Операционная система Windows Vista позволяет централизованно управлять большим количеством компонентов и функциональных возможностей по сравнению с Windows Server 2003. Количество параметров групповой политики возросло примерно с 1800 в Windows Server 2003 SP1 до 2500 в Windows Vista и Windows Server 2008. Теперь в Вашем распоряжении свыше 700 новых политик, помогающих контролировать рабочие станции, обеспечивать их безопасность и управлять прочими аспектами корпоративной сети. Этот документ поможет Вам разобраться в новых и обновленных параметрах групповой политики Windows Vista. Вы также найдете в нем рекомендации по развертыванию групповой политики.
В этом документе:
Представляем групповую политику
Возможности групповой политики
Настройка групповой политики
Нововведения в групповой политике Windows Vista
Средства работы с групповой политикой
Управление рабочими станциями в смешанной среде
Советы и рекомендации
Работа в многоязычной среде
Изменения в групповой политике после перехода на Windows Vista или обновления до этой ОС
Проверка параметров групповой политики с помощью результирующей политики (RSoP)
Применение параметров групповой политики Windows Vista
Совместимость с перенаправлением папок
Защита сетевого доступа и служба сетевого расположения
Управление компонентами Windows Vista с помощью групповой политики
Устранение неполадок в работе групповой политики
Связанные ресурсы
Приложение А. Файл Launchapp.wsf
Приложение Б. Список разделов и параметров реестра, сохраняемых во время перехода на Windows Vista
Представляем групповую политику
Использование групповой политики повышает эффективность работы, поскольку появляется возможность централизованного управления рабочими станциями. В свою очередь централизованное управление снижает совокупную стоимость владения компьютерами в организации (Total Cost of Ownership, TCO). В распределенной вычислительной среде одной из основных составляющих TCO является снижение производительности труда конечных пользователей. Негативное влияние на производительность труда оказывают следующие факторы:
-
Ошибки пользователей. Например, изменение системных файлов может привести к неработоспособности операционной системы.
-
Сложность. Второстепенные приложения или посторонние элементы на рабочем столе могут запутать пользователя или послужить причиной для дополнительного обучения работников.
-
Нежелательные приложения. Программы, полученные по электронной почте, загруженные из Интернета или установленные со съемных носителей, могут препятствовать нормальной работе корпоративной сети.
Используя групповую политику, Вы можете повысить производительность труда за счет определения действий, разрешенных пользователям и компьютерам. В совокупности параметры политики позволяют настроить рабочую станцию в соответствии с обязанностями пользователя и его навыками владения компьютером.
Применять групповую политику можно не только к пользователям и компьютерам, но и к рядовым серверам, контроллерам домена и любым другим компьютерам с установленной ОС Windows в пределах области управления. Групповая политика, применяемая к домену (т. е. применяемая ко всем объектам, расположенным ниже узла Active Directory – пользователи и компьютеры одноименной оснастки), по умолчанию применяется ко всем пользователям и компьютерам, входящим в домен.
В оснастке Active Directory – пользователи и компьютеры имеется встроенное организационное подразделение Domain controllers. Если Вы используете его для хранения учетных записей контроллера домена, Вы можете управлять ими отдельно от других компьютеров, задействовав объект групповой политики Default Domain Controllers Policy. Будучи построена на фундаменте, заложенном в Windows Server 2003 и Windows XP, групповая политика в Windows Vista улучшилась за счет большего количества расширений и параметров, более надежного взаимодействия с сетью и упростившегося администрирования.
Наверх страницы
Настройка групповой политики
С помощью параметров групповой политики Вы можете определять необходимые конфигурации для групп пользователей и компьютеров. Эти параметры указываются в редакторе объектов групповой политики (также известном как GPEdit) и содержатся в объекте групповой политики, который, в свою очередь, связывается с такими контейнерами службы каталогов Active Directory, как сайты, домены и организационные подразделения. В результате параметры групповой политики применяются к пользователям и компьютерам, содержащихся в этих контейнерах Active Directory. Достаточно сконфигурировать пользовательскую среду один раз, и в дальнейшем система автоматически будет поддерживать и контролировать ее надлежащее состояние.
Такой подход обеспечивается за счет применения параметров групповой политики к пользователям и компьютерам в вышеуказанных контейнерах службы каталогов Active Directory. Единожды сконфигурировав пользовательскую среду, можно доверить операционной системе Windows Vista контроль над соблюдением заданных Вами политик.
Наверх страницы
Возможности групповой политики
Определяя параметры групповой политики, Вы контролируете поведение Windows и обеспечиваете безопасность пользователей и компьютеров. В следующих разделах Вы найдете описание основных возможностей групповой политики.
Параметры, хранящиеся в системном реестре
Хранение параметров в системном реестре является наиболее распространенной формой применения групповой политики в Windows. Для операционной системы и приложений такие параметры можно задать при помощи редактора объектов групповой политики. Например, в Windows Vista Вы можете определить параметр, добавляющий всем пользователям пункт Выполнить в меню Пуск.
Параметры безопасности
При помощи групповой политики Вы можете задать параметры безопасности для пользователей и компьютеров, на которые распространяются параметры определенного объекта групповой политики. Параметры безопасности можно задать на уровне локального компьютера, домена или сети. Для дополнительной защиты Вы можете применять политики ограниченного использования программ, контролирующие запуск файлов в зависимости от пути, зоны URL, хэша и правил для сертификатов. Для стандартного уровня безопасности можно делать исключения, создавая правила для конкретных программ.
Политики ограниченного использования программ
В Windows Vista имеются новые политики ограниченного использования программ, помогающие защитить компьютеры, работающие под управлением Windows XP и Windows Server 2003, от вирусов, нежелательных приложений и атак. Теперь Вы можете идентифицировать работающие в домене программы и контролировать их запуск.
Распространение программного обеспечения
При помощи Windows Vista Вы можете управлять установкой программ и обновлений, а также их удалением с компьютеров пользователей. Поскольку организации могут развертывать собственные конфигурации рабочих станций и управлять ими в дальнейшем, снижаются финансовые затраты на индивидуальную поддержку пользователей. Программное обеспечение может быть либо назначено пользователям и компьютерам (при этом происходит обязательная установка программ), либо опубликовано для пользователей (в этом случае пользователь самостоятельно принимает решение об установке, которая проводится при помощи элемента панели управления Установка и удаление программ). Таким образом, пользователи могут сосредоточиться непосредственно на выполнении своих рабочих обязанностей, не отвлекаясь на настройку операционной системы.
Групповую политику можно использовать для развертывания проверенных пакетов. Например, если в строго контролируемой среде пользователи не имеют прав на установку программ, ее может выполнять от их имени установщик Windows. Дополнительным удобством в таких условиях является способность установщика Windows взаимодействовать с политиками ограниченного использования программ, определяющими список приложений, разрешенных к установке.
Сценарии для пользователей и компьютеров
Вы можете применять сценарии для автоматизации задач, выполняемых при включении и выключении компьютера, а также при входе и выходе пользователя из системы. В сценариях допустимо использование любых языков программирования, поддерживаемых сервером сценариев Windows - VBScript, JavaScript, PERL, а также пакетных файлов (.bat и .cmd).
Перенаправление папок
Политики перенаправления папок позволяют выполнить перенаправление на сервер таких важных пользовательских папок, как Documents и Users. Перенаправленными папками можно централизованно управлять и с легкостью осуществлять их резервное копирование и восстановление в случае необходимости.
Управление параметрами обозревателя Internet Explorer
На компьютерах, поддерживающих групповую политику, Вы можете управлять конфигурацией обозревателя Microsoft Internet Explorer. В редакторе объектов групповой политики имеется узел Настройка Internet Explorer, где Вы можете конфигурировать зоны безопасности, параметры конфиденциальности и прочие компоненты обозревателя, работающего в Windows 2000 или более новой операционной системе.
Наверх страницы
Нововведения в групповой политике Windows Vista
В Windows Vista произошли значительные улучшения групповой политики, включая усовершенствования возможностей планирования, подготовки, развертывания, управления, устранения неполадок и ведения отчета о внедрении групповой политики. В этом разделе описаны основные нововведения.
Встроенная консоль управления групповой политикой
Консоль управления групповой политикой (Group Policy Management Console, GMPC) является оснасткой MMC, поддерживающей сценарии. Консоль служит единым административным средством для управления групповой политикой в организации. Изначально консоль управления групповой политикой предлагалась к загрузке в качестве дополнительного компонента Windows XP и Windows Server 2003. Теперь она встроена в операционную систему и является стандартным средством управления групповой политикой наряду с редактором объектов групповой политики.
Параметры управления электропитанием
Все параметры управления электропитанием теперь можно контролировать с помощью групповой политики, что предоставляет организациям возможность сэкономить значительные финансовые средства. Вы можете сконфигурировать отдельные параметры электропитания или подготовить целый план управления электропитанием для развертывания в организации при помощи групповой политики.
Ограничение доступа к устройствам
Вы можете централизованно ограничивать установку устройств в организации. Теперь у Вас имеется возможность использовать параметры, контролирующие доступ к приводам CD-RW и DVD-RW, USB дискам и другим съемным носителям.
Улучшения в параметрах безопасности
Параметры групповой политики для брандмауэра Windows и протокола IPSec объединены в оснастка Брандмауэр Windows в режиме повышенной безопасности. Это позволяет Вам задействовать преимущества обеих технологий, избегая создания и сопровождения дублирующих друг друга компонентов. Некоторые сценарии, поддерживаемые объединенными параметрами брандмауэра Windows и протокола IPSec, обеспечивают защищенный обмен данными между серверами через Интернет. При этом ограничение доступа к ресурсам домена осуществляется на основе доверительных отношений или степени защищенности компьютера, а защита обмена данными с определенным сервером – за счет соблюдения особых требований к безопасности и конфиденциальности данных.
Улучшенное управление параметрами Internet Explorer
Вы можете открывать и редактировать параметры групповой политики обозревателя Internet Explorer, не опасаясь того, что эти параметры будут случайно заимствованы с административной рабочей станции. Это изменение продиктовано тем, что раньше некоторые политики Internet Explorer применялись в зависимости от параметров, заданных на административной рабочей станции – компьютере, используемом для просмотра политик.
Назначение принтеров в зависимости местоположения пользователей
Нововведением в Windows Vista является возможность назначать принтеры в зависимости от местоположения пользователей в организации или их географического расположения. Когда мобильные пользователи перемещаются в новое местоположение, групповая политика обеспечивает соответствующее обновление списка доступных принтеров. Вернувшись в основное местоположение, мобильные пользователи вновь видят привычные принтеры, используемые в стандартной конфигурации
Делегирование пользователям прав на установку драйверов принтера
Теперь при помощи групповой политики Вы можете делегировать пользователям права на установку драйверов принтера. Эта функциональная возможность помогает обеспечивать безопасность, поскольку происходит лишь ограниченная передача административных привилегий.
Обзор новых и расширенных параметров групповой политики
Таблицу с обзором новых и расширенных параметров групповой политики Вы можете найти по адресу http://go.microsoft.com/fwlink/?LinkId=54020.
Наверх страницы
Средства работы с групповой политикой
Редактор объектов групповой политики
Редактор объектов групповой политики – это оснастка консоли управления Microsoft (MMC), используемая для настройки параметров групповой политики в пределах отдельно взятого объекта групповой политики.
В каждом выпуске Windows Vista имеется один или несколько объектов локальной групповой политики (Local Group Policy objects, LGPOs). К таким объектам применение параметров осуществляется вручную при помощи редактора объектов групповой политики или посредством сценариев. В этих объектах содержится меньше параметров, чем в доменных объектах (в частности, это касается параметров безопасности). Если объекты локальной групповой политики сконфигурированы для работы в качестве изолированных клиентских компьютеров, они не будут поддерживать службы удаленной установки, перенаправление папок и установку программного обеспечения посредством групповой политики. Тем не менее, такие объекты можно успешно использовать для обеспечения безопасной вычислительной среды на изолированных компьютерах.
Администраторам также требуется возможность быстрого изменения параметров групповой политики для множества пользователей и компьютеров корпоративной сети. В редакторе объектов групповой политики имеется древовидная структура для настройки параметров объекта групповой политики. После настройки объекта его можно связать с сайтами, доменами и подразделениями, содержащими объекты пользователей или компьютеров (смотрите Рисунок 1).
Рисунок 1 – Редактор объектов групповой политики
Редактор объектов групповой политики содержит два основных раздела: Конфигурация компьютера и Конфигурация пользователя. Помимо периодического обновления параметров обоих разделов в фоновом режиме параметры раздела Конфигурация компьютера всегда применяются при запуске компьютера, а параметры раздела Конфигурация пользователя - при входе пользователя в систему. Каждые раздел содержит вложенные разделы, объединяющие различные группы политик, такие как Административные шаблоны, Параметры безопасности и Перенаправление папок. Для эффективной работы Вам, безусловно, понадобится удобный доступ к информации о предназначении каждого параметра политики. Для параметров, входящих в административные шаблоны, такая информация предоставляется непосредственно в редакторе объектов групповой политики. Она отображается в расширенном режиме просмотра в качестве описания к параметру. В описании приводятся требования к операционной системе, предназначение параметра, а также подробная информация о том, какой эффект имеет каждое из его состояний: «Не задан», «Включен» и «Отключен».
Консоль управления групповой политикой
Консоль управления групповой политикой (Group Policy Management Console, GMPC) входит в состав Windows Vista и является универсальным административным инструментом для управления групповой политикой.
Теперь в консоль управления групповой политикой интегрирована функциональность диалоговых окон, имеющихся в административных средствах службы каталогов Active Directory. Результатом этого улучшения стала единая консоль, предназначенная для выполнения задач по администрированию групповой политики. Возможности консоли управления групповой политикой расширились также и за счет ряда других новшеств. Для управления Active Directory Вы продолжите использовать средства администрирования службы каталогов, однако управление групповой политикой теперь полностью сосредоточено в консоли (смотрите Рисунок 2).
Рисунок 2 – Консоль управления групповой политикой
Примечание. Существует две версии консоли управления групповой политикой.
|
-
GMPC версии 1.0 доступна для загрузки, начиная с 2003 года, и предназначена для конфигурирования групповой политики в среде Windows Server 2003 и Windows XP.
-
GMPC версии 2.0 входит в состав Windows Vista и предназначена для конфигурирования групповой политики во всех операционных системах семейства Windows.
Важно! Не пытайтесь загрузить и использовать старую версию (1.0) в Windows Vista, поскольку она несовместима с этой операционной системой.
|
Наверх страницы
Управление рабочими станциями в смешанной среде
Управление групповой политикой в Windows Vista
В Windows Vista для определения параметров политики, хранящихся в системном реестре, используется новый формат. Хранящимся в реестре параметрам политик соответствует раздел «Административные шаблоны» редактора объектов групповой политики. Такие параметры задаются при помощи ADMX-файлов, представленных в стандартизированном формате XML. Эти ADMX-файлы пришли на смену ADM-файлам, использовавшим собственный язык разметки. Одним из основных преимуществ ADMX-файлов является поддержка многоязычной среды, которую не так просто реализовать при помощи ADM-файлов. Инструменты работы с групповой политикой (редактор объектов групповой политики и консоль управления групповой политикой) в целом не изменились, однако теперь они обладают способностью работать с ADMX-файлами. Поэтому в большинстве случаев при выполнении повседневных административных задач Вам не придется работать с ADMX-файлами напрямую.
В некоторых ситуациях необходимо понимание структуры ADMX-файлов и знание того, где они хранятся. Инструменты работы с групповой политикой, входящие в состав Windows Vista и Windows Server 2008, способны распознавать ADMX- и ADM-файлы. Аналогичные инструменты Windows Server 2003 и более ранних операционных систем способны распознавать только ADM-файлы.
В отличие от ADM-файлов, ADMX-файлы не хранятся в индивидуальных объектах групповой политики. В доменной среде существует возможность создания центрального хранилища ADMX-файлов, доступ к которому предоставляется тем, у кого имеются разрешения на создание или редактирование объектов групповой политики. Инструменты работы с групповой политикой продолжат распознавать ADM-файлы, связанные с существующими объектами групповой политики. Однако будут проигнорированы все ADM-файлы, замещаемые ADMX-файлами: System.adm, Inetres.adm, Conf.adm, Wmplayer.adm и Wuau.adm.
Редактор объектов групповой политики автоматически считывает и отображает параметры административных шаблонов, которые основаны на ADMX-файлах, размещенных локально или в необязательном центральном хранилище. Редактор также автоматически отображает параметры административных шаблонов, которые определенны в пользовательских ADM-файлах, размещенных в объекте групповой политики. Кроме того, Вы можете добавлять и удалять собственные ADM-файлы в объект групповой политики, воспользовавшись пунктом контекстного меню Добавление или удаление шаблонов. Все параметры групповой политики, которые в настоящее время имеются в ADM-файлах, поставляемых с операционными системами Windows Server 2003, Windows XP и Windows 2000, будут также доступны и Windows Server 2008.
Важные аспекты использования ADMX-файлов в смешанной среде
Если Вы администрируете смешанную вычислительную среду, в которой компьютеры работают под управлением Windows Vista, Windows XP и Windows 2000, Вам необходимо помнить о новых параметрах групповой политики Windows Vista – они работают только в этой операционной системе и игнорируются в более ранних.
-
Новыми параметрами групповой политики Windows Vista и Windows Server 2008 можно управлять с помощью редактора объектов групповой политики или консоли управления групповой политикой только с того компьютера, на котором установлена операционная система Windows Vista или Windows Server 2008. Эти параметры определены только в ADMX-файлах и не отображаются в старых версиях административных инструментов, предназначенных для работы в Windows Server 2003, Windows XP и Windows 2000. Для конфигурирования параметров новых политик Windows Vista администраторам необходимо использовать редактор объектов групповой политики на компьютере, работающем под управлением ОС Windows Vista или Windows Server 2008.
-
На компьютерах, работающих под управлением ОС Windows Server 2003, Windows XP и Windows 2000, редактор объектов групповой политики будет неправильно отображать параметры в административных шаблонах политики Windows Vista, включенных или выключенных для объекта групповой политики. Параметры реестра, соответствующие этим политикам, будут отображаться в редакторе в разделе «Классические административные шаблоны» (Extra registry settings).
-
Версии редактора объектов групповой политики и консоли управления групповой политикой для Windows Vista можно использовать для управления всеми операционными системами, поддерживающими групповую политику - Windows Vista, Windows Server 2008, Windows Server 2003, Windows XP и Windows 2000.
-
Политики административных шаблонов, определенные в ADM-файлах операционных систем Server 2003, Windows XP и Windows 2000, можно конфигурировать из любой ОС, поддерживающей групповую политику.
-
Версии редактора объектов групповой политики и консоли управления групповой политикой для Windows Vista совместимы с версиями этих инструментов для Windows Server 2003 и Windows XP. Например, пользовательские ADM-файлы, размещенные в объекте групповой политики, будут распознаны как редактором объектов, так и консолью управления групповой политикой в ОС Windows Vista, Windows Server 2008, Windows Server 2003, Windows XP и Windows 2000.
-
Версия редактора объектов групповой политики для Windows Vista совместима с версией этого редактора для Windows Server 2000. Например, пользовательские ADM-файлы, размещенные в объекте групповой политики, будут распознаны редактором объектов в ОС Windows Vista, Windows Server 2008, Windows Server 2003, Windows XP и Windows 2000. Консоль управления групповой политикой не работает в Windows 2000.
В предыдущих операционных системах при создании объекта групповой политики все исходные административные шаблоны (ADM-файлы) размещались непосредственно в объекте, занимая около 4 Мб. По этой причине репликационная сетевая активность резко возрастала во время событий, приводящих к одновременному изменению всех объектов групповой политики. Примером такого события может служить изменение разрешений для всех объектов групповой политики во время обновления домена Windows Server 2000 до Windows Server 2003. В таком случае происходила одновременная репликация всех ADM-файлов объекта групповой политики, что могло негативно сказаться на пропускной способности сети и, как следствие, ее доступности.
Этот процесс полностью изменился в операционных системах Windows Vista и Windows Server 2008, использующих центральное хранилище в папке «Sysvol», в котором содержатся все ADMX-файлы. В отличие от объектов групповой политики предыдущих версий Windows, объекты, созданные из Windows Vista, не содержат ADMX-файлов. Это изменение способствует снижению объемов данных, перемещаемых посредством службы репликации DFS.
Если все администраторы групповой политики будут использовать компьютер с установленной Windows Vista, в новых объектах групповой политики не будут содержаться ADM- или ADMX-файлы. Результатом этого изменения будет являться экономия 4 Мб занимаемого дискового пространства на каждый объект групповой политики. После обновления администрируемой инфраструктуры для использования новой службы DFS, содержащиеся в объекте групповой политики данные копируются с помощью службы репликации DFS. Эта служба реплицирует только изменения, произошедшие в объекте групповой политики.
Два этих нововведения значительно снижают требования к количеству дискового пространства и объему сетевого трафика, генерируемого после внесения администратором изменений в объект групповой политики.
Таблица 1 – Сравнение загружаемой версии консоли управления групповой политикой с версией, входящей в состав Windows Vista
Поведение
|
Версия консоли Windows Vista
|
Загружаемая версия консоли
|
Может управлять операционными системами Windows Server 2003, Windows XP и Windows 2000
|
Да
|
Да
|
Может управлять операционными системами Windows Vista и Windows Server 2008
|
Да
|
Нет
|
Поддерживает многоязычную среду
|
Да
|
Нет
|
Распознает пользовательские ADM-файлы
|
Да
|
Да
|
Стандартное расположение файлов
|
Локальное
|
Объект групповой политики
|
Может использовать центральное хранилище
|
Да
|
Нет
|
Создает дубликаты файлов в объекте групповой политики (увеличивает размер папки «Sysvol»)
|
Нет
|
Да
|
Может добавлять шаблоны к объекту групповой политики (пункт контекстного меню Добавление или удаление шаблонов)
|
Только ADM-файлы
|
Только ADM-файлы
|
Использует для сравнения файлов
|
Номер версии
|
Штамп времени
|
Наверх страницы
Советы и рекомендации
Операционная система Windows Vista привносит в среду Windows свыше 800 новых параметров групповой политики. В этом разделе приводится информация о развертывании групповой политики с помощью Windows Vista, описание основных концепций администрирования, а также советы по управлению политикой безопасности.
Рекомендации по развертыванию
-
Обновите рабочие станции администратора групповой политики до Windows Vista. Управление групповой политикой теперь должно осуществляться только с компьютеров, работающих под управлением Windows Vista.
-
Этот пункт является необязательным. В тех доменах, где администраторы используют для управления групповой политикой компьютеры с установленной Windows Vista, на каждом из основных контроллеров домена создайте центральное хранилище в папке «Sysvol». Разместите в хранилищах ADM- и ADMX-файлы, используя административный компьютер, работающий под управлением Windows Vista.
-
Создайте новые или обновите существующие объекты групповой политики, чтобы можно было задействовать новые параметры групповой политики Windows Vista. Обратите внимание на то, что можно связать эти объекты групповой политики с организационными подразделениями, в которых содержатся новые рабочие станции, работающие под управлением Windows Vista и присоединенные к домену.
Примечание. В редких случаях может понадобиться расширение схемы службы каталогов Active Directory.
-
Установите Windows Vista на рабочие станции в соответствии с планом развертывания.
Примечание. К рабочим станциям с установленной Windows Vista новые или обновленные объекты групповой политики будут применены в обычном порядке.
Создание центрального хранилища
Центральное хранилище – это структура папок, создаваемая внутри папки «Sysvol» контроллера каждого домена в Вашей организации. Для каждого домена необходимо только один раз создать центральное хранилище на одном из его контроллеров. Позже с помощью службы репликации файлов центральное хранилище будет развернуто на всех контроллерах домена. Рекомендуется создавать центральное хранилище на основном контроллере домена, поскольку консоль управления групповой политикой и редактор объектов групповой политики по умолчанию соединяются с основным контроллером домена.
Центральное хранилище состоит из корневой папки, содержащей все независимые от языка локализации ADMX-файлы, и вложенных папок, содержащих зависимые от языка файлы ресурсов ADMX.
Примечание. Если центральное хранилище отсутствует, редактор объектов групповой политики считывает локальные версии ADMX-файлов, используемые локальным объектом групповой политики на Вашем административном компьютере, работающем под управлением Windows Vista. Для выполнения этого действия Вы должны входить в группу администраторов домена службы каталогов Active Directory.
|
Для создания центрального хранилища выполните следующие действия:
-
Создайте корневую папку «%systemroot%\Sysvol\domain\policies\PolicyDefinitions» для центрального хранилища на контроллере домена.
-
Внутри папки «%systemroot%\Sysvol\domain\policies\PolicyDefinitions» создайте вложенную папку для каждого языка, который будут использовать администраторы групповой политики. Имена папок должны соответствовать ISO-стандарту названий языка/страны. Для получения списка стандартных названий обратитесь к веб-странице Идентификаторы языка (EN). Например, вложенная папка для русского языка должна иметь название «%systemroot%\Sysvol\domain\policies\PolicyDefinitions\ru-RU».
Добавление ADMX-файлов в центральное хранилище
В операционной системе Windows Vista отсутствует графический интерфейс для помещения файлов в центральное хранилище. Ниже описано, как это можно осуществить из командной строки, запущенной на контроллере домена.
Для добавления ADMX-файлов в центральное хранилище выполните следующие действия:
-
Откройте командную строку. Для этого нажмите кнопку Пуск, выберите команду Выполнить, в открывшемся окне наберите cmd и нажмите клавишу Enter.
-
Чтобы скопировать все не зависящие от языка локализации файлы шаблонов (файлы с расширением .admx) с административной рабочей станции под управлением Windows Vista в центральное хранилище на Вашем контроллере домена, наберите в окне командной строки следующую команду (команду нужно вводить в одной строке, а после символа «*» должен стоять пробел):
xcopy %systemroot%\PolicyDefinitions\* %logonserver%\Sysvol\%userdnsdomain%\policies\PolicyDefinitions\
-
Чтобы скопировать ориентированные на русский язык файлы шаблонов (файлы с расширением .adml) с административной рабочей станции под управлением Windows Vista в центральное хранилище на Вашем контроллере домена, наберите в окне командной строки следующую команду (команду нужно вводить в одной строке, а после символа «*» должен стоять пробел):
xcopy %systemroot%\PolicyDefinitions\ru-RU\* %logonserver%\Sysvol\%userdnsdomain%\policies\PolicyDefinitions\ru-RU\
Рисунок 3 – Центральное хранилище, открытое в проводнике Windows
Загрузка новых схем
Windows Vista обладает рядом усовершенствований проводных и беспроводных конфигураций, настраиваемых при помощи параметров групповой политики, которые в свою очередь поддерживаются контроллерами домена, работающими под управлением Windows Server 2008. В среде службы каталогов Active Directory, состоящей из контроллеров домена с установленной ОС Windows Server 2003 или Windows Server 2003 R2, необходимо произвести расширение схемы Active Directory. По адресу http://go.microsoft.com/fwlink/?LinkId=70195 Вы найдете необходимую информацию о расширениях схемы Active Directory, позволяющих настраивать новые возможности при помощи групповой политики.
Примечание. Расширение схемы необходимо только в том случае, если Вы хотите использовать групповую политику для настройки новых возможностей проводных и беспроводных конфигураций или параметры BitLocker.
|
Информацию об изменении схемы для BitLocker Вы можете найти на Microsoft Technet по адресу http://technet2.microsoft.com/WindowsVista/en/library/3dbad515-5a32-4330-ad6f-d1fb6dfcdd411033.mspx?mfr=true.
Дополнительные рекомендации
Прежде чем приступить к развертыванию параметров групповой политики Windows Vista, прочтите приведенные ниже руководства и документы, чтобы получить четкое представление о параметрах групповой политики.
-
Администрирование групповой политики при помощи консоли управления групповой политикой (EN).
Резервные копии, сохраненные из консоли управления групповой политикой Windows Vista (версия 2.0), несовместимы с загружаемой версией консоли (1.0). Кроме того, загружаемая версия консоли не сохраняет все параметры групповой политики Windows Vista, входящие в объект групповой политики. Используйте консоль управления групповой политикой Windows Vista (версия 2.0), чтобы достичь наилучших результатов при резервном копировании и восстановлении всех объектов групповой политики.
-
Пошаговые руководства по Windows Vista для ИТ-специалистов (EN).
Эти пошаговые руководства призваны помочь ИТ-специалистам в развертывании Windows Vista и переходе на эту ОС. В этих руководствах Вы также найдете пошаговые инструкции по управлению ADMX-файлами и контролю над установкой и использованием устройств.
Примечание переводчика. Многие руководства уже переведены на русский язык участниками клуба переводчиков OSZone.net. Вы можете найти переведенные документы по адресу http://oszone.net/4343/.
-
Виртуальные лаборатории Technet по групповой политике Windows Vista (EN).
Эти лаборатории предназначены для ИТ-специалистов, отвечающих за управление рабочими станциями с установленной Windows Vista в среде службы каталогов Active Directory. В лабораториях изучаются новые и обновленные параметры групповой политики.
-
Распространенные сценарии консоли управления групповой политикой (EN).
В набор включен ряд объектов групповой политики, иллюстрирующих некоторые распространенные сценарии управления рабочими станциями. Вам предлагаются сценарии: мобильный, киоск, частично контролируемая среда и другие.
Сценарии консоли управления групповой политикой
В консоль управления групповой политикой входит набор интерфейсов для выполнения сценариев автоматизации множества распространенных задач по управлению объектами групповой политики. Эти интерфейсы помогают управлять средой групповой политики, позволяя выполнять такие действия над ее объектами, как генерирование отчетов о параметрах, создание и копирование объектов, а также поиск несвязанных объектов.
Примечание. Сценарии не входят в состав Windows Vista. Дополнительную информацию о сценариях консоли управления групповой политикой Вы можете найти по адресу http://go.microsoft.com/fwlink/?linkid=31191.
Наверх страницы
Работа в многоязычной среде
В Windows Vista параметры административных шаблонов Vista поделены на две группы, доступные всем администраторам групповой политики: локализованные ресурсы для определенного языка (имеют расширение .adml) и ресурсы, не зависящие от конкретного языка (имеют расширение .admx). Это разделение позволяет настраивать пользовательский интерфейс инструментов групповой политики в соответствии с выбранным администратором языком операционной системы. Добавление нового языка достигается путем указания доступного файла ресурса для данного языка.
Например, возможна следующая ситуация. Администратор групповой политики работает в Лондоне на компьютере, где установлена Windows Vista с английским интерфейсом. Администратор создает объект групповой политики и связывает его с доменом, физически расположенным за границей. Его коллега в Москве открывает этот домен в консоли управления групповой политикой и выбирает вышеупомянутый объект. Имея в своем распоряжении компьютер, работающий под управлением русскоязычной Windows Vista, он может просматривать и редактировать параметры политик на русском языке. Администратор, создавший объект групповой политики, продолжает видеть все параметры на английском языке, включая изменения, внесенные российским администратором.
Наверх страницы
Изменения в групповой политике после перехода на Windows Vista или обновления до этой ОС
После перехода на Windows Vista или обновления до этой операционной системы групповая политика применяется заново, как это бы произошло при чистой установке. К входящим в домен клиентским компьютерам групповая политика применяется точно так же, как это происходит в случае первого присоединения компьютера к домену или первого входа пользователя в систему. Параметры политик каждого расширения либо переносятся, либо вступают в силу в рамках первого применения групповой политики к домену. После обновления операционной системы механизм групповой политики обрабатывает параметры точно так же, как и в случае чистой установки, воссоздает все данные результирующей политики (RSoP) и восстанавливает все кэшированные значения. В следующей таблице содержится подробная информация о поведении компонентов групповой политики после перехода на Windows Vista или обновления до этой ОС.
Примечание переводчика. Под переходом на Windows Vista подразумевается установка этой операционной системы на новый компьютер и последующий перенос пользовательских файлов и настроек с компьютера, работающего под управлением Windows XP Professional или Windows XP Home Edition, при помощи программы «Средство переноса данных Windows» (Windows User State Migration Tool, USMT) или программы Windows Easy Transfer, входящей в состав Windows Vista. Дополнительную информацию Вы можете найти в статье Пошаговое руководство по переходу на Windows Vista
Компонент
|
Поведение при обновлении до Windows Vista
|
Поведение при переходе
на Windows Vista
|
Механизм групповой политики
|
Переносятся параметры реестра и их значения, определяющие пользовательские предпочтения относительно работы основного механизма групповой политики (например, параметр «Настроить режим медленного подключения» ).
|
Не переносится.
|
Результирующая политика (RSoP)
|
В переносе данных RSoP после обновления ОС необходимости нет, поскольку все параметры политики применяются заново после первой перезагрузки компьютера.
|
Не переносится.
|
Локальный объект групповой политики
|
-
Переносится локальный объект групповой политики.
-
Переносится групповой объект MLGPO (несколько объектов локальной групповой политики).
-
Переносится пользовательский объект MLGPO.
Примечание. Данные объектов MLGPO переносятся при обновлении одного выпуска Windows Vista до другого.
|
|
Клиентские расширения
|
Клиентские расширения сохраняют данные в системном реестре. Параметры расширений хранятся в реестре в разделе
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
Примечание. Каждое клиентское расширение обновляет собственную информацию.
|
Не переносятся.
|
Административные шаблоны в виде ADM-файлов
|
-
ADM-файлы, входящие в состав операционной системы, замещаются ADMX-файлами.
-
Во время обновления пользовательские ADM-файлы сохраняются.
|
Не переносятся.
|
Параметры политики, хранящиеся в реестре
|
-
Переносятся все параметры политики и их значения, хранящиеся в разделе Software\Policy.
-
Не переносятся настройки, сделанные пользователем
-
При первой перезагрузке компьютера или после первого входа пользователя в систему применяются все параметры политики домена.
|
Не переносятся.
|
Установка ПО
|
-
Автоматически переносятся все приложения, установленные посредством групповой политики.
-
Автоматически переносятся все файлы, находящиеся в папке «%windir%\system32\appmgmt».
-
Переносятся все параметры и значения из разделов реестра HKLM|HKCU Software \Microsoft\Windows \CurrentVersion\ Group Policy\Appmgmt, а также параметр appmgmtdebuglevel и его значение из раздела HKLM\Software\ Microsoft\Windows NT \CurrentVersion\ Diagnostics.
|
Не переносится.
|
Консоль управления групповой политикой и редактор объектов групповой политики
|
-
Удаляются предыдущие версии консоли управления групповой политикой. При этом сохраняется папка «scripts», включая сценарии, которые были установлены с предыдущей версией консоли.
-
Переносятся следующие конфигурационные данные консоли управления групповой политикой:
-
Информация, сохраняемая непосредственно в файле консоли (MSC-файле). Например, это может быть информация о домене или лесе, к которому осуществлялось подключение в прошлый раз.
-
Параметры реестра и настройки консоли (расположение папки резервного копирования, параметры ADM-файлов и т. д.)
-
Переносятся все пользовательские настройки редактора объектов групповой политики, хранящиеся в реестре (например, Default GPO name).
|
Не переносятся.
|
Примечание. Список параметров реестра, которые переносятся при переходе на Windows Vista, Вы можете найти в Приложении Б.
|
Наверх страницы
Проверка параметров групповой политики с помощью результирующей политики (RSoP)
Вся информация, относящаяся к обработке групповой политики, собирается и хранится на локальном компьютере в базе данных управления объектами общей информационной модели (Common Information Model Object Management, CIMOM). К этой информации, включающей в себя список, содержимое и протоколирование обработки для каждого объекта групповой политики, можно обратиться посредством инструментария управления Windows (WMI).
В режиме входа (Group Policy Results) результирующая политика опрашивает базу данных CIMOM на целевом компьютере, получает информацию о политиках и отображает их в консоли управления групповой политикой. В режиме планирования (Group Policy Modeling) результирующая политика имитирует применение политики, используя службу доступа к данным групповой политики (Group Policy Data Access Service, GPDAS) на контроллере домена. Прежде чем информация передается для отображения в консоли управления групповой политикой, результаты имитации сохраняются в локальной базе данных на контроллере домена.
Получение результирующей политики при помощи консоли управления групповой политикой
Администраторы используют консоль управления групповой политикой в среде службы каталогов Active Directory. Консоль наглядно отображает окружение групповой политики в корпоративной сети, включая объекты групповой политики, их связи, сайты, домены и организационные подразделения в выбранном лесу. С помощью консоли управления групповой политикой администратор может выполнять любые задачи, которые раньше были доступны только на вкладке Групповая политика административных инструментов службы каталогов Active Directory.
Консоль управления групповой политикой также можно использовать для генерации данных результирующей политики (RSoP), которые либо предсказывают общий эффект, получаемый при применении объектов групповой политики в сети, либо предоставляют отчет о результатах применения объектов групповой политики к определенному пользователю или компьютеру. Кроме того, администраторы могут использовать консоль для выполнения таких операций над объектами групповой политики, которые невозможно было произвести раньше. Теперь можно выполнять резервное копирование и восстановление объектов, а также их копирование и даже перенос в другой лес. Используя сценарии WMI, можно также генерировать отчеты о параметрах объекта групповой политики в формате HTML или XML.
При работе с консолью управления групповой политикой существует ряд ограничений. В частности, невозможно получить результирующую политику для объектов MLGPO. Также в отчетах консоли не отображаются сведения о параметрах брандмауэра Windows в режиме повышенной безопасности. Примечание переводчика. Дополнительную информацию об упомянутых в этом абзаце компонентах Windows Vista Вы можете найти в статьях Пошаговое руководство по использованию технологии нескольких объектов локальной групповой политики и Приступая к работе с брандмауэром Windows в режиме повышенной безопасности.
Проверка параметров групповой политики, действующих в данный момент времени
Результирующая политика (RSoP.msc) является оснасткой консоли управления Microsoft. Эта оснастка традиционно используется для получения отчетов и планирования результирующего эффекта, оказываемого объектами групповой политики. Хотя Вы можете продолжать использовать оснастку для этих целей, большинство ее функциональных возможностей теперь имеется в консоли управления групповой политикой, пользоваться которой намного удобнее. Оснастка Результирующая политика имеет ряд ограничений, поскольку она не выдает отчетов обо всех параметрах групповой политики (в частности, за кадром остаются многие параметры Windows Vista). Кроме того, с помощью оснастки невозможно получить результирующую политику, применяющуюся к удаленному компьютеру. В силу описанных выше причин использование оснастки Результирующая политика не рекомендуется, хотя она входит в состав Windows Vista для получения результирующих данных от сторонних расширений групповой политики.
Для определения того, применяются ли политики к пользователю или компьютеру, рекомендуется использовать возможности генерации отчетов консоли управления групповой политикой. Однако консоль не работает с объектами MLGPO. И хотя Вы не можете использовать консоль для получения отчетов о применении объектов MLGPO, Вы можете найти эту информацию в операционном журнале групповой политики.
Наверх страницы
Применение параметров групповой политики Windows Vista
Сценарии групповой политики могут не срабатывать из-за механизма контроля учетных записей (UAC)
Главной задачей механизма контроля учетных записей (User Account Control, UAC) является сокращение поверхности атаки и снижение степени уязвимости операционной системы. Это реализуется за счет того, что все пользователи работают с правами обычного пользователя. Такое ограничение сводит к минимуму возможности пользователей для внесения изменений, которые могут дестабилизировать операционную систему или непреднамеренно открыть вирусам доступ к сети через заразившее компьютер и вовремя не обнаруженное вредоносное программное обеспечение.
Используя механизм контроля учетных записей, Вы можете запускать большинство приложений, компонентов и процессов с ограниченными правами, сохраняя при этом возможность повышения прав для выполнения особых административных задач или функций приложений. В Windows Vista это достигается за счет использования двух маркеров доступа, предоставляемых каждому пользователю – маркера администратора и маркера обычного пользователя. Маркеры доступа идентифицируют пользователя, а также его права и группы, к которым он принадлежит. Операционная система использует маркеры для контроля доступа к объектам, а также для контроля возможностей пользователя выполнять на локальном компьютере различные системные задачи.
-
Маркер администратора означает для локального администратора то, что у него имеются и включены все административные права. Механизм контроля учетных записей проверяет наличие этого маркера при выполнении административных или системных задач.
-
Маркер обычного пользователя означает для локального администратора то, что у него имеются все административные права, однако эти права отключены.
Такой подход позволяет Windows отличать обычного пользователя от пользователя, наделенного административными правами, сохраняя при этом возможность повышения прав.
В стандартной конфигурации все входящие в систему пользователи задействуют полный набор прав для обработки групповой политики и выполнения сценариев. Однако загрузка рабочего стола и всех последующих процессов происходит с правами обычного пользователя. Для учетной записи, не входящей в группу «Администраторы», маркер обычного пользователя практически идентичен маркеру администратора с точки зрения прав и групп. Поэтому процесс, запущенный из-под такой учетной записи с правами обычного пользователя, может видеть процессы, запущенные из этой же учетной записи с правами администратора. Это происходит потому, что в Windows приложению не требуется повышения прав для того чтобы видеть процесс, запущенный с правами администратора.
Аналогичным образом Windows обрабатывает локальный вход учетной записи, входящей в группу «Администраторы». Групповая политика и сценарии входа всегда обрабатываются с использованием прав администратора, а загрузка рабочего стола и всех последующих процессов происходит с правами обычного пользователя. Однако между правами администратора и обычного пользователя имеются различия. Поэтому процессы, запущенные в Windows с правами обычного пользователя, лишены возможности делиться информацией с процессами, запущенными с правами администратора.
Работа сценариев входа групповой политики может выглядеть неправильно из-за механизма контроля учетных записей. Предположим, например, что в доменной среде имеется объект групповой политики, содержащий сценарий подключения сетевых дисков и обычный пользователь выполняет вход в домен с компьютера, работающего под управлением Windows Vista. После загрузки рабочего стола обычный пользователь запускает проводник Windows и видит подключенные сетевые диски. Однако если те же самые действия выполнит пользователь, наделенный правами администратора, он не увидит подключенных сетевых дисков.
Когда администратор выполняет вход в систему, Windows запускает все сценарии входа с полными правами. На самом деле сценарий срабатывает и сетевой диск подключается. Однако Windows Vista блокирует отображение подключенных сетевых дисков, поскольку рабочий стол запущен с правами обычного пользователя, а сетевые диски подключались с правами администратора.
Для решения этой проблемы администраторы должны подключать сетевые диски с правами обычного пользователя. Такое подключение можно осуществить при помощи планировщика задач и сценария launchapp.wsf, приведенного в Приложении А. Будучи запущенным в контексте обычного пользователя, планировщик задач выполняет сценарий с правами администратора, тем самым позволяя видеть подключенные диски проводнику Windows и другим процессами, запущенным как с правами обычного пользователя, так и с правами администратора.
Для конфигурирования сценария launchapp.wsf с целью отложить выполнение сценария входа в систему выполните следующие действия:
-
Скопируйте сценарий входа (logon.bat) и файл launchapp.wsf на общий сетевой ресурс.
-
Откройте консоль управления групповой политикой, щелкните правой кнопкой мыши на объекте, который Вы хотите изменить, и выберите команду Изменить.
-
В разделе Конфигурация пользователя раскройте узел Конфигурация Windows и щелкните пункт Сценарии.
-
Щелкните правой кнопкой мыши параметр Вход в систему и выберите из контекстного меню пункт Свойства.
-
В диалоговом окне Свойства: Вход в систему нажмите кнопку Добавить.
-
В поле Имя сценария введите launchapp.wsf.
-
В поле Параметры сценария введите полный путь к файлу logon.bat.
Рисунок 4 – Конфигурирование сценария входа в систему
Невозможно остановить службу «Групповая политика»
В Windows Vista групповая политика выведена из процесса Winlogon и работает в качестве отдельной службы. Клиент групповой политики отвечает за применение параметров, сконфигурированных администратором для пользователей и компьютеров при помощи инструментов управления групповой политикой. В оснастке Службы (services.msc) отсутствует возможность остановить, запустить, приостановить и возобновить работу клиента групповой политики. Это сделано потому, что если клиентскую службу остановить или отключить, параметры не будут применены, а приложениями и компонентами невозможно будет управлять посредством групповой политики. Любые компоненты или приложения, зависящие от групповой политики, могут не сработать, если клиентская служба остановлена или выключена.
Параметры политики, требующие перезагрузки или входа в систему для вступления изменений в силу
В этом разделе перечислены параметры групповой политики, хранящиеся в реестре и требующие перезагрузки или входа в систему для вступления изменений в силу. В представленном ниже списке за названием параметра следует его краткое описание.
Требуется выполнить вход в систему
-
Не разрешать анимацию окон. Этот параметр определяет анимацию окна, наблюдаемую, например, при восстановлении, сворачивании и разворачивании окон.
-
Не разрешать композицию рабочего стола. Этот параметр определяет способ отображения некоторых графических объектов и облегчает реализацию других свойств, в том числе Flip, Flip3D и Taskbar Thumbnails (эскизы панели задач).
-
Не разрешать вызов Flip3D. Flip3D — это переключатель 3D-окон. При включении данного параметра Flip3D будет недоступен.
-
Укажите цвет по умолчанию. Этот параметр определяет цвет рамок окна по умолчанию в случае, если пользователь не указал цвет.
-
Не разрешать смену цветов. Этот параметр определяет возможность изменения цвета рамок окна.
-
Подробные или обычные сообщения состояния. Заставляет систему выводить очень подробные сообщения о своем состоянии.
-
Задать действие, выполняемое при окончании времени входа. Этот параметр определяет действие, которое выполняется, когда заканчивается время входа вошедшего пользователя. Такими действиями могут быть: блокирование рабочей станции, отключение пользователя или окончательный выход пользователя из системы.
-
Сообщать, когда сервер входа недоступен при входе пользователя. Этот параметр определяет, уведомляется ли вошедший пользователь о том, что сервер входа недоступен во время входа пользователя, и вход выполнен с ранее сохраненными учетными данными.
-
Настраиваемый интерфейс пользователя. Определяет альтернативный интерфейс пользователя.
Требуется перезагрузка
-
Отключить сенсорный ввод планшетного ПК. Отключает сенсорный ввод, который дает возможность пользователям взаимодействовать с компьютером с помощью пальцев.
-
Отключить Защитника Windows. Отключение работы Защитника Windows в реальном времени, а также отключение запланированных проверок.
-
Отключить старый интерфейс удаленного завершения работы. Этот параметр управляет старым интерфейсом удаленного завершения работы (который называли каналом). Интерфейс именованного канала удаленного завершения работы требуется для выключения компьютера с удаленного компьютера с ОС Windows XP или Windows Server 2003.
Наверх страницы
Совместимость с перенаправлением папок
Windows Vista обладает рядом преимуществ, проявляющихся при использовании перемещаемых профилей пользователей и перенаправлении папок. Перенаправление пользовательских данных на центральный сетевой ресурс снижает размер профиля пользователя, улучшает доступность пользовательских данных, а также способствует более быстрому входу и выходу пользователя из системы за счет снижения объемов передаваемых данных. Совместное использование перенаправления папок и перемещаемых профилей пользователей позволяет сделать перемещаемые данные общими для Windows Vista и Windows XP.
Компьютеры, работающие под управлением Windows Vista, не распознают перемещаемые профили пользователей, созданные в Windows XP. Это создает препятствие для тех пользователей, которые имеют перемещаемый профиль и попеременно используют в работе операционные системы Windows Vista и Windows XP. Перенаправление папок в Windows Vista позволяет справиться с этой задачей.
С помощью перенаправления папок Вы сможете перенаправить все основные папки, входящие в состав профиля пользователя Windows Vista. Эта функциональная возможность позволяет сделать папку профиля общей для Windows XP и Windows Vista. Например, папка «Избранное» может являться общей для двух операционных систем. Это достигается путем перенаправления папки «Избранное» Windows Vista в то же местоположение, где Windows XP синхронизирует папку «Избранное» перемещаемого профиля пользователя.
Следуя Сценарию 3 технического документа, находящегося по адресу http://go.microsoft.com/fwlink/?LinkId=73435, Вы можете создать одну или несколько политик перенаправления папок, позволяющих сделать перемещаемые данные общими для Windows Vista и Windows XP. В контексте указанного документа под термином «share path» подразумевается путь к перемещаемой папке профиля.
Наверх страницы
Защита сетевого доступа и служба сетевого расположения
Защита сетевого доступа (Network Access Protection, NAP) представляет собой платформу контроля над выполнением политик в Windows Vista, Windows Server 2008 и Windows XP, которая позволит Вам улучшить защиту сетевых ресурсов. Защита реализуется путем осуществления контроля над соблюдением требований к степени защищенности операционной системы (например, проверяется наличие на клиентском компьютере последних обновлений операционной системы и антивирусного программного обеспечения). Используя защиту сетевого доступа, Вы можете создавать собственные политики, проверяющие состояние компьютера перед тем, как разрешить ему доступ к сети или обмен данными.
Вы также можете создавать политики, обеспечивающие автоматическое обновление компьютеров с целью поддержания их в актуальном состоянии, и выделять не соответствующие требованиям компьютеры в ограниченную сеть до тех пор, пока они не будут приведены к требуемому состоянию.
Когда клиентский компьютер пытается получить доступ к сети, от него требуется представить отчет о состоянии операционной системы. Если компьютер не может доказать свое соответствие требованиям политики, ему предоставляется доступ к ограниченному сегменту сети, в котором имеются все необходимые серверные ресурсы для исправления ситуации. После установки обновлений клиентский компьютер вновь запрашивает доступ к сети. Если все требования соблюдены, компьютеру предоставляется неограниченный доступ. Примите к сведению, что защита сетевого доступа не является мерой безопасности. Эта технология помогает предотвратить подключения к сети компьютеров с небезопасной конфигурацией, но не защищает сеть от злоумышленников, имеющих правильные учетные данные, или от компьютеров, которые соответствуют требованиям, предъявляемых к степени защищенности системы.
Функционируя на стороне клиента, служба сетевого расположения (Network Location Awareness, NLA) позволяет системе получать уведомления о том, что с контроллером домена установлено соединение. Получив уведомление, служба «Групповая политика» определяет, должны ли применяться параметры политики при наступлении этого события. Однако служба сетевого расположения не распознает переход в общую сеть из карантина - ограниченного с помощью NAP сегмента сети. Как следствие, служба сетевого расположения не уведомляет службу «Групповая политика», когда компьютер выходит из карантина.
Решить проблему с отсутствием уведомлений службы NLA при выходе из ограниченного сегмента сети можно следующим образом. Компонент защиты сетевого доступа делает запись в журнале событий. Администратору необходимо написать сценарий, обнаруживающий эту запись и вызывающий утилиту gpupdate для обновления групповой политики при осуществлении успешного VPN-подключения. Наличие службы сетевого расположения не только дает возможность Windows Vista быстрее реагировать на происходящие в сети изменения, но и позволяет обойтись без доходившей до 90 минут задержки в обновлении групповой политики. Если в предыдущий цикл применения параметров был пропущен или не сработал, повторная попытка производится при установлении подключения к контроллеру домена. Это является усовершенствованием по сравнению с предыдущими версиями, поскольку теперь отсутствует зависимость групповой политики от ICMP.
Наверх страницы
Управление функциональными возможностями Windows Vista с помощью групповой политики
Windows Vista обладает большим количеством новых функциональных возможностей, которыми можно управлять с помощью групповой политики. В их число входят управление электропитанием, параметры безопасности, а также установка и использование устройств. Ниже приводится список пошаговых руководств, которые помогут Вам сконфигурировать эти компоненты Windows Vista.
Список параметров групповой политики
В электронной таблице, размещенной по адресу http://go.microsoft.com/fwlink/?linkid=54020, Вы можете найти список параметров политики для конфигураций пользователя и компьютера. Эти параметры входят в состав административных шаблонов (ADM- и ADMX-файлов), поставляемых с Windows Vista. В электронной таблице представлены параметры политики для ОС Windows Vista, Microsoft Windows Server 2003, Windows XP Professional и Windows 2000. Эти файлы используются для отображения параметров в редакторе объектов групповой политики.
Наверх страницы
Устранение неполадок в работе групповой политики
Для устранения неполадок в работе групповой политики Вам понадобится понимание того, каким образом происходит взаимодействие групповой политики с поддерживающими ее технологиями - службой каталогов Active Directory и службой репликации файлов. Кроме того, необходимо знать о том, как происходит управление, развертывание и применение объектов групповой политики. Обладая этими знаниями, Вы сможете использовать конкретные инструменты для получения сведений, помогающих в определении проблем и их решений.
В Windows Vista групповая политика претерпела значительные изменения. Обработка групповой политики больше не являются частью процесса Winlogon, а является самостоятельной службой. Кроме того, механизм групповой политики больше не опирается на протоколирование силами библиотеки userenv.dll, и поэтому файл журнала userenv.log больше не используется.
В предыдущих версиях Windows при диагностировании групповой политики в основном приходилось полагаться на протоколирование, которое велось с помощью библиотеки userenv.dll. Его результатом являлся журнал отладки пользовательского окружения – файл userenv.log, сохраняемый в папке «%WINDIR%\Debug\Usermode». В файле содержались трассировочные операторы функции и сопутствующие данные. Кроме того, в этот же файл записывались сведения о загрузке и выгрузке профиля, что иногда затрудняло диагностику групповой политики. Этот файл, используемый совместно с результирующей политикой, являлся основным инструментом диагностики и устранения проблем в работе групповой политики.
В Windows Vista групповая политика функционирует в качестве самостоятельного компонента – новой службы «Групповая политика», работающей в составе процесса svchost с целью считывания и применения параметров политики. С новой службой связаны также изменения в отчетах о событиях. Раньше сообщения о событиях групповой политики регистрировались в журнале приложений, а теперь они заносятся в журнал системы; при этом источником событий теперь является Microsoft-Windows-GroupPolicy. Операционный журнал групповой политики заменил протоколирование userenv, использовавшееся раньше. В операционный журнал теперь заносятся более подробные сообщения о событиях, связанных с обработкой групповой политики. Советы по устранению неполадок в работе групповой политики в Windows Vista Вы можете найти в статье Устранение неполадок групповой политики с помощью журналов событий.
Наверх страницы
Связанные ресурсы
Наверх страницы
Приложение А. Файл Launchapp.wsf
<job>
<script language="VBScript">
'---------------------------------------------------------
' Этот сценарий запускает приложение в контексте пользователя, выполнившего вход в систему.
'---------------------------------------------------------
' Константа, определяющая регистрационный триггер.
const TriggerTypeRegistration = 7
' Константа, определяющая выполняемое действие.
const ActionTypeExecutable = 0
' Константа, определяющая флаг в RegisterTaskDefinition
const FlagTaskCreate = 2
' Константа, определяющая выполняемое действие.
const LogonTypeInteractive = 3
If WScript.Arguments.Length <> 1 Then
WScript.Echo "Usage: cscript launchapp.wsf <AppPath>"
WScript.Quit
End If
strAppPath = WScript.Arguments(0)
'********************************************************
' Создание объекта TaskService.
'********************************************************
Set service = CreateObject("Schedule.Service")
call service.Connect()
strTaskName = "Launch App As Interactive User"
'********************************************************
' Папка, в которой создается определение задачи.
'********************************************************
Dim rootFolder
Set rootFolder = service.GetFolder("\")
' Удаление задачи, если она уже существует.
On Error Resume Next
call rootFolder.DeleteTask(strTaskName, 0)
Err.Clear
'********************************************************
' Создание новой задачи.
'********************************************************
Dim taskDefinition
Set taskDefinition = service.NewTask(0)
'********************************************************
' Создание регистрационного триггера.
'********************************************************
Dim triggers
Set triggers = taskDefinition.Triggers
Dim trigger
Set trigger = triggers.Create(TriggerTypeRegistration)
'***********************************************************
' Создание действия, выполняемого в рамках задачи.
'***********************************************************
' Добавление действия к задаче. Это действие запускает приложение.
Dim Action
Set Action = taskDefinition.Actions.Create( ActionTypeExecutable )
Action.Path = strAppPath
WScript.Echo "Task definition created. About to submit the task..."
'***********************************************************
' Регистрация (создание) задачи.
'***********************************************************
call rootFolder.RegisterTaskDefinition( _
strTaskName, taskDefinition, FlagTaskCreate, _
,, LogonTypeInteractive)
WScript.Echo "Task submitted."
</script>
</job>
Наверх страницы
Приложение Б. Список разделов и параметров реестра, сохраняемых во время перехода на Windows Vista
После перехода на Windows Vista или обновления до этой операционной системы групповая политика применяется заново, как это бы произошло при чистой установке. К входящим в домен клиентским компьютерам групповая политика применяется точно так же, как это происходит в случае первого присоединения компьютера к домену или первого входа пользователя в систему. Параметры политик каждого расширения либо переносятся, либо вступают в силу в рамках первого применения групповой политики к домену. После обновления операционной системы механизм групповой политики обрабатывает параметры точно так же, как и в случае чистой установки, воссоздает все данные результирующей политики (RSoP) и восстанавливает все кэшированные значения. Ниже приводится список параметров реестра, которые переносятся при переходе на Windows Vista.
Редактор объектов групповой политики
<pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Editor\* [*]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GPEditDebugLevel]</pattern>
Основные настройки групповой политики
<pattern type="File">%windir%\system32\GroupPolicy\*[*]</pattern>
<pattern type="File">%windir%\system32\GroupPolicyUsers\*[*]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideStartupScripts]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideShutdownScripts]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RunStartupScriptSync]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GpNetworkStartTimeoutPolicyValue]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DenyUsersFromMachGP]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DisableBkGndGroupPolicy]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [SyncForegroundPolicy]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DisableLGPOProcessing]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DenyRsopToInteractiveUser]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RSoPGarbageCollectionInterval]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GroupPolicyMinTransferRate]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [WaitForNetwork]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [UserenvDebugLevel]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RsopDebugLevel]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gpsvcDebugLevel]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [RunDiagnosticLoggingGlobal]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [RunDiagnosticLoggingGroupPolicy]</pattern>
<pattern type="Registry">HKLM\Software\Policies\* [*]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\* [*]</pattern>
<pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideLogonScripts]</pattern>
<pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideLogoffScripts]</pattern>
<pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RunLogonScriptSync]</pattern>
<pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GroupPolicyMinTransferRate]</pattern>
<pattern type="Registry">HKCU\Software\Policies\* [*]</pattern>
<pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\* [*]</pattern>
Консоль управления групповой политикой
<pattern type="Registry">HKCU\Software\Microsoft\Group Policy Management Console\* [*]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gpmgmttracelevel]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gprsoptracelevel]</pattern>
Установка программного обеспечения
<pattern type="File">%windir%\system32\appmgmt\*[*]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\Appmgmt\* [*]</pattern>
<pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [appmgmtdebuglevel]</pattern>
<pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\Appmgmt\* [*]</pattern>
Обсуждение статьи на форуме