Продовжимо тему нетрадиційного використання коштів адміністрування NT-систем;). На цей раз поговоримо про таку концептуальної для домену Active Directory речі, як групова політика (Group policy). Не лякайтеся слова «домен» - про нього мова йти не буде, ми розглянемо застосування групової політики тільки на локальній машині.
До слова, навіть якщо у вас є домашня мережа, тобто робоча група, а не домен, то за допомогою групових правил ви зможете управляти тільки своєю машиною або видаленої при відповідних правах, але не в якому разі не всією мережею. Так навіщо це нам потрібно? Скажімо так, у вас в ОС зареєстровано кілька користувачів (для NT це закономірність) і вам, як місцевим адміністратору, хотілося б трошки «підправити» настройки програм, в тому числі і робочого столу Windows (відключити всім, скажімо, Панель управління від гріха подалі ), змінити параметри безпеки системи за умовчанням, причому так, щоб назад все змогли повернути тільки ви. За допомогою групової політики все це робиться в один присід. Так що приступимо до вивчення предмета.
Як вже говорилося, групові правила застосовуються для конфігурації користувачів і комп'ютерів і ніяк інакше. До груп безпеки правила застосовувати не можна, однак тут можливо зворотну дію - фільтрація правил для окремих груп. Продовжувати цю тему не будемо - це доля адміністраторів домену.
Для користувачів можна конфігурувати наступні параметри:
Дані правила застосовуються при вході користувача в систему (при реєстрації) і під час періодичних циклів оновлення (з контролерів домену, в разі наявності самого домену).
Для кожного окремого комп'ютера є набір наступних параметрів:
- поведінка ОС;
- параметри робочого столу;
- параметри додатків;
- параметри безпеки;
- параметри додатків, призначених для комп'ютера (тільки для домену);
- сценарії запуску та вимикання комп'ютера.
Ці правила застосовуються при ініціалізації ОС, тобто завантаженні, і під час періодичних циклів оновлення.
Правила групової політики зберігаються в об'єктах групової політики, а не в реєстрі, що було властиво для системної політики NT 4.0. Об'єкти бувають двох типів: локальні та нелокальних. Перші зберігаються на кожній клієнтській машині, другі - на контролерах доменів і діють на сайт, домен, підрозділ. Нелокальні правила в разі конфлікту перекривають локальні, інакше просто додають свої параметри. Ми розглянемо тільки локальний об'єкт. Фізично він зберігається в папці% SystemRoot% \ system32 \ GroupPolicy. Дана папка має наступну структуру (для XP):
- Adm - містить адміністративні шаблони (.adm);
- Machine - дані, специфічні для комп'ютера;
- Scripts - сценарії для комп'ютера;
- Shutdown - сценарії виключення машини;
- Startup - сценарії запуску машини;
- Registry.pol - файл, що містить зміни, які будуть внесені в гілку HKEY_LOCAL_MACHINE реєстру;
- User - дані, специфічні для користувача;
- Scripts - сценарії для користувача;
- Logoff - сценарії виходу з системи;
- Logon - сценарії реєстрації в системі;
- Registry.pol - файл, що містить зміни, які будуть внесені в гілку HKEY_CURRENT_USER реєстру;
- gpt.ini - деякі настройки групової політики і номер версії.
Врахуйте, що в залежності від обраних правил вміст і структура локального об'єкта групових правил може змінюватися, хоча наведена інформація є основоположною. Тепер розглянемо процес (спрощена) застосування правил групової політики для комп'ютера, що не входить в домен.
- Сценарії - дозволяють автоматизувати процес включення / вимикання комп'ютера, а також входу / виходу користувача з системи. Їх використання доцільне для комп'ютера, що входить до складу домену.
- Параметри безпеки - визначають параметри безпеки локальної системи. Дана тема дуже обширна, тому ми поговоримо про неї всерйоз іншим разом.
- Адміністративні шаблони - містять параметри ОС і її компонентів, що зберігаються в реєстрі.
Зауважу, що вплив груповий політики на комп'ютер реалізується за допомогою допоміжних компонентів, розширень на стороні клієнта, що представляють собою звичайні DLL.
Найбільший інтерес для нас представляють адміністративні шаблони. Отже, адміністративні шаблони - це файли з розширенням .adm, в яких в текстовому вигляді записані параметри, що модифікують реєстр комп'ютера (гілку HKLM для параметрів комп'ютера і HKCU - для користувача). За замовчуванням, до адміністративних шаблонах відносяться (перерахуємо тільки основні):
- Компоненти Windows - містять відомості про системні додатках Windows, таких як Internet Explorer, Microsoft Management Console etc.
- Система - дозволяє змінювати системні правила, наприклад, параметри реєстрації користувача, груповий політики, захисту файлів
і т.д. - Мережа - як можна здогадатися, містить настройки мережі.
- Принтери - параметри підключених до системи локальних і віддалених принтерів.
- Панель завдань і меню Пуск - дозволяє управляти властивостями і вмістом даних елементів інтерфейсу.
- Робочий стіл - управляє властивостями робочого столу, а також параметрами Active Desktop.
- Панель управління - налаштовує кількість елементів в Панелі управління і можливості по їх управлінню.
Досить багаті можливості, чи не так? Так давайте ними скористаємося! Спробуємо, наприклад, відключити доступ до дисків з Провідника. Знаходимо гілку Конфігурація користувача \ Адміністративні шаблони \ Компоненти Windows \ Провідник, а в ній - ключ Заборонити доступ до дисків через «Мій комп'ютер», і «клікаємо» на нього 2 рази. Тут потрібні пояснення. Вікно зміни властивостей має дві закладки: Параметр і Пояснення.
У першій проводиться безпосереднє редагування властивості, а друга служить довідкової системою по даному параметру.
Параметр може бути включений, відключений і не заданий. Коли він включений, відповідне значення заноситься в потрібний ключ реєстру; якщо він відключений, то до реєстру заноситься інше значення (або ключ видаляється), а прі не заданому параметрі в реєстрі ніяких змін не відбувається, при цьому використовується значення за замовчуванням.
До всього іншого, властивість може мати кілька додаткових параметрів, зазначених нижче (у нас такий випадок). В XP з'явився рядок «Підтримується», яка вказує на версію ОС, для якої є редагування даної опції.
Після повторного входу в систему (потрібно, щоб політика прийшла в силу) ми виявляємо відсутність доступу до зазначених дискам з Провідника, що й треба було довести.
Зауваження: групова політика діє на всіх користувачів, розмежувати її вплив на окремі групи можна, судячи з усього, тільки при наявності домену.
Тепер поговоримо про створення адміністративних шаблонів. У комплекті з ОС йде ряд шаблонів, таких як System.adm, Inetres.adm і ін. Призначених для базового конфігурації системи. Цілком можливо, що вам захочеться доповнити можливості даних шаблонів здатністю налаштовувати інші додатки (якщо, звичайно, вони зберігають свої налаштування в реєстрі). Редагувати вже наявні шаблони не рекомендується, тому краще створити новий шаблон, а потім додати його до вже наявних. Це можна зробити, клацнувши правою кнопкою на гілці Адміністративні шаблони в оснащенні Групова політика і вибравши пункт Додати або видалити шаблони. Після перевірки синтаксису новий шаблон буде завантажений в систему.
Всі шаблони лежать в паку% SystemRoot% \ inf. Вони являють собою звичайні текстові файли у форматі UNICODE (точніше, багатобайтових UNICODE - UTF16), тому редагувати і створювати нові шаблони можна в Блокноті. Опис формату шаблону можна знайти в довідковій системі Windows. Слід зазначити, що всі параметри групової політики для додатків (якщо ви їх розробник) потрібно зберігати в наступних гілках реєстру: [HKLM \ SOFTWARE \ Policies]; [HKCU \ Software \ Policies]; [(HKCU або HKLM) \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies], як робить система. Справа в тому, що тільки для цих гілок при відключенні параметра він видаляється з реєстру.
На цьому варто поки зупинитися. Експериментуйте, але тільки обдумано і обережно.