке удалить установленное программное обеспечение при помощи страницы «Программы и компоненты», пользователи также увидят предупреждение «Системный администратор отключил компонент «Программы и компоненты»»;
При попытке открытия диалогового окна «Включение или отключение компонентов Windows» для ваших пользователей будет отображаться диалоговое окно с текстом «Системный администратор отключил компоненты Windows»;
При попытке открытия окна управления доступом к некоторым программам и задания параметров по умолчанию, которое расположено в группе «Выбор программ, используемых по умолчанию», пользователь также увидит предупреждение о том, что такая возможность отключена.
Предупреждения, которые будут отображаться вашим пользователям, показаны на следующей иллюстрации:
Рис. 4. Предупреждающие сообщения, которые будут видеть ваши пользователи
Разумеется, вы можете запретить доступ ко всем компонентам, расположенным в группе «Программы» при помощи параметра политики «Скрыть панель управления «Программы»», но я считаю, что такие действия нужно выполнять только в крайних случаях.