Данная статья была написана для журнала Мой компьютер.

Групповые политики представляют собой основной механизм операционной системы Windows Vista, предназначенный для ограничения возможностей работы определенных пользователей. Данный механизм настолько популярен и настолько неизвестен, что большинство твикеров реестра (программ для настройки различных «недокументированных» возможностей Windows) содержит в себе только те возможности, которые предоставляют групповые политики.

Если говорить упрощенно, то групповые политики представляют собой набор параметров реестра, которые влияют на работу операционной системы Windows (переопределяют значения аналогичных параметров различных ветвей реестра), и содержатся в ветви реестра, доступ на запись к которой разрешен только администратору. Это ветви реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Policies и HKCU\Software\Policies (также они существуют в корневом разделе HKLM).

Но механизм групповых политик не ограничивается только изменением параметров приведенных выше ветвей реестра. Как только вы изменяете любую групповую политику (при помощи оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ), сведения о сделанных вами изменениях заносятся в файл Registry.pol каталога %systemroot%\system32\GroupPolicy\User (если изменяется групповая политика, влияющая на конкретного пользователя) либо каталога %systemroot%\system32\GroupPolicy\Machine (если изменяется групповая политика, влияющая на всех пользователей).

После этого операционная система будет периодически сверяться с содержимым файлов Registry.pol и заново изменять установленные параметры групповых политик в том случае, если обнаружит, что они были изменены без ее ведома. То есть, даже если вы каким-то образом удалите установленный при помощи групповой политики параметр реестра, он все равно через некоторое время будет автоматически заново восстановлен. Чтобы он не восстанавливался, вместе с параметром реестра нужно удалить и файл Registry.pol.

О том, когда в последний раз обновлялась групповая политика и когда она будет обновлена в следующий раз, можно узнать при помощи журнала из раздела ЖУРНАЛ ПРИЛОЖЕНИЙ И СЛУЖБ/MICROSOFT/WINDOWS/GROUPPOLICY оснастки ПРОСМОТР СОБЫТИЙ.

На данный момент число групповых политик, поддерживаемых операционной системой Windows Vista, перевалило за несколько тысяч. С одной стороны это очень хорошо — чем больше возможностей настройки предлагает операционная система, тем больше будет круг ее почитателей. Но с другой стороны, из-за такого огромного количества настроек бывает довольно трудно найти ту единственную настройку, которая тебе нужна.

На этом фоне еще больше возрастает сожаление о том, что «эпидемия» повсеместного добавления панелей поиска, которая захватила операционную систему Windows Vista, не распространилась на групповые политики, и поэтому пользователю придется заучивать на память расположения нужных групповых политик.

Основным механизмом работы с групповыми политиками является оснастка РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ, доступ к которой можно получить при помощи стандартной консоли gpedit.msc.

Выбор пользователей После запуска данной консоли перед вами отобразится ОСНАСТКА РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ для настройки параметров работы локального компьютера, либо текущего пользователя (то есть, вас). Если же вы загрузите оснастку РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ при помощи КОНСОЛИ УПРАВЛЕНИЯ MICROSOFT (программа mmc.exe), тогда перед вами отобразится мастер, с помощью которого можно определить компьютер, параметры групповой политики которого вы будете изменять.

Но это еще не все возможности мастера загрузки оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ. Если вы нажмете на кнопку данного мастера ОБЗОР, тогда сможете изменить не только компьютер, но и пользователя, настройки которого будут редактироваться загруженной оснасткой (рисунок 1). При этом вы можете выбирать не только конкретного пользователя, но и всех пользователей группы АДМИНИСТРАТОРЫ, либо всех пользователей без административных привилегий.

Рисунок 1

Расширения оснастки Оснастка РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ состоит из множества расширений, которые вы можете по своему желанию оставить или отключить (как мы знаем из предыдущей статьи данного цикла, отключить расширения оснастки можно при помощи кнопки ИЗМЕНИТЬ РАСШИРЕНИЯ… диалога добавления оснастки в КОНСОЛЬ УПРАВЛЕНИЯ MICROSOFT). Давайте перечислим те из них, которые могут применяться для компьютеров, не подключенных к домену.

• Административные шаблоны (Компьютеры). Определяет, будет ли отображаться раздел оснастки КОНФИГУРАЦИЯ КОМПЬЮТЕРА/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ.
• Административные шаблоны (Пользователи). Определяет, будет ли отображаться раздел оснастки КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ.
• Расширенный вид. Данное расширение предназначено для открытия оснастки при помощи расширенного вида КОНСОЛИ УПРАВЛЕНИЯ MICROSOFT. Если отключить данное расширение, тогда оснастка будет загружена без поля описания назначения разделов (это поле можно видеть на рисунке 2, на этом рисунке в поле описания написано ЧТОБЫ ПРОСМОТРЕТЬ ОПИСАНИЕ ЭЛЕМЕНТА, ВЫДЕЛИТЕ ЕГО). То есть, в том виде, в котором она загружалась в операционных системах Windows 2000.
• Настройка Internet Explorer. Определяет, будет ли отображаться раздел оснастки КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ/КОНФИГУРАЦИЯ WINDOWS/НАСТРОЙКА INTERNET EXPLORER.
• QoS на основе политики. Оснастка РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ загружает два таких расширения — одно для пользователя, а другое для всего компьютера. Соответственно, они определяют, будет ли отображаться раздел QOS НА ОСНОВЕ ПОЛИТИКИ в подразделе КОНФИГУРАЦИЯ WINDOWS.
• Расширение помещенных подключений принтеров (компьютеров). Определяет, будет ли отображаться раздел КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/РАЗВЕРНУТЫЕ ПРИНТЕРЫ.
• Расширение помещенных подключений принтеров (пользователей). Определяет, будет ли отображаться раздел КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ/КОНФИГУРАЦИЯ WINDOWS/РАЗВЕРНУТЫЕ ПРИНТЕРЫ.
• Сценарии (вход/выход из системы). Определяет, будет ли отображаться раздел КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ/КОНФИГУРАЦИЯ WINDOWS/СЦЕНАРИИ (ВХОД/ВЫХОД ИЗ СИСТЕМЫ).
• Сценарии (запуск/завершение). Определяет, будет ли отображаться раздел КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/СЦЕНАРИИ (ЗАПУСК/ЗАВЕРШЕНИЕ).
• Параметры безопасности. Оснастка РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ загружает два таких расширения — одно для пользователя, а другое для всего компьютера. Соответственно, они определяют, будет ли отображаться раздел ПАРАМЕТРЫ БЕЗОПАСНОСТИ.

Работа с административными шаблонами Основное окно оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ представлено на рисунке 2.

Рисунок 2

Из него можно заметить, что данная оснастка состоит из трех подразделов, однако в контексте данной статьи нас интересует только один подраздел: АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ. Именно он определяет административные шаблоны, позволяющие настроить возможности операционной системы.

Формат хранения административных шаблонов В операционной системе Windows Vista структура административных шаблонов существенно изменилась. Если раньше все групповые политики хранились в пяти файлах с расширением .adm, то теперь для их хранения используется множество xml-файлов с расширениями .admx и .adml.

Файлы с расширением .admx расположены в каталоге %systemroot%\PolicyDefinitions и содержат описания ветвей реестра и параметров, которые изменяются групповыми политиками.

Файлы с расширением .adml содержат описания групповых политик и находятся в каталоге %systemroot%\PolicyDefinitions\ru-RU (для русской локализации административных шаблонов).

Однако помимо новых административных шаблонов групповые политики Windows Vista поддерживают и административные шаблоны для предыдущих версий Windows (имеющие расширение .adm). Теперь все файлы с расширением .adm заносятся в подраздел групповых политик АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ?КЛАССИЧЕСКИЕ АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ (ADM). Хранятся же .adm-файлы в каталоге %systemroot%\inf.

Работа с административными шаблонами Работать с административными шаблонами очень просто. Главное, что нужно сделать — это найти в них понравившуюся вам групповую политику.

Например, давайте представим, что после нескольких часов поиска вы всех таки нашли групповую политику УДАЛИТЬ МЕНЮ «ФАЙЛ» ИЗ ПРОВОДНИКА, которую уже очень давно мечтали применить. Как оказалась, она находится в разделе КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ/КОМПОНЕНТЫ WINDOWS/ПРОВОДНИК WINDOWS.

И вот, весьма довольные собой, подгоняемые неутомимой интуицией вы дважды щелкнули по групповой политике, и перед вами отобразился диалог СВОЙСТВА. Вы правильно сделали — именно этот диалог и предназначен для применения групповой политики (рисунок 3).

Рисунок 3

Как правило, каждая групповая политика может иметь три состояния.

• НЕ ЗАДАН — если политика установлена в данное состояние, значит параметр, на основе которого она работает, в реестре еще не существует. А значит, операционная система использует свои стандартные настройки.
• ВКЛЮЧЕН — если политика установлена в данное состояние, тогда, как правило, значение параметра реестра, используемого ею, равно 1. А значит, ограничение или настройка, определяемая политикой, установлена.
• ОТКЛЮЧЕН — если политика установлена в данное состояние, тогда, как правило, значение параметра реестра, используемого ею, равно 0.

Если по названию групповой политики вы никак не можете определить ее назначение, тогда можно попробовать воспользоваться вкладкой ОБЪЯСНЕНИЕ диалога СВОЙСТВА. На этой вкладке представлено подробное объяснение назначения политики и тех действий, которые произойдут при ее отключении/включении.

Если вы будете пользоваться оснасткой РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ, вы также должны разбираться и в оснастке РЕЗУЛЬТИРУЮЩАЯ ПОЛИТИКА. Данная оснастка является идеальным помощником для тех, кто хочет просмотреть список групповых политик, которые установлены для определенного пользователя либо всего компьютера.

Получить доступ к оснастке РЕЗУЛЬТИРУЮЩАЯ ПОЛИТИКА можно только при помощи КОНСОЛИ УПРАВЛЕНИЯ MICROSOFT (программа mmc.exe), так как эта оснастка не входит ни в одну из стандартных консолей операционной системы.

После того, как вы загрузите оснастку РЕЗУЛЬТИРУЮЩАЯ ПОЛИТИКА, следует в меню ДЕЙСТВИЕ выбрать команду СОЗДАТЬ ДАННЫЕ RSOP. Это приведет к отображению мастера МАСТЕР РЕЗУЛЬТИРУЮЩЕЙ ПОЛИТИКИ, с помощью которого выбирается компьютер и пользователь, список установленных групповых политик для которого нужно просмотреть. После этого в окне оснастки отобразятся все установленные политики для выбранного вами пользователя и на выбранном вами компьютере (рисунок 4).

Рисунок 4

Данное окно поразительно напоминает окно консоли РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ. Оно содержит в себе элементы КОНФИГУРАЦИЯ КОМПЬЮТЕРА и КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ. Но в отличие от консоли РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ, консоль РЕЗУЛЬТИРУЮЩАЯ ПОЛИТИКА содержит лишь те административные шаблоны, которые установлены либо отключены — правила в состоянии НЕ ЗАДАНО в консоли РЕЗУЛЬТИРУЮЩАЯ ПОЛИТИКА не отображаются.

Еще одно отличие консоли РЕЗУЛЬТИРУЮЩАЯ ПОЛИТИКА от консоли РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ заключается в том, что результирующая политика позволяет лишь просмотреть правила, а не редактировать их.

Помимо просмотра установленных политик, результирующая политика позволяет определить проблемные политики — напротив них будет отображаться красный крестик, а на вкладке ИНФОРМАЦИЯ ОБ ОШИБКЕ диалога СВОЙСТВА такой политики будет отображаться описание возникшей проблемы. Однако данная возможность оснастки РЕЗУЛЬТИРУЮЩАЯ ПОЛИТИКА скорее всего вам не понадобится, так как она актуальна лишь для компьютеров, находящихся в домене.

• Расположение: %systemroot%\system32\gpresult.exe

Данная программа является аналогом оснастки РЕЗУЛЬТИРУЮЩАЯ ПОЛИТИКА, и позволяет получить сведения RSoP для локального или удаленного компьютера при помощи командной строки.

При запуске данной программы без параметров перед вами отобразятся сведения о результирующих политиках для текущего пользователя.

Также вы можете воспользоваться опциями программы, чтобы отобразить только нужную вам информацию. Например, при помощи опции /user можно отобразить результирующие политики для конкретного пользователя. А если вы хотите просмотреть сведения о групповых политиках, примененных не для конкретного пользователя, а для всего компьютера, тогда нужно воспользоваться опцией /scope, значениями которой могут быть слова user или computer.

• Расположение: %systemroot%\system32\mtedit.exe

Данная программа позволяет выполнить копирование групповых политик одного домена в другой. Ее использование необходимо в том случае, если вы копируете групповые политики, работа которых основана на SID учетных записей пользователей и групп, именах компьютеров, путях UNC. Эти данные должны быть уникальными для любого компьютера, поэтому при копировании групповых политик значения этих данных должны быть изменены. Именно этим и занимается программа mtedit.exe.

Однако, поскольку данная программа применяется только для компьютеров, находящихся в домене Active Directory, ее работу и опции мы рассматривать не будем.

• Расположение: %systemroot%\system32\Gpupdate.exe

Еще одна программа командной строки. Она позволяет выполнить обновление групповых политик компьютера немедленно, не дожидаясь времени, когда групповые политики будут обновлены автоматически (вы еще не забыли, что групповые политики применяются не только при входе пользователя в систему, но и периодически в процессе его работы?).

Чтобы немедленно выполнить обновление групповых политик, достаточно выполнить данную программу без дополнительных опций. Кроме того, вы можете воспользоваться дополнительными опциями программы, чтобы конкретизировать групповые политики, которые нужно применить.

• /Target: Computer | User. Определяет область политики, которая будет обновлена.
• /Force. Обновить все политики (по умолчанию обновляются только измененные политики).
• /Wait:«секунды». Определяет время ожидания обновления политики.
• /Logoff. После обновления политик выйти из системы.
• /Boot. После обновления политик перезагрузить компьютер.
• /Sync. Выполнить синхронное применение политик.

Данная программа может использоваться в сценариях входа. Она выполняет чтение информации об опубликованных при помощи групповых политик принтерах.