Введение
Как я уже много раз говорил в своих статьях, групповые политики позволяют снизить стоимость управления компьютерными системами, а также обеспечить пользователей и компьютеры вашей организации оптимальными настройками. Групповые политики могут полностью удовлетворить как потребности ваших пользователей в плане настройки рабочих мест, так и любые параметры безопасности, обеспечивающие стабильную и защищённую структуру вашей организации. При помощи данной технологии вы можете управлять пользовательскими настройками, сложностью паролей пользовательских учетных записей, настраивать параметры безопасности, управлять состоянием системных служб и отображением разделов системного реестра, настраивать брандмауэр Windows в режиме повышенной безопасности, устанавливать программное обеспечение. Разумеется, этот список не является окончательным и можно еще долго рассматривать возможности, которые предоставляют групповые политики. Некоторые такие возможности я уже рассматривал в своих статьях, а остальные еще будут рассмотрены. Но, разумеется, в операционной системе, а тем более в программном обеспечении сторонних производителей, можно найти различные параметры, для которых не существует параметров политики, расположенных в оснастке «Редактор управления групповыми политиками».
К счастью, как для большинства настроек операционной системы Windows, так и для настройки большей части программного обеспечения сторонних производителей, изменения заносятся в системный реестр Windows. А, как вы, скорее всего, знаете, реестром Windows является иерархическая база данных, которая хранит конфигурационную информацию операционной системы, приложений, а также информации о пользователях и оборудовании, где для удобства использования структура данных предоставлена в древовидном формате. Соответственно, есть большая вероятность того, что установив или сняв, скажем, флажок в диалоговых окнах настроек того или иного программного обеспечения, это изменение будет сохранено в реестре на пользовательском компьютере.
Для того чтобы не настраивать программные продукты на пользовательских компьютерах в ручном режиме, вы можете воспользоваться несколькими методами:
- Создать reg-файлы и запустить их на выполнение на каждом пользовательском компьютере. Это можно сделать, написав пакетный файл и распространив его средствами GPO (Конфигурация компьютера или пользователя\Политики\Конфигурация Windows\Сценарии);
- Создать образ операционной системы с установленным софтом и измененными параметрами системного реестра, а потом распространить этот образ на пользовательские компьютеры при помощи роли Windows Server «Службы развертывания Windows» или используя продукт System Center Configuration Manager;
- Написать новый административный шаблон, а затем, используя оснастку «Редактор управления групповыми политиками» обеспечить ваших пользователей эксклюзивными настройками;
- Создать объект групповой политики с настроенными элементами предпочтения «Реестр» предпочтений групповой политики.
Элемент предпочтения групповой политики «Реестр» предоставляет вам возможность гибко управлять настройкой реестра. В предыдущих статьях я уже рассмотрел четыре различных элемента предпочтений групповой политики, предназначенных для настройки переменных сред, файлов, папок, а также сопоставления дисков. В отличие от предыдущих элементов предпочтений, с параметрами настройки реестра связана динамическая библиотека userenv.dll и GUID {35378EAC-683F-11D2-A89A-00C04FBBCFA2}, отвечающая за текущее расширение клиентской стороны.
Узел предпочтений групповой политики «Реестр»
Этот элемент предпочтений групповой политики позволяет вам управлять настройками реестра самым гибким образом. То есть, вам предоставляется возможность создания, изменения, обновления или удаления как отдельных, так и нескольких параметров реестра, разделов вместе с параметрами, а также управления коллекциями, отражающих структуру разделов системного реестра. Так как сейчас практически на каждом компьютере в организациях установлена программа Adobe Reader, в следующих примерах я покажу, как можно устанавливать настройки этой программы, используя элемент предпочтений групповой политики «Реестр». В этой статье рассматривается Adobe Reader версии 9.4.5. Будут изменены несколько настроек в программе при помощи создания отдельного элемента реестра, а также с использованием мастер реестра. А чтобы разграничить разные настройки программы, будет создана структура параметров реестра, путем создания коллекций элементов. Для того чтобы настроить Adobe Reader, выполните следующие действия:
- Откройте оснастку «Управление групповой политикой», в дереве консоли разверните узел «Лес: %имя леса%», узел «Домены», затем узел с названием вашего домена, после чего перейдите к узлу «Объекты групповой политики». В узле «Объекты групповой политики» создайте объект групповой политики «Настройка Adobe Reader», выберите этот объект GPO, нажмите на нем правой кнопкой мыши и для открытия оснастки «Редактор управления групповыми политиками» выберите команду «Изменить» из отобразившегося контекстного меню;
- В оснастке «Редактор управления групповыми политиками», в дереве консоли разверните узел Конфигурация пользователя\Настройка\Конфигурация Windows и выберите узел «Реестр». На этом этапе следует создать несколько коллекций, которые будут содержать разные настройки программы. Для этого щелкните на данном узле правой кнопкой мыши и из контекстного меню последовательно выберите команды «Создать», а затем «Элемент семейства». В дереве консоли будет создана папка с именем «Коллекция». Укажите понятное имя для текущей папки, например, «Общие параметры» и нажмите на клавишу Enter. При необходимости вы можете создавать вложенные папки. Созданный первый элемент коллекции показан на следующей иллюстрации:
Увеличить рисунок
Рис. 1. Создание элемента предпочтения коллекции параметров реестра
- Теперь следует определить параметры, настройки которых должны применяться для ваших пользователей. Для этого вам следует открыть диалоговое окно установок программы, изучить параметры настроек и найти параметры реестра, отвечающие за текущие настройки. Вкладку «Вид страницы» диалога установок Adobe Reader вы можете увидеть ниже:
Увеличить рисунок
Рис. 2. Диалоговое окно «Установки» Adobe Reader
Например, если вам нужно на вкладке «Вид страницы» установить пользователям флажок на опции «Плавно изменять масштаб» я рекомендую воспользоваться такой утилитой, как Process Monitor, которая входит в набор системных утилит SysInternals от Марка Руссиновича. О методах использования этой программы я уже говорил в одной из своих статей. После того как вы правильно настроите в Process Monitor фильтр, установите флажок на соответствующей опции в диалоговом окне «Установки» программы Adobe Reader и сохраните изменения. Как видно на следующей иллюстрации, за эту опцию отвечает параметр реестра bSmoothZooming, расположенный в разделе HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\AVDisplay:
Увеличить рисунок
Рис. 3. Мониторинг изменений в реестре при изменении настроек Adobe Reader
Чтобы однозначно удостовериться, что вы выбрали правильный параметр реестра, откройте «Редактор реестра», перейдите в указанный ранее раздел, а затем в Adobe Reader снимите флажок с данной опции. В итоге, значение DWORD-параметра должно измениться с 1 на 0;
- После того как все параметры для текущей коллекции будут определены, вам нужно начать создавать элементы предпочтений. В дереве консоли оснастки «Редактор управления групповыми политиками» перейдите в созданную вами ранее коллекцию, нажмите на созданной вами папке правой кнопкой мыши и из контекстного меню последовательно выберите команды «Создать» и «Элемент реестра», как показано на следующей иллюстрации:
Увеличить рисунок
Рис. 4. Создание элемента реестра
В диалоговом окне «Новые свойства реестра», на вкладке «Общие», вы, как и во всех рассматриваемых ранее элементах предпочтения в текущем цикле статей, можете выбрать одно из четырех стандартных действий:
- Создать – создание нового параметра или раздела реестра;
- Заменить - удаление с последующим созданием существующего параметра или раздела реестра со всеми вложенными параметрами и дочерними подразделами;
- Обновить – обновление определенных в элементе предпочтения параметров реестра без удаления последних;
- Удалить – удаление указанного параметра или раздела реестра.
Следует отметить, что по умолчанию выбрано действие «Обновить», которое лучше всего оставлять не тронутым в большинстве сценариев работы с текущим элементом предпочтения GPO.
После того как вы выберите нужное действие, вам еще предстоит указать в новом элементе предпочтения раздел системного реестра, параметр, а также его значение.
В раскрывающемся списке «Куст:» выберите куст реестра, в котором находится параметр, подлежащий изменению. Вы можете выбрать любой из пяти доступных, и, полагаю, известных вам кустов системного реестра. Стоит обратить внимание на то, что, так как изначально элемент предпочтения создавался в разделе «Конфигурация пользователя», в раскрывающемся списке по умолчанию будет выбран раздел «HKEY_CURRENT_USER» (в противном случае, был бы выбран раздел HKEY_LOCAL_MACHINE).
Текстовое поле «Путь реестра» позволяет вам указать раздел, содержащий требуемый параметр реестра. Следует помнить, что в данном текстовом поле вам не нужно указывать куст, а также не нужно указывать слэш перед родительским разделом, так как в противном случае раздел не будет найден. Например, в данном случае, следует указать раздел «Software\Adobe\Acrobat Reader\9.0\AVDisplay».
В группе «Имя параметра» вы можете указать параметр, который будет подлежать изменениям. В том случае если вы изменяете параметр «По умолчанию» (@), установите флажок на одноименной опции. Так как в большинстве случаев не требуется менять параметр по умолчанию, вы можете самостоятельно ввести имя параметра в соответствующее текстовое поле.
Раскрывающийся список «Тип параметра» позволяет вам выбрать необходимый тип параметра. Несмотря на то, что в общей сложности насчитывается 15 типов данных, в большинстве случаев используются только параметры типа REG_DWORD, REG_BINARY, а также REG_SZ. Будьте внимательны при выборе типа параметра, так как в лучшем случае, при указании не правильного типа параметра ваши изменения просто не будут применены к конечным пользователям. Этот раскрывающийся список, как вы, скорее всего, уже догадались, доступен только при выборе таких действий как «Создать», «Изменить», а также «Обновить».
Последнее текстовое поле доступное на этой вкладке, поле «Значение» вам позволяет указать значения для выбранного параметра системного реестра.
Все эти поля целесообразно заполнять в том случае, если на компьютере, на котором создается элемент предпочтения невозможно найти искомый параметр реестра. Если же на данном компьютере такой параметр присутствует, то вы можете создать элемент предпочтения, заполнив только поле со значением вашего параметра. Для этого вызовите диалоговое окно «Браузер элементов реестра» по нажатию на кнопку «…». Выберите в этом браузере раздел реестра, содержащий искомый параметр (в данном случае, это раздел «Software\Adobe\Acrobat Reader\9.0\AVDisplay»). В нижней части диалогового окна будут отображены все параметры, содержащиеся в выбранном вами разделе. Выберите параметр «bSmoothZooming», о котором мы говорили ранее. Несмотря на удобство данного браузера, здесь вы можете найти непонятный, полностью бесполезный, горизонтальный скролл :). Диалоговое окно браузера элементов реестра вместе с этим лишним скроллом можно увидеть ниже:
Рис. 5. Диалоговое окно «Браузер элементов реестра»
После того как вы выберите требуемый параметр реестра, нажмите на кнопку «Выбрать». Как видите, все поля заполнились автоматически. Теперь только укажите значение для выбранного параметра (в нашем случае, значение должно быть 00000001 в шестнадцатеричной системе исчисления) и нажмите на кнопку «ОК» для сохранения изменений. Так как данный объект групповой политики будет содержать несколько элементов предпочтений, разбитых на несколько коллекций, общие параметры вместе с нацеливанием на уровень элемента не нужно настраивать для каждого элемента реестра по отдельности. Будут настраиваться общие параметры только для элементов коллекций. Диалоговое окно свойств элемента предпочтения реестра отображено на следующей иллюстрации:
Рис. 6. Диалоговое окно свойств элемента предпочтения реестра
- Так как коллекцию элементов создавать только для одного параметра реестра бессмысленно, внесем еще изменения в три общих параметра Adobe Reader. Предположим, что изменяемыми параметрами должны быть следующие настройки:
Категория | Настройка | Раздел реестра | Параметр | Значение |
Основные | «Использовать фиксированное разрешение для снимков» - 90ppi | HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Selection | iSnapshotResolution bUseFixedSnapshotResolution | 5a 1 |
Дополнительная разметка | «Всегда использовать параметр «Масштаб»» - По размеру страницы | HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Access | bOverrideZoom iZoomScale iZoomType | 1 0 4 |
Поиск | «Максимальный размер кэша» - 50 МБ | HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Search\cOptions | iCacheSize | 32 |
Так как на этом этапе будет создаваться не один, а целых 6 элементов предпочтений реестра, причем, все эти параметры реестра присутствуют на данном контроллере домена и в нескольких разделах нужно менять по два и более параметра, целесообразно воспользоваться еще одним методом создания элементов предпочтений реестра – «Мастером реестра».
Для этого выберите в дереве консоли созданную ранее коллекцию, нажмите на ней правой кнопкой мыши и из контекстного меню выберите команды «Создать» и «Мастер реестра». На первой странице мастера следует выбрать компьютер, из которого будут извлекаться требуемые параметры. Так как эти параметры можно найти на локальном компьютере, то есть контроллере домена, установите переключатель на опцию «Локальный компьютер» и нажмите на кнопку «Далее», как показано ниже:
Рис. 7. Первая страница мастера реестра
На второй странице мастера вам предстоит выбрать требуемый раздел и установить флажки на тех параметрах реестра, в значения которых будут вноситься изменения. На этом этапе вы можете только выбрать параметры, то есть, изменять их значения вы будете немного позже. Стоит отметить, что если вам необходимо только создать раздел, то достаточно установить флажок на разделе реестра. Выбранные параметры реестра для первой настройки изображены на следующей иллюстрации:
Рис. 8. Выбор параметров реестра
По нажатию на кнопку «Готово», в вашей папке будут созданы вложенные папки, имена которых должны совпадать со всей иерархией разделов реестра. В данном примере будет достаточно одной папки коллекции, поэтому выделите элементы bUseFixedSnapshotResolution и iSnapshotResolution, а затем переместите их в папку «Общие параметры», после чего можно удалить папку «Значения мастера реестра». Откройте оба элемента предпочтений реестра и внесите в них нужные значения. После того как все изменения будут выполнены, папка «Общие параметры» должна выглядеть следующим образом:
Увеличить рисунок
Рис. 9. Папка «Общие параметры» со всеми изменениями
- Следующим шагом будет нацеливание созданных ранее элементов предпочтений на уровень элемента. В связи с тем, что все семь созданных ранее элементов предпочтений были помещены в одну коллекцию, можно не настраивать нацеливание для каждого элемента по отдельности, а достаточно лишь указать уровень нацеливания коллекции реестра. Для этого выберите папку «Общие параметры», нажмите на ней правой кнопкой мыши и из контекстного меню выберите команду «Свойства». Откроется диалоговое окно «Свойства: Общие параметры», которое уже рассматривалось несколько раз в предыдущих статьях текущего цикла.
В данном диалоговом окне установите флажок на опцию «Нацеливание на уровень элемента» и перейдите к диалоговому окну «Редактор нацеливания». В этом примере создадим элемент нацеливания, позволяющий применять все указанные настройки только пользователям, расположенным в определенном подразделении, а именно в подразделении «Тестирование», которое является дочерним подразделением для OU «Разработка». Для этого выберите из раскрывающегося списка «Создать элемент» элемент «Подразделение», где в текстовом поле «Подразделение» укажите название подразделения, членом которого должны являться пользователи. В этом текстовом поле вы можете указывать как неполное, так и частичное или полное имя подразделения, например, в данном случае, полным именем подразделения тестирования будет OU=Тестирование,OU=Разработка,OU=Пользователи,DC=BIOPHARMACEUTIC,DC=COM. Диалоговое окно редактора нацеливания должно выглядеть следующим образом:
Увеличить рисунок
Рис. 10. Редактор нацеливания
- Для того чтобы удостовериться, что параметры применяются правильно, я рекомендую вам создать еще один элемент предпочтения, который не будет входить в текущую коллекцию. Например, можно создать элемент предпочтения отключающий JavaScript. Для этого создайте новый элемент предпочтения реестра для раздела HKCU\Software\Adobe\Acrobat Reader\9.0\JSPrefs, параметра bEnableJS типа DWORD со значением 0 и на всякий случай, чтобы ваши пользователи могли включить JavaScript, в общих параметрах установите флажок на опцию «Применить один раз и не применять повторно»;
- Последним шагом будет привязывание объекта GPO к подразделению «Разработка». Закройте оснастку «Редактор управления групповой политики» и свяжите созданный объект групповой политики с данным подразделением. Для этого, в дереве консоли оснастки «Управление групповой политикой» выберите подразделение, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Связать существующий объект групповой политики». В отобразившемся диалоговом окне «Выбор объекта групповой политики» выберите данный объект групповой политики и нажмите на кнопку «ОК».
Теперь нужно проверить настройки для двух учетных записей. Первая учетная запись пользователя Павла Куренкова должна быть размещена в подразделении «Разработка», а вторая, учетная запись Олега Алекминского - в подразделении «Тестирование».
Для того чтобы проверить, привязался ли новый объект групповой политики только к подразделению «Тестирование», выполните вход в систему первым пользователем, учетная запись которого размещена в подразделении «Разработка». Затем откройте программу Adobe Reader и в диалоговом окне установок перейдите к любой категории, в которую были внесены изменения для пользователей OU тестирования, например, к категории «Поиск». Как показано на следующей иллюстрации, для этого пользователя минимальный размер кэша составляет 100 МБ, что является значением, установленным по умолчанию:
Увеличить рисунок
Рис. 11. Минимальный размер кэша пользователя подразделения «Разработка»
Теперь выйдите из системы и на этом же компьютере выполните вход под учетной записью Олега Алекминского, который находится в подразделении «Тестирование». В Adobe Reader откройте диалоговое окно «Установки» и перейдите в категорию «Поиск». Здесь минимальный размера кэша для программы составляет 50 МБ, следовательно, элемент предпочтения связанного с подразделением «Разработка» объекта групповой политики удачно применился. Это диалоговое окно можно увидеть на следующей иллюстрации:
Увеличить рисунок
Рис. 12. Минимальный размер кэша пользователя подразделения «Тестирование»
Заключение
Из этой статьи вы узнали об очередном расширении клиентской стороны предпочтений групповой политики «Реестр», позволяющем гибко управлять настройками операционной системы и приложений при помощи системного реестра. В приведенном в статье примере была рассмотрена часть настройки программы Adobe Reader средствами изменения значений параметров раздела HKEY_CURRENT_USER системного реестра. Также вкратце был рассмотрен новый элемент нацеленности предпочтений на уровень элемента, позволяющий распространять настройки элементов предпочтений только для пользователей, являющихся членами определенного подразделения.