ПредишенСледващото

Продължавайки темата на нетрадиционна използване на системи за управление на NT-). Този път, нека да поговорим за концептуална част от домейн в Directory неща Активни като Group Policy (политика Group). Не се обезсърчават от думата "домейн" - за него това няма да отида, ще разгледаме използването на груповите правила само на локалната машина.

Между другото, дори и ако имате домашна мрежа, т.е. работна група, отколкото на домейн, с помощта на група от правила, можете да контролирате само вашата машина или отдалечено от съответните права, но не и на не Нели цялата мрежа. Но защо се нуждаем? Нека просто кажем, че имате OS множество потребители (за NT е законът) и вие, тъй като местната администратор, бих искал малко "ощипване" настройките на програми, включително и на работния плот на Windows (изключете всички, да кажем, на контролния панел от греха ), да промените настройките за сигурност по подразбиране на системата, както и, така че всички са били в състояние да се върне обратно само за вас. Използването на Group Policy всичко това е направено в едно заседание. Така че ние се пристъпи към изучаването на този въпрос.

Както вече споменахме, групата на права се използва за конфигуриране на потребителя и компютъра, и няма друг начин. По правилата на групите за сигурност не може да се използва, но има може би обратен ефект - правила за филтриране за специфични групи. Продължение на тази тема няма да бъде - много администратори на домейни.

Следните параметри могат да бъдат конфигурирани за потребителя:

Тези правила се прилагат, когато потребителят влиза в системата (за регистрация) и по време на периодичните опресняване цикли (с домейн контролерите в случай на наличие на домейн).

си поставя следните параметри за всеки отделен компютър:

  • поведението на операционната система;
  • настройки на работния плот;
  • настройките на приложението;
  • настройките за сигурност;
  • настройките на приложението, възложени на компютъра (за домейн само);
  • скриптове за стартиране и изключване на компютъра.

Тези правила важат за инициализация на операционна система, т.е. зареждане, както и по време на периодичните цикли на опресняване.

Правила, се съхраняват в обекти с групови правила на груповите правила, а не в регистъра, което е характерно за политиката на система NT 4.0. Обектите са два вида: локални и нелокални. Първият се съхранява на всяка клиентска машина, а вторият - на домейн контролери и работят на място, пространство, ОУ. Нелокални правила в случай на конфликт, имат предимство пред местните, или просто да добавят свои собствени параметри. Ние считаме, че само на местния обект. Физически, тя се съхранява в папката% SystemRoot% на \ system32 \ GroupPolicy. Тази папка има следната структура (за XP):

  • Адм - съдържа Административни шаблони (.adm);
  • Machine - конкретни данни за компютъра;
  • Scripts - скриптове за компютър;
  • Shutdown - скриптове извън машината;
  • Startup - скриптове, за да започнат на машината;
  • Registry.pol - файл, съдържащ да бъдат направени в бранша HKEY_LOCAL_MACHINE промените;
  • Потребител - конкретни данни за потребителя;
  • Scripts - скриптове за потребителя;
  • Logoff - излизане скриптове от системата;
  • Logon - скриптове при влизане в системата;
  • Registry.pol - файл, съдържащ да бъдат направени в бранша HKEY_CURRENT_USER промените;
  • gpt.ini - някои настройки на груповите правила и номера на версията.

Имайте предвид, че в зависимост от съдържанието на избраните правилата и структурата на местните правила обект група може да варира, въпреки намалената информация е от основно значение. А сега да разгледаме процеса (опростен) правилата за кандидатстване в груповите правила за компютър, който не е част от домейн.

  • Scripts - позволяват да се автоматизира процеса за включване / изключване на компютъра и влизане на потребителя / излизане. Тяхната употреба е подходящ за компютър в домейн.
  • Настройки за сигурност - Определете настройките за сигурност за местната система. Тази тема е много широка, така че ние ще говорим за това сериозно следващия път.
  • Административни шаблони - съдържа работни параметри и компоненти се съхраняват в системния регистър.

Имайте предвид, че ефектът на групови политики, прилагани от компютър чрез спомагателните компоненти, разширения от страна на клиента, представляващи конвенционалния DLL.

Най-голям интерес са административните шаблони за нас. По този начин, на административните шаблони - това са файлове с .adm разширение, които са написани на обикновен текст, опции за модифициране на системния регистър на компютъра (HKLM клон на компютърни настройки и HKCU - потребител). По подразбиране, за административните шаблони са (за да изброим само основните):

  • Windows Components - съдържа информация за приложенията на системата Windows, като например Internet Explorer, на Microsoft Management Console и т.н.
  • System - позволява да се променят правилата на системата, като настройки на потребителя регистрация, групови правила, защита на файлове
    и т.н.
  • Мрежа - както можете да се досетите, съдържа конфигурацията на мрежата.
  • Принтери - опции, свързани към системата на локални и отдалечени принтери.
  • Taskbar и Start Menu - ви позволява да контролирате свойствата и съдържанието на елементите на данните на интерфейса.
  • Бюро - контролира свойствата на работната маса, както и активно параметри на работния плот.
  • Control Panel - определя броя на елементите в контролния панел и възможност за тяхното управление.

Доста богати възможности, нали? Така че нека да ги използвате! Нека се опитаме, например, блокирането на достъпа до дискове директно от Windows Explorer. Намерете клон на Потребителя Configuration \ Административен \ Windows Components \ Windows Explorer, а в него - ключов откаже достъп до дисковете чрез "My Computer", както и за "клик" върху него 2 пъти. Има нужда да обяснява. Промени в прозореца със свойства има два раздела: Параметри и обяснение.

Първата е направена директно да редактирате свойствата, а другата служи като референтна система за този параметър.

Параметърът може да бъде активирана, хора с увреждания и да зададете. Когато е активиран, съответната стойност се вписва в съответния ключ на системния регистър; ако е забранен, на системния регистър е вписано друга стойност (или ключът е отстранен) и не го прави, тя използва стойността по подразбиране, когато параметър не е посочено в регистъра на каквито и да било промени.

На всичко отгоре на това имущество може да бъде някои допълнителни параметри, изброени по-долу (имаме такъв случай). В XP има една линия на "подкрепа", което показва, версията на операционната система, която е на разположение, за да редактирате тази опция.

След повторно влизане (което трябва да политиката влезе в сила), ние откриваме, липсата на достъп до тези устройства от Windows Explorer, както се изисква.

Забележка: Group Policy засяга всички потребители да се прави разлика между въздействието върху отделните групи може да бъде, както изглежда, само за наличие на домейн.

Сега нека да поговорим за създаване на административните шаблони. Заедно с операционната система е серия от модели като System.adm, Inetres.adm и сътр., Предназначени за основния конфигурацията на системата. Възможно е, че вие ​​ще искате да допълни шаблон възможности данни способността да изберете други приложения (освен ако, разбира се, те съхраняват своите настройки в системния регистър). Редактиране на съществуващите шаблони не се препоръчва, така че е най-добре да създадете нов шаблон, а след това го добавите към вече съществуващата. Това може да стане чрез щракване с десния бутон на клон Административни шаблони закопчалки за групови правила на елемента и изберете Добавяне или премахване на шаблони. След проверка на синтаксиса на новия шаблон ще бъдат заредени в системата.

Всички шаблони са в папка% SystemRoot% \ INF. Те са обикновени текстови файлове в UNICODE формат (по-специално, с две байт UNICODE - UTF16), така че да редактирате и създавате нови шаблони могат да бъдат в Notepad. шаблон описание формат може да се намери в помощта на Windows. Трябва да се отбележи, че всички настройки на груповите правила за прилагане (ако имате разработчик), за да се съхранява в следните клавиши за системния регистър: [SOFTWARE \ Policies HKLM \]; [HKCU \ Software \ политики]; [(HKCU или HKLM) \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies], как системата. Фактът, че само за тези клонове на опция е изключена, той ще бъде изтрит от регистъра.

Това си струва да се спре. Експериментирайте, но само след внимателно обмисляне и внимателно.

Подкрепете проекта - споделете линка, благодаря!