Политики Windows

Выполнение рутинных задач день за днем, настройка системной политики и объяснение пользователям азов работы с ОС

• нерациональная трата времени. Ваша работа была бы гораздо эффективнее, если б вы могли автоматизировать эти задачи и сосредоточиться на более важных делах. Повышение производительности и возможность меньше заниматься мелочами в ущерб решению серьезных проблем — это и есть задача автоматизации. В Microsoft Windows 2000 масса ресурсов, позволяющих автоматизировать административные задачи, политику и процедуры. В этой глапе мы затронем:

• управление групповой политикой;

• управление сценариями пользователей и компьютеров;

• планирование выполнения задач. Управление групповой политикой Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, разрешениями и возможностями пользователей и компьютеров. Групповая политика позволяет:

• создавать централизованно управляемые каталоги для особых папок, например Desktop (Рабочий стол), — см. ниже раздел «Централизованное управление особыми папками»;

• контролировать доступ к компонентам Windows, системным ресурсам, сетевым ресурсам, функциям панели управления, рабочему столу и меню Start (Пуск) — см. обэтом раздел «Использование административных шаблонов для настройки политики»;

• настроить сценарии пользователей и компьютеров для выполнения в заданное время — см. об этом раздел «Управление сценариями пользователя и компьютера»;

• конфигурировать политику для снятия блокировки с учетной записи, для паролей, аудита, присвоения пользовательских прав и безопасности — см. часть II этой книги.

Понятие групповой политики

Групповую политику можно рассматривать как набор правил управления пользователями и компьютерами. Групповую политику можно применять в нескольких доменах, в индивидуальных доменах, в подгруппах внутри домена или в индивидуальных системах. В индивидуальных системах применяется локальная групповая политика — она хранится только на локальной системе. Другие групповые политики связаны как объекты в службе Active Directory. Чтобы понять, что такое групповая политика, нужно представлять структуру службы каталогов Active Directory. В Active Directoryлогические объединения доменов называются сайтами, а подгруппы внутри домена — организационными подразделениями (ОП). Так, в вашей сети могут быть сайты New York Main, CaliforniaMain и Washington Main. Внутри сайта WashingtonMain могут быть домены SeattleEast, Seattle West, SeattleNorth и SeattleSouth. Внутри домена SeattleEast могут быть ОП Information Services (IS), Engineering и Sales. Групповая политика применяется только в системах с Windows 2000. Политика для систем на базе Windows NT 4.0 настраивается при помощи SYSTEMPolicy Editor (poledit.exe). Для Windows95 и Windows98 нужен SYSTEMPolicy Editor, поставляемый с этими ОС, затем следует копировать файл политики в общий ресурс SYSVOL на контроллере домена. В каком порядке применяют несколько политик Если политик несколько, они применяются в таком порядке: 1. Политики Windows NT 4.0 (NTConfig.pol). 2. Локальные групповые политики. 3. Групповые политики сайта.4. Групповые политики домена. 5. Групповые политики ОН. 6. Групповые политики дочернего ОП, Если параметры политик конфликтуют, то параметры политики, применявшиеся позже, обладают приоритетом и заменяют ладанные ранее. Например, политика ОП обладает приоритетом над групповой политикой домена. У правила приоритета есть и исключения (см. раздел «Блокировка, перекрытие и отключение политики*).

Когда применяются групповые политики

Параметры политики делятся на две основные категории:

• применяемые к компьютерам;

• применяемые к пользователям: Первые применяются обычно при загрузке системы, вторые — при входе в систему. Точная последовательность событий часто важна при устранении неполадок в системе. Во время загрузки и регистрации происходят следующие события. 1. После запуска сети Windows 2000 применяет компьютерные политики. По умолчанию они применяются по очереди в указанном порядке. Интерфейс пользователя не отображается при обработке компьютерных политик. 2. Windows 2000 выполняет сценарии загрузки. По умолчанию они исполняются по очереди. Для выполнения очередного сценария нужно, чтобы выполнился предыдущий или прошло время его таймаута. Исполнение сценария не отображается для пользователя, если это не было задано. 3. Пользователь нажимает CTRL+ALT-t-DEL для входа в систему. Проверив его подлинность, Windows 2000 загружает профиль пользователя. 4. Windows 2000 применяет пользовательские политики. По умолчанию они применяются по очереди в указанном порядке. Интерфейс пользователя отображается при обработке политик пользователя. 5. Windows 2000 выполняет сценарии входа в систему. Сценарии входа в систему групповой политики исполняются одновременно по умолчанию. Исполнение сценария не

отображается для пользователя, если это не было задано. Сценарии и общем ресурсе Netlogcm выполняются последними в окне обычной командной оболочки, как и WindowsXT 4.0. 6. Windows 2000 отображает интерфейс стартовой оболочки, сконфигурированный в Group Policy.

Управление локальными групповыми политиками

У каждого компьютера с Windows 2000 есть одна локальная групповая политика. Локальной политикой на компьютере управляют так. 1. Откройте диалоговое окно Run (Запуск программы), щелкнув Start (Пуск), затем Run. 2. Наберите mmc в поле Open, затем щелкните ОК. Откроется Microsoft Management Console (MMC). 3. В MMC щелкните Console (Консоль), затем Add/Remove Snap-In (Добавить/Удалить оснастку). Откроется диалоговое окно Add/Remove Snap-In. 4. На вкладке Standalone щелкните Add (Добавить). 5. В диалоговом окне Add Snap-In щелкните Group Policy (Групповая политика), затем Add. Откроется диалоговое окно Select Group Policy Object. 6. Щелкните Local Computer для изменения локальной политики на вашем компьютере или Browse — для поиска локальной политики на другом компьютере. 7. Щелкните Finish (Готово), затем Close (Закрыть). 8. Щелкните ОК. Теперь можно управлять локальной политикой на выбранном компьютере. См. подробнее об этом раздел «Работа с групповыми политиками». Локальные групповые политики на каждом компьютере с Windows 2000 хранятся в папке %SYSTEMRoot%\SYSTEM32\ GroupPolicy. В ней содержатся следующие подпапки:

• Adm хранит файлы административных шаблонов, используемые в данный момент; файлы имеют расширение .adm; папка Adm находится только на контроллерах домена;

• Machine хранит сценарии компьютера в папке Script, a также регистрационную информацию о политике для HKEY_LOCAL_MACHINE (HKLM) в файле Rcgistry.pol;User хранит сценарии пользователей в панке Script и регистрационную информацию о политике для HKEY_ CURRENT_USER (HKCU) - в файле Registry.pol. Внимание! Не изменяйте эти папки и файлы напрямую — лучше используйте соответствующие свойства консоли Group Policy.

Управление политиками сайта, домена и ОП

У каждого сайта, домена и ОП может быть одна (или более) групповая политика. Групповые политики, перечисленные в списке Group Policy выше, обладают более высоким приоритетом, чем политики, приведенные ниже в списке. Как уже говорилось, групповые политики, настроенные на этом уровне, ассоциируются с Active Directory. Это гарантирует, что политики сайта правильно применяются в соответствующих доменах и ОП.

Создание и изменение политик сайта, домена и ОП

Политики сайта, домена и ОП можно создавать и изменять. 1. Оснастка Group Policy для сайтов запускается ил консоли Active DirectorySites And Services (Active Directory— сайты и службы). 2. Для доменов и ОП - из консоли Active DirectoryUsers And Computers (Active Directory— пользователи и компьютеры). 3. В корне консоли щелкните правой кнопкой сайт, домен или ОП, в котором хотите создать или управлять групповой политикой, и выберите Properties (Свойства). Откроется диалоговое окно свойств. 4. Выберите вкладку Group Policy. Существующие политики перечислены в списке Group Policy Object Links (рис. 4-1). 5. Чтобы создать политику или изменить существующую, щелкните New (Создать). Теперь можно настроить политику (см. раздел «Работа с групповыми политиками»), 6. Чтобы изменить существующую политику, выберите ее и щелкните Edit (Изменить). Теперь ее можно изменять (см. раздел «Работа с групповыми политиками»), 7. Кнопки Up или Down позволяют изменить приоритет политики (т. е. ее положение в списке связей ОГП).

%SYSTEMRoot%\SYSVOL\domain\policies на контроллере домена. В этих индивидуальных папках политик вы найдете папки:

• Adm хранит файлы административных шаблонов с расширением .adm, используемые в данный момент; папка Adm есть только на контроллерах домена;

• Machine хранит сценарии компьютера и папке Script, a также реестровые политики для раздела HKEY_LOCAL_ MACHINE (HKLM) в файле Registry.pol;

• User хранит сценарии пользователей в папке Script, a также реестровые политики для раздела HKEY_CURRENT_ USER (HKCU) в файле Registry.pol. |Щ Внимание! Не изменяйте эти папки и файлы напрямую — лучше используйте соответствующие свойства консоли Group Policy.

Блокировка, перекрытие и отключение политики

Наследование политики можно блокировать на уровне сайта, домена и ОП. Это значит, что вы можете либо блокировать, либо применять политики. На уровне сайта и домена также можно выполнять политику, или отказываться, или блокировать ее. Это позволяет администраторам высшего уровня выполнять политики и предотвращать их блокирование. Другой доступный параметр — отключение политики. Политику можно отключать частично или полностью, фактически не удаляя ее. Эти параметры политики конфигурируются в следующей последовательности. 1. Перейдите на вкладку Group Policy для работы с нужным сайтом, доменом или ОП, как описано в разделе «Создание и изменение политик сайта, домена и ОП*. 2. Выберите Block Policy Inheritance для предотвращения наследования полит-тк более высокого уровня (если для этих политик не включен параметр No Override). 3. Параметр No Override (He перекрывать) позволяет предотвратить блокирование политиками нижнего уровня параметров политики. Включите или выключите параметр No Override, дважды щелкнув в соответствующем столбце справа от элемента групповой политики. Галочка показывает, что параметр включен. 4. Параметр Disabled позволяет предотвратить применение политики. Настройте или очистите параметр Disabled, дважды щелкнув в соответствующем столбце справа от элемента групповой политики. Галочка показывает, что параметр включен. Совет Отключить политику можно, заблокировав ветви параметров Computer Configuration или User Configuration, или и тех, и тех. Для этого щелкните Properties на вкладке Global Policy, затем поме~ьте или сбросьте флажок Disable Computer Configuration {Settings (Отключить параметры конфигурации компьютера) и Disable User Configuration Settings (Отключить параметры конфигурации пользователя). Применение существующей политики к новой области в сети Любая созданная групповая политика может быть связана с другим компьютером, ОП, доменом или сайтом. Связывая

политику с другим объектом, можно использовать параметры политики без их воссоздания. Вот как применить к новому месту в сети существующую политику. 1. Перейдите на вкладку Group Policy для нужных сайта, домена или ОП. 2. На вкладке Group Policy щелкните Add. Откроется диалоговое окно Add A Group Policy Object Link (Добавить ссылку на объект групповой политики) (рис. 4-2).

3. Используйте вкладки и поля, чтобы найти групповую политику, которую хотите применить для текущего размещения. Выбрав политику, щелкните ОК. 4. Active Directoryсоздает связь между объектом групповой политики (ОГП) и контейнером сайта- домена или ОП, с которым вы работаете. Модифицируя политику в любом месте, вы изменяете образец объекта, и изменения вступают в силу глобально.

Удаление групповой политики

Вы можете отключить или удалить те групповые политики, которые не используете.

1. Перейдите на вкладку Group Policy для работы с нужным сайтом, доменом или ОП (см. раздел «Создание и изменение политик сайта, домена и ОП»). 2. Выберите политику, которую хотите удалить, и щелкните Delete. 3. Если политика связана, можно удалить лишь связь, не затрагивая другие контейнеры, использующие эту политику. Для этого в диалоговом окне Delete выберите Remove The Link From The List (Изъять ссылку из списка, не удаляя объект). 4. Если политика связана, связь и соответствующий ОГП можно удалить, при этом политика удаляется окончательно. Для этого выберите Remove The Link And Delete The Group Policy Object Permanently (Изъять ссылку из списка и окончательно удалить объект групповой политики).

Работа с групповыми политиками

Выбрав политику для изменения или создав новую, вы будете использовать консоль Group Policy для работы с групповыми политиками.

Знакомство с консолью Group Policy

В консоли Group Policy два основных узла (рис. 4-3), которые позволяют настраивать:

• Computer Configuration — политики применяемые, к компьютерам независимо от того, кто регистрируется;

• User Configuration — политики, применяемые к пользователям, независимо от того, с какого компьютера они входят в сеть. Точная конфигурация Computer Configuration и User Configuration зависит от настроенных дополнений и типа создаваемой политики. Обычно и у Computer Configuration, и у User Configuration имеются следующие подузлы.

• Software Settings (Конфигурация программ) настраивает политики для параметров и установки ПО; при настройке ПО подузлы мог>т добавляться в Software Settings;

• WindowsSettings (Конфигурация Windows) настраивает политики для перенаправления папок, сценариев и безопасности;

Administrative Templates (Административные шаблоны) настраивает политики для ОС, компонентов Windowsи программ; административные шаблоны конфигурируются при помощи файлов шаблонов, которые можно добавлять/удалять.

Примечание Полное обсуждение всех доступных параметров выходит за рамки этой книги. В дальнейших разделах мы сосредоточимся на перенаправлении папок и административных шаблонах. О сценариях см. раздел «Управление сценариями пользователя и компьютера», о безопасности — часть II этой книги.

Централизованное управление специальными папками

Можно централизованно управлять специальными папками Windows 2000, перенаправляя их в центральный сетевой каталог вместо использования стандартных каталогов на отдельных компьютерах. Специальные папки, которыми можно централизованно управлять:

• Application Data;

• Desktop (Рабочий стол);

• Start Menu (Меню Пуск);

• My Documents (Мои документы);

• My Pictures (Мои рисунки). Вы можете перенаправить специальную папку в единый сетевой каталог для всех пользователей или назначить каталоги, исходя из участия пользователей в группах безопасности. В любом случае убедитесь, что нужный вам. сетевой каталог доступен общим сетевым ресурсом. Подробнее о совместном использовании данных в сети см. главу 13.

Перенаправление специальной папки в единый каталог

1. Откройте консоль Group Policy для работы с нужным сайтом, доменом или ОП, как описано в разделе «Создание и изменение политик сайта, домена и ОП». 2. В узле User Configuration раскройте узел WindowsSettings и выберите Folder Redirection (Перенаправление папки). 3. Щелкнув правой кнопкой папку, с которой хотите работать, например Application Data, выберите Properties. Откроется окно свойств (рис. 4-4). 4. На вкладке Target (Размещение) в списке Setting (Политика) выберите Basic' — Redirect Everyone's Folder To The Same Location (Перенаправлять папки всех пользователей в одно место). 5. Введите в поле Target Folder Location (Размещение конечной папки) путь к централизованной папке. В ней будут храниться все данные специальной папки. Задавайте путь к общей папке в формате UNC, например \\Zeta\UserData. Для поиска папки щелкните Browse (Обзор) в диалоговом окне Browse For Folder (Обзор папок). Совет По умолчанию данные всех пользователей хранятся вместе. Чтобы пользовательские данные распределялись по подлапкам, добавьте в путь переменную %UserName%. Например, вместо явного пути \\Zeta\UserData введите \\Zeta\UserData\%UserName%.

6. Щелкните вкладку Settings и в следующих полях задайте дополнительные параметры:

• Grant The User Exclusive Rights To ... (Предоставить исключительные права для ...) наделяет пользователей всеми правами доступа к их данным в специальной папке;

• Move The Contents Of ... To The New Location (Перенести содержимое ... в новое место) перемещает данные в специальных папках с индивидуальных систем в центральную сетевую папку (папки). 7. Чтобы завершить ПРОЦЕСС, щелкните ОК,

Перенаправление специальной папкив зависимости от членства в группе

1. Откройте консоль Group Policy для работы с нужным сайтом, доменом или ОП. 2. В узле User Configuration вы найдете WindowsSettings. Раскройте его двойным щелчком и выберите Folder Redirection.

Щелкнув правой кнопкой нужную специальную папку, например Application Data, выберите Properties. На вкладке Target в списке Setting выберите Advanced — Specify Locations For Various User Groups (Указать различные места для разных групп пользователей). В диалоговое окно свойсг<'в добавится панель Security Group Membership (рис. 4-5).

5. Щелкните Add, чтобы открыть окно Specify Group And Location (Выбор группы и размещения). Или выберите существующий групповой элемент и щелкните Edit (Изменить) для изменения его параметров. 6. В поле Security Group Membership (Членство в группе безопасности) введите имя группы безопасности, для которой хотите включить перенаправление. Щелкните Browse, чтобы найти группу безопасности. 7. В поле Target Folder Location введите путь к общей папке. В ней будут храниться данные группы. Введите путь к общей папке в формате UNC, например \\Zeta\UserData. Для поиска панки щелкните Browse в диалоговом окне Browse For Folder.

Совет По умолчанию данные всех пользователей хранятся вместе. Чтобы пользовательские данные распределялись по подпапкам, добавьте в путь переменную %UserName%. Например, вместо явного пути \\2eta\UserData введите \\Zeta\UserData\%UserName%. 8. Щелкните ОК. Затем повторите ни. 5-7 для других групп, которые хотите конфигурировать. 9. Добавив записи групп, щелкните вкладку Settings и в следующих полях задайте дополнительные параметры:

• Grant The User Exclusive Rights To ... наделяет пользователей всеми правами доступа к их данным в специальной папке;

• Move The Contents Of ... To The New Location перемещает данные в специальных папках с индивидуальных систем в центральную сетевую папку (папки).

Отмена перенаправления

Иногда требуется отменить перенаправление из конкретной специальной папки. 1. Откройте подузел Folder Redirection в консоли Group Policy. 2. Щелкнув правой кнопкой нужную специальную папку, выберите Properties. 3. Выберите вкладку Settings, затем убедитесь, что выбран соответствующий параметр Policy Removal. Доступны два параметра: Leave The Folder In The New Location When Policy Is Removed (После удаления политики переместить папку) или Redirect The Folder Back To The Local Userprofile Location When Policy Is Removed (После удаления политики перенапранить папку обратно в локальный профиль пользователя). При выборе первого файлы и папки остаются к перенаправленной папке, даже когда перенаправление удалено, при выборе второго файлы и папка возвращаются в локальную папку пользовательского профиля. 4. Выбрав параметр Policy Removal, щелкните Apply (Применить), затем — вкладку Target. 5. Чтобы удалить все определения перенаправления для специальной папки, в списке Setting выберите No Administrative Policy Specified.

6. Чтобы удалить перенаправления конкретной группы безопасности, выберите группу безопасности в панели Security Group Membership и щелкните Remove (Удалить).

7. Щелкните ОК.

Настройка политик с помощью административных шаблонов

Административные шаблоны облегчают доступ к реестровым параметрам политики, которые может понадобиться конфигурировать.

Обзор административных шаблонов и политик

Набор административных шаблонов по умолчанию конфигурируется для пользователей и компьютеров в консоли Group Policy (рис. 4-6). Административные шаблоны можно добавлять/удалять. Любые изменения в политиках, совершаемые через административные шаблоны, сохраняются в реестре. Конфигурации компьютеров сохраняются в разделе HKEY_ LOCAL_MACHINE (HKLM), а конфигурации пользователей - в HKEY_CURRENT_USER (HKCU).

Настроенные шаблоны позволяет просмотреть узел Administrative Templates (Административные шаблоны) консоли Group Policy. Он содержит политики, конфигурируемые для локальных систем, ОН, доменов и сайтов. В ветвях Computer Configuration и User Configuration находятся разные наборы шаблонов. Можно вручную добавлять дополнительные шаблоны, содержащие новые политики, в консоль Group Policy, а также при настройке- новых компонентов Windows. Пользовательский интерфейс для узла Administrative Templates настраивается в файлах с расширением .adm. Эти текстовые файлы в формате ASCII можно редактировать или создавать в стандартном текстовом редакторе. При конфигурации политик в узле Administrative Templates параметры политики сохраняются в файлах Registry.pol. Для разделов реестра HKEY_LOCAL_MACHINE (HKLM) и HKEY_CURRENT_ USER (HKCU) применяются отдельные файлы Registry.pol. Узнать, какие политики административных шаблонов доступны, можно, просмотрев узлы Administrative Templates в консоли Group Policy. Вы увидите, что политики находятся в одном из трех состояний:

• Not Configured — политика не используется, и ее параметры не сохранены в реестре;

• Enabled — политика активно выполняется, и ее параметры сохраняются к реестре;

• Disabled — политика отключена и не выполняется, если не замещена; этот параметр сохраняется в реестре. Включение, отключение и конфигурация политик 1. Откройте консоль Group Policy для работы с нужным сайтом, доменом или ОП. 2. Откройте папку Administrative Templates в узле Computer Configuration или User Configuration в зависимости от конфигурируемого типа политики. 3. В левой панели щелкните подпапку, содержащую нужные вам политики. Соответствующие политики отобразятся в правой панели. 4. Щелкните дважды или правой кнопкой политику и выберите Properties, чтобы открыть окно ее свойств.

5. Щелкните вкладку Explain для просмотра описания политики. Описание доступно, только когда определено в соответствующем файле с расширением .adm. 6. Для конфигурации состояния политики щелкните вкладку Policy, а затем используйте переключатели для изменения состояния политики:

• Not Configured (He задана);

• Enabled (Включена);

• Disabled (Отключена). Примечание Компьютерные политики обладают приоритетом в Windows 2000. При конфликте между параметром компьютерной и пользовательской политики применяется компьютерная политика. 7. Включив политику, настройте любые дополнительные параметры на вкладке Policy (Политика), затем щелкните Apply (Применить). 8. Кнопки Previous Policy и Next Policy позволяют перейти к другим политикам в текущей папке. Конфигурируйте их тем же образом. 9. Настроив политики, щелкните ОК.

Добавление или удаление шаблонов

Папки шаблонов в консоли Group Policy можно добавлять/ удалять. \. Откройте консоль Group Policy для работы с нужным сайтом, доменом или ОП. 2. Щелкните правой кнопкой папку Administrative Templates в узле Computer Configuration или User Configuration — для того тина шаблона, который вы хотите добавить/удалить. Откроется окно Add/Remove Templates (рис. 4-7). 3. Чтобы добавить новый шаблон, щелкните Add. В окне Policy Templates щелкните добавляемый шаблон, а затем — Open. 4. Для удаления существующего шаблона выберите шаблон для удаления и щелкните Remove. 5. Завершив добавление/удаление шаблонов, щелкните Close. Управление сценариями пользователей и компьютеров В Windows 2000 можно конфигурировать четыре типа сценариев;

• Computer Startup — выполняется во время загрузки;

• Computer Shutdown — выполняется перед завершением работы;

• User Logon — выполняется при входе пользователя в систему;

• User Logoff — выполняется при выходе пользователя из системы.

Можно писать пакетные сценарии командного ПРОЦЕССора с расширением .ВАТ или .CMD, или же сценарии для WindowsScript Host (WSH). WSH — новый компонент Windows 2000 — позволяет использовать язык сценариев, например VBSscript, без встраивания его кода в Web-страницу. Для обеспечения универсальной среды исполнения WSH опирается на ядра сценариев — компоненты, определяющие базовый синтаксис и структуру отдельного языка сценариев. Windows 2000 оснащена ядрами сценариев VBScript и JScript. Доступны и другие ядра сценариев.

Назначение сценариев загрузки компьютера и завершения работы

Сценарии загрузки компьютера и завершения работы назначаются как часть групповой политики. Таким образом, все компьютеры — члены сайта, домена и/или ОП — автоматически исполняют сценарии при загрузке или завершении работы.

Примечание Сценарии загрузки компьютера можно назначить в виде назначенных заданий с помощью мастера Task Scheduler (см. раздел «Назначение заданий»). Сценарий загрузки компьютера или завершения работы назначается так. 1. Для облегчения управления скопируйте нужные сценарии в папку соответствуй) щей политики Compute r\Scripts\Startup или Computer\Scripts\Shutdown. Политики хранятся в папке %SysteinRoot%\SYSVOL\dornain\policies на контроллерах домена. 2. Откройте консоль Group Policy для работы с нужным сайтом, доменом ил.и ОП. 3. В узле Computer Configuration дважды щелкните папку WindowsSettings. Затем щелкните Scripts. 4. Для работы со сценариями загрузки щелкните правой кнопкой Startup, затем выберите Properties. Или щелкните правой кнопкой Shutdown и выберите Properties для работы со сценариями Shutdown. Откроется диалоговое окно (рис. 4-8).

5. Щелкните Show Files. Если вы скопировали сценарий компьютера в нужное место в папке политик, вы должны унидеть этот сценарий. 6. Чтобы назначить сценарий, щелкните Add. Откроется окно Add A Script. В поле Script Name введите имя сценария, скопированного в панку соответствующей политики Computer\Scripts\Startup или Computer\Scripts\Shutdown. В поле Script Parameter введите для WSH-сценария аргументы командной строки, которые нужно передать в сценарий, или параметры, которые нужно передать серверу сценариев. Повторите этот шаг для добавления других сценариев. 7. При загрузке или завершении работы сценарии исполняются в том порядке перечисления в окне свойств. Кнопки Up или Down позволяют упорядочить сценарии. 8. Если вы хотите позже изменить имя сценария или параметры, выберите сценарий в списке Script For и щелкните Edit. 9. Чтобы удалить сценарий, выберите его в списке Script For и щелкните Remove.

Назначение сценариев входа и выхода пользователя

Сценарии пользователей можно назначить одним из трех способов.

• Сценарии входа и выхода можно назначать как часть групповой политики. Таким образом, вес пользователи — члены сайта, домена и/или ОП — автоматически исполняют сценарии при входе или выходе.

• Можно индивидуально назначать сценарии входа в консоли Active DirectoryUsers And Computers. Таким образом, каждому пользователю или группе можно приписать отдельный сценарий входа (см. главу 9).

• Можно активизировать индивидуальные сценарии входа через механизм назначения заданий из мастера Task Scheduler (см. раздел «Назначение заданий*). Пользовательский сценарий групповой политики назначается так. 1. Для облегчения управления скопируйте нужные вам сценарии в папку соответствующей политики User\Scripts\Logon или User\Seripts\Logoff. Политики хранятся в папке %SYSTEMRoot%\SYSVOL\domain\policies на контроллерах домена. 2. Откройте консоль Group Policy для работы с нужным сайтом, доменом или ОП. 3. В узле User Configuration дважды щелкните папку WindowsSettings, а затем — Scripts. 4. Для работы со сценариями входа щелкните правой кнопкой Logon, затем выберите Properties. Или щелкните правой кнопкой Logoff и выберите Properties. Откроется такое диалоговое окно (рис. 4-9):

5. Щелкните Show Files. Если вы скопировали сценарий пользователя в нужное место в папке политик, вы его увидите. 6. Щелкните Add для назначения сценария. Откроется окно Add A Script. В поле Script Name введите имя сценария, скопированного в панку соответствующей политики User\ Scripts\Logon или User\Scripts\Logoff. В поле Script Parameter введите для WSH-сценария аргументы, которые

нужно передать в сценарии командной строки, или параметры, которые нужно передать серверу сценариев. Повторите этот шаг для добавления других сценариев. 7. При входе/выходе сценарии выполняются в порядке перечисления в окне свойств. Кнопки Up или Down позволяют упорядочить сценарии. 8. Если вы хотите позже изменить имя сценария или параметров, выберите сценарий в списке Script For и щелкните Edit. 9. Чтобы удалить сценарий, выберите его в списке Script For и щелкните Remove.

Назначение заданий

Администратору часто приходится выполнять обновление или профилактические работы в, так сказать, «личное» время. Но кому охота приходить на работу в 3 часа ночи в понедельник? СЛУЖБАTask Scheduler позволяет назначить выполнение задания один раз или же его автоматическое выполнение в любое время дня или ночи. Задания автоматизируются с помощью сценариев командных ПРОЦЕССоров, сценариев WindowsScript Host или приложений, исполняющих для вас нужные команды. Например, если вы хотите создавать резервные копии системного диска по будням в полночь, создайте сценарий, выполняющий резервные копии и записывающий результаты в файл журнала.

Средства назначения заданий

Назначать задания на локальных или удаленных системах в Windows 2000 помогают мастер Task Scheduler или АТ-планировщик командной строки. У каждого способа есть свои преимущества и недостатки. Мастер предоставляет удобный графический интерфейс. Это упрощает конфигурацию заданий, не заставляя думать о синтаксисе. Однако в этом случае у вас нет центрального места для проверки назначенных заданий во всей сети, и вам приходится вызывать мастер на каждой системе, которую надо конфигурировать. С другой стороны, команда AT не имеет дружественного интерфейса: вам придется изучить синтаксис и вводить команды. Преимущество AT в том, что вы можете назначить от-дельный сервер планировщиком заданий, просматривать и назначать задачи по всей сети с этого сервера.

Подготовка к назначению заданий

Task Scheduler по умолчанию регистрируется под учетной записью Local SYSTEM. Обычно эта учетная запись не позволяет выполнять административные задачи. Поэтому настройте Task Scheduler для запуска под учетной записью, полномочной для выполнения заданий, которые вы хотите назначить. Вы также должны убедиться, что Task Scheduler готова к автоматическому запуску на всех системах, на которых вы назначаете задания. Настройте учетную запись запуска и регистрации Task Scheduler, как описано в главе 3. Сценарий должен конфигурировать любые параметры пользователя. Это гарантирует, что все, что делает сценарий, находится под его контролем и что доменные пользовательские параметры, например проекции дисков, будут доступны. Назначение заданий при помощи Task Scheduler Task Scheduler позволяет назначать задачи на локальной или удаленной системе, с которой в данный момент установлено соединение. Вызвать Task Schedtiler и просмотреть текущие назначенные задания можно из папки Scheduled Tasks (Назначенные задания).

Открытие папки Scheduled Tasks

Вы можете открыть п.шку Scheduled Tasks на локальной системе одним из следующих способов:

• запустите Проводник, дважды щелкните Control Panel (Панель управления), а затем — Scheduled Tasks (Назначенные задания);

• раскройте меню Start\Settings\Control Panel (Пуск\Настройка\Панель управления) и дважды щелкните Scheduled Tasks. На удаленной системе папка Scheduled Tasks открывается так. 1. Запустите Explorer и и узле My Network Places найдите нужный компьютер. 2. Дважды щелкните значок компьютера, а затем — Scheduled Tasks.

Обзор и управление существующими заданиями

Записи в папке Scheduled Tasks показывают текущие назначенные задания (рис. 4-10). 1. Дважды щелкнув Add Scheduled Tasks (Добавить задание), запустите мастер Task Scheduler. 2. Дважды щелкните ярлык существующего задания для просмотра или изменения его свойств. Вы можете настроить дополнительные параметры на вкладке Settings. 3. Щелкните ярлык задания и нажмите Delete для удаления задания.

Создание заданий при помощи мастера Task Scheduler

1. Запустите Task Scheduler, дважды щелкнув Add Scheduled Task в папке Scheduled Tasks, затем щелкните Next. 2. В диалоговом окне (рис. 4-11) выберите программу для назначения. Здесь перечислены основные приложения, зарегистрированные в системе, например Disk Cleanup и Synchronize. Здесь не показаны доступные сценарии.

Щелкните Browse, чтобы открыть окно Select Program To Schedule (Выберите приложение, для которого следует составить расписание), и найдите командный ПРОЦЕССор или сценарий WSH, выполнение которого хотите запланировать.

4. Выберите расписание выполнения задания. Задания можно назначать периодически (ежедневно, еженедельно или ежемесячно) или когда происходит конкретное СОБЫТИЕ, например, при запуске компьютера или входе пользователя. 5. Щелкните Next и выберите день и время выполнения назначенного задания. Появление следующего диалогового окна зависит от того, когда назначено выполнение задания. fi. luvm ны настроили ежедневное выполнение задания, появится диалоговое окно для выбора дня и времени (рис. 4-13). Можно конфигурировать ежедневное выполнение так:

• Every Day — 7 дней в неделю;

• Weekdays — с понедельника по пятницу;

• Every...Days — каждые 2, 3....N дней.

Если вы выбрали еженедельное выполнение задания, появится диалоговое окно выбора дня и времени (рис. 4-14), Сконфигурируйте задание в следующих полях:

• Start Time — настраивает время запуска задания;

• Every...Weeks — позволяет выполнять задание каждую неделю, каждые две недели или каждые N недель.

• Select The Day(s) Of The Week Below — настраивает день (дни) недели, когда выполняется задание, например, понедельник или понедельник и пятница.

явится окно выбора дня и времени (рис. 4-15). Конфигурируйте задание, используя следующие поля:

• Start Time — задает время запуска задания;

• Day — задает день месяца, когда выполняется задание. Например, если вы выберете 5, задание будет выполняться на пятый день месяца;

• The...Day — настраивает выполнение заданий на п-й день недели в месяце, например, второй понедельник или третий вторник каждого месяца;

• Of The Month(s) — флажки задают, по каким месяцам выполняется задание. 9. Если вы выбрали One Time Only, появится окно выбора дня и времени (рис. 4-16). Настройте время и лень запуска.

10. В заданиях, выполняемых при загрузке компьютера или при входе пользователя, не надо устанавливать день и время. Задание выполняется автоматически, когда происходит СОБЫТИЕзагрузки или входа. Совет Чтобы настроить задание, выполняемое при загрузке для конкретного пользователя, войдите под его учетной записью и запустите мастер. 11. Задав день и время запуска, щелкните Next. Затем введите имя пользователя и пароль, которые могут применяться при выполнении назначенного задания. У этого имени пользователя должны быть соответствующие разрешения и привилегии для выполнения назначенного задания. 12. Последнее диалоговое окно мастера содержит сводку назначения задания. Щелкните Finish (Готово) для завершения ПРОЦЕССа назначения. Если произойдет ошибка, появится сообщение. Щелкните ОК. Задание должно быть создано. После этого дважды щелкните в Проводнике задание, чтобы исправить проблемы в окне свойств.

Назначение заданий при помощи команды AT

Контролировать службы Task Scheduler позволяет и команда AT: вы можете назначать задания повсюду в сети, не входя на удаленные системы. Можно настраивать выполнение заданий однократно или периодически по расписанию.

Использование команды AT

Для назначения задач при помощи команды AT вы должны быть членом локальной группы администраторов. Задания назначаются в 24-часо1юм формате, где 12:00 — это полдень, а 00:00 — полночь. AT не загружает автоматически интерпретатор команд до выполнения встроенных утилит командной строки, таких как DEL, COPY или MOVE. Потребуется явная загрузка cmd.ete в начале команды. Например, чтобы скопировать c:\mydata \*.* в e:\backups\mydata, введите: AT 00:00/every:M,T,W,Th, FMcmd/c copy/Q c:\mydataV.* e:\backups\mydata" Работая с программами и утилитами, у которых есть отдельные исполняемые файлы, не запускайте отдельный экземпляр интерпретатора команд. Вы можете работать прямо с исполняемым файлом. Исполняемый файл должен быть в каталоге, доступном через переменную окружения %РАТН%. Вот как можно назначать сценарий создания резервных копий, выполняемый через день в 1:00: AT 01:00/every:1,3,5,7,&,11,13,15,17,19,21,23,25,27,29,31 backup.js При использовании дней, обозначенных цифрами, у вас может быть любое значение от 1 до 31. Выполнение заданий также назначается в соответствии с текущим днем. Для этого определите только время запуска, а не день выполнения. Так, запустить сценарий очистки в 3:00 позволяет команда: AT 03:00 cleanup.js Можно назначать выполнение заданий на другой день. Так, если сегодня вторник it вы хотите, чтобы задание было выполнено в пятницу, можете дать команду: AT 08:10/nextF update.vbs

Обычно задания выполняются как фоновые ПРОЦЕССы. Однако можно настроить интерактивное выполнение заданий. Для этого служит ключ /interActive, например: AT 03:00/interActive/every:T,Th backup.vbs Назначение заданий на удаленных системах Команда AT упрощает назначение задач, выполняемых на удаленных системах. Введите UNC-имя компьютера до настройки других параметров. Например, если вы хотите назначить выполнение задания на компьютере с именем PLUTO, пиелите в командной строке на вашей системе: AT\\PLUTO 08:10/next:F update.vbs Вы также можете указать IP-адрес компьютера: АТ\\192.51.62.8 09:30/every:M,W,F cleanup.js Используйте этот параметр, только если IP-адрес статичен. Назначение задач на удаленных системах предполагает, что:

• вы настроили службу Task Scheduler на PLUTO для использования входа с соответствующими разрешениями;

• СЛУЖБАTask Scheduler выполняется;

• сценарии расположены в каталогах, которые можно найти в пути, настроенном для учетной записи входа службы. Обзор назначенных заданий Можно просматривать назначенные задания на локальных и удаленных системах. На локальной системе введите AT в командной строке и нажмите Enter. На удаленной системе введите AT перед UNC-именем нужной нам системы: АТ\\ PLUTO При просмотре заданий вы получаете следующий результат: Status ID ! 2 3 Day EachHWF EachTTh EachSu Time 3:00 AM 5:00 AM 8:00 AM Command Line backup. vbs cleanup. js update. js Status - указывает статус каждого задания. Элемент «нусто»'свидетельствует о статусе ОК. Иначе будет выдано сообщение об ошибке, например ERROR.

• Ш — показывает уникальный идентификатор для каждого задания.

• Day — показывает, когда назначено выполнение задания. Повторные задания начинаются с ключевого слова Each, например Each M - каждый понедельник. Однократно выполняемые задания начинаются с ключевого слова Next, например Next 3, т. с. в следующий раз это будет третий день месяца.

• Time — показывает иремя, на которое назначено выполнение программы. Заметьте, что время для назначения заданий отображается в 12-часовом формате.

• Command Line — показывает команду или исполняемый файл, выполняемый в назначенное время. Для отображения индивидуальных заданий можно использовать код задания: AT 2 или: AT\\zeta 2 Удаление заданий Также можно использовать код задания для удаления заданий или для отмены всех назначенных заданий. Отдельное задание удаляется так: AT 2/delete или: AA\zeta 2/delete Все- задания отменяются вводом ключа /delete без кода: AT/delete или: AT\\zeta/delete