Подраздел Сценарии
Подраздел Сценарии также совершенно не изменился по сравнению с предыдущими версиями операционной системы Windows. С его помощью можно указать путь к VBS или JS-сценарию, ВАТ-файлу или любой программе, которая должна автоматически запускаться либо при входе пользователя в систему или выходе из нее (подраздел Сценарии раздела Конфигурация пользователя), либо при запуске процесса winlogon.ехе или выключении компьютера (подраздел Сценарии раздела Конфигурация компьютера).
Работа со сценариями. Как и раньше, если вы назначаете на выполнение сценарий, расположенный на локальном компьютере, то он должен находиться в одном из следующих каталогов (на самом деле он может находиться где угодно, но ведь не зря же разработчики ввели специальные каталоги файловой системы для хранения сценариев).
• %systemroot%\System32\GroupPolicy\User\Scripts\Logon – сценарий должен исполняться при входе текущего пользователя в систему. Запускается с правами пользователя.
• %systemroot%\System32\GroupPolicy\User\Scripts\Logoff – сценарий должен исполняться при выходе текущего пользователя из системы. Запускается с правами пользователя.
• %systemroot%\System32\GroupPolicy\Machine\Scripts\Shutdown – сценарий должен исполняться при выключении компьютера любым пользователем. Запускается с правами системы.
• %systemroot%\System32\GroupPolicy\Machine\Scripts\Startup – сценарий должен исполняться при загрузке процесса winlogon.exe любым пользователем. Запускается с правами системы.
Как и раньше, сведения об указанных вами сценариях, запускаемых автоматически, записываются как в реестр, так и в специальный файл файловой системы.
Сведения о сценариях, автоматически запускаемых для пользователя, хранятся в файле scripts.ini каталога %systemroot%\System32\GroupPolicy\ User \ Scripts. Сведения о сценариях, автоматически запускаемых для всех пользователей, хранятся в файле scripts.ini каталога %systemroot%\System32\ GroupPolicy\Machine\Scripts. Оба этих файла очень просты в понимании и позволяют редактировать свое содержимое вручную, без использования оснастки Редактор объектов групповой политики.
Сведения о запускаемых сценариях хранятся в подразделах ветвей системного реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Group Policy\Scripts и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Group PolicyXScripts.
Групповые политики настройки выполнения сценариев. Операционная система Windows Vista содержит специальные групповые политики для настройки выполнения сценариев. Все они расположены в подразделе Конфигурация компьютера → Административные шаблоны → Система → Сценарии и описаны в файле Scripts. admx. Например, в данном подразделе можно встретить следующие групповые политики (все они влияют на параметры типа REGDWORD, расположенные в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Pol icies\ System).
• Allow-LogonScript-NetbiosDisabled – если значение данного параметра равно 1, то пользовательские сценарии входа будут выполняться даже в том случае, если во время входа в перекрестный лес NetBIOS и WINS отключены и DNS-серверы не настроены.
• MaxGPOScriptWait – значение данного параметра определяет максимальное время (в секундах), которое могут выполняться сценарии входа и выхода, и может принимать значения от 1 до 32 000 секунд. По умолчанию сценарии могут выполняться не более десяти минут.
• RunLogonScriptSync – если значение данного параметра равно 1, то все пользовательские сценарии входа в систему будут выполняться синхронно с самим процессом входа. Иными словами, пока сценарии не будут выполнены, оболочка пользователя отображена не будет. По умолчанию сценарии выполняются асинхронно. Этот параметр находится и в ветви реестра корневого раздела HKEY_CURRENT_USER.
• HideShutdownScripts – при установке значения этого параметра равным С сценарии, которые выполняются при завершении работы операционной системы, будут отображаться на экране. По умолчанию сведения об их выполнении не отображаются. Этот параметр находится и в ветви реестра корневого раздела HKEY_CURRENT_USER.
• RunStartupScriptSync – если значение данного параметра равно 0, то все сценарии входа в систему будут выполняться асинхронно по отношению друг к другу. Иначе говоря, пока не будет выполнен один сценарий, второй выполняться не будет. По умолчанию сценарии выполняются асинхронно.
• HideStartupScripts – при установке значения этого параметра равным С сценарии, которые выполняются при входе в систему синхронно, будут отображаться в окне командной строки. По умолчанию сведения об их выполнении не отображаются. Этот параметр находится и в ветви реестра корневого раздела HKEY_CURRENT_USER.
Подраздел Настройка Internet Explorer
Совершенно не изменился и подраздел Настройка Internet Explorer раздела Политика "Локальный компьютер" → Конфигурация пользователя → Конфигурация Windows. Как и раньше, он содержит следующие подразделы.
• Пользовательский интерфейс обозревателя – позволяет настроить такие элементы окна браузера Internet Explorer, как заголовок окна (подраздел Заголовок обозревателя), файлы изображений для фона панели инструментов браузера, а также позволяет добавить собственные кнопки к панели инструментов (подраздел Настройка панели инструментов). Кроме того, с помощью данного подраздела можно изменить файлы изображений для статического и динамического логотипов браузера Internet Explorer (подраздел Эмблема и анимированные рисунки). Следует только понимать, что при использовании нового интерфейса операционной системы вообще не существует такого понятия, как логотип или изображение панели инструментов, поэтому, для того чтобы увидеть изменения, нужно работать в операционной системе Windows Vista с интерфейсом ранних версий операционной системы.
Все параметры, изменяемые с помощью данного подраздела, записываются в текстовый файл install. ins (по умолчанию изменять данный файл могут только администраторы и система), расположенный в каталоге %systemroot%\ system32\GroupPolicy\User\MICROSOFT\IEAK. Сами же измененные параметры записываются в реестр с помощью процесса svchost.ехе, запущенного с правами системы.
• Подключение – дает возможность настроить следующие параметры браузера Internet Explorer:
– строку, добавляемую к строке User-Agent, идентифицирующей обозреватель (подраздел Строка обозревателя);
– используемые для подключения к Интернету адреса и порты прокси-сервера (подраздел Параметры прокси-сервера);
– адрес компьютера, который содержит сценарии (INS-файл для настройки параметров обозревателя и JS-сценарий для настройки прокси) для автоматической настройки обозревателя через определенный промежуток времени (подраздел Автоматическая настройка обозревателя).
С помощью данного подраздела можно также экспортировать настройки, изменяемые с помощью вкладки Подключения окна Свойства: Интернет, в файлы, расположенные в каталоге %systemroot%\system32\GroupPolicy\User\ MICROSOFT\IEAK\BRANDING\cs, чтобы впоследствии содержимое этих файлов автоматически импортировалось в браузер Internet Explorer.
• URL-адреса – позволяет настроить содержимое папок Избранное и Ссылки (подраздел Избранное и ссылки), а также изменить такие стандартные адреса браузера Internet Explorer, как адрес домашней страницы, панели поиска и страницы поддержки (подраздел Важные URL-адреса).
• Безопасность – дает возможность экспортировать настройки зон Интернета и настройки ограничений браузера (Ratings) в INF-файлы, чтобы впоследствии содержимое этих файлов автоматически импортировалось в браузер Internet Explorer (подраздел Зоны безопасности и оценка содержимого). Зоны безопасности экспортируются в файлы seczones. inf и seczrsop. inf, расположенные в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\ IEAK\BRANDING\ZONES, а параметры ограничений браузера экспортируются в INF-файлы ratings, inf и ratrsop.inf каталога %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\RATINGS. С помощью этого подраздела можно также экспортировать параметры настройки сертификатов доверенных издателей и доверенных агентств выдачи сертификатов (подраздел Параметры Authenticode).
• Программы – позволяет выполнить экспортирование параметров из вкладки Программы окна Свойства: Интернет в файл programs. inf, расположенный в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\ IEAK\BRANDING\PROGRAMS, чтобы впоследствии содержимое этого файла автоматически импортировалось в браузер Internet Explorer.
Раздел Административные шаблоны
Административные шаблоны – это единственное, что существенно изменилось в операционной системе Windows Vista. Точнее, изменились не сами административные шаблоны, а способы их создания. Если раньше все групповые политики хранились в пяти файлах с расширением ADM, то теперь для их хранения используется множество файлов с расширениями ADMX и ADML, которые представляют собой XML-файлы (то есть также изменился и синтаксис создания данных файлов).
Файлы, имеющие расширение ADMX, расположены в каталоге %systemroot%\ PolicyDef initions. Они содержат описания ветвей реестра и параметров, изменяющихся групповыми политиками, а также ссылки на одноименные файлы с расширением ADML, хранящие описания групповых политик, изменяющих эти ветви реестра. Файлы с расширением ADML расположены в каталоге %systemroot%\PolicyDef initions\en-US (для английской локализации административных шаблонов). На протяжении предыдущих глав мы рассматривали групповые политики, которые позволяли настраивать те или иные компоненты операционной системы, а также подразделы оснастки gpedit.msc и файлы, в которых эти групповые политики хранятся. Поэтому сейчас мы не будет рассматривать ни структуру подразделов групповых политик, ни назначение стандартных ADMX и ADML-файлов.
...
Примечание
Сведения о применении групповых политик заносятся в журнал Журналы приложений и служб → Microsoft → Windows → GroupPolicy.
Согласитесь, что было бы глупо изменять формат файлов, содержащих групповые политики, и полностью отказываться от всех написанных ранее административных файлов с расширением ADM. Именно поэтому групповые политики Windows Vista поддерживают как новый формат файлов административных шаблонов, так и старый. Теперь все файлы с расширением ADM заносятся в подраздел групповых политик Административные шаблоны → Классические административные шаблоны (ADM). При этом операционная система Windows Vista по умолчанию содержит один ADM-файл, который расположен в каталоге %systemroot%\inf и управляет настройкой ограничений на передачу отчетов об ошибках в работе операционной системы и программ корпорации Microsoft.
Хранение групповых политик. Все групповые политики, которые вы применили с помощью оснастки Редактор объектов групповой политики, заносятся не только в реестр, но и в два специальных файла с именем registry.pol. Они расположены в каталогах %systemroot%\system32\GroupPolicy\Machine и %systemroot%\system32\GroupPolicy\User. Параметры из этих файлов через определенные промежутки времени заносятся в реестр (как и в предыдущих операционных системах, можно воспользоваться командой gpupdate.ехе, чтобы вручную внести в реестр содержимое файлов registry.pol).
Именно из-за этих файлов удаление параметров групповых политик непосредственно с помощью реестра не приведет ни к каким результатам – они будут заново созданы при следующем помещении содержимого файлов registry.pol в реестр. Поэтому если вы установили какие-либо ограничения с помощью групповых политик, то и удалить их вы сможете только с помощью групповых политик.
Если компьютер находится в домене, то для него применяются не только локальные групповые политики, но и групповые политики на уровне домена и организационной единицы. Как и раньше, политики на уровне домена будут замещать собой политики локального компьютера, а групповые политики на уровне организационной единицы будут замещать собой политики на уровне домена.
Работа с групповыми политиками с помощью дополнительных программ
Теперь рассмотрим несколько программ командной строки, которые предназначены для работы с групповыми политиками. Первая из них является нововведением операционной системы Windoiws Vista. Вторая же присутствовала и в предыдущих версиях Windows.
• Migration Table. Расположение: %systemroot%\system32\mtedit.ехе.
Эту программу можно использовать при копировании групповых политик из одного домена в другой, для определения и изменения специфических для домена данных. При копировании групповых политик из одного домена в другой политики старого домена не всегда смогут работать на новом домене. Например, если политики основаны на SID учетных записей пользователей, которые никак не могут совпадать у двух доменов, данные политики работать не будут. В этом случае вам может понадобиться программа Migration Table, которая позволяет указать данные старого домена, например SID учетных записей и данные, на которые они будут автоматически заменены при копировании в новый домен.
С помощью программы Migration Table можно указать изменение следующих данных: SID групп и учетных записей пользователей, имена компьютеров, а также пути UNC. Эти данные могут встречаться как непосредственно в групповых политиках, так и в ACL для групповых политик или дополнительных файлов.
После работы Migration Table создается текстовый файл в формате XML с расширением MIGTABLE. Конечно, вы можете редактировать или даже самостоятельно создавать данный файл, не используя программы Migration Table, однако с ее помощью создание файла миграции существенно облегчается.
Для запуска программы Migration Table лучше всего воспользоваться оснасткой Управление групповой политикой. Для этого достаточно в контекстном меню домена или объекта групповой политики выбрать команду Открыть редактор таблиц миграции, после чего отобразится окно программы.
Чтобы просмотреть дополнительную информацию о данной программе, достаточно воспользоваться меню Справка для вывода справки по работе с ней.
• Group Policy Update Utility v6.0. Расположение: %systemroot%\system32\ Gpupdate.exe.
Эта программа командной строки также присутствовала в предыдущих версиях операционной системы Windows, поэтому мы не будем рассматривать ее подробно. С ее помощью можно выполнить немедленное обновление групповых политик компьютера на основе локальных и групповых политик домена. Для этого достаточно воспользоваться данной программой без параметров. При обновлении можно также указать следующие основные параметры.
– /target: – может принимать значения computer и user. Определяет тип политик, которые будут обновлены (по умолчанию обновляются оба типа политик).
– /Logoff – при завершении обновления политики выйти из системы.
– /boot – при завершении обновления политики перезагрузить компьютер.
– /sync – новый параметр данной программы, который может использоваться вместе с предыдущими параметрами. Его использование приводит к синхронному применению групповых политик.
Настройка групповых политик
Как ни странно звучит название этого подраздела книги, но операционная система Windows Vista содержит специальные групповые политики для настройки работы механизма групповых политик и RSoP (о RSoP будет рассказано при описании оснастки Результирующая политика). Все они расположены в подразделе Административные шаблоны → Система → Групповая политика разделов Конфигурация компьютера и Конфигурация пользователя. Они описаны в файле GroupPolicy.admx.
Локальные пользователи и группы
CLSID-номер оснастки: {5D617 9C8-17EC-11D1-9AA9-00C04FD8FE93}.
Библиотека: localsec.dll.
Используется в стандартных консолях: compmgmt.msc, lusrmgr.msc.
Работа с данной оснасткой, как и ее интерфейс, также совершенно не изменились. При добавлении оснастки вы можете выбрать компьютер, информацию которого она должна отображать. После этого оснастка будет добавлена.
С помощью оснастки Локальные пользователи и группы вы можете добавлять, удалять или редактировать содержимое групп пользователей или параметры определенных учетных записей пользователей. Например, можно изменить группу, к которой принадлежит определенная учетная запись пользователя, описание, пароль к учетной записи, путь к профилю учетной записи пользователя, указать, может ли пользователь самостоятельно изменять пароль. А можно вообще отключить определенную учетную запись пользователя.