Вот уже множество лет параллельно с основными ветвями реестра развиваются две дополнительные ветви, содержимое которых очень хорошо документируется разработчиками операционной системы Windows. Это ветви реестра Software\Microsoft\Windows\CurrentVersion\Policies и Software\Policies. Данные ветви реестра доступны для редактирования только администраторам и учетной записи локальной системы.

Вы еще не забыли о действующих в книге сокращениях? Если в книге указывается ветвь реестра без корневого раздела, значит данная ветвь реестра (и параметр, который в ней определяется) может находиться как в корневом разделе HKEY_CURRENT_USER, так и в корневом разделе HKEY_LOCAL_MACHINE.

Содержимое данных ветвей создается специально для администраторов операционной системы, с целью предоставить им механизм ограничения и детальной настройки операционной системы Windows под нужды конкретной организации.

Однако в понятие групповых политик входят не только указанные ветви реестра, но и механизм применения изменений в них.

Все применяемые при помощи оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ групповые политики изменяют не только параметры соответствующих ветвей реестра, но и содержимое двух файлов с именем registry.pol, расположенных в каталогах %systemroot%\system32\GroupPolicy\Machine и %systemroot%\system32\GroupPolicy\User. Периодически содержимое этих файлов заносится в реестр.

Далее в этой книге мы рассмотрим возможности операционной системы Windows Vista по работе с групповыми политиками. Однако, поскольку эта тема не относится к основной теме книги, ниже будет приведено лишь ее поверхностное описание.

Работа с групповыми политиками

Возможности работы групповой политики зависят от того, входит ли данный компьютер в состав домена Active Directory. Поскольку работа в домене Active Directory должна быть более присуща операционной системе Windows Longhorn, а не Windows Vista, на страницах данной книги мы не будем упоминать возможности работы групповых политик в домене.

Консоль управления Microsoft

Перед тем, как начать описание механизма групповых политик, необходимо хотя бы поверхностно рассмотреть консоль управления Microsoft (mmc.exe), которая является основным механизмом для настройки групповых политик.

Консоль управления Microsoft представляет собой своеобразную оболочку, в которой работают специально созданные программы, называемые оснастками. Большинство возможностей по настройке параметров безопасности компьютера в операционной системе Windows Vista реализовано именно с помощью оснасток и консоли управления Microsoft.

Еще одним новым термином, который используется при описании возможностей программы mmc.exe, является термин консоль. В контексте программы mmc.exe консолью называется файл с расширением .msc, который запускает программу mmc.exe с уже загруженным набором различных оснасток.

Работу консоли управления Microsoft и стандартных оснасток можно ограничить при помощи групповых политик REG_DWORD типа, расположенный в ветви реестра HKCU\Software\Policies\Microsoft\MMC.

Например, если присвоить параметру RestrictAuthorMode значение 1, то запуск программы mmc.exe, а также любых консолей, работающих в авторском режиме, будет запрещен.

Также вы можете присвоить значение 1 параметру RestrictToPermittedSnapins. В этом случае пользователю будет запрещено запускать любые оснастки консоли управления Microsoft.

Если же вы хотите запретить запуск определенной оснастки или расширения, то нужно присвоить значение 1 параметру Restrict_Run, создав его в ветви реестра вида HKCU\Software\Policies\Microsoft\MMC\{CLSID-номер конкретной оснастки или расширения}.

Новые возможности mmc.exe В поставку операционной системы Windows Vista по умолчанию входит консоль управления Microsoft версии 6.0 (например, в Windows XP используется консоль управления версии 5.1). Новая версия консоли управления Microsoft имеет три заметных отличия.

• Теперь консоль управления Microsoft создает консоли версии 3.0 (в Windows XP применялись консоли версии 2.0). Это привело к тому, что программа mmc.exe операционной системы Windows XP не сможет работать с консолями операционной системы Windows Vista. Хотя возможность работы Windows Vista с более старыми версиями консолей поддерживается.
• Работа консоли управления Microsoft теперь основана на новом компоненте операционной системы Windows Vista, называемом Fusion. Он повышает стабильность работы оснасток, предоставляет больше возможностей их настройки, а также позволяет разрабатывать более дружественный интерфейс с пользователем.
• И, наверное, самое заметное нововведение — новая панель ДЕЙСТВИЯ, отображаемая по умолчанию в правом углу любой консоли.

Панель Действия Основное окно консоли управления Microsoft представлено на рисунке 2.12.

Рис. 2.12. Основное окно консоли управления Microsoft

Как можно заметить из рисунка, в правом углу консоли действительно находится поле ДЕЙСТВИЯ. Содержимое данного поля дублирует информацию из меню ДЕЙСТВИЕ.

По мнению многих пользователей операционной системы Windows Vista поле ДЕЙСТВИЯ консоли управления Microsoft является самым бесполезным нововведением Windows Vista. Поэтому многие пользователи всегда начинают работу с оснастками именно с того, что скрывают это поле.

Чтобы скрыть поле ДЕЙСТВИЯ, необходимо в меню ВИД консоли выбрать команду НАСТРОИТЬ…. После этого отобразится диалог НАСТРОЙКА ВИДА, в котором нужно снять флажок ПАНЕЛЬ ДЕЙСТВИЯ.

Единственным минусом приведенного выше способа является то, что все вышеописанные действия вы должны выполнять при каждом запуске консоли или загрузке в нее новой оснастки.

Существует еще один способ скрытия поля ДЕЙСТВИЯ. С его помощью можно навсегда скрыть поле ДЕЙСТВИЯ для определенной оснастки. Данный способ основан на редактировании реестра.

Чтобы по умолчанию поле ДЕЙСТВИЯ не отображалось для определенной оснастки, нужно создать в ветви реестра HKLM\SOFTWARE\Microsoft\MMC\SnapIns\{CLSID-номер оснастки} параметр REG_DWORD типа SuppressActionsPane, после чего присвоить ему значение 1. Например, если создать данный параметр для оснастки с CLSID-номером {C96401CC-0E17-11D3-885B-00C04F72C717}, то поле ДЕЙСТВИЯ больше не будет отображаться при открытии программы mmc.exe (но при добавлении различных оснасток оно будет опять отображаться).

Загрузка оснасток в окно консоли управления Microsoft Основной операцией, выполняемой в программе mmc.exe, является загрузка конкретной оснастки в окно программы. Данное действие выполняется при помощи команды ДОБАВИТЬ ИЛИ УДАЛИТЬ ОСНАСТКУ… меню ФАЙЛ или при помощи комбинации клавиш CTRL+M (рис. 2.13).

Рис. 2.13. Добавление оснасток в окно консоли управления Microsoft

Чтобы добавить оснастку, нужно выбрать ее из списка ДОСТУПНЫЕ ОСНАСТКИ, после чего нажать на кнопку ДОБАВИТЬ>. Параметры работы некоторых оснасток, перед тем, как они будут добавлены, необходимо настроить. Например, чаще всего нужно указать компьютер, к которому будет подключаться оснастка.

Также обратите внимание на две кнопки диалога ДОБАВИТЬ ИЛИ УДАЛИТЬ ОСНАСТКУ…: кнопку ИЗМЕНИТЬ РАСШИРЕНИЯ… и кнопку ДОПОЛНИТЕЛЬНО….

Некоторые оснастки могут содержать в своем составе расширения, которые повышают функциональность оснастки. Эти расширения можно отключить или включить при помощи кнопки ИЗМЕНИТЬ РАСШИРЕНИЯ….

А вот при помощи кнопки ДОПОЛНИТЕЛЬНО… можно указать раздел, в который будет помещена оснастка. По умолчанию все оснастки отображаются в разделе КОРЕНЬ КОНСОЛИ. Единственное, что нужно сделать перед тем, как изменить раздел для отображения оснастки, так это создать этот раздел. Как ни странно, для этого применяется оснастка, имеющая название ПАПКА.

Хранение сведений об оснастках Чтобы новая оснастка работала в операционной системе Windows, не достаточно иметь библиотеку, которая описывает ее работу. Также новую оснастку нужно зарегистрировать в реестре. Например, это делается при помощи программы командной строки regsvr32.exe.

Каждая оснастка имеет свой уникальный CLSID-номер, который идентифицирует ее в операционной системе. Список всех оснасток, поддерживаемых консолью управления Microsoft, хранится в ветви реестра HKLM\SOFTWARE\Microsoft\MMC\SnapIns.

Данная ветвь реестра содержит в себе набор подразделов, каждый из которых назван в честь CLSID-номера определенной оснастки и хранит настройки ее работы. Например, мы уже знаем о таком параметре разделов, описывающих оснастки, как SuppressActionsPane.

Кроме того, в данной ветви реестра может находиться еще один параметр REG_DWORD типа — DisableWatson. Данный параметр позволяет определить, будет ли при обнаружении ошибки в работе конкретной оснастки запускаться стандартный отладчик операционной системы.

Остальные же параметры данной ветви хранят различную информацию об оснастке — ее версию, создателя, название.

Кроме параметров, в разделе оснастки может находиться подраздел StandAlone. Это довольно важный подраздел с точки зрения консоли управления Microsoft. Присутствие данного подраздела говорит о том, что оснастка, которую данный подраздел определяет, будет отображаться в диалоге ДОБАВЛЕНИЕ ИЛИ УДАЛЕНИЕ ОСНАСТКИ программы mmc.exe.

И последний подраздел, который может находиться в разделе оснастки, называется NodeTypes. Данный подраздел содержит в себе CLSID-номера расширений оснастки, которые будут загружаться вместе с ней. Отредактировать или просмотреть список загружаемых расширений выбранной оснастки можно при помощи кнопки ИЗМЕНИТЬ РАСШИРЕНИЯ… диалога ДОБАВЛЕНИЕ ИЛИ УДАЛЕНИЕ ОСНАСТКИ.

Список всех зарегистрированных расширений оснасток хранится в ветви реестра HKLM\SOFTWARE\Microsoft\MMC\NodeTypes.

Оснастка Редактор объектов групповой политики

Основным механизмом работы с групповыми политиками является оснастка РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ, которая входит в консоль gpedit.msc.

Если вы запускаете данную оснастку при помощи программы mmc.exe, тогда при ее запуске вы сможете указать не только компьютер, параметры групповой политики которого нужно отредактировать, но и учетную запись пользователя, для которого будут применяться изменяемые групповые политики. Для этого при выборе объекта групповой политики нужно нажать на кнопку ОБЗОР… (рис. 2.14).

Рис. 2.14. Выбор пользователя, возможности работы которого нужно ограничить

Основными разделами оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ, предназначенными для работы с групповыми политиками, являются разделы КОНФИГУРАЦИЯ КОМПЬЮТЕРА/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ (с его помощью редактируются параметры из корневого раздела HKEY_LOCAL_MACHINE), а также КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ (с его помощью редактируются параметры из корневого раздела HKEY_CURRENT_USER).

Содержимое данных разделов реестра строится на основе файлов, имеющих расширение .admx, и расположенных в каталоге %systemroot%\PolicyDefinitions. Данные файлы представляют собой текстовые файлы в формате XML, описывающие изменяемые групповыми политиками параметры реестра. А вот вся текстовая информация (названия групповых политик, их описание, операционные системы, для которых они применяются), содержатся в других файлах — в файлах с тем же названием, но расширением .adml. Данные файлы содержатся в одном из подкаталогов каталога %systemroot%\PolicyDefinitions. Например, для англоязычного языкового пакета интерфейса операционной системы они находятся в каталоге en-US, а для русскоязычного — в каталоге ru-RU.

Собственно, файлы групповых политик, имеющие расширения .admx и .adml, являются нововведением операционной системы Windows Vista. В предыдущих версиях Windows использовались файлы с расширением .adm, которые хранились в каталоге %systemroot%\inf.

Также файлы с расширением .adm могут использоваться и в Windows Vista. Специально для таких файлов созданы разделы оснастки Конфигурация компьютера/Административные шаблоны/Классические административные шаблоны (ADM) и Конфигурация пользователя/Административные шаблоны/Классические административные шаблоны (ADM). Например, по умолчанию в данные разделы оснастки загружается содержимое файла AER_1049.adm, расположенного в каталоге %systemroot%\inf.

Продолжение следует