Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Секреты Windows: статьи о реестре, rundll32.exe, программах


Глава 5. Групповые политики. 5.1. Работа с групповыми политиками
Дата: 17 августа 2009, понедельник

В конец записи

Групповые политики представляют собой основной механизм операционной системы Windows Vista, предназначенный для ограничения возможностей работы определенных пользователей. Данный механизм настолько популярен, что большинство твикеров реестра содержит в себе лишь возможности изменения параметров групповых политик.

Если говорить упрощенно, то групповые политики представляют собой набор параметров реестра, которые влияют на работу операционной системы Windows (переопределяют значения аналогичных параметров различных ветвей реестра), и содержатся в ветви реестра, доступ на запись к которой разрешен только администратору. Это ветви реестра Software\Policies и SOFTWARE\Microsoft\Windows\CurrentVersion\Policies.

Но механизм групповых политик не ограничивается только изменением параметров приведенных выше ветвей реестра. Как только вы изменяете любую групповую политику (при помощи оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ), сведения о сделанных вами изменениях заносятся в файл Registry.pol каталога %systemroot%\system32\GroupPolicy\User (если изменяется групповая политика, влияющая на конкретного пользователя) либо каталога %systemroot%\system32\GroupPolicy\Machine (если изменяется групповая политика, влияющая на всех пользователей). После этого операционная система, через определенный интервал времени, будет заново изменять групповую политику на основе файла Registry.pol. То есть, даже если вы или злонамеренный пользователь каким-то образом удалите установленный вами при помощи групповой политики параметр реестра, он все равно через некоторое время будет автоматически заново восстановлен. Чтобы он не восстанавливался, вместе с параметром реестра нужно удалить и файл Registry.pol.

На данный момент число групповых политик, поддерживаемых операционной системой Windows Vista, перевалило за несколько тысяч. С одной стороны это очень хорошо — чем больше возможностей настройки предлагает операционная система, тем больше будет круг ее почитателей. Но с другой стороны, из-за такого огромного количества настроек бывает довольно трудно найти ту единственную настройку, которая тебе нужна. К сожалению, та «эпидемия» повсеместного добавления панелей поиска, которая захватила операционную систему Windows Vista, не распространилась на групповые политики, поэтому пользователю в их поиске придется полагаться только на интуицию и память. А также на данную главу книги, в которой мы с вами рассмотрим названия основных групповых политик, доступных в операционной системе Windows Vista, параметры реестра, которые они изменяют, а также описание эти групповых политик (только в том случае, если из названия групповой политики не понятно, что именно она делает).

Оснастка Редактор объектов групповой политики

Получить доступ к групповым политикам можно при помощи оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ (консоль gpedit.msc). После запуска данной оснастки нужно перейти к одному из двух подразделов: КОНФИГУРАЦИЯ КОМПЬЮТЕРА/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ или КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ (рис. 5.1). Оба эти подраздела содержат в себе групповые политики. Причем, в первом из этих подразделов хранятся групповые политики, изменяющие значения параметров реестра, расположенных в корневом разделе HKEY_LOCAL_MACHINE, а во втором разделе — групповые политики, изменяющие значения параметров реестра, расположенных в корневом разделе HKEY_CURRENT_USER.


Рис. 5.01. Окно оснастки Редактор объектов групповой политики

Внимательный читатель может задаться вопросом, как же можно изменить групповые политики для другого пользователя? Действительно, ведь при помощи групповых политик можно изменить значения из корневого раздела HKEY_CURRENT_USER, а не из разделов HKEY_USERS\«SID пользователя». То есть, по умолчанию администратор сможет ограничить работу только себе.

В этом случае нужно запустить оснастку РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ при помощи консоли mmc.exe (меню КОНСОЛЬ/ДОБАВИТЬ ИЛИ УДАЛИТЬ ОСНАСТКУ). При добавлении оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ в консоль mmc.exe, перед вами отобразится диалог ВЫБОР ОБЪЕКТА ГРУППОВОЙ ПОЛИТИКИ, в котором необходимо нажать на кнопку ОБЗОР, после чего, в появившемся диалоге ПОИСК ОБЪЕКТА ГРУППОВОЙ ПОЛИТИКИ, перейти на вкладку ПОЛЬЗОВАТЕЛИ (рис. 5.02).


Рис. 5.02. Выбор пользователя, работу которого необходимо ограничить

Программы командной строки

Для работы c групповыми политиками можно использовать набор стандартных программ командной строки, поставляемых с Windows Vista. Ниже мы перечислим некоторые из них.

Программа gpresult.exe

Для получения сведений о результирующих политиках, применяемых к данному компьютеру, можно воспользоваться программой командной строки gpresult.exe. Как вы уже догадались, эта программа является аналогом оснастки РЕЗУЛЬТИРУЮЩАЯ ПОЛИТИКА (консоль rsop.msc).

При запуске данной программы без параметров перед вами отобразятся сведения о результирующих политиках для текущего пользователя. Также программу можно запускать с указанием опций, представленных в таблице 5.01.

Таблица 5.01. Опции программы gpresult.exe

  • /S «компьютер». Компьютер, результирующие политики которого нужно отобразить.
  • /U «пользователь». Пользователь, от имени которого будет выполнено подключение.
  • /P «пароль». Пароль для учетной записи из опции /U.
  • /SCOPE user | computer. Определяет области данных, какие данные будут отображать.
  • /USER «пользователь». Если используется опция /SCOPE user, то определяет пользователя, данные о групповых политиках для которого будут отображены.
  • /V. Отображать подробную информацию о групповых политиках.
  • /Z. Отображать самую подробную информацию о групповых политиках.

Программа Gpupdate.exe

По умолчанию групповые политики применяются при входе пользователя в систему и через определенный интервал времени. Если же вам необходимо применить групповые политики прямо сейчас, тогда придется воспользоваться программой Gpupdate.exe — достаточно просто запустить ее без опций. Однако также можно воспользоваться и опциями данной программы, чтобы конкретизировать политики, которые нужно применить. Список опций программы Gpupdate.exe представлен в таблице 5.02.

Таблица 5.02. Опции программы Gpupdate.exe

  • /Target: Computer | User. Область политики, которая будет обновлена.
  • /Force. Обновить все политики (по умолчанию только измененные).
  • /Wait:«секунды». Время ожидания обновления политики.
  • /Logoff. Выполнить выход из системы после обновления политик.
  • /Boot. Выполнить перезагрузку компьютера после обновления политик.
  • /Sync. Выполнить синхронное применение политик.

Программа mtedit.exe

Данная программа применяется для изменения специфических для домена данных (например, SID групп и учетных записей, пути UNC), определенных в групповых политиках, при их копировании из одного домена в другой. Она не является программой командной строки — после запуска программы mtedit.exe перед вами отобразит ее окно (рис. 5.03), представляющее таблицу для изменения специфических для домена данных.


Рис. 5.03. Редактор таблицы миграции

Для запуска программы mtedit.exe лучше всего воспользоваться командой MIGRATION TABLE EDITOR контекстного меню домена или объекта групповой политики оснастки УПРАВЛЕНИЕ ГРУППОВОЙ ПОЛИТИКОЙ. Также для запуска программы mtedit.exe можно воспользоваться дополнительными опциями командной строки — они представлены в таблице 5.03.

Таблица 5.03. Опции программы mtedit.exe

  • /Domain: «домен». Указывает домен для копирования групповых политик.
  • /DC: «контроллер». Контроллер домена, определяющий домен, из которого копировать.
  • /Forest: «лес». Определяет лес Active Directory, если он существует.
  • /DisableTrustChecking. Отключить проверку доверенных отношений доменов.
  • «файл». Определяет таблицу миграции, которую нужно открыть.

Программа PushPrinterConnections.exe

Данная программа может использоваться в сценариях входа и выполняет чтение информации об опубликованных при помощи групповых политик принтерах.

Структура данной главы

А теперь давайте поговорим о структуре данной главы, чтобы в дальнейшем не возникало никаких вопросов. Еще раз посмотрите на рисунок 5.01, а затем посмотрите на разделы данной главы. Каждый раздел данной главы назван в честь одного из дочерних подразделов разделов КОНФИГУРАЦИЯ КОМПЬЮТЕРА/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ и КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ. То есть, каждый раздел данной главы содержит в себе описание только групповых политик, которые хранятся в соответствующем подразделе оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ.

При этом групповые политики описываются в отдельных таблицах, каждая из которых хранит в себе групповые политики, изменяющие параметры одной и той же ветви реестра. Ветвь реестра, параметры которой изменяются групповыми политиками, описанными в таблице, приводится в названии таблицы. Параметры же, которые находятся в соответствующей ветви реестра, и изменяются групповыми политиками, содержатся в левом столбце таблицы. А сами названия групповых политик и, если необходимо, их описание, которые изменяют значения соответствующих параметров, хранятся в правом столбце таблицы. При этом название групповой политики выделяется, а ее описание приведено обычным шрифтом.

Также следует заметить, что все параметры реестра, описанные в данной главе, о которых не сказано обратное, имеют тип REG_DWORD.

И последнее, о чем стоит заметить. В начале некоторых разделов данной главы книги приводится название файла. Это название файла, в котором хранятся приведенные в разделе групповые политики (либо часть этих групповых политик). Располагаются эти файлы в каталоге %systemroot%\PolicyDefinitions и имеют расширение .admx — они хранят в себе ветви реестра и параметры, изменяемые групповыми политиками. Кроме того, в каталоге %systemroot%\PolicyDefinitions содержатся вложенные каталоги, названные в честь локализации операционной системы (например, ru-RU для русской локализации, или en-US для английской). В этих каталогах также содержатся файлы групповой политики, но имеют они расширение .adml, и содержат в себе названия групповых политик и описание того, что именно они делают (на соответствующем каталогу языке, например, русском или английском).

Вот вроде и все. А теперь давайте окунемся в мир групповых политик операционной системы Windows Vista.

Продолжение следует

Рейтинг: 0 
Оцените: 1 2 3 4 5
moemesto.ru bobrdobr.ru - добавить в социальные закладки
В начало записи
Оригинал статьи: http://www.onestyle.com.ua/txt.php?u=620

В избранное