Подраздел оснастки Scripts

Подраздел Scripts также совершенно не изменился по сравнению с подразделом предыдущих версий операционной системы Windows. С его помощью можно указать путь к VBS или JS-сценарию, bat-файлу или любой программе, которая должна автоматически запускаться либо при входе пользователя в систему или при выходе из нее (подраздел Scripts раздела User Configuration), либо при запуске процесса winlogon.exe или при выключении компьютера (подраздел Scripts раздела Computer Configuration).

Работа со сценариями Как и раньше, если вы назначаете на выполнение сценарий, расположенный на локальном компьютере, тогда он должен находиться в одном из следующих каталогов (на самом деле он может находиться где угодно, но ведь не зря же разработчики ввели специальные каталоги файловой системы для хранения сценариев).

• %systemroot%\System32\GroupPolicy\User\Scripts\Logon — сценарий должен исполняться при входе текущего пользователя в систему. Сценарий запускается с правами пользователя.
• %systemroot%\System32\GroupPolicy\User\Scripts\Logoff — сценарий должен исполняться при выходе текущего пользователя из системы. Сценарий запускается с правами пользователя.
• %systemroot%\System32\GroupPolicy\Machine\Scripts\Shutdown — сценарий должен исполняться при выключении компьютера любым пользователем. Сценарий запускается с правами системы.
• %systemroot%\System32\GroupPolicy\Machine\Scripts\Startup — сценарий должен исполняться при загрузке процесса winlogon.exe любым пользователем. Сценарий запускается с правами системы.

Также как и раньше, сведения об указанных вами сценариях, запускаемых автоматически, записываются как в реестр, так и в специальный файл файловой системы.

Сведения о сценариях, автоматически запускаемых для пользователя, хранятся в файле scripts.ini каталога %systemroot%\System32\GroupPolicy\User\Scripts. Сведения о сценариях, автоматически запускаемых для всех пользователей, хранятся в файле scripts.ini каталога %systemroot%\System32\GroupPolicy\Machine\Scripts. Оба этих файла очень просты в понимании и позволяют редактировать свое содержимое вручную, без использования оснастки GROUP POLICY OBJECT EDITOR.

Также сведения о запускаемых сценариях хранятся в подразделах ветвей реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts и HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts.

Групповые политики настройки выполнения сценариев Операционная система Windows Vista содержит специальные групповые политики для настройки выполнения сценариев. Все они расположены в подразделе COMPUTER CONFIGURATION/ADMINISTRATIVE TEMPLATES/SYSTEM/SCRIPTS и описаны в файле Scripts.admx. Например, в данном подразделе можно встретить следующие групповые политики (все они влияют на параметры типа REG_DWORD, расположенные в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System).

• Allow-LogonScript-NetbiosDisabled. Если значение данного параметра равно 1, тогда пользовательские сценарии входа будут выполняться даже в том случае, если во время входа в перекрестный лес NetBIOS и WINS отключены и DNS-серверы не настроены.
• MaxGPOScriptWait. Значение данного параметра определяет максимальное время (в секундах), которое могут выполняться сценарии входа и выхода, и может принимать значения от 1 до 32 000 секунд. По умолчанию сценарии могут выполняться не более 10 минут.
• RunLogonScriptSync. Если значение данного параметра равно 1, тогда все пользовательские сценарии входа в систему будут выполняться синхронно с самим процессом входа. То есть, пока сценарии не будут выполнены, оболочка пользователя отображена не будет. По умолчанию сценарии выполняются асинхронно. Также данный параметр находится в ветви реестра корневого раздела HKCU.
• HideShutdownScripts. Если значение данного параметра равно 0, тогда сценарии, которые выполняются при завершении работы операционной системы, будут отображаться на экране. По умолчанию сведения об их выполнении не отображаются. Также данный параметр находится в ветви реестра корневого раздела HKCU.
• RunStartupScriptSync. Если значение данного параметра равно 0, тогда все сценарии входа в систему будут выполняться асинхронно по отношении друг к другу. То есть, пока не будет выполнен один сценарий, второй выполняться не будет. По умолчанию сценарии выполняются асинхронно.
• HideStartupScripts. Если значение данного параметра равно 0, тогда сценарии, которые выполняются при входе в систему синхронно, будут отображаться в окне командной строки. По умолчанию сведения об их выполнении не отображаются. Также данный параметр находится в ветви реестра корневого раздела HKCU.

Подраздел оснастки Internet Explorer Maintenance

Также совершенно не изменился и подраздел INTERNET EXPLORER MAINTENANCE раздела LOCAL COMPUTER POLICY/USER CONFIGURATION/WINDOWS SETTINGS. Как и раньше, он содержит в себе следующие подразделы.

Browser User Interface Данный подраздел позволяет настроить такие элементы окна браузера Internet Explorer, как заголовок окна (подраздел BROWSER TITLE), файлы изображений для фона панели инструментов браузера, а также позволяет добавить собственные кнопки к панели инструментов (подраздел BROWSER TOOLBAR CUSTOMIZATION). Кроме того, с помощью данного подраздела можно изменить файлы изображений для статического и динамического логотипов браузера Internet Explorer (подраздел CUSTOM LOGO AND ANIMATION BITMAPS). Следует только понимать, что при использовании нового интерфейса операционной системы вообще не существует такого понятия, как логотип или изображение панели инструментов, поэтому для того, чтобы увидеть изменения, нужно работать в операционной системе Windows Vista с интерфейсом ранних версий операционной системы.

Все параметры, изменяемые с помощью данного подраздела, записываются в текстовый файл install.ins (по умолчанию изменять данный файл могут только администраторы и система), расположенный в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK. Сами же измененные параметры записываются в реестр с помощью процесса svchost.exe запущенного с правами системы.

Connection Данный подраздел позволяет настроить такие параметры браузера Internet Explorer, как строка, добавляемая к строке User-Agent, идентифицирующей обозреватель (подраздел USER AGENT STRING), используемые для подключения к интернет адреса и порты прокси-сервера (подраздел PROXY SETTINGS), а также адрес компьютера, который содержит сценарии (ins-файл для настройки параметров обозревателя и js-сценарий для настройки прокси) для автоматической настройки обозревателя через определенный промежуток времени (подраздел AUTOMATIC BROWSER CONFIGURATION). Также с помощью данного подраздела можно экспортировать настройки, изменяемые при помощи вкладки CONNECTIONS диалога INTERNET PROPERTIES, в файлы, расположенные в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\cs, чтобы впоследствии содержимое этих файлов автоматически импортировалось в браузер Internet Explorer.

URLs Данный подраздел позволяет настроить содержимое папок Favorites и Links (подраздел FAVORITES AND LINKS), а также изменить такие стандартные адреса браузера Internet Explore, как адрес домашней страницы, адрес панели поиска и адрес страницы поддержки (подраздел IMPORTANT URLS).

Security Данный подраздел позволяет экспортировать настройки зон Интернет и настройки ограничений браузера (Ratings) в inf-файлы, чтобы впоследствии содержимое этих файлов автоматически импортировалось в браузер Internet Explorer (подраздел SECURITY ZONES AND CONTENT RATINGS). Зоны безопасности экспортируются в файлы seczones.inf и seczrsop.inf, расположенные в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\ZONES, а параметры ограничений браузера экспортируются в inf-файлы ratings.inf и ratrsop.inf каталога %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\RATINGS. Также с помощью данного подраздела можно экспортировать параметры настройки сертификатов доверенных издателей и доверенных агентств выдачи сертификатов (подраздел AUTHENTICODE SETTINGS).

Programs Данный подраздел позволяет выполнить экспортирование параметров вкладки PROGRAMS диалога INTERNET PROPERTIES в файл programs.inf, расположенный в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\PROGRAMS, чтобы впоследствии содержимое этого файла автоматически импортировалось в браузер Internet Explorer.

Раздел оснастки Administrative Templates

Административные шаблоны — это единственное, что существенно изменилось в операционной системе Windows Vista. Точнее, изменились не сами административные шаблоны, а способы их создания. Если раньше все групповые политики хранились в пяти файлах с расширением .adm, то теперь для их хранения используется множество файлов с расширениями .admx и .adml, которые представляют собой xml-файлы (то есть, также изменился и синтаксис создания данных файлов).

Файлы с расширением .admx расположены в каталоге %systemroot%\PolicyDefinitions. Они содержат в себе описания ветвей реестра и параметров, которые изменяются групповыми политиками, а также содержат ссылки на одноименные файлы с расширением .adml, которые содержат описания групповых политик, изменяющих эти ветви реестра. Файлы с расширением .adml содержатся в каталоге %systemroot%\PolicyDefinitions\en-US (для английской локализации административных шаблонов). На протяжении всех глав этой книги мы с вами рассматривали групповые политики, которые позволяли настраивать те или иные компоненты операционной системы, а также подразделы оснастки gpedit.msc и файлы, в которых эти групповые политики хранятся. Поэтому сейчас мы не будет рассматривать ни структуру подразделов групповых политик, ни назначение стандартных .admx и .adml файлов.

Сведения о применении групповых политик заносятся в журнал Applications and Services/Microsoft/Windows/GroupPolicy.

Согласитесь, что было бы глупо изменять формат файлов, содержащих в себе групповые политики, и полностью отказываться от всех написанных ранее административных файлов с расширением .adm. Именно поэтому групповые политики Windows Vista поддерживают как новый формат файлов административных шаблонов, так и старый. Теперь все файлы с расширением .adm заносятся в подраздел групповых политик ADMINISTRATIVE TEMPLATES/CLASSIC ADMINISTRATIVE TEMPLATES (ADM). При этом операционная система Windows Vista по умолчанию содержит один .adm-файл, который расположен в разделе %systemroot%\inf и управляет настройкой ограничений на передачу отчетов об ошибках в работе операционной системы и программ корпорации Microsoft.

Хранение групповых политик Все групповые политики, которые вы применили с помощью оснастки GROUP POLICY OBJECT, заносятся не только в реестр, но и в два специальных файла, имеющих имя registry.pol. Они расположены в каталогах %systemroot%\system32\GroupPolicy\Machine и %systemroot%\system32\GroupPolicy\User. Параметры из этих файлов через определенные промежутки времени заносятся в реестр (как и в предыдущих операционных системах, можно воспользоваться командой gpupdate.exe, чтобы вручную внесены в реестр содержимое файлов registry.pol).

Именно из-за этих файлов удаление параметров групповых политик непосредственно с помощью реестра не приведет ни к каким результатам — они все равно будут заново созданы при следующем помещении содержимого файлов registry.pol в реестр. Поэтому если вы установили какие-либо ограничения с помощью групповых политик, то и удалить их вы сможете только с помощью групповых политик.

Если компьютер находится в домене, тогда для него применяются не только локальные групповые политики, но и групповые политики на уровне домена и организационной единицы. Как и раньше, политики на уровне домена будут замещать собой политики локального компьютера, а групповые политики на уровне организационной единицы будут замещать собой политики на уровне домена.

Работа с групповыми политиками при помощи дополнительных программ

А теперь давайте рассмотрим несколько программ командной строки, которые предназначены для работы с групповыми политиками. Первая из этих программ является нововведением операционной системы Windoiws Vista. Вторая же присутствовала и в предыдущих версиях Windows.

MIGRATION TABLE. Расположение: %systemroot%\system32\mtedit.exe.

Данную программу можно использовать при копировании групповых политик из одного домена в другой, для определения и изменения специфических для домена данных. При копировании групповых политик из одного домена в другой, политики старого домена не всегда смогут работать на новом домене. Например, если политики основаны на SID учетных записей пользователей, которые никак не могут совпадать у двух доменов, данные политики работать не будут. В этом случае вам может понадобиться программа Migration Table, которая позволяет указать данные старого домена, например SID учетных записей, и данные, на которые они будут автоматически заменены при копировании в новый домен.

При помощи программы Migration Table можно указать изменение следующих данных: SID групп и учетных записей пользователей, имена компьютеров, а также пути UNC. Эти данные могут встречаться как непосредственно в групповых политиках, так и в ACL для групповых политик или дополнительных файлов.

После работы программы Migration Table создается текстовый файл в формате XML с расширением .migtable. Конечно, вы можете редактировать или даже самостоятельно создавать данный файл, не используя программы Migration Table, однако с ее помощью создание файла миграции существенно облегчается.

Для запуска программы Migration Table лучше всего воспользоваться оснасткой GROUP POLICY MANAGEMENT. Для этого достаточно в контекстном меню домена или объекта групповой политики выбрать команду MIGRATION TABLE EDITOR, после чего отобразится окно программы.

Чтобы просмотреть дополнительную информацию о данной программе, достаточно воспользоваться меню HELP чтобы отобразить справку по работе с ней.

GROUP POLICY UPDATE UTILITY V6.0. Расположение: %systemroot%\system32\Gpupdate.exe.

Данная программа командной строки также присутствовала и в предыдущих версиях операционной системы Windows, поэтому мы не будем описывать ее подробно. С ее помощью можно выполнить немедленное обновление групповых политик компьютера на основе локальных и групповых политик домена. Для этого достаточно воспользоваться данной программой без параметров. Также при обновлении можно указать следующие основные опции.

• /target:. Может принимать значения computer и user. Она определяет тип политик, которые будут обновлены (по умолчанию обновляются оба типа политик).
• /Logoff. При завершении обновления политики выйти из системы.
• /boot. При завершении обновления политики перезагрузить компьютер.
• /sync. Новая опция данной программы, которая может использоваться вместе с предыдущими опциями. Ее использование приводит к синхронному применению групповых политик.

Настройка групповых политик при помощи групповых политик

Как ни странно звучит данный раздел книги, но операционная система Windows Vista содержит специальные групповые политики для настройки работы механизма групповых политик и RSoP (о RSoP будет рассказано при описании оснастки RESULTANT SET OF POLICY). Все они расположены в подразделе ADMINISTRATIVE TEMPLATES/SYSTEM/GROUP POLICY разделов COMPUTER CONFIGURATION и USER CONFIGURATION. Файлом же, в котором они описаны, является файл GroupPolicy.admx.

Продолжение следует