Административные шаблоны

🕛 21.01.2009, 20:40

Одна из наиболее мощных опций, предназначенных для управления рабочими столами пользователей с помощью групповых политик, состоит в использовании административных шаблонов. Административные шаблоны применяются для конфигурирования параметров настройки системного реестра на компьютерах с системами Windows 2000 Server, Windows 2000 Professional, Windows XP Professional или Windows Server 2003. Административные шаблоны могут использоваться для конфигурирования большого количества разнообразных параметров настройки, которых существует более 700. Их так много, что этот раздел, возможно, не сможет охватить их все. В таблице 13-7 приводится краткий обзор только нескольких административных шаблонов, чтобы вы почувствовали силу групповых политик. Административные шаблоны имеются также и в Active Directory Windows 2000, но в Windows Server 2003 добавлено около 150 новых параметров настройки. В таблице 13-7 перечисляются также некоторые новые функции, которые доступны в Active Directory Windows Server 2003 клиентам с Windows XP Professional.

Табл. 13-7. Образец административных шаблонов

Место расположения административного шаблона

Пояснение

Computer Conf iguration\ Administrative Templates\ System\Net Logon

Обеспечивает разнообразные параметры настройки, управляющие местом расположения клиентского компьютера и кэшированием записей DNS контроллера домена.

Computer Configuration\ Administrative Templates\ System\Remote Assistance

Обеспечивает параметры настройки для функции Remote Assistance (Удаленная помощь), имеющейся в системе Windows ХР Professional.

Computer Conf iguration\ Administrative Templates\ Windows Components\ Terminal Services

Обеспечивает параметры настройки, которые могут использоваться для конфигурирования служб терминала Terminal Services на сервере и на клиентах.

User Conf iguration\ Administrative Templates\ Network\Network Connections

Обеспечивает конфигурирование параметров настройки, предназначенных для управления сетевыми связями, и ограничения доступа пользователей к сетевым подключениям.

User Conf iguration\ Admin istrative Templates\Control Panel

User Conf iguration\ Administrative Templates\ Windows Components\ Internet Explorer

Обеспечивает конфигурацию частей панели управления и возможности пользователей по изменению параметров настройки через панель управления.

Обеспечивает разнообразные параметры настройки, предназначенные для управления конфигурацией приложения Internet Explorer. Требуется Internet Explorer версии 5.01 или более поздней.

Дополнительная информация. Полный список всех параметров настройки групповых политик смотрите по адресу http:// www.microsoft.com/windowsxp/prdytechinfo/administration/ policy /winxpgpset.xls.

Одно из усовершенствований Active Directory Windows Server 2003 - это улучшенная справка по административным шаблонам. Теперь Active Directory поставляется с полным набором справочных файлов, детализирующих каждую подборку административных шаблонов. Чтобы получить доступ к расширенной справке по административным шаблонам, щелкните правой кнопкой мыши на папке Administrative Templates в редакторе объектов групповой политики и выберите Help (Справка). Затем выберите подходящую категорию административного шаблона. На рисунке 13-10 показаны детали, касающиеся категории System (Система).

Системные политики в Windows NT обеспечивают функциональные возможности, подобные функциональности административных шаблонов в Active Directory Windows Server 2003. Оба инструмента позволяют делать изменения системного реестра в системе клиентов для модификации конфигурации рабочей станции. Однако административные шаблоны обеспечивают существенные преимущества по сравнению с системными политиками. Одно из самых больших преимуществ состоит в том, что они не оставляют неудаляемых следов в системном реестре, как это делают системные политики. Когда вы делаете изменение, используя системную политику, оно записывается в системный реестр, и для того чтобы изменить эту установку снова, надо делать это вручную или использовать системную политику. Если вы удалите системную политику, изменения, сделанные к системному реестру, не будут удалены.

В Active Directory изменения системного реестра, сделанные административными шаблонами, записываются в специальные подключи в системном реестре. Любые изменения, сделанные в разделе User Configuration, записываются в ключе HKEY_CURRENT_USER и сохраняются в папке \Software\Policies или \Software\Microsoft\Windows\CurrentVersion\Policies. Изменения, сделанные в разделе Computer Configuration, сохраняются под теми же самыми подключами в ключе НКЕY_LOCAL_MACHINE. При начальной загрузке компьютера или при входе пользователей в систему загружаются обычные параметры настройки системного реестра, а затем эти ключи исследуются на наличие дополнительных параметров настройки. Если эти параметры будут найдены, то они загрузятся в системный реестр, записываясь поверх существующих записей, если такие записи имеются. Если административный шаблон удален, или компьютер (пользователь) будет перемещен в другой контейнер, где данный шаблон не применяется, информация в ключах Policies удаляется. Это означает, что административные шаблоны больше не применяются, но обычные параметры настройки системного реестра будут применяться.

Рис. 13-10. В Центре справки и поддержки имеется детальное описание каждой опции административного шаблона

Административные шаблоны хранятся в нескольких текстовых файлах .adm. По умолчанию эти файлы расположены в папке %systemroot %\Inf . В таблице 13-8 перечислены файлы административных шаблонов, которые по умолчанию устанавливаются с системой Windows Server 2003.

Табл. 13-8. Заданные по умолчанию шаблоны, загружаемые в систему Windows Server 2003

Административный шаблон

Параметры настройки конфигурации

System.adm

Системные параметры настройки.

Inetres.adm

Параметры настройки приложения Internet Explorer.

Wmplayer.adm

Параметры настройки приложения Microsoft Windows Media Player.

Conf.adm

Параметры настройки приложения Microsoft NetMeeting.

Wuau.adm

Параметры настройки Windows Update.

Файлы административных шаблонов состоят из записей, определяющих опции, которые доступны через данный шаблон. Каждая запись в файле .adm выглядит так как показано на рисунке 13-11. В таблице 13-9 поясняются записи, относящиеся к шаблону.

Рис. 13-11. Одна из записей в файле System.adm

Административные шаблоны для каждой групповой политики хранятся в папке Sysvol, расположенной на контроллере домена, и реплицируются на все другие контроллеры домена в домене. Шаблоны хранятся в файле Registry.pol, расположенном в папке %systemroot%\ SYSVOL\ sysvol\ domainname\ Policies\ GroupPolicyGUID\ Machine для компьютерной конфигурации и в папке %systemroot%\ SYSVOL\ sysvol\ domainname\ Policies\ GroupPolicyGUID\ User для пользовательской конфигурации.

Табл. 13-9. Компоненты опции шаблона

Компонент шаблона

Объяснение

Policy (Политика) Keyname (Ключ)

Идентифицирует название политики.

Идентифицирует ключ системного реестра, который изменяется с помощью этой установки.

Компонент шаблона

Объяснение

Supported (Поддержанный)

Идентифицирует поддерживаемые рабочие станции или версии программного обеспечения, необходимые для этой установки. Включают поддержку Windows XP Professional, Windows 2000 или Windows 2000 с сервисным пакетом, Microsoft Windows Media Player, версия 9.

Explain (Объяснение)

Идентифицирует текст, который объясняет параметры настройки политики. Фактический текст дан ниже в файле .adm.

Part (Часть)

Идентифицирует записи, которые можно сконфигурировать для этой политики.

Valuename (^Значение)

Идентифицирует значение системного реестра, которое будет заполнено информацией из этого параметра настройки.

Административные шаблоны имеют большое количество административных опций. Только анализ всех политик и выделение тех, которые необходимы для вашей организации, может стать совершенно обескураживающей задачей. В большинстве случаев лучшим подходом к использованию административных шаблонов является медленное и осторожное начало. Возможно, вы захотите сконфигурировать некоторые основные параметры настройки, например, запретить пользователям использование инструментов редактирования системного реестра и изменение системы через большую часть панелей управления. Другой способ определить, какие параметры настройки являются наиболее критическими для вашей организации, состоит в том, чтобы проследить звонки, поступающие в сервисный отдел. Просматривая их, можно идентифицировать многие проблемы. Затем можно определить, имеется ли такой административный шаблон, который можно использовать для изменения этой установки или предотвращения возможного ее изменения пользователями после того, как вы сами ее сконфигурировали. Таким образом, вы сможете медленно внедрить политику административного шаблона, которая сможет справиться с наиболее критическими проблемами, возникающими в вашей сети.

Использование сценариев для управления средой пользователя

Другой инструмент, который используется для управления пользовательскими рабочими столами - это сценарии. Наиболее типичное использование сценариев состоит в создании простой рабочей среды пользователя. Обычно сценарии входа в систему используются для отображения

сетевых дисков или принтеров. Они помогают упростить среду конечного пользователя. Пользовательские сценарии входа в систему были доступны в системе Windows NT. Однако использование сценариев в Active Directory Windows Server 2003 обеспечивает множество существенных преимуществ по сравнению с Windows NT 4, включая следующие.
* Возможность назначать сценарии для запуска и завершения работы системы. В Active Directory можное назначать выполнение сценариев на момент запуска и выключения компьютеров. В системе Windows NT сделать это было очень трудно. Эти сценарии выполняются в контексте безопасности учетной записи LocalSystem. * Возможность назначать сценарии для пользовательского входа в систему и выхода из системы. Система Windows NT обеспечивала только сценарии входа в систему. В Active Directory можно также выполнять сценарии выхода из системы. * Возможность назначать сценарии на контейнеры вместо отдельных индивидуумов. Это одно из самых больших преимуществ использования Active Directory для назначения сценариев. В Windows NT единственным вариантом выполнения сценариев являлось назначение индивидуальных сценариев входа в систему на учетные записи пользователя. Когда вы назначаете сценарий на контейнер в Active Directory, сценарий применяется ко всем пользователям или компьютерам, находящимся внутри контейнера. * Наличие «родной» поддержки для сценариев Windows Script Host. В системе Windows NT большинство клиентов выполняли только пакетные файлы MS-DOS для реализации сценариев входа в систему. В системах Windows Server 2003, Windows XP и Windows 2000 клиенты обеспечивают родную поддержку для сценариев Windows Script Host (WSH). При конфигурировании пользовательских рабочих столов сценарии WSH оказываются гораздо более гибкими и мощными. С помощью WSH сценарии могут использоваться в более широких целях, чем простое отображение сетевых дисков. Служба Active Directory Windows Server 2003 поддерживает личные сценарии входа в систему, назначенные на индивидуальные учетные записи пользователя. Если в вашей сети имеются клиенты с системой Windows NT Workstation, используйте их для входа в систему. Клиенты с системами Windows 2000 и Windows XP Professional также могут обработать индивидуальные сценарии входа в систему. Если вы имеете индивидуальные сценарии входа в систему, назначенные учетным записям пользователя, они будут выполняться после выполнения сценариев запуска компьютера и пользовательских сценариев входа в систему, назначенных групповыми политиками.

Чтобы сконфигурировать сценарий для Active Directory, нужно его создать, а затем скопировать на контроллер домена. Сценарии можно хранить в любом месте на сервере, доступном для клиентов. Типичное место хранения сценариев - папка %systemroot %\SYSVOL\sysvol\ domainname\scripts. Она открыта для общего доступа под сетевым именем NETLOGON, и является заданным по умолчанию местом, в котором клиенты низкого уровня ищут сценарии входа в систему. Вы можете хранить сценарии входа в систему в папке %systemroot %\SYSVOL\ sysvol\domainname\GlobalPolicy GUID\Machine\Scripts или в папке %systemroot %\SYSVOL\sysvol\domainname\GlobalPolicy GUID\User\ Scripts. После копирования файлов сценария на сервер откройте объект GPO и найдите папку Scripts (Startup/Shutdown) (Сценарии (Запуск/ Завершение), расположенную в папке Computer Conf iguration\ Windows Settings, или папку Scripts (Logon/Logoff) (Сценарии (Вход в систему/ выход из системы)), расположенную в папке User Conf iguration\Windows Settings. Например, чтобы создать запись для сценария запуска, разверните цапку Scripts (Startup/Shutdown) и дважды щелкните на Startup. Затем можно добавлять любые сценарии запуска к объекту GPO. Active Directory Windows Server 2003 обеспечивает множество административных шаблонов, которые использоваться для конфигурирования сценариев на рабочих станциях клиентов. Большинство параметров настройки расположено в папке Computer Configuration\ Administrative Templates\System\Scripts, а некоторые - в nanKeUser Conf iguration\ Administrative Templates\System\Scripts. Опции конфигурации включают опцию, позволяющую выполнять сценарии запуска асинхронно, т.е. несколько сценариев запуска смогут выполняться одновременно. Можно выполнять сценарии входа в систему синхронно, т.е. все сценарии запуска завершаются, прежде чем появится рабочий стол пользователя. Вы можете также сконфигурировать максимальное время ожидания окончания выполнения всех сценариев. И, наконец, можно сконфигурировать, будут ли сценарии выполняться в фоновом режиме, чтобы быть незаметными, или они будут видимыми при выполнении.

Резюме

В Active Directory Windows Server 2003 имеется множество инструментальных средств и опций, предназначенных для управления рабочими столами пользователей. Групповые политики могут использоваться для управления данными и профилями пользователей, чтобы обеспечить им знакомую рабочую среду, оставляя централизованным управление некоторыми данными. Они применяются также для конфигурирования параметров настройки защиты, чтобы все компьютеры, на которые воздействует данная групповая политика, имели стандартную и постоянную конфигурацию защиты. Групповые политики используются для определения административных шаблонов, которые могут конфигурировать параметры настройки системного реестра для управления рабочими столами пользователей. В этой главе дан краткий обзор того, как можно реализовать эти варианты управления рабочими столами пользователей.