Сложно понять, почему предпочтения групповых политик не используются во всех организациях. По-видимому, не всем понятна эта технология, поэтому в этой статье мы расскажем о ней поподробнее.
Вас, скорее всего, интересует, что же такое предпочтения групповых политик. Предпочтения групповых политик многим отличаются от групповых политик. Если параметры групповых политик можно считать правилами, которые применяются к компьютерам и пользователям, то предпочтения групповых политик можно считать набором руководств, применяемых к пользователям и компьютерам. Можно также считать групповые политики управляемыми, а предпочтения групповых политик — неуправляемыми параметрами компьютеров и пользователей.
Параметры используются для управления конфигурацией операционной системы и ее компонентов. Параметры также могут применяться для запрещения пользователям вносить определенные изменения в свои компьютеры. Предпочтения используются для определения базовых уровней. Пользователи могут менять параметры, примененные посредством предпочтений, но можно заставить групповые политики повторно автоматически применять предпочтения в процессе обновления политики. Поэтому у вас есть выбор: применить однажды или применять повторно с обновлением при использовании предпочтений.
Вот несколько других обстоятельств, о которых надо помнить:
- При конфигурировании параметров групповых политик вы обычно вносите изменения в раздел политик в реестре и не перезаписываете исходные значения. При конфигурировании предпочтений групповых политик вносятся изменения в те же области реестра, используемые ОС и приложениями. Эти изменения переопределяют исходные значения.
- При удалении параметра групповой политики восстанавливается исходная настройка. При удалении предпочтения групповой политики исходная настройка не восстанавливается.
Короче говоря, в отличие от предпочтений, параметры групповых политик применяются принудительно. Если дело обстоит именно так, почему бы не использовать предпочтения?
В отличие от параметров групповых политик, которые применяются как к политикам локального компьютера, так и политикам Active Directory, предпочтения групповых политик применяются только к политике Active Directory. Предпочтения могут использоваться для конфигурирования многих частей ОС, в том числе:
- системных устройств, таких как порты USB, дисководы гибких дисков и съемные накопители;
- общих сетевых папок и сопоставления общих папок и букв дисков;
- системных переменных и переменных среды;
- учетных записей пользователей и групп на локальном компьютере;
- VPN и коммутируемых подключений;
- конфигураций и сопоставлений принтеров;
- параметров реестра, запланированных заданий и системных служб;
- параметров папок, Интернета, а также языков и региональных стандартов;
- параметров планов питания и управления питанием;
- свойств и состава меню «Пуск».
Предпочтения групповых политик также позволяют организовать управление файлами, папками и ярлыками. Предпочтения групповых политик можно использовать для создания на компьютерах ярлыков и папок. Можно также копировать файлы с заданного источника в определенные папки на компьютер. Ранее все эти параметры приходилось конфигурировать, используя сценарии входа или выхода из системы или вручную конфигурируя образы системы. Предпочтения групповых политик могут заменить собой все эти сценарии и операции по ручному конфигурированию.
Применение конфигураций средствами предпочтений выполняется проще, чем можно было подумать. Например, если нужно, чтобы на компьютерах не работала такая служба, как FTP или World Wide Web Publishing, можно сконфигурировать предпочтение, предписывающее остановку и отключение служб.
Хотя предпочтения неуправляемы и принудительно не применяются, вы можете задать, что предпочтение будет применяться при каждом обновлении групповой политики. В результате, если пользователь запустит службу, она будет остановлена и отключена при обновлении групповых политик.
Классическая конфигурация
Предпочтения групповых политик позволяют конфигурировать различные части ОС. Они также заменяют собой некоторые виды сценариев и задач, выполняемых вручную. В отличие от параметров групповых политик, которые можно переводить в состояние «включено», «отключено» или «не сконфигурировано», большинство предпочтений можно сконфигурировать, используя одно из четырех действий: Create (создать), Replace (заменить), Update (обновить) или Delete (удалить) (в совокупности они называются CRUD).
Действие Create создает предпочтение, если оно еще не существует. Например, действие Create можно использовать для создания и присвоения значения пользовательской переменной окружения CurrentOrg. Если переменная уже существует, ее значение не поменяется.
Действие Replace также создает пока не существующие действия, но кроме того оно удаляет и повторно создает уже существующие предпочтения. Например, действие Replace можно использовать для замены файлов на определенных компьютерах. Если файл существует, групповая политика удалит его из целевого места и скопирует из указанной папки. Если файл пока не существует, групповая политика просто скопирует его в целевое местоположение с указанного источника.
Действие Update создает предпочтения, которые еще не существуют, или изменяет существующие предпочтения. Например, действие Update можно использовать для изменения локальной группы. Если указанная локальная группа существует, ее можно переименовать и изменить ее параметры, заменив теми, что указаны в предпочтении.
Это позволяет добавлять пользователей и группы, не меняя текущий состав группы. Вместе с тем, как и в других предпочтениях, можно использовать модификаторы действия. Это дополнительные параметры обновления. Модификаторы обновления позволяют удалять из группы пользователей и/или группы.
Действие Delete удаляет существующие предпочтения. Например, действие Delete можно использовать для удаления с компьютеров определенной общей папки. Модификаторы действий позволяют выполнять такие задачи (по отдельности или в целом), как удаление стандартных папок, всех скрытых административных папок и всех букв административных общих папок.
Это было краткое описание действий CRUD и того, как они работают. Помимо предпочтений, которыми можно управлять с применением действий CRUD, существуют также предпочтения, которыми можно управлять, используя интерфейс, похожий на интерфейс панели управления. Такие предпочтения обычно поддерживают действия CRUD и имеют состояния редактирования. Вот краткий перечень этих специальных предпочтений:
- Параметры меню «Пуск» (Start Menu settings)
- Языки и региональные стандарты (Regional and Language settings)
- Свойства обозревателя (Internet Options)
- Параметры папок (Folder Options)
- Электропитание (Power Options)
Специальные предпочтения легко заменить — они подчеркиваются сплошной зеленой или пунктирной красной линией. Они также могут отмечаться значком с зеленым или красным кружком. Эти элементы отображают режим редактирования предпочтения. Выделенные зеленым предпочтения созданы и действуют, а выделенные красным — не заданы и не действуют.
Особые предпочтения
Если вы хотя бы какое-то время работали с Windows, вас не удивит, что вещи не всегда четко определены. Существуют элементы предпочтений с расширенным интерфейсом. Например, если создать элемент предпочтения, который будет выполняться плановым заданием в Windows Vista или более поздней ОС, вы можете использовать действия CRUD или расширенный интерфейс, похожий на стандартный интерфейс Windows Vista. Но у этих элементов предпочтений не будет зеленых и красных указателей. Эти индикаторы указывают, что вы имеете дело с особым элементом предпочтений.
Изучать предпочтения лучше всего, просто работая с ними. При настройке предпочтений для меню «Пуск» нужно указать, для каких операционных систем они предназначаются — для Windows XP или Windows Vista или более поздних ОС. Можно задать несколько параметров, в том числе размер значков программ, число программ, отображаемых в меню «Пуск», а также параметры классического, и простого меню «Пуск» и т. п.
Элемент предпочтений, управляющий параметрами папок и питания, разбит на два отдельных элемента для компьютеров под управлением Windows XP или Windows Vista. Для Windows XP можно конфигурировать параметры и схемы питания. Windows Vista и последующих ОС можно конфигурировать только планы питания.
Параметры обозревателя конфигурируются в зависимости от версии обозревателя. Существуют отдельные предпочтения для Internet Explorer 5 и 6, Internet Explorer 7 и Internet Explorer 8. Требуемые параметры задаются в диалоговом окне, похожем на окно свойств соответствующего обозревателя.
Большинство предпочтений групповых политик поддерживают только действия CRUD, и немногие поддерживают режимы управления. Вы их узнаете, как только увидите, так как их пользовательский интерфейс похож на то, что имеется в соответствующей ОС или приложении. Например, вид окна свойств обозревателя определяется версией Internet Explorer. Вид предпочтений параметров питания зависит от версии Windows.
Вот полный список предпочтений, которые поддерживают режимы управления:
- Параметры меню «Пуск» (Start Menu settings)
- Языки и региональные стандарты (Regional and Language settings)
- войства обозревателя (Internet Options)
- Параметры папок (Folder Options)
- Параметры питания (в том числе схемы питания)
Режим управления параметров визуально выделяется следующим образом:
- Зеленый означает, что параметр предоставляется и обрабатывается клиентом.
- Красный означает, что параметр не предоставляется и не обрабатывается клиентом.
Иначе говоря: зеленый означает «вперед», а красный — «стоп». Когда параметр выделен зеленым, его можно включать, отключать или задавать ему определенное значение. Также вы можете определять порядок использования параметра. Когда параметр выделен красным, он не применяется и текущее его значение неважно.
Изменять режим управления можно функциональными клавишами. Чтобы включить все параметры на текущей вкладке, нажмите F5. Чтобы отключить все параметры на текущей вкладке, нажмите F8. Чтобы включить текущий параметр, нажмите F6. Чтобы отключить текущий параметр, нажмите F7. Вот краткий справочник:
- F5: включить все параметры
- F6: включить выбранный параметр
- F7: отключить выбранный параметр
- F8: отключить все параметры
Таково вкратце описание предпочтений групповых политик. Я надеюсь, что все больше людей станут использовать их для управления корпоративными системами. Как поет Боб Дилан, «лучше пытаться плыть, чтобы не утонуть».