Виртуальный компьютер с Windows Vista Ultimate

Новая служба групповых  политик Windows Vista понимает основные аспекты  подключения к сети в реальном времени. Основное изменение заключается в том, что теперь механизм групповых политик использует обработчик NLA 2.0 в Windows Vista. Служба NLA просто оповещает службу групповых политик о доступности контроллера домена. Если контроллер домена доступен, при необходимости выполняется обновление групповых политик. 
Использование нескольких локальных объектов GPO 
До появления Windows Vista поддерживалось использование только одного объекта локальной групповой политики (GPO). Если вы набирали GPEDIT.MSC в командной строке и вносили некоторые изменения в настройки, эти изменения влияли на всех пользователей и администраторов, использовавших этот компьютер. Это нередко представляло собой проблему, например, в ситуациях, когда требовалось удалить команду «Выполнить» из меню «Пуск» для обычных пользователей, но оставить ее доступной для администраторов. 
Возможность использования нескольких локальных объектов GPO позволяет решить эту проблему с помощью многоуровневой системы GPO. Это возможность будет в основном использоваться на системах, не входящих в домен Active Directory. Однако она может показаться полезной и для конечных пользователей. 
Новая многоуровневая система локальных объектов GPO может выглядеть немного сложной. Локальный объект GPO, используемый по умолчанию, по-прежнему действует в контексте локальной системы и влияет на всех пользователей этой системы. Этот объект GPO определяет параметры компьютера и параметры пользователя. 
 
Второй уровень относится или к участникам локальной группы Администраторы, или ко всем остальным пользователям. Учетная запись пользователя по определению не может состоять в обеих группах одновременно. Данный уровень определяет, является ли пользователь администратором или обычным пользователем локальной системы, а затем использует соответствующий объект GPO (для администраторов или для остальных пользователей). Третий уровень относится к конкретным учетным записям пользователей локальной системы. 
Итак, мы перечислили три локальных объекта GPO, которые могут повлиять на любого пользователя компьютера. Например, вы можете использовать три уровня для настройки параметров для всех пользователей компьютера, для настройки дополнительных параметров, действующих только для администраторов, и для настройки еще нескольких параметров, действующих только для одного пользователя компьютера . 
Разумеется, если система входит в домен Active Directory®, объекты групповых политик Active Directory имеют приоритет по отношению к объектам локальных политик. Также необходимо отметить, что администраторы домена могут отключить обработку всех локальных объектов GPO в Windows Vista. 
Сообщения об ошибках, поиск и устранение неисправностей 
В Windows Vista используется совершенно новая система журнала событий. Механизм групповых политик использует эту новую систему под названием Windows Eventing 6.0 (также называемую журналом событий) и разделяет события на два журнала. Уже знакомый большинству специалистов системный журнал (теперь носящий название Административный журнал) содержит перечень проблем с групповыми политиками. При возникновении ошибки в механизме групповых политик, эта ошибка должна публиковаться в системном журнале, при этом должно указываться, что источником ошибки является служба групповых политик (а не процесс Userenv). 
Уже знакомый большинству специалистов системный журнал (теперь носящий название Административный журнал) содержит перечень проблем с групповыми политиками. Он фактически заменяет неудобный файл userenv.log, поскольку в нем для удобства чтения перечислены все шаги механизма групповых политик. 
ADM и ADMX 
Еще со времен Windows NT® 4.o файлы ADM сообщали шаблонам определений о том, что является возможным в групповых политиках. Не все в групповых политиках контролируется файлами ADM, но эти файлы отвечают за все полезные шаблоны, содержащиеся в разделах User Configuration | Administrative Templates и Computer Configuration | Administrative Templates. 
С функциональной точки зрения эти файлы ADM имеют ряд недостатков. В версиях Windows, предшествовавших Windows Vista, при каждом создании нового объекта GPO эти файлы ADM размером около 5 мегабайт требовалось копировать во все папки GPO (в SYSVOL). При большом количестве объектов GPO дублируется большое количество файлов системных шаблонов в SYSVOL, в результате чего репликация каждого блока файлов объемом 5 МБ происходит несколько раз. 
Кроме того, файлы ADM требуют использования определенного языка. Они создаются на определенном языке, и все пользователи этих файлов должны использовать этот язык. 
В службе групповых политик в Windows Vista эта проблема решена благодаря использованию нового формата XML для файлов определения политик ADMX. Файлы ADM сами по себе не требуют использования определенного языка. Однако их должны сопровождать требующие использования определенного языка файлы ADML. Вы можете легко добавить дополнительные языки посредством добавления дополнительных файлов ADML к файлу ADMX. 
Формат ADMX поддерживает централизованное хранение. Это устраняет необходимость репликации дублирующейся информации и упрощает обновление файлов ADMX. Допустим, вы произвели обновление файла ADMX, например, установив пакет обновлений. После этого вам требуется только поместить обновленный файл в централизованное хранилище. Все администраторы групповых политик домена, использующие рабочие станции Windows Vista, получат доступ к обновленному файлу ADMX. Ранее требовалось обеспечить присутствие на компьютерах всех администраторов правильных копий всех файлов ADM, и это было непростой задачей. 
Теперь же администратор домена должен вручную создавать центральное хранилище SYSVOL для каждого домена Active Directory. После создания центрального хранилища все администраторы, использующие компьютеры под управлением Windows Vista для создания объектов GPO и управления ими, автоматически будут использовать центральное хранилище. Обратите внимание, что данная функция является особенностью Windows Vista, и компьютеры под управлением Windows Vista проверяют наличие центрального хранилища при подключении к домену Active Directory. Вам не придется ждать выхода следующей версии Windows Server® под кодовым названием "Longhorn" или переносить все компьютеры пользователей на платформу Windows Vista. Это происходит вне зависимости от того, на базе какой платформы построен домен – Windows Server Longhorn, Windows Server 2003 или Windows 2000. Для использования преимуществ центрального хранилища достаточно просто создать центральное хранилище и использовать компьютеры под управлением Windows Vista для создания объектов GPO и управления ими. 
файлы ADMX и ADML построены на базе языка XML. Основное преимущество формата XML заключается в использовании стандартного языка. Однако необходимо отметить, что графического редактора файлов ADMX не существует (и корпорация Майкрософт не планирует выпускать такой редактор). Также не существует никаких инструментов для преобразования имеющихся файлов шаблонов из формата ADM в формат ADMX. 
В комплект Windows Vista входит приблизительно 130 файлов ADMX, которые заменят 6 – 8 файлов ADM, которые входили в состав предыдущих версий Windows. Эти файлы располагаются в каталоге \Windows\PolicyDefinitions, как показано на Рисунке 2. Обратите внимание, что файлы ADML хранятся в отдельных вложенных каталогах для разных языков, например, в директории en-US для языка "Английский – США". 
Консоль управления групповыми политиками 
Консоль управления групповыми политиками (GPMC) была доступна в Windows XP и Windows Server 2003, как отдельно загружаемый компонент. Консоль GPMC, поддерживающая сценарии MMC, являлась единственным административным инструментом для управления групповыми политиками. 
Теперь консоль GPMC является встроенным компонентом Windows Vista. Это означает, что при необходимости создать или отредактировать объект GPO у вас всегда под рукой будет самый удобный инструмент для этой работы. Достаточно набрать в командной строке Windows Vista Пуск | Поиск название файла GPMC.MSC, и вы сможете начать работу. 
Новые объекты контроля 
В Windows Vista добавлено около 800 новых параметров политик. Эти параметры принадлежат к различным категориям, многие из которых вам уже известны и хорошо знакомы. Однако также в Windows Vista представлено несколько очень полезных новых категорий, которых раньше просто не было, или в которых не было элементов управления групповых политик. 
В состав улучшенных областей групповых политик входят политики проводных и беспроводных сетей, брандмауэра Windows и IPsec, управления печатью, оболочки рабочего стола, удаленного помощника и планшетных ПК. Обратите внимание, что для обновленных политик проводных и беспроводных сетей может потребоваться обновление схемы на уровне группы деревьев (леса). 
 
В состав новых областей групповых политик Windows Vista входят управление съемными устройствами хранения данных, управление питанием, управление учетными записями пользователей, отчеты об ошибках Windows, защита доступа к сети и программа Windows Defender. 
Чтобы контролировать области, непосредственно влияющие на компьютеры под управлением Windows Vista, необходимо использовать компьютер под управлением Windows Vista (или Windows Server "Longhorn") при создании и редактировании объектов GPO. Это связано с тем, что старые операционные системы не распознают новые настройки, которые являются специфическими для Windows Vista. 
Подробное описание каждой из этих областей может занять целую статью, поэтому места на такое обсуждение не хватает. Однако следует обратить особое внимание на функции управления съемными устройствами хранения данных и управления питанием (см. Рисунок 3). Я считаю, что эти функции будут очень полезны всем администраторам. Они позволяют контролировать, какие устройства можно подключать к компьютерам под управлением Windows Vista, а также какие настройки питания можно использовать на ноутбуках, настольных ПК и мониторах для экономии средств компании. 
С дополнительными параметрами управления питанием в Windows Vista администратор может установить необходимость отключения неактивных мониторов или их перевод в режим сна. Опубликованные на веб-узле Energy Star Агентства по защите окружающей среды результаты исследований показывают, что управление электропитанием мониторов позволяет сэкономить от $10 до $30 долларов на каждый монитор в год. Если в компании используются сотни или тысячи мониторов, экономия может оказаться весьма существенной. 
Приведем также пример из области управления съемными устройствами хранения данных: Администратор хочет, чтобы учащиеся использовали флэш-диски USB для работы с докладами, домашними заданиями и другими документами с любой общей рабочей станции университетского городка. Однако в связи с возможностью злоупотреблений и рисками безопасности учащиеся не должны иметь разрешение записи на диски USB на рабочих станциях университетского городка, если они не используют утвержденный учебным заведением диск USB. Такой вариант управления можно реализовать с помощью настройки групповых политик Windows Vista.

  Групповые политики.  
Групповые политики - средства централизованного управления настройками компьютеров пользователей. Они могут применяться для управления параметрами рабочего стола пользователя и различных приложений, набором разрешенных приложений, системными привилегиями, параметрами системы безопасности, автоматической установкой программного обеспечения.  
Обычно групповые политики используются для управления настройками компьютеров в домене, однако существует возможность работы с локальной политикой компьютера, что позволяет использовать часть возможностей групповых политик при администрировании отдельного компьютера.  
Концепции групповой политики.  
Групповые политики представляют собой набор параметров конфигурации компьютеров и окружения пользователя, хранящиеся в виде отдельных объектов. Политики применяются к компьютеру и пользователю во время загрузки компьютера и входа пользователя в систему соответственно. Каждый параметр политики вызывает определенные изменения в системном реестре Windows, таким образом, любое изменение, которое вы осуществляете на компьютере при помощи групповых политик, вы можете осуществить при помощи редактора реестра. Однако групповые политики предоставляют гораздо более гибкие и удобные средства для управления, снижая тем самым издержки на настройку компьютеров пользователей.  
 
Объекты групповой политики.  
Для определения параметров конфигурации для некоторой группы пользователей и/или компьютеров создаются объекты групповой политики (Group Policy Objects, GPO) - законченные наборы параметров политики. Каждый объект групповой политики хранится в каталоге Active Directory в контейнере групповой политики (Group Policy Container, GPC). Кроме того, объекты группой политики хранятся в виде структуры папок, называемой шаблоном групповой политики (Group Policy Template, GPT). Обычно в GPC хранятся редко изменяемые и небольшие по размеру параметры, а в GPT хранятся часто изменяемые параметры и большие массивы данных. Внутренняя структура контейнеров и шаблонов групповой политики скрыта от всех пользователей системы, даже от администратора.  
Объекты групповой политики могут применяться на следующих уровнях иерархии домена Windows Server 2003:

сайт;

домен;

организационное подразделение.

Несколько контейнеров Active Directory могут быть связаны с одним объектом групповой политики. В свою очередь, один контейнер Active Directory может быть связан с несколькими объектами групповой политики. Таким образом на компьютер в домене может распространяться действие неограниченного числа доменных объектов групповой политики, хранящихся в Active Directory. 
Локальные объекты групповой политики 
На каждом компьютере Windows имеется локальный объект групповой политики, который присутствует независимо от того, является ли компьютер членом домена Windows Server 2003 и есть ли сведения о нем в Active Directory. Однако параметры доменных объектов групповой политики могут перекрывать параметры локальных объектов, поэтому при работе компьютера в домене параметры локального объекта групповой политики меньше всего влияют на конфигурацию окружения пользователя. 
По умолчанию в локальном объекте групповой политики определены только параметры безопасности. 
Локальный объект групповой политики хранится в папке %systemroot%\system32\GroupPolicy. Все аутентифицированные пользователи компьютера имеют право на чтение и применение локальной политики, однако право ее изменения имеют только члены группы Администраторы. 
Контейнеры групповой политики.  
Контейнер групповой политики (GPC) является объектом каталога Active Directory, хранящим свойства объекта групповой политики. Для каждого параметра групповой политики хранится номер версии, позволяющий отслеживать и синхронизировать изменения как между GPC и GPT, так и между различными контроллерами домена и серверами глобального каталога. Также GPC хранит информацию об активности объекта групповой политики.  
Также GPC содержит данные хранилища классов Windows Server 2003, используемое для централизованного развертывания приложений на компьютерах домена.  
Контейнер групповой политики (также, как и GPT), содержит два основных подконтейнера, хранящих параметры групповой политики:

Конфигурация  компьютера - в этом контейнере собраны все параметры, действующие на всех пользователей компьютера. Параметры применяются только к объектам компьютеров, находящихся в контейнере с настроенной групповой политикой.

Конфигурация  пользователя - в этом контейнере собраны параметры, действующие только на отдельного пользователя компьютера. Параметры применяются только к объектам учетных записей пользователей, находящихся в контейнере с настроенной групповой политикой.

Шаблоны групповой политики.  
Шаблоны групповой политики (GPT) хранятся в виде структуры папок в папке %systemroot%\SYSVOL\sysvol\имя_домена\Policies на контроллерах доменов. Помимо ряда параметров политики безопасности GPT содержит административные шаблоны, файлы сценариев и прочие файлы, связанные с объектами групповой политики.  
В качестве имени папки, хранящей GPT, используется GUID объекта групповой политики. Например GPT политики домена test.fio.ru будет храниться в папке %systemroot%\SYSVOL\sysvol\test.fio.ru\Policies\.  
Структура шаблонов групповой политики.  
По умолчанию в GPT содержатся подкаталоги User (конфигурация пользователя) и Machine (конфигурация компьютера) и файл gpt.ini. По мере настройки объекта групповой политики в папке GPT появляются дополнительные файлы и папки.  
В общем случае структура GPT содержит следующие папки:

 
Файл gpt.ini.  
В корневой папке каждого GPT должен содержаться файл Gpt.ini , используемый для задания основных параметров объекта групповой политики. Файл является обычным текстовым файлом и может содержать следующие записи:

 
Файл registry.pol.  
Файл является новой версией формата файлов .pol, использовавшихся редактором групповой политики Windows 9x и Windows NT. Будучи расположенным в папке User файл registry.pol применяется к дереву HKEY_CURRENT_USER системного реестра, а в папке Machine - к дереву HKEY_LOCAL_MACHINE. 
Формат файла registry.pol , созданного редактором групповой политики Windows Server 2003, не совместим с форматом файлов редактора групповой политики Windows 9x и Windows NT. Поэтому этот файл не может быть использован для настройки параметров компьютеров под управлением Windows 9x и Windows NT. Аналогично, файлы registry.pol, созданные редактором групповой политики Windows 9x или Windows NT, не могут использоваться для настройки компьютеров под управлением Windows 2000 и более поздних версий Windows.  
Используйте только редактор групповой политики Windows 2000 для изменения файла registry.pol! Не изменяйте его вручную или при помощи старых версий редактора групповой политики!  
Порядок применения объектов групповой политики.  
При загрузке компьютера осуществляется применение параметров компьютера из всех объектов групповой политики, под действие которых попадает компьютер. Параметры пользователя объектов групповой политики применяются в момент регистрации пользователя на локальном компьютере или в домене.  
Всегда действует следующий порядок применения объектов групповой политики:

Первым применяется объект локальной групповой политики. Обычно с помощью параметров этого объекта определяются фундаментальные настройки компьютера.

Следующим применяется  объект групповой политики сайта, в  котором расположен компьютер. Обычно на уровне сайта определяются параметры, которые зависят от физического расположения компьютера.

Потом применяется  объект групповой политики домена, в котором зарегистрирован компьютер  или пользователь.

В последнюю  очередь применяются объекты  групповой политики организационных  подразделений. Windows Server 2003 определяет в каком организационном подразделении находится объект пользователя или компьютера и строит список объектов групповой политики всех организационных подразделений по их иерархии до уровня домена. Сначала применяются объекты групповой политики организационных подразделений на более старшем уровне иерархии, потом - на более низких.

Параметры групповой политики.  
Каждый параметр групповой политики характеризуется именем, которое используется Windows Server 2003 для обращения к параметру. В связи с этим вы не можете изменить имена параметров групповой политики.  
Каждый параметр групповой политики может находиться в двух состояниях:  
Настроенном (configured) - в объекте групповой политики указано значение параметра. Именно это значение будет использовано при применении политики, если, конечно, не будет переопределено в другом объекте групповой политики.  
*Ненастроенном (not configured) - в объекте групповой политики не указано значение параметра. В этом случае действует значение параметра, заданного другим объектом групповой политики. Если ни в одном объекте групповой политики значение параметра не определено, действует текущее значение этого параметра, указанное в системном реестре или файле настроек соответствующего приложения. 
Для отмены действия параметра групповой политики недостаточно переключить его значение в состояние не настроено. В этом случае будет действовать последнее значение параметра групповой политики, настроенное при предыдущей операции применения групповой политики. Для отмены действия параметра нужно сначала явно задать его значение по умолчанию и убедиться, что групповая политика применена ко всем необходимым пользователям и компьютерам. Только после этого можно переводить значение параметра в состояние не настроено. 
Чтобы новая политика была применена ко всем необходимым пользователям и компьютерам, необходимо перезагрузить все компьютеры.