Windows Vista. Для профессионалов

Согласитесь, что было бы глупо изменять формат файлов, содержащих групповые политики, и полностью отказываться от всех написанных ранее административных файлов с расширением ADM. Именно поэтому групповые политики Windows Vista поддерживают как новый формат файлов административных шаблонов, так и старый. Теперь все файлы с расширением ADM заносятся в подраздел групповых политик Административные шаблоны → Классические административные шаблоны (ADM). При этом операционная система Windows Vista по умолчанию содержит один ADM-файл, который расположен в каталоге %systemroot%\inf и управляет настройкой ограничений на передачу отчетов об ошибках в работе операционной системы и программ корпорации Microsoft.

Хранение групповых политик. Все групповые политики, которые вы применили с помощью оснастки Редактор объектов групповой политики, заносятся не только в реестр, но и в два специальных файла с именем registry.pol. Они расположены в каталогах %systemroot%\system32\GroupPolicy\Machine и %systemroot%\system32\GroupPolicy\User. Параметры из этих файлов через определенные промежутки времени заносятся в реестр (как и в предыдущих операционных системах, можно воспользоваться командой gpupdate.ехе, чтобы вручную внести в реестр содержимое файлов registry.pol).

Именно из-за этих файлов удаление параметров групповых политик непосредственно с помощью реестра не приведет ни к каким результатам – они будут заново созданы при следующем помещении содержимого файлов registry.pol в реестр. Поэтому если вы установили какие-либо ограничения с помощью групповых политик, то и удалить их вы сможете только с помощью групповых политик.

Если компьютер находится в домене, то для него применяются не только локальные групповые политики, но и групповые политики на уровне домена и организационной единицы. Как и раньше, политики на уровне домена будут замещать собой политики локального компьютера, а групповые политики на уровне организационной единицы будут замещать собой политики на уровне домена.

Работа с групповыми политиками с помощью дополнительных программ

Теперь рассмотрим несколько программ командной строки, которые предназначены для работы с групповыми политиками. Первая из них является нововведением операционной системы Windoiws Vista. Вторая же присутствовала и в предыдущих версиях Windows.

• Migration Table. Расположение: %systemroot%\system32\mtedit.ехе.

Эту программу можно использовать при копировании групповых политик из одного домена в другой, для определения и изменения специфических для домена данных. При копировании групповых политик из одного домена в другой политики старого домена не всегда смогут работать на новом домене. Например, если политики основаны на SID учетных записей пользователей, которые никак не могут совпадать у двух доменов, данные политики работать не будут. В этом случае вам может понадобиться программа Migration Table, которая позволяет указать данные старого домена, например SID учетных записей и данные, на которые они будут автоматически заменены при копировании в новый домен.

С помощью программы Migration Table можно указать изменение следующих данных: SID групп и учетных записей пользователей, имена компьютеров, а также пути UNC. Эти данные могут встречаться как непосредственно в групповых политиках, так и в ACL для групповых политик или дополнительных файлов.

После работы Migration Table создается текстовый файл в формате XML с расширением MIGTABLE. Конечно, вы можете редактировать или даже самостоятельно создавать данный файл, не используя программы Migration Table, однако с ее помощью создание файла миграции существенно облегчается.

Для запуска программы Migration Table лучше всего воспользоваться оснасткой Управление групповой политикой. Для этого достаточно в контекстном меню домена или объекта групповой политики выбрать команду Открыть редактор таблиц миграции, после чего отобразится окно программы.

Чтобы просмотреть дополнительную информацию о данной программе, достаточно воспользоваться меню Справка для вывода справки по работе с ней.

• Group Policy Update Utility v6.0. Расположение: %systemroot%\system32\ Gpupdate.exe.

Эта программа командной строки также присутствовала в предыдущих версиях операционной системы Windows, поэтому мы не будем рассматривать ее подробно. С ее помощью можно выполнить немедленное обновление групповых политик компьютера на основе локальных и групповых политик домена. Для этого достаточно воспользоваться данной программой без параметров. При обновлении можно также указать следующие основные параметры.

– /target: – может принимать значения computer и user. Определяет тип политик, которые будут обновлены (по умолчанию обновляются оба типа политик).

– /Logoff – при завершении обновления политики выйти из системы.

– /boot – при завершении обновления политики перезагрузить компьютер.

Настройка групповых политик

Как ни странно звучит название этого подраздела книги, но операционная система Windows Vista содержит специальные групповые политики для настройки работы механизма групповых политик и RSoP (о RSoP будет рассказано при описании оснастки Результирующая политика). Все они расположены в подразделе Административные шаблоны → Система → Групповая политика разделов Конфигурация компьютера и Конфигурация пользователя. Они описаны в файле GroupPolicy.admx.

CLSID-номер оснастки: {5D617 9C8-17EC-11D1-9AA9-00C04FD8FE93}.

Библиотека: localsec.dll.

Используется в стандартных консолях: compmgmt.msc, lusrmgr.msc.

Работа с данной оснасткой, как и ее интерфейс, также совершенно не изменились. При добавлении оснастки вы можете выбрать компьютер, информацию которого она должна отображать. После этого оснастка будет добавлена.