Să continuăm subiectul utilizării neconvenționale a instrumentelor de administrare NT;). De data aceasta, să vorbim despre un astfel de concept conceptual pentru un domeniu Active Directory, cum ar fi Politica de grup. Nu vă temeți de cuvântul "domeniu" - nu va fi discutat, vom examina aplicarea politicii de grup numai pe mașina locală.
Apropo, chiar dacă aveți o rețea de domiciliu, adică grup de lucru, mai degrabă decât un domeniu, folosind un grup de reguli puteți controla doar mașina dvs. sau la distanță de drepturile respective, dar nu și pe care nu nelly dumneavoastră întreaga rețea. Dar de ce avem nevoie de asta? Să spunem că aveți sistem de operare mai mulți utilizatori (pentru NT este legea) și voi, ca administrator local, aș dori un pic „tweak“ setările programelor, inclusiv desktop-ul Windows (opriți toate, să zicem, panoul de control departe de păcat ), schimbați setările implicite de securitate ale sistemului, astfel încât numai dvs. să le puteți returna. Folosind Politica de grup, toate acestea se fac într-o singură ședință. Deci, să începem să studiem subiectul.
După cum am menționat deja, regulile grupului sunt folosite pentru a configura utilizatorii și computerele și nimic altceva. Regulile de securitate nu pot fi aplicate grupurilor de securitate, cu toate acestea, acțiunea inversă este posibilă - regulile de filtrare pentru grupurile individuale. Continuați acest subiect nu va fi - aceasta este responsabilitatea administratorilor domeniului.
Pentru utilizatori, puteți configura următoarele setări:
Aceste reguli se aplică atunci când un utilizator se conectează la sistem (în timpul înregistrării) și în timpul ciclurilor periodice de actualizare (de la controlere de domeniu, în cazul domeniului însuși).
Pentru fiecare calculator individual există un set de parametri următori:
- comportamentul OS;
- setările pentru desktop;
- setările aplicației;
- setările de securitate;
- setările pentru aplicațiile atribuite computerului (numai pentru domeniu);
- script-uri pentru a porni și opri calculatorul.
Aceste reguli se aplică atunci când sistemul de operare este inițializat, adică încărcare și în timpul ciclurilor periodice de actualizare.
Regulile politicii de grup sunt stocate în GPO, nu în registru, așa cum a fost cazul politicii de sistem NT 4.0. Obiectele sunt de două tipuri: locale și non-locale. Primele sunt stocate pe fiecare mașină client, a doua pe controlerele de domeniu și operează pe site, domeniu, unitate. Regulile non-locale în caz de conflict se suprapun local, altfel ele își adaugă pur și simplu parametrii. Vom lua în considerare numai un obiect local. Este stocat fizic în folderul% SystemRoot% \ system32 \ GroupPolicy. Acest dosar are următoarea structură (pentru XP):
- Adm - conține șabloane administrative (.adm);
- Masini - date specifice calculatorului;
- Scripturi - scripturi pentru computer;
- Shutdown - scenarii de închidere a mașinii;
- Startup - scripturi pentru pornirea mașinii;
- Registry.pol - fișierul care conține modificările care vor fi făcute în filiala de registru HKEY_LOCAL_MACHINE;
- User - date specifice utilizatorului;
- Scripturi - scripturi pentru utilizator;
- Logoff - scripturi de ieșire;
- Logon - script-uri de conectare în sistem;
- Registry.pol - fișier care conține modificări care vor fi adăugate în sucursala de registru HKEY_CURRENT_USER;
- gpt.ini - unele setări pentru politica de grup și numărul versiunii.
Rețineți că, în funcție de regulile selectate, conținutul și structura obiectului regulilor grupului local se pot schimba, deși informațiile furnizate sunt fundamentale. Acum, luați în considerare procesul (simplificat) de aplicare a regulilor de politică de grup pe un computer care nu face parte din domeniu.
- Scenarii - vă permit să automatizați procesul de pornire / oprire a computerului, precum și conectarea / dezactivarea utilizatorului din sistem. Utilizarea lor este recomandată pentru calculatorul care face parte din domeniu.
- Setări de securitate - definiți setările de securitate ale sistemului local. Acest subiect este foarte amplu, așa că vom vorbi despre asta în serios încă o dată.
- Șabloane administrative - conțin parametrii OS și componentele sale stocate în registry.
Observ că impactul politicii de grup asupra computerului este realizat cu ajutorul componentelor auxiliare, extensii pe partea clientului, care sunt DLL-uri obișnuite.
Cele mai interesante pentru noi sunt șabloanele administrative. Deci, șabloanele administrative sunt fișiere cu extensia .adm, în care parametrii care modifică registrul computerului sunt scrise sub formă de text (ramura HKLM pentru parametrii calculatorului și HKCU pentru utilizator). În mod implicit, șabloanele administrative includ (enumerăm numai cele principale):
- Componentele Windows - conține informații despre aplicațiile de sistem Windows, cum ar fi Internet Explorer, Microsoft Management Console etc.
- Sistem - vă permite să schimbați regulile sistemului, de exemplu, setările de înregistrare ale utilizatorilor, politica de grup, protecția fișierelor
și așa mai departe. - Rețea - așa cum ați putea ghici, conține setările de rețea.
- Imprimante - setările imprimantelor locale și la distanță conectate la sistem.
- Bara de activități și meniul Start - vă permite să gestionați proprietățile și conținutul elementelor de date ale interfeței.
- Desktop - Gestionează proprietățile desktopului, precum și setările Active Desktop.
- Panoul de control - reglează numărul de elemente din panoul de control și capacitatea de a le gestiona.
Destul de bogate oportunități, nu-i așa? Deci, să le folosim! Să încercăm, de exemplu, să dezactivați accesul la discuri din Explorer. Găsiți o ramură a User Configuration \ Administrative Templates \ Windows Components \ Windows Explorer, și în ea - o cheie Interzice accesul la discurile prin intermediul "My Computer", și "click" pe ea de 2 ori. Aici avem nevoie de explicații. Fereastra de schimbare a proprietăților are două file: Parametru și Explicație.
În primul, proprietatea este editată direct, iar a doua este sistemul de referință pentru acest parametru.
Parametrul poate fi activat, dezactivat și nu poate fi setat. Când este activată, valoarea corespunzătoare se introduce în cheia de registry necesară; dacă este dezactivată, se introduce o altă valoare în registry (sau se șterge cheia) și dacă parametrul nu este setat în registru, nu apar schimbări și se utilizează valoarea implicită.
În plus, proprietatea poate avea câțiva parametri suplimentari, indicați mai jos (avem acest caz). În XP, apare linia "Supported", indicând versiunea sistemului de operare pentru care este disponibilă editarea acestei opțiuni.
După reintroducerea în sistem (este necesar ca politica să intre în vigoare), aflăm că nu există acces la discurile specificate din Explorer, care urma să fie dovedit.
Notă: Politica de grup este valabilă pentru toți utilizatorii, este posibil să se delimiteze impactul asupra grupurilor individuale, aparent numai dacă există un domeniu.
Acum hai să vorbim despre crearea șabloanelor administrative. Un set de șabloane sunt incluse în sistemul de operare, cum ar fi System.adm, Inetres.adm etc., concepute pentru configurarea de bază a sistemului. Este posibil să doriți să completați capabilitățile acestor șabloane cu capacitatea de a configura alte aplicații (dacă, desigur, ele stochează setările în registru). Modificați șabloanele existente nu este recomandată, așadar este mai bine să creați un nou șablon și apoi să îl adăugați la cele existente. Puteți face acest lucru făcând clic cu butonul din dreapta pe filiala Șabloane administrative din modulul snap-in Policy Group și selectând Add or Remove Templates (Adăugare sau eliminare șabloane). După verificarea sintaxei, noul șablon va fi încărcat în sistem.
Toate șabloanele sunt în pachetul% SystemRoot% \ inf. Acestea sunt fișiere text obișnuite în format UNICODE (mai precis un UNICODE-UTF16 cu două octeți), astfel încât să puteți edita și crea noi șabloane în Notepad. Descrierea formatului de șablon poate fi găsită în sistemul de ajutor Windows. Trebuie remarcat faptul că toate setările politicii de grup pentru aplicații (dacă sunteți dezvoltatorul lor) ar trebui să fie stocate în următoarele filiale de registru: [HKLM \ SOFTWARE \ Policies]; [HKCU \ Software \ Politici]; [(HKCU sau HKLM) \ Software \ Microsoft \ Windows \ CurrentVersion \ Politici], așa cum face sistemul. Faptul este că numai pentru aceste ramuri atunci când parametrul este dezactivat, acesta este eliminat din registru.
Acest lucru merită să vă opriți. Experimentați, dar numai în mod deliberat și cu atenție.
Trimiteți-le prietenilor: