Административные шаблоны

Одна из наиболее мощных опций, предназначенных для управления рабочими столами пользователей с помощью групповых политик, состоит в использовании административных шаблонов. Административные шаблоны применяются для конфигурирования параметров настройки системного реестра на компьютерах с системами Windows 2000 Server, Windows 2000 Professional, Windows XP Professional или Windows Server 2003. Административные шаблоны могут использоваться для конфигурирования большого количества разнообразных параметров настройки, которых существует более 700. Их так много, что этот раздел, возможно, не сможет охватить их все. В таблице 13-7 приводится краткий обзор только нескольких административных шаблонов, чтобы вы почувствовали силу групповых политик. Административные шаблоны имеются также и в Active Directory Windows 2000, но в Windows Server 2003 добавлено около 150 новых параметров настройки. В таблице 13-7 перечисляются также некоторые новые функции, которые доступны в Active Directory Windows Server 2003 клиентам с Windows XP Professional.
Табл. 13-7. Образецадминистративныхшаблонов


Место расположения административного шаблона

Пояснение

Computer Conf iguration\ Administrative Templates\ System\Net Logon

Обеспечивает разнообразные параметры настройки, управляющие местом расположения клиентского компьютера и кэшированием записей DNS контроллера домена.

Computer Configuration\ Administrative Templates\ System\Remote Assistance

Обеспечивает параметры настройки для функции Remote Assistance (Удаленная помощь), имеющейся в системе Windows ХР Professional.

Computer Conf iguration\ Administrative Templates\ Windows Components\ Terminal Services

Обеспечивает параметры настройки, которые могут использоваться для конфигурирования служб терминала Terminal Services на сервере и на клиентах.

User Conf iguration\ Administrative Templates\ Network\Network Connections

Обеспечивает конфигурирование параметров настройки, предназначенных для управления сетевыми связями, и ограничения доступа пользователей к сетевым подключениям.

User Conf iguration\ Admin istrative Templates\Control Panel
User Conf iguration\ Administrative Templates\ Windows Components\ Internet Explorer

Обеспечивает конфигурацию частей панели управления и возможности пользователей по изменению параметров настройки через панель управления.
Обеспечивает разнообразные параметры настройки, предназначенные для управления конфигурацией приложения Internet Explorer. Требуется Internet Explorer версии 5.01 или более поздней.

Дополнительная информация. Полный список всех параметров настройки групповых политик смотрите по адресу http:// www.microsoft.com/windowsxp/prdytechinfo/administration/ policy /winxpgpset.xls.
Одно из усовершенствований Active Directory Windows Server 2003 — это улучшенная справка по административным шаблонам. Теперь Active Directory поставляется с полным набором справочных файлов, детализирующих каждую подборку административных шаблонов. Чтобы получить доступ к расширенной справке по административным шаблонам, щелкните правой кнопкой мыши на папке Administrative Templates в редакторе объектов групповой политики и выберите Help (Справка). Затем выберите подходящую категорию административного шаблона. На рисунке 13-10 показаны детали, касающиеся категории System (Система).
Системные политики в Windows NT обеспечивают функциональные возможности, подобные функциональности административных шаблонов в Active Directory Windows Server 2003. Оба инструмента позволяют делать изменения системного реестра в системе клиентов для модификации конфигурации рабочей станции. Однако административные шаблоны обеспечивают существенные преимущества по сравнению с системными политиками. Одно из самых больших преимуществ состоит в том, что они не оставляют неудаляемых следов в системном реестре, как это делают системные политики. Когда вы делаете изменение, используя системную политику, оно записывается в системный реестр, и для того чтобы изменить эту установку снова, надо делать это вручную или использовать системную политику. Если вы удалите системную политику, изменения, сделанные к системному реестру, не будут удалены.

В Active Directory изменения системного реестра, сделанные административными шаблонами, записываются в специальные подключи в системном реестре. Любые изменения, сделанные в разделе User Configuration, записываются в ключе HKEY_CURRENT_USER и сохраняются в папке \Software\Policies или \Software\Microsoft\Windows\CurrentVersion\Policies. Изменения, сделанные в разделе Computer Configuration, сохраняются под теми же самыми подключами в ключе НКЕY_LOCAL_MACHINE. При начальной загрузке компьютера или при входе пользователей в систему загружаются обычные параметры настройки системного реестра, а затем эти ключи исследуются на наличие дополнительных параметров настройки. Если эти параметры будут найдены, то они загрузятся в системный реестр, записываясь поверх существующих записей, если такие записи имеются. Если административный шаблон удален, или компьютер (пользователь) будет перемещен в другой контейнер, где данный шаблон не применяется, информация в ключах Policies удаляется. Это означает, что административные шаблоны больше не применяются, но обычные параметры настройки системного реестра будут применяться.


Рис. 13-10. В Центре справки и поддержки имеется детальное описание каждой опции административного шаблона

Административные шаблоны хранятся в нескольких текстовых файлах .adm. По умолчанию эти файлы расположены в папке %systemroot %\Inf . В таблице 13-8 перечислены файлы административных шаблонов, которые по умолчанию устанавливаются с системой Windows Server 2003.
Табл. 13-8. Заданныепоумолчаниюшаблоны, загружаемыевсистему WindowsServer2003


Административный шаблон

Параметры настройки конфигурации

System.adm

Системные параметры настройки.

Inetres.adm

Параметры настройки приложения Internet Explorer.

Wmplayer.adm

Параметры настройки приложения Microsoft Windows Media Player.

Conf.adm

Параметры настройки приложения Microsoft NetMeeting.

Wuau.adm

Параметры настройки Windows Update.

Файлы административных шаблонов состоят из записей, определяющих опции, которые доступны через данный шаблон. Каждая запись в файле .adm выглядит так как показано на рисунке 13-11. В таблице 13-9 поясняются записи, относящиеся к шаблону.


Рис. 13-11. Одна из записей в файле System.adm

Административные шаблоны для каждой групповой политики хранятся в папке Sysvol, расположенной на контроллере домена, и реплицируются на все другие контроллеры домена в домене. Шаблоны хранятся в файле Registry.pol, расположенном в папке %systemroot%\ SYSVOL\ sysvol\ domainname\ Policies\ GroupPolicyGUID\ Machine для компьютерной конфигурации и в папке %systemroot%\ SYSVOL\ sysvol\ domainname\ Policies\ GroupPolicyGUID\ User для пользовательской конфигурации.
Табл. 13-9. Компонентыопциишаблона


Компонент шаблона

Объяснение

;

Policy (Политика) Keyname (Ключ)

Идентифицирует название политики.
Идентифицирует ключ системного реестра, который изменяется с помощью этой установки.

;

Компонент шаблона

Объяснение

Supported (Поддержанный)

Идентифицирует поддерживаемые рабочие станции или версии программного обеспечения, необходимые для этой установки. Включают поддержку Windows XP Professional, Windows 2000 или Windows 2000 с сервисным пакетом, Microsoft Windows Media Player, версия 9.

Explain (Объяснение)

Идентифицирует текст, который объясняет параметры настройки политики. Фактический текст дан ниже в файле .adm.

Part (Часть)

Идентифицирует записи, которые можно сконфигурировать для этой политики.

Valuename (^Значение)

Идентифицирует значение системного реестра, которое будет заполнено информацией из этого параметра настройки.

Административные шаблоны имеют большое количество административных опций. Только анализ всех политик и выделение тех, которые необходимы для вашей организации, может стать совершенно обескураживающей задачей. В большинстве случаев лучшим подходом к использованию административных шаблонов является медленное и осторожное начало. Возможно, вы захотите сконфигурировать некоторые основные параметры настройки, например, запретить пользователям использование инструментов редактирования системного реестра и изменение системы через большую часть панелей управления. Другой способ определить, какие параметры настройки являются наиболее критическими для вашей организации, состоит в том, чтобы проследить звонки, поступающие в сервисный отдел. Просматривая их, можно идентифицировать многие проблемы. Затем можно определить, имеется ли такой административный шаблон, который можно использовать для изменения этой установки или предотвращения возможного ее изменения пользователями после того, как вы сами ее сконфигурировали. Таким образом, вы сможете медленно внедрить политику административного шаблона, которая сможет справиться с наиболее критическими проблемами, возникающими в вашей сети.