Материалы распечатаны с сайта OSzone.net. Дальнейшее применение материалов в других печатных изданиях, включая электронные статьи, должно сопровождаться указанием имени сайта OSzone.net и имени автора, если присутствует.

Пошаговое руководство по использованию возможностей набора Групповой политики OSzone.net » Microsoft » Windows 2000/NT » Администрирование » Пошаговое руководство по использованию возможностей набора Групповой политики

Автор: Елена Трубицына aka Ginger Иcточник: (переведено с англ.) Microsoft Technet Опубликована: 23.07.2006

Групповая политика (Group Policy) является главным компонентом управления изменениями и конфигурациями в операционной системе Microsoft® Windows® 2000. Групповая политика определяет параметры для групп пользователей и компьютеров, включая политики реестра, настройки безопасности, установки программного обеспечения, сценарии (загрузка-завершение, вход-выход из системы) и перенаправление папок.

Эта статья является пошаговым руководством, описывающим возможности Групповой политики. Статья предназначена для менеджеров отделов Информационных Технологий, системных администраторов и всех тех, кто интересуется Групповыми политиками для управления пользовательской средой.

На этой странице

• Введение
• Предварительные условия и начальная конфигурация
• Конфигурации оснастки «Групповая политика»
• Политики реестра
• Сценарии
• Фильтрация групп безопасности
• Блокировка наследования и Блокировка сверху
• Связь Объекта Групповой политики (ОГП) с несколькими сайтами, доменами и подразделениями
• Процесс замыкания на себя
• Другие сценарии Групповых политик
• Дополнительная информация
• Приложение A. Пример сценария Welcome2000.js

 

Введение

Этот документ, описывающий возможности операционной системы Windows 2000®, является частью пошагового руководства для менеджеров отделов Информационных Технологий и системных администраторов. Статья представляет собой краткое описание Групповых политик и наглядно показывает, как использовать оснастку Групповой политики, чтобы установить различные политики для групп пользователей и компьютеров. Статья включает в себя следующую информацию:

• Конфигурации оснастки «Групповой политики».
• Создание и управление Объектами Групповой политики.
• Выбор установок для политик реестра, сценариев и политики замыкания на себя.
• Использование групп безопасности вместе с Групповой политикой.
• Связь нескольких Объектов Групповой политики.
• Блокировка и принудительное применение Групповой политики.

Групповая политика и Active Directory

В Windows 2000 администраторы используют Групповую политику (далее ГП) для настройки и контроля рабочей среды пользователей. Для упрощения процесса администраторы могут создавать специальные конфигурации рабочего стола, которые применяются к группам пользователей и компьютеров. В Windows 2000 за применение Групповых политик отвечает служба Active Directory. Информация о политиках содержится в Объектах Групповой политики (ОГП), применяющихся к выбранным контейнерам: сайтам, доменам и подразделениям.
Объекты ГП используются для фильтрации объектов, принадлежащих к разным группам безопасности, что позволяет управлять компьютерами и пользователями как индивидуально, так и централизованно. Для этого администраторы могут использовать фильтрацию по группам безопасности, чтобы определить область действия ГП – для ее централизованного применения на уровне домена или децентрализованного – на уровне подразделения, после чего могут еще раз их отфильтровать группами безопасности. Администраторы используют группы безопасности в ГП для:

• Фильтрации области Объектов Групповой политики. Фильтрация определяет, к каким группам пользователей и компьютеров будет применен данный Объект Групповой политики.
• Назначение контроля над Объектом Групповой политики. Существует два вида управления и контроля над Групповой политикой: управление связями Групповой политики и управление правами на создание/редактирование Объектов Групповой политики.

Оснастка Групповой политики «Консоль MMC» (Microsoft Management Console) используется администраторами для управления параметрами политики. Групповая политика включает различные возможности управления этими параметрами. Вдобавок, третьи стороны могут расширять ГП, вводя возможности управления установками своего программного обеспечения. Данные, генерируемые Групповой политикой, содержатся в объекте ГП, который копируются на все контроллеры внутри одного домена.
Оснастка «Групповая политика» включает в себя несколько расширений оснастки MMC, которые и создают основные узлы в оснастке «Групповая политика». Существует несколько расширений:

• Административные шаблоны (Administrative templates). Эти шаблоны включают в себя политики реестра и используются для управления настройками реестра, отвечающими за поведение и отображение пользовательской среды, включая компоненты операционной системы и программного обеспечения.
• Настройки безопасности. Расширение настроек безопасности используется для установки параметров безопасности для компьютеров и пользователей внутри области данного Объекта Групповой политики. Настройки безопасности могут быть установлены как для локального компьютера, так и для домена или сети.
• Установка программного обеспечения. Оснастка «Установка программного обеспечения» используется для централизованного управления программным обеспечением организации. Использование программного обеспечения может быть предопределено как для пользователей, так и для компьютеров.
• Сценарии. Сценарии используются для автоматической загрузки и выключения компьютера, входа и выхода из системы. В сценариях могут быть использованы любые языки программирования, поддерживаемые сервером сценариев Windows, включая систему разработчика Microsoft Visual Basic®, Scripting Edition (VBScript); JavaScript; PERL; и пакетные файлы MS-DOS® (.bat and .cmd).
• Службы Удаленной установки (Remote Installation Services). Службы Удаленной Установки (RIS) используются для контроля за Удаленной установкой операционной системы.
• Обслуживание Internet Explorer. Обслуживание Internet Explorer используется для контроля и настройки Microsoft® Internet Explorer на компьютерах под управлением Windows 2000.
• Перенаправление папок. Перенаправление используется для переадресации специальных папок из их расположения в профиле пользователя на альтернативное местоположение в сети. Такие специальные папки включают Мои Документы, Application Data, Рабочий стол и меню Пуск.

На рисунке 1 показано, как объекты ГП используют иерархию Active Directory для применения Групповой политики.

Рисунок 1. Иерархия Групповой политики и Active Directory.
Увеличить рисунок.

Объекты Групповой политики в Active Directory связаны с сайтом, доменом и контейнерами подразделения. По умолчанию иерархическая структура Active Directory отображает порядок приоритетов: сайты идут первыми, потом домены, затем подразделения. Любой Объект ГП может быть ассоциирован с более чем одним контейнером Active Directory, а также несколько контейнеров могут быть связаны с одним Объектом ГП.

Наверх страницы

 

Предварительные условия и начальная конфигурация

Следующий документ, по установке программ, основан на пошаговом руководстве для полного развертывания базовой инфраструктуры Windows 2000 Server
Перед использованием данного руководства необходимо создать инфраструктуру, как описано в документе выше. Если Вы не используете приведенную выше инфраструктуру, то при использовании данного руководства примите к сведению разницу в конфигурациях аппаратного и программного обеспечения.

Сценарии Групповой политики

Данный документ не описывает все возможные сценарии Групповых политик. Пожалуйста, используйте данное руководство для понимания работы ГП и определения того, как Ваша организация может снизить совокупную стоимость владения компьютерами (TCO). Другие возможности Windows 2000, включая «Настройки безопасности» и «Установка программ», построены на Групповой политике. Для информации по использованию ГП в таких характерных сценариях обратитесь к технической документации и интерактивной справке по безопасности в Windows 2000 и «Установке программ». Эта информация доступна веб-сайте Windows 2000.

Важные примечания

Примеры компаний, организаций, продуктов, людей и случаи, описанные в данном руководстве, вымышлены. Всякое сходство с реальными компаниями, организациями, продуктами, людьми и событиями случайно.
Описанная базовая инфраструктура предназначена для использования в частной сети. Вымышленные имена компании и DNS, использованные в данной инфраструктуре, не зарегистрированы для использования в Интернете. Пожалуйста, не используйте эти имена в общественных сетях или Интернете.
Структура службы каталогов Active Directory™ в этой базовой инфраструктуре является примером работы и функциональности управления изменениями и конфигурациями в Windows 2000 совместно с Active Directory. Она не служит моделью конфигурации службы Active Directory для какой-либо организации – для подобной информации обратитесь к документации Active Directory.

Наверх страницы

 

Конфигурация оснастки «Групповая политика»

Групповая политика тесно связана со службой Active Directory. Оснастка «Групповая политика» дополняет инструменты управления Active Directory, используя механизм расширения оснастки «Консоль управления MMC» (Microsoft Management Console).
Оснастки Active Directory определяют область управления Групповой политики. Самый простой способ обращения к Групповой политике для определения области управления домена и подразделений – это использование оснастки «Active Directory - Пользователи и Компьютеры». Для назначения области управления сайта также можно использовать оснастку «Active Directory — сайты и службы». Расширение оснастки «Групповая политика» включено в оба эти инструмента. Данные инструменты доступны в группе программ Администрирования. Альтернативно, можно создать модифицированную консоль MMC, следуя инструкциям в следующем разделе.

Создание модифицированной консоли

В примерах, приведенных ниже в этом документе, используется модифицированная консоль MMC, которую можно создать, следуя инструкциям данной секции. Консоль необходимо создать до того, как Вы приступите к выполнению остальных шагов этого документа.
Примечание: Если вы хотите узнать больше о создании консолей управления MMC, обратитесь к документу "Пошаговое руководство по Консоли управления ММС"

Модификация консоли

• Войдите на контроллер домена HQ-RES-DC-01 с учетными данными Администратора.
• Нажмите кнопку Пуск, выберите команду Выполнить, напечатайте mmc и нажмите OK.
• В меню Консоль выберите команду Добавить/удалить оснастку.
• В диалоговом окне Добавить/удалить оснастку нажмите на кнопку Добавить.
• В диалоговом окне Добавить изолированную оснастку, в списке Доступные изолированные оснастки щелкните «Active Directory - пользователи и компьютеры» и нажмите на кнопку Добавить.
• Дважды щелкните на оснастке «Active Directory - сайты и службы» в списке Доступные изолированные оснастки.
• В списке Доступные изолированные оснастки дважды щелкните Групповая политика.
• В диалоговом окне Выбор объекта групповой политики выбран Локальный Компьютер в Объекте групповой политики. Нажмите на кнопку Готово для редактирования локального объекта Групповой политики. Нажмите на кнопку Закрыть в диалоговом окне Добавить изолированную оснастку.
• В диалоговом окне Добавить/удалить Оснастку, перейдите на вкладку Расширения. Убедитесь, что Добавить все расширения для каждого основного расширения, добавляемого в консоль MMC, установлен флажок (они выбраны по умолчанию). Нажмите OK.

Сохранение изменений консоли

• В консоле MMC, в меню Консоль выберите пункт Сохранить.
• В диалоговом окне Сохранить как, в поле Имя файла напечатайте GPWalkthrough и нажмите Сохранить.

Консоль должна выглядеть, как показано на рисунке 2:



Рисунок 2. Консоль MMC Групповой политики.
Увеличить рисунок.

Доступ к Групповой политике

Для доступа к Групповой политике выбранного сайта, домена или подразделения используйте соответствующие инструменты Active Directory.

Открытие Групповой политики из «Active Directory - сайты и службы»

• В консоле MMC GPWalkthrough раскройте узел «Active Directory - сайты и службы»
• В дереве консоли правой кнопкой мышки щелкните сайт, к Групповой политике которого хотите получить доступ.
• Выберите Свойства, и затем выберите Групповая политика.

Открытие Групповой политики из «Active Directory - пользователи и компьютеры»

• В консоле MMC GPWalkthrough раскройте узел «Active Directory - пользователи и компьютеры».
• В дереве консоли правой кнопкой мышки щелкните либо на домене reskit либо на подразделении, к Групповой политике которого Вы хотите получить доступ.
• Выберите Свойства, и затем выберите Групповая политика.

Для получения доступа к настройкам Групповой политики определенного компьютера (или локального компьютера) необходимо загрузить в пространство имен консоли MMC оснастку «Групповая политика», нацеленную на выбранный компьютер (или локальный компьютер). Это необходимо делать по следующим причинам:

• Сайты, домены и подразделения могут иметь несколько Объектов Групповой политики, связанных с ними, а для управления этими Объектами требуется вспомогательное окно свойств.
• Объект Групповой политики для определенного компьютера сохранен на конкретном компьютере, а не в Active Directory.

Определение области домена или подразделения

Для определения области домена или подразделения используйте консоль MMC GPWalkthrough, сохраненную ранее.

Определение области Групповой политики для домена или подразделения

• Нажмите кнопку Пуск, наведите курсор на Программы, выберите Администрирование и щелкните GPWalkthrough для открытия консоли MMC, созданную выше.
• Раскройте узел Active Directory - пользователи и компьютеры.
• Раскройте узел reskit.com
• Правой кнопкой мышки щелкните либо на домене (reskit.com), либо на подразделении, и выберите пункт Свойства из контекстного меню.
• Перейдите во вкладку Групповая политика, как показано на рисунке 3 ниже.

Таким образом, открываются свойства Объекта Групповой политики, связанные с выбранным контейнером Active Directory. Эти свойства могут быть использованы для:

• добавления, редактирования, удаления и отключения Объектов Групповой политики;
• установления опций Блокировка сверху;
• изменения порядка связанных Объектов Групповой политики.

Кнопка Правка запускает оснастку «Групповая политика». Дополнительная информация по использованию оснастки «Групповая политика» и ее свойств можно найти ниже в этом документе.
Примечание: Контейнеры компьютеров и пользователей не являются организованными единицами. Поэтому Групповая политика не может быть применена непосредственно к ним. Пользователи или компьютеры этих контейнеров наследуют политики только от Объектов ГП, определенных для данного домена или сайта. А так как контейнер контроллера домена является подразделением, Групповая политика может быть применена непосредственно к нему.

Рисунок 3. Управление Связью Групповой политики
Увеличить рисунок.

Определение области для локальных или удаленных Компьютеров

Для доступа к Групповой политике локального или удаленного компьютера необходимо добавить оснастку «Групповая политика» в консоль MMC и нацелить ее на локальном или удаленном компьютере. Для доступа к Групповой политике локального компьютера используйте консоль GPWalkthrough, созданную ранее в этом документе, и выберите узел Политика «Локальный компьютер». Вы можете добавлять другие компьютеры в поле консоли, добавив оснастку «Групповая политика» в консоль GPWalkthrough и затем, нажав кнопку Обзор в диалоговом окне Поиск объекта групповой политики, выбрав нужный компьютер.
Примечание: Некоторые расширения Групповой политики не загружаются, если Групповая политика противоречит локальному Объекту ГП.

Создание Объекта Групповой политики

Созданные установки Групповой политики содержатся в Объекте Групповой политики (ОГП),
который в свою очередь привязан к выбранным объектам Active Directory, таким как сайты, домены и подразделения.

Создание Объекта Групповой политики (ОГП)

• Откройте консоль MMC GPWalkthrough.
• Раскройте узел «Active Directory - пользователи и компьютеры», и щелкните на домене reskit.com.
• Раскройте узел Accounts.
• Правой кнопкой мышки щелкните на Headquarters и выберите Свойства из контекстного меню.
• В Свойствах Headquarters перейдите на вкладку Групповая политика.
• Нажмите Создать и напечатайте HQ Policy.
• Свойства Headquarters должны выглядеть, как показано на рисунке 4:
  
  
  
  Рисунок 4. Свойства Headquarters
  Увеличить рисунок.
  
  
• На этом этапе Вы можете добавить еще несколько Объектов Групповой политики для подразделения Headquarters, давая каждому из них осмысленное имя. Альтернативно, Вы можете редактировать HQ Policy GPO, которая запускает оснастку «Групповая политика» для данного Объекта ГП. Функциональность групповой политики зависит от расширений оснастки. В этом упражнении включены все расширения. Можно ограничить оснастки расширений, загружаемые для любой выбранной оснастки, используя стандартные методы консоли управления MMC. Для дополнительной информации обратитесь к интерактивной справке Windows 2000 Server по консоли управления MMC (Microsoft Management Console). Для ограничения использования расширений оснастки MMC, также можно использовать специальную групповую политику. Для доступа к этой политике перейдите в узел Система\Групповая политика, находящийся в Административных шаблонах. На вкладке «Объяснение» можно найти дополнительную информацию по каждой политике.
• Если у Вас более одного Объекта ГП, ассоциированного с папкой Active Directory, проверьте порядок этих Объектов. Объект, находящийся вверху списка, имеет наибольший приоритет. Заметьте, что Объекты ГП, находящиеся выше по списку, применяются последними (именно поэтому они имеют больший приоритет). Объекты ГП в списке являются объектами. Они имеют свое контекстное меню, которое может быть использовано для просмотра свойств каждого Объекта. Контекстное меню может быть использовано для просмотра и изменения общей информации Объекта ГП. Эта информация включает в себя Избирательные таблицы управления доступом - Discretionary Access Control Lists (DACL рассматриваются в разделе этого документа - Фильтрация групп безопасности), и перечисляет остальные сайты, домены или подразделения, к которым данный Объект ГП привязан.
• Нажмите Закрыть

Рекомендации: Вы можете еще больше усовершенствовать действие Объекта ГП, используя принадлежность пользователя или компьютера к разным группам безопасности и настраивая DACLs в зависимости от членства в этих группах. Как это сделать рассматривается ниже в этом документе в разделе «Фильтрация групп безопасности».

Управление Групповой политикой

Для управления Групповой политикой необходимо вызвать контекстное меню выбранного сайта, домена или подразделения и, выбрав Свойства, перейти на вкладку Групповая политика. Таким образом, отобразятся свойства Групповой политики.
Необходимо учесть следующее:

• Таким же образом Вы можете просмотреть свойства любого Объекта ГП, привязанного к данному сайту, домену или подразделению. Связи являются объектами. Они имеют контекстное меню, которое может быть вызвано, щелкнув правой кнопкой мыши по объекту. (Если щелкнуть правой кнопкой мыши на пустом пространстве, отобразится контекстное меню для создания, добавления связи или обновления списка.)
• Окно свойств также отображает порядок Объектов ГП с более значимым Объектом во главе списка. Порядок Объектов в списке может быть изменен, используя кнопки Вверх или Вниз.
• Чтобы подключить новый ОГП, нажмите кнопку Добавить.
• Для редактирования уже существующего ОГП выберите его из списка и нажмите кнопку Изменить или просто щелкните по нему дважды. Подробнее об этом написано ниже в этом документе.
• Чтобы удалить ОГП из списка насовсем, выделите его и нажмите кнопку Удалить. После этого подтвердите действие, выбрав вариант Изъять ссылку и окончательно удалить объект групповой политики. Будьте осторожны при удалении объектов, так как ОГП может также быть ассоциирован с другими сайтами, доменами или подразделениями. Если Вы всего лишь хотите удалить ОГП из списка, то нажмите кнопку Удалить и затем выберите вариант Изъять ссылку из списка, не удаляя объект.
• Для того, чтобы определить, какие еще сайты, домены или подразделения ассоциированы с данным ОГП, щелкните по нему правой кнопкой мыши и выберите Свойства из контекстного меню, затем перейдите на вкладку Связи.
• Колонка Не перекрывать помечает выбранный ОГП как объект, политики которого не могут быть переписаны политиками другого ОГП.

Примечание: Свойство Не перекрывать может быть выбрано для одного или более Объектов ГП. Все ОГП, с флажком Не перекрывать, будут иметь приоритет над остальными ОГП. Объект, с более высоким приоритетом, будет применен последним.

• Флажок Отключить просто деактивирует ОГП, не убирая его из списка. Чтобы удалить ОГП из списка, выделите его, нажмите Удалить и за тем в диалоговом окне выберите Изъять ссылку из списка, не удаляя объект.
• Можно отключить только часть ОГП – «Пользователь» или «Компьютер». Для этого щелкните правой кнопкой мыши на Объекте, выберите Свойства, за тем выберите либо Отключить настройки компьютера либо Отключить настройки пользователя и нажмите ОК. Эти параметры доступны в свойствах ОГП на вкладке Общие.
• Опция Блокировка наследования делает недействительными все ОГП, находящиеся выше по лестнице иерархии. Тем не менее, эта опция не может блокировать ОГП, у которого выставлено свойство Не перекрывать; такие ОГП применяются всегда.

Примечание: Настройки политики в локальном ОГП применяются всегда, если только они не были специально перекрыты политиками домена. Блокировка наследования на любом уровне не перекрывает локальные политики.

Редактирование Объекта Групповой политики

Для редактирования Объекта ГП воспользуйтесь модифицированной консолью. Для этого необходимо войти на сервер HQ-RES-DC-01 с учетными данными администратора.

Редактирование Объекта Групповой политики (ОГП)

• Нажмите Пуск, наведите курсор на Программы, выберите Администрирование и затем нажмите GPWalkthrough.
• Раскройте узел Active Directory - пользователи и компьютеры, щелкните на домене reskit.com и выберите Учетные записи подразделения.
• Щелкните правой кнопкой мышки на Headquarters, выберите Свойства, перейдите на вкладку Групповая политика. Политика HQ Policy в списке Ссылки на объект групповой политики должна быть выделена.
• Дважды щелкните на объекте HQ Policy (или нажмите Правка).

Таким способом открывается оснастка «Групповая политика», сфокусированная на Объекте под названием HQ Policy. Данный Объект в свою очередь привязан к подразделению под названием Headquarters. Это должно выглядеть, как показано на рисунке 5 ниже:



Рисунок 5: HQ Policy
Увеличить рисунок.

Добавление Объекта Групповой политики

Диалоговое окно Добавить связь объекта групповой политики отображает Объекты ГП, ассоциированные с доменами, подразделениями или сайтами в данный момент или другими словами, все ОГП независимо от их связей. Диалоговое окно Добавить связь объекта групповой политики показано на рисунке 6 ниже:



Рисунок 6: Добавить связь объекта групповой политики
Увеличить рисунок.

• Объекты ГП сохранены в каждом домене. Раскрывающийся список позволяет выбирать разные домены для просмотра.
• На вкладке Домены/Подразделения в списке отображены подразделения второго уровня и Объекты ГП для выбранного домена или подразделения. Чтобы передвигаться по иерархии, дважды щелкните на подразделении второго уровня и используйте кнопку На один уровень вверх на панели.
• Чтобы добавить новый Объект ГП для выбранного домена или подразделения, щелкните дважды на объекте, или выделите его и нажмите OK.
• Также новый объект ГП можно создать, перейдя на вкладку Все, щелкнув правой кнопкой мыши на свободном месте и выбрав Создать из контекстного меню, или используя кнопку Создание объекта групповой политики на панели.  Кнопка Создание объекта групповой политики активна только на вкладке Все. Чтобы создать новый Объект ГП и связать его с выбранным сайтом, доменом или подразделением, используйте кнопку Создать в свойствах Групповой политики.
• Примечание: Разрешается создавать более одного Объекта ГП с одинаковым именем. Такое поведение спланировано специально, так как Объекты ГП сохраняются как GUID и данное имя является всего лишь именем, отображаемым в Active Directory.
• На вкладке Сайты показаны все ОГП, ассоциированные с выбранным сайтом. Чтобы просмотреть другой сайт, используйте раскрывающийся список. Учтите, что раскрывающийся список не отображает иерархию сайтов.
• Вкладка Все показывает список всех Объектов ГП, сохраненных в выбранном домене. Это удобно, когда Вы хотите выбрать ОГП по имени, а не по тому, с чем он связан на данный момент. Это также единственное место, где можно создать ОГП, не связанный с каким-либо сайтом, доменом или подразделением.
• Чтобы создать несвязанный Объект ГП, откройте диалоговое окно Создание объекта групповой политики из свойств выбранного сайта, домена или подразделения. Перейдите во вкладку Все, щелкните Создать на панели или щелкните правой кнопкой мыши на свободном месте и выберите Создать из контекстного меню. Дайте имя создаваемому ОГП, нажмите клавишу Ввод и затем нажмите Отмена – не нажимайте ОК. Если нажать ОК, новый ОГП привяжется к выделенному сайту, домену или подразделению. Нажатие кнопки Отмена создает несвязанный ОГП.

Наверх страницы

 

Политики реестра

Пользовательский интерфейс для политик реестра контролируется файлами Административных шаблонов (.adm). Эти файлы описывают пользовательский интерфейс, отображаемый в узле Административные Шаблоны оснастки «Групповая политика». Файлы  Административных шаблонов совместимы с файлами .adm, используемыми Редактором системной политики (poledit.exe) в системах Microsoft Windows NT 4.0. Для Windows 2000 доступные настройки были расширены.
Примечание: Несмотря на то, что в Windows 2000 в пространство имен можно добавить любой файл .adm, при использовании файлов предыдущих версий Windows, скорее всего, ключи реестра не будет иметь никакого эффекта, так как установки реестра не сохраняются.
По умолчанию отображаются только те настройки загруженного .adm файла, которые существуют в разрешенном дереве Групповой политики. Такие настройки называются истинные политики. Это означает, что оснастка ГП не отображает компоненты, настраивающие ключи реестра вне дерева Групповой политики. Такие компоненты называются предпочтения ГП. Ниже приведены разрешенные ветви Групповой политики:

\Software\Policies
\Software\Microsoft\Windows\CurrentVersion\Policies

Групповая политика «Вывод пункта Показывать только политики» доступна в узле Конфигурации пользователя\Административные шаблоны в ветке Система\Групповая политика. Если эта политика включена, то команда «Показывать только политики» будет применена, и администратор не сможет ее отключить. В результате оснастка «Групповая политика» будет отображать только истинные политики. Если отключить данную политику или оставить ее без изменений, команда «Показывать только политики» будет включена по умолчанию, но администраторы могут просматривать предпочтения, отключив команду «Показывать только политики». Данная опция доступна в узле Административные шаблоны (в ветвях Конфигурации пользователя или Конфигурации компьютера). Для этого в меню консоли Групповой политики нажмите Вид и снимите флажок «Показывать только политики». Учтите, что для этой политики невозможно сохранить выбранное состояние. Это происходит из-за того, что не существует параметров позволяющих сохранить выбранные настройки.
В редакторе Групповой политики предпочтения помечаются красным значком, в отличие от истинных политик, которые помечаются синим значком.
Не рекомендуется использовать предпочтения в инфраструктуре Групповой политики, так как состояние политики «Показывать только политики» не сохраняется, как это было уже объяснено выше. Чтобы настроить политики реестра для клиентов в системах Windows NT 4.0, Windows 95 и Windows 98, воспользуйтесь системным редактором политик Windows NT 4.0 - Poledit.exe.
По умолчанию файлы System.adm, Inetres.adm и Conf.adm загружаются в пространство имен, как показано на рисунке 7 ниже:

Рисунок 7. Конфигурации Пользователя
Увеличить рисунок.

Файлы .adm включают следующие настройки:

• System.adm: настройки операционной системы  
• Inetres.adm: Ограничения Internet Explorer
• Conf.adm: настройки NetMeeting

Добавление Административных Шаблонов

Файл с расширением .adm содержит иерархическую структуру категорий и подкатегорий, совокупность которых определяет организацию параметров в пользовательском интерфейсе Групповой политики.

Добавление административного шаблона (файлы .adm)

• В консоле Групповой политики дважды щелкните на Active Directory - пользователи и компьютеры, выберите домен или подразделение, для которого хотите установить политику, нажмите Свойства и выберите Групповая политика.
• В свойствах Групповой политики выберите из списка Объект ГП (GPO) для редактирования и нажмите Изменить. Откроется оснастка «Групповая политика».
• В консоле ГП раскройте узел Конфигурации пользователя или Конфигурации компьютера. Файл .adm определяет, где будет отображена политика, поэтому не имеет значения, в котором из этих узлов она была открыта.
• Щелкните правой кнопкой мыши на Административные шаблоны, выберите Добавить/удалить шаблоны. Отобразится список шаблонов, активных на данный момент для выбранного контейнера Active Directory.
• Нажмите Добавить. Отобразится список файлов .adm, доступных в директории %systemroot%\inf компьютера, где запущена Групповая политика. Файл .adm может быть выбран из любого другого места. В таком случае файл .adm будет скопирован в выбранный Объект ГП.

Настройка системной политики, с использованием административных шаблонов

• В консоле GPWalkthrough дважды щелкните Active Directory - пользователи и компьютеры, затем дважды щелкните домен reskit.com, и дважды щелкните Accounts. Щелкните правой кнопкой мыши на подразделении Headquarters, после чего выберите Свойства.
• В диалоговом окне Свойства Headquarters нажмите Групповая политика.
• Для редактирования HQ Policy дважды щелкните на Объекте ГП HQ Policy в списке Ссылки на объект групповой политики.
• В консоле ГП в ветке Конфигурации пользователя нажмите знак «+» рядом с Административные шаблоны.
• Щелкните на Меню Пуск и Панель Задач. Заметьте, что в окне сведений все политики показаны как «Не задана».
• В окне сведений дважды щелкните на политике Удалить меню «Выполнить» из меню «Пуск». Отобразится диалоговое окно для этой политики, как показано на рисунке 8 ниже:
  
  
  
  Рисунок 8: Удаление меню Выполнить из меню Пуск
  Увеличить рисунок.
  
  
• В диалоговом окне Удалить меню «Выполнить» из меню «Пуск» нажмите Включена. Обратите внимание на кнопки Предыдущий параметр и Следующий параметр.
• Эти кнопки могут быть использованы для навигации в окне сведений при переходе к настройкам других политик. Вы можете оставить диалоговое окно открытым и выбрать другую политику в окне сведений оснастки Групповой политики. После того как выбран какой-либо элемент в окне сведений, Вы можете использовать клавиши клавиатуры - или нажимать клавишу Ввод, для того, чтобы быстро просматривать настройки (или Объяснения) для каждой политики выбранного узла.
• Нажмите OK. Обратите внимание на изменение состояния в колонке окна сведений – Состояние. Это изменение имеет мгновенный эффект – настройки были сохранены. Если вы работаете в среде реплицируемого контроллера домена, то это действие инициирует цикл копирования.

Теперь, если Вы зайдете на рабочую станцию домена reskit.com с учетными данными любого пользователя подраздела Headquarters, Вы заметите, что меню Выполнить отсутствует.
Вы можете поэкспериментировать с другими доступными политиками. Смотрите вкладку Объяснения для информации по каждой политике.

Наверх страницы

 

Сценарии

Вы можете настроить сценарии, выполняемые на входе/выходе пользователя из системы или при запуске/завершении работы компьютера. Разрешается использовать любые сценарии, совместимые с Сервером Сценариев Windows (WSH). Такими могут быть Java Scripts или VB Scripts, а также .bat и .cmd файлы. Ссылки на дополнительную информацию по Серверу Сценариев Windows (WSH) находятся в разделе Дополнительная Информация в конце этого документа.

Настройка сценария Входа в систему

Используйте данное руководство для добавления сценариев, выполняемых во время входа пользователя в систему.
Примечание: Данное руководство использует сценарий Welcome2000.js, представленный в Приложении А этого документа. В приложение включены инструкции по созданию и сохранению файла сценария. Перед тем, как приступить к изучению руководства по настройке сценариев, выполняемых на входе в систему, необходимо создать файл Welcome2000.js и скопировать его в контроллер домена HQ-RES-DC-01.

Настройка сценариев входа в систему

• В консоле GPWalkthrough дважды щелкните Active Directory - пользователи и компьютеры, затем дважды щелкните домен reskit.com, выберите Свойства и нажмите Групповая политика.
• В свойствах Групповой политики выберите ОГП Политика домена по умолчанию из списка Ссылки на объект групповой политики и нажмите кнопку Изменить для открытия оснастки «Групповая политика».
• В оснастке «Групповая политика» в ветке Конфигурации пользователя раскройте узел Конфигурация Windows и затем щелкните на узле Сценарии (вход/выход из системы).
• В окне сведений дважды щелкните на Вход в систему.
• Диалоговое окно свойств Входа в систему отображает список сценариев, которые запускаются, когда пользователи, на которых распространяется политика, входят в систему. Порядок запуска сценариев определяется сортировкой списка – сценарий во главе списка запускается первым. Вы может изменить порядок, используя кнопки Вверх и Вниз.
• Чтобы добавить новый сценарий в список, нажмите кнопку Добавить. Отобразится диалоговое окно Добавление сценария. С помощью диалогового окна можно указать имя существующего сценария, находящегося в данном ОГП (GPO), или выбрать сценарий, располагающийся в другом месте, для использования в текущем ОГП (GPO). Сценарий должен быть доступен пользователю во время входа в систему, в противном случае он не будет выполнен. Сценарии в текущем ОГП автоматически доступны пользователю. Вы можете создать новый сценарий, щелкнув на пустом месте правой кнопкой мыши, выбрав пункт Создать и указав тип файла.
• Примечание: Если в Свойствах папки на вкладке Вид установлен флажок Скрывать расширения для зарегистрированных типов файлов, то файл может получить нежелательное расширение, которое будет мешать запуску сценария.
• Для редактирования имени или параметров существующего сценария выделите его в списке и нажмите кнопку Изменить. Эта кнопка не позволяет редактировать код сценария. Для таких целей используйте кнопку Показать файлы.
• Для удаления сценария их списка выделите его и нажмите кнопку Удалить.
• Кнопка Показать файлы отображает сценарии ОГП в Проводнике, что дает быстрый доступ к этим файлам или к месту для копирования вспомогательных файлов, если сценарии в них нуждаются. Если Вы изменили имя файла сценария, используя Проводник, Вы также должны изменить его, используя кнопку Изменить. В противном случае сценарий не будет выполняться.
• Нажмите кнопку Пуск, наведите курсор на Программы, перейдите в Стандартные, затем выберите команду Проводник и перейдите к файлу Welcome2000.js (используйте Приложение А, чтобы создать этот файл), щелкните правой кнопкой мыши на нем и выберите Копировать.
• Закройте Проводник.
• В диалоговом окне свойств Входа в систему нажмите кнопку Показать файлы и вставьте сценарий в местоположение по умолчанию. Это должно выглядеть, как показано на Рисунке 9 ниже:
  
  
  
  Рисунок 9. Welcome2000.js
  Увеличить рисунок.
  
  
• Закройте окно Вход в систему.
• В диалоговом окне Свойства входа в систему нажмите кнопку Добавить.
• В диалоговом окне Добавление сценария нажмите Обзор, и затем в диалоговом окне Обзора дважды щелкните на файле Welcome2000.js.
• Нажмите Открыть.
• В диалоговом окне Добавить сценарий и дважды нажмите ОК (параметры сценария в данном случае не нужны).

Выполнив вышеуказанные действия, зайдите на рабочую станцию с учетными данными любого пользователя подразделения Headquarters и убедитесь, что скрипт запускается при входе в систему.

Настройки сценария выхода из системы, загрузки или завершения работы компьютера

Используя процедуру, описанную выше, Вы также можете настроить сценарии, запускаемые:

• при выходе пользователя из системы
• при загрузке или завершении работы компьютера.
• Для сценариев выхода из системы Вам нужно выбрать Выход из системы в пункте 3.

Другие настройки сценариев

По умолчанию сценарии ГП, выполняемые в командной строке (такие как файлы .bat или .cmd), выполняются скрытно, а наследуемые сценарии по умолчанию выполняются открыто (как это было в Windows NT 4.0). Тем не менее, существует Групповая политика, позволяющая изменять видимость выполнения сценариев. Для пользователей эти политики называются Выполнять сценарии загрузки с отображением команд и Выполнять сценарии выхода с отображением команд. Они доступны в узле Конфигурации пользователя\Административные шаблоны в ветке Система\Вход/выход. Для компьютеров существует Групповая политика - Выполнять сценарии загрузки с отображением команд, она доступна в узле Конфигурации компьютера\Административные шаблоны в ветке Система\Вход.

Наверх страницы

 

Фильтрация Групп Безопасности

Изменяя принадлежность пользователя или компьютера к той или иной группе безопасности, можно изменять поведение любого Объекта ГП. Для этого используйте вкладку Безопасность в свойствах Объекта ГП для указания Избирательных таблиц управления доступом (DACLs). Избирательные таблицы управления доступом (DACLs) используются для увеличения производительности. Более детально это было рассмотрено в технических документах, упомянутых выше в этом руководстве. Фильтрация групп безопасности позволяет более гибкое создание и развертывание Объектов ГП и содержащихся в них политик. По умолчанию любые Объекты ГП действуют на всех пользователей и компьютеры, находящиеся в связанном сайте, домене или подразделении. Использование Избирательных таблиц управления доступом (DACLs) позволяет включать или исключать членов какой-либо группы безопасности, чтобы изменить действие любого Объекта ГП.
Избирательные таблицы управления доступом (DACLs) можно изменять, используя стандартную вкладку Windows 2000 - Безопасность, которая доступна в Свойствах любого Объекта ГП.

Доступ к свойствам ОГП из свойств Групповой политики домена или подразделения

• В консоле GPWalkthrough дважды щелкните Active Directory - пользователи и компьютеры, затем дважды щелкните домен reskit.com и потом дважды щелкните Accounts, щелкните правой кнопкой мыши на подразделении Headquarters и выберите Свойства.
• В диалоговом окне свойств Headquarters нажмите Групповая политика.
• Щелкните правой кнопкой мыши ОГП HQ Policy в списке Ссылки на объект групповой политики, выберите Свойства из контекстного меню.
• В Свойствах перейдите на вкладку Безопасность. Здесь отображены стандартные настройки свойств Безопасности.
• Вы увидите группы безопасности и пользователей, основанные на базовой инфраструктуре. Для дополнительной информации обратитесь к пошаговому руководству Windows 2000 - Базовая инфраструктура для управления изменениями и конфигурациями. Перед тем как продолжить, убедитесь, что Вы выполнили соответствующие шаги этого документа.
• В свойствах Безопасности нажмите Добавить.
• В диалоговом окне Выбор: пользователи, компьютеры или группы выберите из списка группу Management и нажмите Добавить, затем нажмите ОК, чтобы закрыть диалоговое окно.
• На вкладке Безопасность свойств HQ Policy выберите группу Management и просмотрите разрешения. По умолчанию для группы Management разрешен только один элемент списка управления доступом (ACE) - Чтение. Это означает, что данный ОГП не применяется к группе Management. Исключение составляют члены группы, которые также являются членами другой группы (по умолчанию, они также являются Прошедшими проверку), у которой выбрана опция ACE – Применить групповую политику.
• В таком случае этот Объект ГП применяется ко всем пользователям в группе Прошедшие проверку, невзирая на то, что группа Management не была добавлена в список, как показано на рисунке 10 ниже:
  
  
  
  Рисунок 10. Настройки безопасности.
  Увеличить рисунок.
  
  
• Сконфигурируйте ОГП так, чтобы он применялся только к членам группы Management. Выберите Разрешить для команды Применить групповую политику к группе Management и удалите Применить групповую политику из группы Прошедшие проверку.
• Изменяя элементы списка управления доступом (ACEs), применяющиеся к различным группам, администраторы могут изменять действие ОГП для пользователей и компьютеров, на которых распространяется действие этого ОГП. Разрешение на Запись необходимо для внесения изменения, а Чтение и Разрешить групповую политику необходимы для применения политики к данной группе.
• Осторожно используйте элемент списка управления доступом (ACE) – Запретить. Параметр Запретить для любой группы имеет превосходство над всеми элементами Разрешить для пользователя или компьютера в какой-либо другой группе. Детально это взаимодействие рассмотрено в интерактивной справке Windows 2000 Server по группам безопасности.
• На рисунке 11 ниже показан пример настроек безопасности, когда действие HQ Policy применяется ко всем, за исключением членов группы Management. Группе Management этот ОГП был явно запрещен (Применить групповую политику указана, как Запретить). Обратите внимание, что если какой-либо член группы Management также является членом другой группы, для которой указан элемент Применить групповую политику, как Разрешена, команда Запретить все равно будет иметь приоритет и ОГП не будет оказывать на пользователя никакого влияния.
  
  
  Рисунок 11. Security Settings
  Увеличить рисунок.

Варианты настроек могут включать:

• Добавление дополнительных ОГП с различными наборами политик, применяемые ко всем группам, кроме группы Management.
• Создание еще одной группы, состоящей из членов других групп, и использование этих групп, как фильтров для ОГП

Примечание: Вы можете использовать такие же типы настроек безопасности для сценария Входа, который Вы создали в предыдущем разделе. Возможно, настроить сценарии так, чтобы они выполнялись только для членов выбранной группы или для всех, кроме какой-либо указанной группы.
Фильтрация групп безопасности имеет две функции. Во-первых, определить, какие группы подвержены выбранному ОГП. Во-вторых, определить, какая из групп администраторов может изменять ОГП (назначив Полный Доступ определенной группе администраторов). Это рекомендуется, поскольку снижается вероятность внесения одновременных изменений несколькими администраторами.

Наверх страницы

 

Блокировка наследования и Блокировка сверху

Блокировка наследования и Блокировка сверху позволяют контролировать правила наследования, выставленные по умолчанию. В этой инструкции Вы настроите Объект ГП в подразделении Accounts, по умолчанию применяемый к пользователям (и компьютерам) в подразделениях Headquarters, Production и  Marketing.
Затем Вы создадите другой Объект ГП в подразделении Accounts и настроите его с опцией Блокировка сверху. Блокировка сверху применяется к дочерним подразделениям, даже если для этого подразделения установлены конфликтующие настройки ОГП.
После чего Вы будете использовать Блокировку наследования, чтобы предотвратить применение Групповых политик родительского сайта, домена или подразделения к подразделению Production.
В данную секцию также включено описание того, как повысить производительность, запретив некоторые части ОГП (GPO).

Настройка среды

Для действий в этой секции сначала необходимо настроить среду.

Настройка среды ОГП

• Откройте сохраненную консоль MMC – GPWalkthrough и раскройте узел Active Directory - пользователи и компьютеры
• Дважды щелкните на домене reskit.com и выберите подразделение Accounts.
• Щелкните правой кнопкой мыши на подразделении Accounts и выберите Свойства из контекстного меню, перейдите на вкладку Групповая политика.
• Нажмите Создать и создайте новый ОГП под названием Default User Policies.
• Нажмите Создать и создайте новый ОГП под названием Enforced User Policies.
• Выберите Enforced User Policies ОГП и нажмите кнопку Вверх, чтобы передвинуть его наверх списка. Enforced User Policies ОГП должен иметь наибольший приоритет. Примечание: этот шаг всего лишь демонстрирует функциональность кнопки Вверх. Принудительный ОГП всегда имеет приоритет над остальными не принудительными Объектами ГП.
• Установите Блокировка сверху для Enforced User Policies, дважды щелкнув колонку Блокировка сверху или используя кнопку Параметры. Свойства Accounts должны теперь выглядеть, как показано на рисунке 12:
  
  
  
  Рисунок 12: Enforced User Policies
  Увеличить рисунок.
  
  
• Дважды щелкните Enforced User Policies ОГП для запуска оснастки «Групповая политика».
• В оснастке «Групповая политика», в ветке Конфигурации пользователя нажмите Административные шаблоны, затем Система, и потом Вход/Выход.
• В окне сведений дважды щелкните на политике Отключить диспетчер задач, нажмите Включен в диалоговом окне Отключить диспетчер задач и затем нажмите ОК. Для информации по политике перейдите в закладку Объяснение. Обратите внимание, что эта настройка теперь Включена, как показано на рисунке 13 ниже:
  
  
  
  Рисунок 13. Диспетчер задач
  Увеличить рисунок.
  
  
• Нажмите кнопку Закрыть, чтобы завершить работу с оснасткой «Групповая политика».
• В диалоговом окне Свойства Accounts, на вкладке Групповая политика, в списке Ссылки на объект групповой политики дважды щелкните объект Default User Policies.
• В оснастке «Групповая политика», в узле Конфигурации пользователя, в ветке Административные шаблоны щелкните на Рабочий стол, потом на папке Active Desktop и затем в окне сведений дважды щелкните на политике «Отключить Active Desktop».
• Выберите Включена, нажмите ОК и затем нажмите Закрыть.
• В диалоговом окне Свойства Accounts нажмите Закрыть.

Теперь, если Вы войдете на рабочую станцию с учетными данными пользователя в любом дочернем подразделении Accounts, Вы заметите, что Диспетчер задач более не может быть запущен – вкладка просто не доступна при комбинации клавиш CTRL+SHIFT+ESC и CTRL+ALT+DEL. Вдобавок, Active Desktop так же не может быть включен. Если Вы щелкните правой кнопкой мыши на Рабочем столе и выберите Свойства, Вы увидите, что вкладка Web отсутствует.
Как дополнительный шаг, Вы можете полярно развернуть настройки политики «Отключить Диспетчер задач» в каком-либо Объекте ГП, связанном с любым дочерним подразделением Accounts (Headquarters, Production, Marketing). Для этого измените переключатель для этой политики.
Примечание: Это действие не окажет никакого влияния, пока включен Объект ГП - Enforced User Policies в подразделении Accounts.

Отключение частей Объекта Групповой политики

Так как созданные ранее Объекты ГП используются только для конфигураций пользователя, то часть ОГП (GPO), отвечающая за настройки компьютера, может быть отключена. Это снизит время загрузки компьютера, так как Объекты ГП компьютера не нуждаются в проверке на существование. В этой инструкции не рассматриваются компьютеры, на которых распространяется действие этих двух Объектов ГП, поэтому отключение части Объекта ГП не несет очевидной пользы. Тем не менее, так как данные Объекты ГП в дальнейшем могут быть связаны с другим подразделением, которое может содержать настройки для компьютеров, Вы, возможно, захотите отключить «компьютерную» часть этих Объектов ГП.

Отключение Компьютерной части Объекта ГП

• Откройте сохраненную ранее консоль MMC – GPWalkthrough и раскройте узел Active Directory - пользователи и компьютеры
• Дважды щелкните на домене reskit.com
• Щелкните правой кнопкой мыши на подразделении Accounts и выберите Свойства из контекстного меню, перейдите на вкладку Групповая политика.
• В диалоговом окне Свойств Accounts перейдите на вкладку Групповая политика, щелкните правой кнопкой мыши на Объекте Enforced User Policies и выберите Свойства.
• В диалоговом окне Enforced User Policies перейдите на вкладку Общие и затем установите флажок «Отключить параметры конфигурации компьютера». В диалоговом окне Подтвердить отключение нажмите Да.
• Обратите внимание, что на вкладке Общие есть две опции для отключения частей ОГП.
• Повторите шаги 4 и 5 для Объекта ГП - Default Users Policies.

Блокировка наследования

Можно заблокировать наследование политик так, чтобы один Объект ГП не переписывал политику другого Объекта в лестнице иерархии. После блокировки наследования на пользователей данного подразделения действуют только настройки Enforced User Policies.

Блокировка наследования Групповой политики для подразделения Production

• Откройте сохраненную ранее консоль MMC – GPWalkthrough и дважды щелкните Active Directory - пользователи и компьютеры
• Дважды щелкните на домене reskit.com, затем дважды щелкните на подразделении Accounts.
• Щелкните правой кнопкой мыши на подразделении Production, из контекстного меню выберите Свойства и перейдите на вкладку Групповая политика.
• Выберите Блокировать наследование политики и нажмите ОК.

Чтобы убедиться, что настройки наследования теперь заблокированы, войдите в систему с учетными данными пользователя подразделения Production. Обратите внимание, что закладка Web теперь присутствует в свойствах экрана. Также обратите внимание, что Диспетчер задач по прежнему не доступен, так как для него был выставлен параметр «Блокировка сверху» в родительском подразделении.

Наверх страницы

 

Связь Объекта ГП с несколькими сайтами, доменами и подразделениями

В этом разделе рассматривается соединение одного Объекта ГП с несколькими контейнерами (сайт, домен, подразделение) в Active Directory. В зависимости от точной конфигурации подразделения можно использовать другие способы для достижения такого же результата. Например, Вы можете использовать фильтрацию по группам безопасности или блокировку наследования. Тем не менее, в некоторых случаях описанные методы не дают нужного эффекта.
Если Вам когда-либо понадобится отдельно указать, какие сайты, домены или подразделения подвергаются одинаковому набору политик, используйте метод, описанный ниже:
Связь ОГП с несколькими сайтами, доменами и подразделениями

• Откройте сохраненную ранее консоль MMC – GPWalkthrough и дважды щелкните Active Directory - пользователи и компьютеры
• Дважды щелкните на домене reskit.com и затем дважды щелкните на подразделении Accounts.
• Щелкните правой кнопкой мыши на подразделении Headquarters, из контекстного меню выберите Свойства и перейдите на вкладку Групповая политика.
• В диалоговом окне Свойств Headquarters на вкладке Групповая политика нажмите Создать и создайте новый Объект ГП под названием Linked Policies.
• Выберите ОГП Linked Policies и нажмите Редактировать.
• В оснастке «Групповая политика», в узле Конфигурации пользователя, в ветке Административные шаблоны щелкните Панель управления и затем «Экран»
• В окне сведений щелкните на политике «Запретить изменение фонового рисунка», и за этим выберите Включена в диалоговом окне «Запретить изменение фонового рисунка» и нажмите ОК.
• Закройте оснастку «Групповая политика»
• Закройте свойства Headquarters.

Следующим шагом Вы подключите Linked Policies ОГП к другому подразделению.

• В консоли GPWalkthrough дважды щелкните Active Directory - пользователи и компьютеры, затем дважды щелкните домен reskit.com и потом дважды щелкните на подразделении Accounts.
• Щелкните правой кнопкой мыши на подразделении Production, из контекстного меню выберите Свойства и перейдите в закладку Групповая политика.
• Нажмите кнопку Добавить или щелкните правой кнопкой мыши на пустом месте в списке Ссылки на объект групповой политики и выберите Добавить из контекстного меню.
• В диалоговом окне Добавить связь объекта групповой политики нажмите стрелку  Искать в и выберите подразделение Accounts.reskit.com.
• Дважды щелкните на подразделении Headquarters.Accounts.reskit.com в списке Домены, Подразделения и связанные объекты групповой политики.
• Щелкните ОГП Linked Policies и затем нажмите ОК.

Так образом Вы связали один Объект ГП с двумя подразделениями. Изменения в Объекте ГП, сделанные из любого места, будут иметь эффект на оба подразделения. Это можно проверить, изменив какие-либо политики в ОГП Linked Policies, а потом войдя в систему в каждом из подразделений Headquarters и Production.

Наверх страницы

 

Процесс замыкания на себя

Этот раздел демонстрирует, как использование процесса замыкания на себя позволяет применять различные наборы групповых политик в зависимости от того, на какой компьютер вошел пользователь. Это полезно, когда Вам необходимо применять различные пользовательские политики на разных компьютерах. Существует два метода. Первый позволяет применение настроек данного пользователя, также как и применяет политики, в зависимости от того, на каком компьютере работает пользователь. Второй метод не применяет настройки пользователя, а только применяет политики, в зависимости от списка Объектов ГП для данного компьютера. Детально этот метод был рассмотрен в технической документации Групповой политики, упомянутой выше в этом документе.

Использование политики замыкания на себя

• Откройте консоль GPWalkthrough, дважды щелкните Active Directory - пользователи и компьютеры, за тем дважды щелкните на домене reskit.com и потом дважды щелкните на подразделении Resources.
• Щелкните правой кнопкой мыши на подразделении Desktop, выберите Свойства из контекстного меню и перейдите в закладку Групповая политика.
• Нажмите Создать и создайте новый ОГП под названием Loopback Policies.
• Выделите ОГП Loopback Policies и нажмите Редактировать.
• В оснастке «Групповая политика», в узле Конфигурация Компьютера, щелкните Административные шаблоны, за тем Система и Групповая политика.
• В окне сведений дважды щелкните на политике Режим обработки замыкания пользовательской групповой политики.
• Нажмите Включена в диалоговом окне Режим обработки замыкания пользовательской групповой политики, выберите Заменить в раскрывающемся меню Режима и нажмите ОК для завершения.

Следующим шагом будет настройка несколько полити Конфигурации пользователя, используя кнопку Следующая политика в диалоговом окне политики.

• В оснастке «Групповая политика», в узле Конфигурация Компьютера, щелкните Административные шаблоны, за тем Панель задач и меню «Пуск».
• В окне сведений дважды щелкните на политике «Удалить папки пользователя из Главного меню» и выберите Включена в диалоговом окне.
• Для применения политики нажмите Применить и кнопку Следующая политика, чтобы перейти к следующей политике – «Удалить ссылки и запретить использование Windows Update».
• В диалоговом окне Удалить ссылки и запретить использование Windows Update нажмите Включить, затем Применить и нажмите кнопку Следующая политика.
• В каждом из перечисленных ниже диалоговых окон политик установите состояние политики, как показано ниже:

Политика	Параметры
Удалить стандартные программы из меню Пуск	Включена
Удалить документы из меню Пуск	Включена
Отключить программы в меню Установки	Включена
Удалить Сетевые подключения из меню Пуск	Включена
Удалить Избранные из меню Пуск	Включена
Удалить Поиск из меню Пуск	Включена
Удалить Справку из меню Пуск	Включена
Удалить команду Выполнить из меню Пуск	Включена
Добавить Выход в меню Пуск	Включена
Отключить Выход в меню Пуск	Не задана
Отключить и удалить команду Выключить	Не задана
Отключить перетаскивание контекстного меню в меню Пуск	Включена
Отключить изменения для Панели задач и настроек меню Пуск.	Включена
Отключить контекстное меню панели задач	Включена
Не сохранять историю недавно открываемых документов	Включена
Очищать историю недавно открываемых документов на выходе	Включена

• Нажмите ОК по окончанию.
• В дереве консоли Групповой политики перейдите в узел Рабочие столы в ветке Конфигурация Пользователя\Административные шаблоны и установите следующие политики включенными:

Политика	Параметры
Спрятать Убрать Мои документы из меню Пуск	Включена
Спрятать значок Мои сетевые ресурсы на рабочем столе	Включена
Спрятать значок Internet Explorer на рабочем столе	Включена
Запретить пользователю изменять путь к Моим документам	Включена
Отключить добавление, перетаскивание и закрытие панели задач и его компонентов	Включена
Отключить регулировку панелей инструментов рабочего стола	Включена
Не сохранять настройки на выходе	Включена

• Нажмите ОК после того, как Вы задали установки.
• В дереве консоли Групповой политики перейдите в узел Active Desktop в ветке Конфигурация пользователя\Административные шаблоны\Рабочие столы и установите «Отключить Active Desktop» включенным, затем нажмите ОК.
• В дереве консоли Групповой политики перейдите в узел Панель управления в ветке Конфигурация пользователя\Административные шаблоны, раскройте узел Установка и удаление программ, дважды щелкните политику «Отключить установку и удаление программ», установите переключатель в положение Включена и нажмите ОК.
• В дереве консоли Групповой политики перейдите в узел Панель управления в ветке Конфигурация пользователя\Административные шаблоны, перейдите в узел Экран, дважды щелкните на политике «Отключить Экран в контрольной панели», установите переключатель в положение Включена и нажмите ОК.
• Закройте оснастку «Групповая политика».
• В диалоговом окне Свойств Desktops нажмите Закрыть.

В данный момент для пользователей компьютеров в подразделении Desktops нет применяемых политик. Вместо этого для них настроены политики пользователя в Объекте ГП Loopback Policies. Вы можете использовать инструкцию в разделе Фильтрация по группам безопасности, чтобы ограничить политику Loopback Policies для определенных групп компьютеров. Альтернативно, Вы можете перенести некоторые компьютеры в другое подразделение.
Для следующего примера необходимо создать группу безопасности No Loopback. Для этого воспользуйтесь оснасткой Active Directory - пользователи и компьютеры, выберите контейнер по названием Groups, нажмите Создать и создайте глобальную группу безопасности.
В этом примере из политики замыкания на себя мы исключим компьютеры, принадлежащие к группе безопасности No Loopback. Следуйте шагам, описанным ниже:

• Откройте консоль GPWalkthrough, дважды щелкните Active Directory - пользователи и компьютеры, затем дважды щелкните на домене reskit.com и дважды щелкните на подразделении Resources, щелкните правой кнопкой мыши на Рабочий стол и выберите Свойства.
• В диалоговом окне Свойства рабочего стола перейдите на вкладку Групповая политика, щелкните правой кнопкой мышки на ОГП Loopback Policies и выберите Свойства.
• В диалоговом окне Свойства Loopback Policies перейдите на вкладку Безопасность и для пользователей группы Authenticated Users установите политику «Применить Групповую политику» разрешенной.
• Добавьте группу No Loopback в список имен. Для этого нажмите Добавить, выберите группу No Loopback и нажмите ОК.
• Для группы No Loopback выберите Запретить для элемента «Применить Групповую политику» и нажмите ОК.
• Нажмите ОК в диалоговом окне Свойства Loopback Policies.
• Закройте диалоговое окно Свойства рабочего стола.
• В меню консоли GPWalkthrough нажмите Сохранить.

Наверх страницы

 

Другие сценарии Групповой политики

Теперь, когда Вы ознакомились с методами администрирования Групповой политики, Вы, возможно, захотите установить некоторые параметры безопасности, сделать установки программного обеспечения или перенаправить такие папки, как Мои документы. Как это сделать было детально рассмотрено в следующих пошаговых руководствах, доступных на веб-сайте Windows 2000 Server:

• Полная развертка политик безопасности
• Установка и обслуживание программного обеспечения
• Управление пользовательскими данными и настройками

Наверх страницы

 

Дополнительная информация

Для помощи в конкретных ситуациях во время установки и/или использованию Windows 2000 смотрите интерактивную справку Windows 2000 Professional http://windows.microsoft.com/windows2000/en/professional/help/
А также интерактивную справку Windows 2000 Server http://windows.microsoft.com/windows2000/en/server/help/.

Для помощи в подборе наиболее подходящих примеров развертывания для Вашей организации обратитесь к руководству по планировке и полной развертке Windows 2000 http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/w2rkbook/dpg.asp.

Для дополнительной информации о Групповой политике обратитесь к технической документации Windows 2000 http://www.microsoft.com/downloads/details.aspx?familyid=354B9F45-8AA6-4775-9208-C681A7043292&displaylang=en. Эта документация включает в себя:

• информацию по механизму и инфраструктуре Групповой политики;
• информацию по оснастке «Групповая Политика» и ее возможностям;
• расширенно рассматривает функциональность Групповой политики;
• включает использование Групповой политики на отдельных компьютерах.

Документация также включает в себя инструкции по созданию административных шаблонов (файлов .adm).

За дополнительной информацией по Серверу сценариев Windows обращайтесь к официальной документацию по ссылке http://www.microsoft.com/windows2000/docs/winscrwp.doc.

Для дополнительной информации по использованию консоли MMC обращайтесь к официальной документации Обзор консоли управления (Microsoft Management Console Overview) http://www.microsoft.com/windows2000/techinfo/howitworks/management/mmcover.asp, а также Пошаговое руководство по Консоли управления ММС (MMC).

Для дополнительной информации по файлам .adm, устойчивым настройкам реестра и использованию Редактора системной политики Windows NT 4.0 смотрите техническую документацию по Групповой политике Windows 2000 http://www.microsoft.com/downloads/details.aspx?familyid=354B9F45-8AA6-4775-9208-C681A7043292&displaylang=en и Внедрение профилей и политик в Windows NT 4.0 http://www.microsoft.com/technet/archive/winntas/maintain/featusability/prof_pol.mspx.

Наверх страницы

 

Приложение А. Пример сценария Welcome2000.js

Используйте код приведенного ниже примера для создания и сохранения сценария Welcome2000.js.

Создание и сохранения сценария

• Выделите и скопируйте код, приведенный ниже, начиная с // Script Sample for Windows Script Host и заканчивая строкой }
• Нажмите меню Пуск, выберите пункт Выполнить, напечатайте notepad и нажмите ОК. Таким образом, Вы запустите приложение Блокнот.
• В Блокнот выберите меню Правка и нажмите Вставить.
• В меню Файл нажмите Сохранить, в текстовом поле «Имя файла» напечатайте Welcome.js и сохраните, как текстовый файл, нажмите ОК.

Пример кода сценария Welcome2000.js.
// Script Sample for Windows Script Host
//
// Define constant values.
//
var MB_ICONINFORMATION  = 0x40;
var MB_ICONQUESTION     = 0x20;
var MB_ICONYESNO        = 0x04
var IDYES               = 6;
var IDTIMEOUT           = -1;
var POPUP_WAIT          = 5;   // close popup after 5 seconds.
//
// Create ActiveX Controls
//
var Shell = WScript.CreateObject("WScript.Shell")
var Env = Shell.Environment("PROCESS")
//
// Set greeting message.
//
var strTitle = "Sample Login Script";
var strMsg = "Welcome \"" + Env("UserName")
strMsg += "\" to the \"" + Env("UserDomain") + "\" domain\r\n\r\n"
Shell.Popup(strMsg, POPUP_WAIT, strTitle, MB_ICONINFORMATION);
//
// Launch Internet Explorer if user wants.
//
strMsg = "Do you want to visit the Windows 2000 web site?";
var strURL;
strURL = "http://www.microsoft.com/windows";
var intAnswer = Shell.Popup(strMsg,
POPUP_WAIT,
strTitle,
MB_ICONQUESTION | MB_ICONYESNO );
if (intAnswer == IDYES) {
Shell.Run(strURL);
}

Наверх страницы


Обсуждение статьи на форуме

Главная | Видео | Новости | Microsoft | Железо | Программы | СУБД | Форум