Книга "Недокументированные возможности Windows XP. Библиотека пользователя", Глава 3. Консоль управления Microsoft. Часть 8. Оснастки Windows XP: Редактор объекта групповой политики, окончание

Административные шаблоны С помощью административных шаблонов можно более тонко настроить как ограничения на работу отдельных компонентов компьютера, так и сами эти компоненты компьютера. Многие считают, что административные шаблоны и являются групповой политикой, хотя это не совсем так. Если учесть, что элементы групповой политики используют для своей реализации ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES и HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES (а также эти ветви из корневого раздела HKEY_CURRENT_USER), тогда к групповым политикам можно отнести большинство элементов консоли ГРУППОВАЯ ПОДИТИКА. Особенностью административных шаблонов является то, что все их настройки берутся из специальных текстовых файлов с расширением .adm. Эти файлы написаны на специальном скриптовом языке и расположены в каталоге %systemroot%\system32\GroupPolicy\Adm. Также копии этих файлов могут находиться в каталоге %systemroot%\inf (причем, как правило, в этом каталоге находятся дополнительные adm-файлы, не принимающие участия в построении списка АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ). Давайте вкратце рассмотрим назначение всех этих adm-файлов.

• system.adm — данный файл имеет размер около 1 824 Кбайт и содержит в себе большую часть настроек конфигурации различных компонентов компьютера. Данный файл по умолчанию используется для построения элемента АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ.
• wuau.adm — данный файл имеет размер около 44 Кбайт и содержит в себе настройки ограничений на работу автоматического обновления Windows. Данный файл по умолчанию используется для построения элемента АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ.
• wuau.adm — данный файл имеет размер около 44 Кбайт и содержит в себе настройки ограничений на работу автоматического обновления Windows. Данный файл по умолчанию используется для построения элемента АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ.
• wmplayer.adm — данный файл имеет размер около 69 Кбайт и содержит в себе настройки ограничений на работу проигрывателя Windows Media Player. Данный файл по умолчанию используется для построения элемента АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ.
• conf.adm — данный файл имеет размер около 42 Кбайт и содержит в себе настройки ограничений на работу программы NetMeeting. Данный файл по умолчанию используется для построения элемента АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ.
• inetres.adm — данный файл имеет размер около 1 470 Кбайт и содержит в себе настройки ограничений на работу браузера Internet Explorer. Данный файл по умолчанию используется для построения элемента АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ.
• inetset.adm — данный файл имеет размер около 17 Кбайт и содержит в себе дополнительные настройки ограничений на работу браузера Internet Explorer. Данный файл не используется для построения элемента АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ. Кроме того, следует учитывать, что использование возможностей данного файла оставляет «татуировки на реестре». Об этом термине будет рассказано чуть позже.
• inetcorp.adm — данный файл имеет размер около 7 Кбайт и содержит в себе дополнительные настройки ограничений на работу браузера Internet Explorer. Данный файл не используется для построения элемента АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ. Кроме того, следует учитывать, что использование возможностей данного файла оставляет «татуировки на реестре». А главное, следует учитывать, что данный файл был написан для более ранних версий операционной системы Windows, чем Windows 2000.

Как правило, каждое правило административных шаблонов может иметь три состояния.

• НЕ ЗАДАН — если правило имеет данное значение, тогда параметр реестра, используемый этим правилом, удален из реестра. То есть, если присвоить правилу данное состояние, тогда параметр, используемый правилом, будет удален из реестра. Данное состояние корректно обрабатывается стандартными adm-файлами Windows XP. Если же данное состояние не будет поддерживаться правилами adm-файла (как это было в Windows NT), тогда данные правила будут оставлять «татуировки на реестре». То есть, установка состояния НЕ ЗАДАН не будет приводить к удалению параметра, и этот параметр и дальше будет ограничивать правило.
• ВКЛЮЧЕН — если правило имеет данное состояние, тогда, как правило, значение параметра реестра, используемого этим правилом, будет равно 1.
• ОТКЛЮЧЕН — если правило имеет данное состояние, тогда, как правило, значение параметра реестра, используемого этим правилом, будет равно 0.

Мы не будем рассматривать все существующие правила элемента АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ, так как эти правила и так содержат подробное объяснение того, что они делают. Чтобы просмотреть это объяснение, достаточно выбрать правило и перейти на расширенный вид (рис. 3.25), либо в диалоге СВОЙСТВА конкретного правила (открывается выбором команды СВОЙСТВА из контекстного меню правила) выбрать вкладку ОБЪЯСНЕНИЕ. Также в поле объяснение можно узнать версии Windows, для которых применяется данное правило.

Рисунок 1 Рис. 3.25. Описание правила

Тем не менее, для того, чтобы иметь общее представление о том, что позволяют сделать административные шаблоны, давайте рассмотрим некоторые из их правил.

Компоненты Windows/Windows Update Данный путь располагается в элементе КОНФИГУРАЦИЯ КОМПЬЮТЕРА и строится на основе adm-файла wuau.adm. Данный путь содержит в себе настройки автоматического обновления и использует для своей работы ветвь реестра HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU.Данная ветвь может содержать следующие параметры.

• NOAUTOUPDATE — если значение данного параметра DWORD-типа равно 1, тогда возможность автоматического обновления будет отключена.
• AUOPTIONS — значение данного параметра DWORD-типа определяет режим работы автоматического обновления (если значение параметра NOAUTOUPDATE равно 0). Данный параметр может содержать следующие значения: 2 —перед загрузкой обновлений и перед установкой уведомлений система будет уведомлять пользователя; 3 — система будет автоматически загружать обновления, но перед их установкой будет уведомлять пользователя (данный режим используется по умолчанию); 4 — система будет как загружать так и устанавливать обновления без уведомления пользователя, причем устанавливать будет лишь в то время, которое указано в параметрах SCHEDULEDINSTALLDAY и SCHEDULEDINSTALLTIME; 5 — если параметр будет иметь это значение, тогда системному администратору будет предоставлено самому решать, какой режим работы автоматического обновления будет использоваться;
• SCHEDULEDINSTALLDAY — значение данного параметра DWORD-типа определяет день, в который будут устанавливаться все скачанные обновления, если значение параметра AUOPTIONS равно 4. Данный параметр может принимать следующие значения. 0 — скачанные обновления будут устанавливаться ежедневно (данное значение используется по умолчанию). 1 — скачанные обновления будут устанавливаться каждое воскресенье. 2 — скачанные обновления будут устанавливаться каждый понедельник. 3 — скачанные обновления будут устанавливаться каждый вторник. 4 — скачанные обновления будут устанавливаться каждую среду. 5 — скачанные обновления будут устанавливаться каждый четверг. 6 — скачанные обновления будут устанавливаться каждую пятницу. 7 — скачанные обновления будут устанавливаться каждую субботу.
• SCHEDULEDINSTALLTIME — значение данного параметра DWORD-типа определяет время, в которое будут устанавливаться все скачанные обновления, если значение параметра AUOPTIONS равно 4.

Также с помощью административных шаблонов можно указать компьютер, с которого будут скачиваться обновления и многие другие параметры работы автоматического обновления. Более подробно об этом можно прочитать в описаниях к правилам административных шаблонов или в базе данных реестра, поставляемой вместе с данной книгой.

Компоненты Windows/Проигрыватель Windows Media Данный путь располагается в элементе КОНФИГУРАЦИЯ КОМПЬЮТЕРА и строится на основе adm-файла wmplayer.adm. Данный путь содержит в себе настройки конфигурации проигрывателя Windows Media и использует для своей работы ветвь реестра HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES\MICROSOFT\WINDOWSMEDIAPLAYER. Данная ветвь может содержать следующие параметры.

• DONTUSEFRAMEINTERPOLATION — значение данного параметра DWORD-типа определяет, будет ли использоваться сглаживание изображения при просмотре видео. Сглаживание изображения на мощных компьютерах может привести к повышению качества, но на маломощных может привести лишь к притормаживанию и артефактам изображения. Если значение данного параметра равно 1, тогда возможность сглаживания изображений использоваться не будет.
• DISABLEAUTOUPDATE — если значение данного параметра равно 1, тогда возможность автоматического обновления проигрывателя будет отключена.

Кроме того, с помощью данного пути в элементе КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ можно скрыть такие вкладки диалога ПАРАМЕТРЫ: СЕТЬ, КОНФИДЕНЦИАЛЬНОСТЬ и БЕЗОПАСНОСТЬ, а также настроить многие другие параметры интерфейса проигрывателя. Более подробно об этом можно прочитать в описаниях к правилам административных шаблонов или в базе данных реестра, поставляемой вместе с данной книгой.

Компоненты Windows/Internet Explorer/Панель управления обозревателем Данный путь располагается как в элементе КОНФИГУРАЦИЯ КОМПЬЮТЕРА так и в элементе КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ и строится на основе adm-файла inetres.adm. Данный путь содержит в себе настройки конфигурации диалога СВОЙСТВА ОБОЗРЕВАТЕЛЯ и использует для своей работы ветвь реестра HKEY_CURRENT_USER\SOFTWARE\POLICIES\MICROSOFT\INTERNET EXPLORER\CONTROL PANEL (или ветвь из корневого раздела HKEY_LOCAL_MACHINE). Данная ветвь может содержать следующие параметры DWORD-типа.

• PRIVACY SETTINGS — если значение данного параметра равно 1, то будет запрещено изменять настройки параметров на вкладке КОНФИДЕНЦИАЛЬНОСТЬ.
• PRIVACYTAB — если значение этого параметра равно 1, то из диалога СВОЙСТВА ОБОЗРЕВАТЕЛЯ будет скрыта вкладка КОНФИДЕНЦИАЛЬНОСТЬ.

  Несмотря на все приведенные выше запреты, диалог Параметры блокирования всплывающих окон можно будет запустить с помощью команды rundll32.exe inetcpl.cpl, DisplayPopupWindowManagementDialog.

• CONNECTIONSTAB — если значение данного параметра равно 1, то из диалога СВОЙСТВА ОБОЗРЕВАТЕЛЯ будет скрыта вкладка ПОДКЛЮЧЕНИЕ.
• CONNECTION SETTINGS — если значение данного параметра равно 1, то будет запрещено изменение содержимого на вкладке ПОДКЛЮЧЕНИЕ.
• AUTOCONFIG — если значение данного параметра будет равно 1, тогда флажок ИСПОЛЬЗОВАТЬ СЦЕНАРИЙ АВТОМАТИЧЕСКОЙ НАСТРОЙКИ в диалоговом окне НАСТРОЙКА ЛОКАЛЬНОЙ СЕТИ, а также поле АДРЕС, данного диалогового окна, будут неактивны.

  Несмотря на все приведенные выше запреты, флажок Использовать сценарий автоматической настройки (как и поле Адрес) можно будет установить с помощью команды rundll32.exe INETCFG.dll, InetSetAutoProxyA «URL или IP-адрес компьютера, содержащего скрипт настройки».

• PROGRAMSTAB — если значение этого параметра равно 1, то из диалога СВОЙСТВА ОБОЗРЕВАТЕЛЯ будет скрыта вкладка ПРОГРАММЫ.
• ADVANCEDTAB — если значение этого параметра равно 1, то из диалога СВОЙСТВА ОБОЗРЕВАТЕЛЯ будет скрыта вкладка ДОПОЛНИТЕЛЬНО.
• ADVANCED — если значение данного параметра равно 1, тогда будет запрещено редактирование параметров на вкладке ДОПОЛНИТЕЛЬНО диалога СВОЙСТВА ОБОЗРЕВАТЕЛЯ.
• GENERALTAB — если значение этого параметра равно 1, то из диалога СВОЙСТВА ОБОЗРЕВАТЕЛЯ будет скрыта вкладка ОБЩИЕ.

  Несмотря на приведенный выше запрет, диалог Языки, который можно было открыть с помощью вкладки Общие, можно будет запустить с помощью команды rundll32.exe inetcpl.cpl, OpenLanguageDialog.

• SECURITYTAB — если значение этого параметра равно 1, то из диалога СВОЙСТВА ОБОЗРЕВАТЕЛЯ будет скрыта вкладка БЕЗОПАСНОСТЬ.
• SECADDSITES — если значение этого параметра равно 1, то будет запрещено изменение узлов в зонах, отображаемых при нажатии на кнопку УЗЛЫ… на вкладке БЕЗОПАСНОСТЬ.
• SECCHANGESETTINGS — если значение данного параметра равно 1, то будет запрещено изменять уровни безопасности на вкладке БЕЗОПАСНОСТЬ диалога СВОЙСТВА ОБОЗРЕВАТЕЛЯ.

  Несмотря на все приведенные выше запреты, диалог Безопасность можно будет запустить с помощью команды rundll32.exe inetcpl.cpl, LaunchSecurityDialogEx.

• CONTENTTAB — если значение данного параметра равно 1, то из диалога СВОЙСТВА ОБОЗРЕВАТЕЛЯ будет скрыта вкладка СОДЕРЖАНИЕ.
• RATINGS — если значение данного параметра равно 1, то будет запрещено изменять ограничение доступа к страницам Интернет с помощью вкладки СОДЕРЖАНИЕ.
• CERTIFICATES — если значение данного параметра равно 1, то кнопки СЕРТИФИКАТЫ и ИЗДАТЕЛИ на вкладке СОДЕРЖАНИЕ будут неактивны.
• CERTIFPERS — если значение данного параметра равно 1, то кнопка СЕРТИФИКАТЫ на вкладке СОДЕРЖАНИЕ будет неактивна.
• CERTIFPUB — если значение данного параметра равно 1, то кнопка ИЗДАТЕЛИ на вкладке СОДЕРЖАНИЕ будет неактивна.
• CERTIFSITE — если значение данного параметра равно 1, то кнопка СЕРТИФИКАТЫ на вкладке СОДЕРЖАНИЕ будет неактивна.

  Несмотря на все приведенные выше запреты, диалог Сертификаты (как и диалог Издатели) можно будет запустить с помощью команды rundll32.exe CRYPTUI.dll, CryptUIStartCertMgr или других подобных ей команд, которые мы рассмотрели в первой главе.

  Несмотря на все приведенные выше запреты, диалог Ограничение доступа можно будет запустить с помощью команды rundll32.exe IEAKENG.dll, ModifyRatings или других подобных ей команд, которые мы рассмотрели в первой главе. Также можно включить ограничение доступа. Для этого необходимо воспользоваться командой rundll32.exe MSRATING.dll, RatingEnable.

Как можно заметить, многие из приведенных ограничений довольно просто обходятся с помощью команд rundll32 (именно поэтому они были описаны), поэтому эти ограничения использовать не рекомендуется. Вообще, если безопасность компьютера играет первостепенную важность, тогда рекомендуется не полагаться на все ограничения, которые просто скрывают вкладки или делают неактивными те или иные элементы на вкладках, так как такие ограничения в большинстве случаев можно обойти или с помощью команд rundll32 или непосредственно с помощью редактирования реестра.

Если же вы все-таки решили использовать возможности скрытия вкладок диалога Свойства обозревателя, тогда могу предложить интересный способ их быстрой установки. Для их установки нужно вызвать команду rundll32.exe IEAKENG.dll, ShowInetcpl. После выполнения этой команды rundll32 сам создаст все приведенные выше параметры и присвоит им значение 1. После этого он попытается открыть диалог Свойства обозревателя, после чего напишет, что открытие данного диалога запрещено администратором. Если нажать на одну из кнопок данного диалога, тогда все созданные параметры ограничений будут удалены, но если просто завершить процесс rundll32 (с помощью диспетчера задач), тогда параметры так и останутся установленными в реестре.

Также можно воспользоваться командой rundll32.exe IEAKENG.dll, ModifyZones для удаления параметров скрытия вкладок Безопасность и Конфиденциальность из корневого раздела HKEY_CLASSES_ROOT. После выполнения данной команды параметры PrivacyTab и SecurityTab будут удалены из реестра, а при закрытии диалога Свойства обозревателя снова созданы.

Панель управления Данный путь располагается в элементе КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ и строится на основе adm-файла system.adm. С его помощью можно запретить запуск ПАНЕЛИ УПРАВЛЕНИЯ, а также всех cpl-файлов, установленных на компьютере. При попытке открытия этих файлов система будет писать о том, что это запрещено администратором. Тем не менее, с помощью команд rundll32 можно обойти данное ограничение на некоторые из cpl-файлы. Например, данное ограничение можно обойти на следующие файлы.

• rundll32.exe Access.cpl, DebugMain — несмотря на запрет открывает апплет СПЕЦИАЛЬНЫЕ ВОЗМОЖНОСТИ (Access.cpl).
• rundll32.exe firewall.cpl, ShowControlPanel — несмотря на запрет открывает апплет БРАНДМАУЭР WINDOWS (firewall.cpl).
• rundll32.exe joy.cpl, ShowJoyCPL — несмотря на запрет открывает апплет ИГРОВЫЕ УСТРОЙСТВА (joy.cpl).
• rundll32.exe mmsys.cpl, ShowFullControlPanel — несмотря на запрет открывает апплет СВОЙСТВА: ЗВУК И АУДИОУСТРОЙСТВА (mmsys.cpl). Также данный апплет можно вызвать с помощью команд rundll32.exe mmsys.cpl, ShowDriverSettingsAfterFork и rundll32.exe mmsys.cpl, ShowAudioPropertySheet.
• rundll32.exe netplwiz.dll, UsersRunDll — несмотря на запрет открывает апплет УЧЕТНЫЕ ЗАПИСИ ПОЛЬЗОВАТЕЛЕЙ.
• rundll32.exe newdev.dll, WindowsUpdateDriverSearchingPolicyUi — несмотря на запрет на доступ к апплету СВОЙСТВА: СИСТЕМА, открывает диалог ПОДКЛЮЧЕНИЕ К WINDOWS UPDATE.
• rundll32.exe TAPI32.dll, internalConfig — несмотря на запрет открывает апплет ТЕЛЕФОН И МОДЕМ (telephon.cpl). Также данный диалог можно будет вызвать с помощью команды rundll32.exe TAPI32.dll, LOpenDialAsst.
• rundll32.exe wuaucpl.cpl, ShowAUControlPanel — несмотря на запрет открывает апплет АВТОМАТИЧЕСКОЕ ОБНОВЛЕНИЕ (wuaucpl.cpl).

Как можно заметить, список таких cpl-файлов, которые можно запустить несмотря на запрет запуска, довольно велик, поэтому рекомендуется не использовать данное ограничение административных шаблонов, а напрямую запрещать полный доступ (оставив только доступ на чтение) к ветвям реестра, параметры из которых используются cpl-файлами (как правило, это подразделы ветви HKEY_CURRENT_USER\CONTROL PANEL).

А теперь давайте рассмотрим некоторые другие ограничения административных шаблонов, которые можно обойти с помощью команд rundll32.

• ПАНЕЛЬ УПРАВЛЕНИЯ/УСТАНОВКА И УДАЛЕНИЕ ПРОГРАММ — здесь содержатся правила, с помощью которых можно скрыть вкладку ЗАМЕНА ИЛИ УДАЛЕНИЕ ПРОГРАММЫ, или сам апплет УСТАНОВКА И УДАЛЕНИЕ ПРОГРАММ. Тем не менее, удалить программу все еще можно будет с помощью рассмотренной команды rundll32.exe appwiz.cpl, WOW64Uninstall_RunDLL ,,,«подкаталог программы».

  Также, несмотря на запрет скрытия вкладки ДОБАВЛЕНИЕ И УДАЛЕНИЕ КОМПОНЕНТОВ WINDOWS, с помощью команды rundll32.exe netshell.dll, HrLaunchNetworkOptionalComponents можно будет отобразить диалоговое окно МАСТЕР ДОПОЛНИТЕЛЬНЫХ СЕТЕВЫХ КОМПОНЕНТОВ.

• СИСТЕМА/УПРАВЛЕНИЕ СВЯЗЬЮ ЧЕРЕЗ ИНТЕРНЕТ/ПАРАМЕТРЫ СВЯЗИ ЧЕРЕЗ ИНТЕРНЕТ — здесь содержатся правила, с помощью которых можно запретить отображение мастера Веб-публикаций. Тем не менее, данный мастер все равно можно будет вызвать с помощью команды rundll32.exe NETPLWIZ.dll, PublishRunDll (но только для публикации содержимого папки МОИ ДОКУМЕНТЫ).
• СЕТЬ/СЕТЕВЫЕ ПОДКЛЮЧЕНИЯ — здесь содержится возможность запрещения доступа к мастеру новых подключений. Тем не менее, данный мастер все равно можно будет вызвать с помощью команды rundll32.exe netshell.dll, StartNCW.
• КОМПОНЕНТЫ WINDOWS/ПРОВОДНИК — здесь содержится возможность скрытия диалогов подключения и отключения сетевых дисков. Тем не менее, вызвать данные диалоги все-таки будет можно. Для этого, соответственно, применяются команды rundll32.exe shell32.dll, SHHelpShortcuts_RunDLL Connect и rundll32.exe shell32.dll, SHHelpShortcuts_RunDLL Disconnect.

Inetcorp.adm Раньше было сказано, что настройки из данного файла использовались лишь в операционных системах более ранних версий, чем операционная система Windows 2000. Возможно, это не совсем так, поэтому давайте рассмотрим некоторые из параметров реестра, которые изменяются с помощью данного файла. Например, в ветви реестра до сих пор присутствует параметр DWORD-типа CACHELIMIT, расположенный в ветви реестра HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\CACHE\CONTENT. Как говорится в оснастке, данный параметр определяет максимальный размер (в килобайтах), резервируемый для временных файлов Интернет (пользовательского кэша). А в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS содержится параметр строкового типа CODEBASESEARCHPATH, который, как говорится в файле, содержит в себе путь для поиска документов.

Inetset.adm Несмотря на то, что данный adm-файл по умолчанию не загружается в административные шаблоны, параметры ограничений, записанные в нем, поддерживаются операционной системой Windows XP. Единственным минусом данного файла является то, что он оставляет «татуировки на реестре». Тем не менее, в образовательных целях давайте рассмотрим структуру этого adm-файла. Как правило, по умолчанию данный adm-файл находится в каталоге %systemroot%\inf, но если в этом каталоге данного файла нет, тогда его можно взять из установочного диска Windows XP. Он расположен в каталоге I386 диска и называется INETSET.AD_. По умолчанию все файлы операционной системы на установочном диске для экономии места хранятся в сжатом виде, поэтому для распаковки данного файла необходимо воспользоваться командой командной строки expand «путь к файлу и его имя» «путь к каталогу, в который файл будет распакован». При этом, перед распаковкой рекомендуется скопировать распаковываемый файл в другой каталог. Также можно распаковать несколько файлов, например, команда expand i:\i386\*.ad_ d:\ распакует на диск d:\ все файлы с расширением .ad_, расположенные в каталоге i:\i386. После распаковки файла, его расширение .ad_ нужно заменить на расширение .adm.

Чтобы подключить любой сторонний административный шаблон, необходимо в контекстном меню элемента АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ выбрать команду ДОБАВЛЕНИЕ И УДАЛЕНИЕ ШАБЛОНОВ…. После вызова данной команды перед вами отобразится список уже загруженных adm-файлов из которого можно удалить некоторые из adm-файлов (кнопка УДАЛИТЬ) или добавить другие (кнопка ДОБАВИТЬ). Также для добавления adm-файла перед запуском консоли ГРУППОВАЯ ПОЛИТИКА достаточно скопировать adm-файл в каталог %systemroot%\system32\grouppolicy\Adm — все adm-файлы из этого каталога загружаются в элемент АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ по умолчанию.

После загрузки файла inetset.adm в элемент АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ, в нем появятся следующие подразделы: АВТОЗАПОЛНЕНИЕ, ОТОБРАЖАТЬ ПАРАМЕТРЫ, ДОПОЛНИТЕЛЬНЫЕ ПАРАМЕТРЫ, КОДИРОВАНИЕ URL. Данные подразделы расположены в элементе КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ, а в элементе КОНФИГУРАЦИЯ КОМПЬЮТЕРА расположен только один подраздел — ОБНОВЛЕНИЕ КОМПОНЕНТОВ. По умолчанию все эти элементы пусты. Это и не удивительно, ведь данные административные шаблоны создавались не для Windows XP и делают «татуировки на реестре». Поэтому по умолчанию содержимое данных подразделов отфильтровывается. Чтобы отобразить диалоговое окно настройки фильтрации, нужно в контекстном меню элемента АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ выбрать команду ВИД/ФИЛЬТРАЦИЯ…. После этого перед вами отобразится диалог, с помощью которого можно запретить отображение правил, не удовлетворяющих какой-либо версии Windows. В нашем случае в данном диалоге нужно снять флажок ПОКАЗЫВАТЬ ТОЛЬКО УПРАВЛЯЕМЫЕ ПАРАМЕТРЫ ПОЛИТИКИ (это нужно делать отдельно для элемента КОНФИГУРАЦИЯ КОМПЬЮТЕРА и отдельно для элемент КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ). После этого все правила, доступные с помощью файла inetres.adm, отобразятся в описанных выше подразделах. Мы не будем рассматривать названия этих правил — рассмотрим только параметры реестра, которые изменяются этими правилами.

• HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\AUTOCOMPLETE — данная ветвь реестра содержит в себе настройки автозаполнения и может содержать в себе следующие параметры. APPEND COMPLETION — если значение данного параметра строкового типа равно no, тогда возможность автозаполнения для веб-адресов будет отключена. Если же значение данного параметра равно yes, тогда включена. USE AUTOCOMPLETE — если значение данного параметра строкового типа равно no, тогда возможность автозаполнения в проводнике Windows будет запрещена. Если же значение данного параметра равно yes, тогда разрешена. AUTOSUGGEST — если значение данного параметра строкового типа равно no, тогда возможность автозаполнения для адресов Веба будет запрещена. Если же значение данного параметра равно yes, тогда разрешена.
• HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN — данная ветвь реестра содержит основные настройки браузера Internet Explorer. Файл inetset.adm позволяет редактировать значения следующих файлов: USE FORMSUGGEST, FORMSUGGEST PASSWORDS, FORMSUGGEST PW ASK, отвечающих за возможности использования автозаполнения форм. За более детальной информацией обращайтесь к базе данных по реестру, поставляемой вместе с книгой.

  Но кроме этих параметров, данный файл определяет и другие. USE_DLGBOX_COLORS — если значение данного параметра строкового типа равно yes, тогда при отображении сайтов будут использоваться цвета Windows. DISABLE SCRIPT DEBUGGER — если значение данного параметра строкового типа равно yes, тогда браузер не будет разрешать отладку сценария при ошибке в нем. ERROR DLG DISPLAYED ON EVERY ERROR — если значение данного параметра строкового типа равно yes, тогда браузер будет отображать сообщение об ошибке для каждой ошибки сценария.

• HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\INTERNATIONAL\SCRIPTS. Данная ветвь реестра содержит в себе параметр DWORD-типа DEFAULT_IEFONTSIZE, который можно изменить с помощью adm-файла. Данный параметр определяет используемый по умолчанию размер текста для просмотра html-страниц и может принимать значения от 4 (самый крупный) до 0 (самый мелкий).
• HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\WEBCHECK. Данная ветвь реестра содержит в себе параметр DWORD-типа NOCHANNELLOGGING. Если значение данного параметра равно 1, то счетчик попаданий на страницы будет отключен.
• HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MEDIA. Данная ветвь реестра содержит в себе параметр строкового типа SUPPRESSONLINECONTENT. Если значение данного параметра будет равно yes, тогда html-содержимое не будет отображаться в панели медиа.
• HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SECURITY\P3GLOBAL. Если данная ветвь реестра будет содержать в себе параметр DWORD-типа ENABLED, равный 1, тогда редактор профиля будет задействован.
• HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS. Данная ветвь реестра содержит в себе следующие рассматриваемые в файле параметры. WARNONPOSTREDIRECT — если значение данного параметра DWORD-типа равно 1, тогда при перенаправлении передаваемой пользователем формы, браузер будет предупреждать пользователя. WARNONZONECROSSING — если значение данного параметра DWORD-типа равно 1, тогда браузер будет предупреждать пользователя о переключении зоны безопасности. UrlEncoding — если значение данного параметра DWORD-типа будет равно 1, тогда будет задействована возможность посылки адресов в формате UTF8.
• HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\JAVA VM — данная ветвь реестра содержит в себе настройки консоли Java (помните рассмотренный нами ранее параметр ENABLEJAVACONSOLE?). С помощью данного файла можно отредактировать следующие настройки. ENABLELOGGING — если значение данного параметра BINARY-типа равно 1, тогда возможность протоколирования виртуальной машины Java от Microsoft будет включена. ENABLEJIT — если значение данного параметра BINARY-типа равно 1, тогда будет включен компилятор Microsoft Virtual Machine JIT.
• HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHURL. Если значение параметра строкового типа PROVIDER из данной ветви реестра будет равно INTRANET, тогда будет использоваться внутренний сервер автопоиска (о настройке возможности автопоиска мы уже писали в разделе о параметрах реестра, предназначенных для настройки браузера Internet Explorer).
• HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\IEAK. Если значение параметра строкового типа NOAUTOMATICSIGNUP из данной ветви реестра будет равно 1, тогда параметры автоматической подписки будут отключены.

Данный adm-файл содержит и другие настройки. Эти настройки не были рассмотрены по той причине, что их можно настроить и с помощью стандартных диалогов браузера.

На этом мы закончим рассмотрение групповых политик в целом и административных шаблонов в частности. Тем не менее, хотелось бы напомнить, что те параметры административных шаблонов, которые мы с вами рассмотрели, являются лишь каплей в море возможностей настройки компонентов Windows XP, предоставляемых административными шаблонами. Просто представьте, сколько сотен параметров описано только в двух единственных adm-файлах system.adm и inetres.adm, если учесть, что они имеют размеры по 1 500 Кбайт каждый.

Продолжение следует