» Основанные на реестре политики в Windows XP

Основанные на реестре политики в Windows XP

Впервые политики появились в Windows 2000. Групповая политика (Group Policy) используется для управления рабочими столами пользователей. Благодаря тому, что политика может управлять окружением всех пользователей, это существенно облегчает развертывание и сопровождение системы — администратору не нужно управлять окружением каждого пользователя. К тому же политики связаны с пользователем и преследуют его по всей сети — вне зависимости от того, с какой машины пользователь зайдет в сеть, к его рабочему столу будут применены установленные администратором политики.

В этой главе мы поговорим о локальных политиках, основанных на реестре. Поскольку локальные политики тесно связаны с Active Directory (AD), то вам нужно знать основы AD. Я сделаю все возможное, чтобы вы поняли, о чем идет речь, даже если вы не знакомы с AD, хотя не нужно расценивать эту главу как краткое руководство по Active Directory.

Давайте разберемся, что такое политика. Я решил воздержаться от сухого определения и попытаться объяснить ее суть. Предположим, вы устанавливаете какое-либо свойство рабочего стола, например, экранную заставку, обои или тип отображения обоев. Как пользователь, вы можете изменить свойства в любое время, когда вам этого захочется. Политики устанавливаются администраторами и имеют более высокий приоритет, чем аналогичные пользовательские свойства. В реестре политики хранятся отдельно от свойств. Операционная система работает со свойствами и политиками так:

- если политика и свойство не установлены, то используются параметры по умолчанию;

- если политика не установлена, но установлено пользовательское свойство, то операционная система использует свойство;

- если же, наоборот, не установлено свойство, а установлена политика, то будет использоваться политика;

- наконец, самое интересное: если установлены и политика, и свойство, то будет использована политика, а свойство будет проигнорировано.

Это означает, что если администратор установил политику рабочего стола, например, обои или параметры заставки, то что бы ни делал пользователь, он не сможет их изменить.

Все политики определяются в GPO (Group Policy Object, Объект групповой политики). В AD есть несколько GPO: один применяется к пользователям, а другой — к компьютерам. На локальном компьютере всего один GPO, который применяется только к локальному компьютеру и всем пользователям, которые входят в сеть с этого компьютера. Настройки локального GPO могут быть переопределены сетевыми GPO из AD. Первым обрабатывается локальный GPO, затем —сетевые GPO.

Редактор политик

В GPO содержатся настройки, касающиеся как пользователя, так и всего компьютера — это мы уже знаем. Локальные политики можно редактировать с помощью редактора политик gpedit.msc. Для его запуска нажмите Win+R, введите команду gpedit.msc и нажмите Enter. Как видно групповая политика состоит из двух разделов: конфигурация компьютера и конфигурация пользователя. Первый содержит обще компьютерные настройки, а второй — пользовательские настройки.

Использовать редактор политик довольно просто. Давайте попробуем ограничить резервируемую пропускную способность диспетчера QoS. QoS (Quality of Service) резервирует 20% пропускной способности сети, другими словами, ограничивает пропускную способность каждого компьютера сети, на котором включена QoS. Перейдите в раздел Конфигурация компьютера, Административные шаблоны, Сеть, Диспетчер пакетов QoS. Дважды щелкните по элементу Ограничить резервируемую пропускную способность. Даже если ограничение не задано, то QoS все равно резервирует 20% пропускной способности, поэтому нужно включить ограничение и установить 0% в качестве параметра Ограничение пропускной способности. После этого нажмите кнопку Применить. После перезагрузки ваша сеть должна заработать быстрее, особенно это будет заметно при передаче по ней больших файлов.

В больших сетях выключать QoS подобным образом не рекомендуется — ведь ограничивая пропускную способность каждого отдельного компьютера, она обеспечивает работоспособность сети во время максимальной нагрузки (в часы пик). Однако в небольших сетях (5—15 компьютеров) QoS можно отключить.

Расширения групповой политики

Для настройки GPO вы можете использовать так называемые расширения групповой политики. Если быть предельно точным, то ее расширением является каждый подраздел, который вы видите в редакторе политик. При запуске редактор политик загружает все доступные расширения. Вот некоторые расширения, предоставляемые групповой политикой в GPO:

- административные шаблоны — групповая политика для создания специального файла, в котором содержатся настройки реестра, записываемые как в HKCU, так и в HKLM. Операционная система читает настройки из этого файла при запуске системы и входе пользователя;

- сценарии — вы можете создать сценарии, которые будут выполняться при входе или выходе пользователей. Данные сценарии вы найдете в разделе Конфигурация Windows редактора политик;

- параметры безопасности — администратор может управлять параметрами безопасности, в том числе политикой паролей, правами пользователей, ограничением запуска приложений. Параметры безопасности вы найдете в разделе Конфигурация Windows редактора политик.

Административные шаблоны

Данная глава посвящена политикам, основанным на реестре. Другое их название — административные шаблоны или административные политики. Это настройки, переопределяющие свойства пользователей, они хранятся в реестре, и пользователи не могут их изменить. Разберемся, как политики, вернее, административные шаблоны попадают в реестр. Политики определяются административными шаблонами, файлами с расширением .adm. Иногда их называют ADM-файлами. Шаблоны (ADM-файлы) описывают интерфейс пользователя для изменения определенных настроек реестра. Редактор политик загружает ADM-файлы, и администратор с помощью редактора политик редактирует настройки реестра. После этого они передаются в локальный GPO, а оттуда попадают и реестр.

Следует запомнить один важный момент. Можно изменить параметры реестра с помощью редактора реестра, но при этом нужно помнить названия ключей и их допустимые значения. Можно сделать процесс редактирования реестра намного удобнее. Для этого нужно создать административный шаблон, ADM-файл, в котором будут записаны элементы пользовательского интерфейса для изменения того или иного параметра реестра, например, окно с названием параметра и его допустимыми значениями. ADM-файл — это не самостоятельная программа. Хотя она и определяет элементы графического интерфейса пользователя, созданные ADM-файлом окна вы сможете увидеть только с помощью редактора политик. Итак, в редакторе политик вы выбираете нужный ADM-файл, появляется окошко, в котором подробно описан изменяемый параметр. Вы устанавливаете новое значение параметра и нажимаете кнопку Ок. Все, изменения переданы в реестр.

Преимущество административных шаблонов заключается в том. что вам не нужно помнить ни имя ключа, ни имя параметра реестра, ни список допустимых значений — достаточно запустить редактор политик и изменить значение нужного вам параметра. Это намного удобнее, чем использовать редактор реестра. Далее в этой главе мы заглянем за занавес административных шаблонов и даже научимся создавать собственные.

Ранее было сказано, что при нажатии кнопки ОК изменения попадают в реестр, однако это происходит не мгновенно. Сначала настройки передаются в файл Registry.pol. Windows обрабатывает данный файл при запуске системы, при входе пользователя в систему и через некоторые промежутки времени.
В Windows XP есть следующие стандартные административные шаблоны:

- conf.adm — политика для NetMetting;

- inetres.adm — политика для Internet Explorer;

- system.adm — базовые политики, которые вы видите в окне редактора политик в разделе Административные шаблоны;

- wmplayer.adm — политика для Windows Media Player.

Политика может находиться в одном из трех состояний: не задана, включена, выключена. Разница между этими состояниями следующая:

- если политика не задана, то соответствующий ей параметр реестра удаляется, что приводит к использованию свойства пользователя;

- если политика включена, то соответствующему ей параметру реестра присваивается значение 1 (или любое другое, большее 0), соответствующее активному состоянию;

- если политика выключена, то соответствующему ей параметру реестра присваивается значение 0.

Политики хранятся в разделе реестра Software\Policies. Такой раздел имеется как в HKLM, так и в HKCU. Понятно, что в HKLM\Software\Policies хранятся общесистемные политики, а в HKCU\Software\Policies — пользовательские. Кроме этих разделов политики могут содержаться еще в разделе Soft-ware\Microsoft\Windows\CurrentVersion\Policies. Политики из этого раздела вносят в реестр постоянные, необратимые изменения. Чтобы пользователь не мог изменить эти разделы реестра и, соответственно, политику, устанавливаются списки доступа (ACL). Согласно ACL, по умолчанию эти разделы имеет право редактировать только администратор. Пользователи из групп Users и PowerUsers не имеют права редактировать эти разделы.

Теперь поговорим о размещении политик на диске. Локальный GPO хранится в каталоге %SYSTEMROOT%\System32\GroupPolicy. Чтобы увидеть это,
нужно включить отображение скрытых и системных файлов. В этом каталоге вы найдете следующие подкаталоги:

- \Adrn — хранит все ADM-файлы локального GPO;

- \Machine — содержит файл Registry.pol, в котором находятся обще системные политики;

- \Machine\Scripts — заключает в себе общесистемные сценарии локального GPO;

- \User — содержит файл Registry.pol, в котором находятся политики для пользователей;

- \User\Scripts — хранит пользовательские сценарии локального GPO.

Реклама

Реклама