Групповые политики — средство совершенствования и централизации управления настройкой рабочего стола пользователя. Их можно применять для управления программами, доступными пользователям и появляющимися на его рабочем столе или в меню Start (Пуск)

Групповые политики представляют собой набор параметров конфигурации, которые администратор групповой политики применяет к одному или нескольким объектам.

Локальные объекты групповой политики существуют на каждом компьютере с Windows 2000, и по умолчанию в них сконфигурированы только параметры безопасности. Локальный GPO хранится в папке %syste-mroot%\System32\GroupPolicy и имеет следующие разрешения:

а) Administrators (Администраторы)— Full Control (Полный доступ)
б) System (Система) - Full Control;
в) Authenticated Users (Прошедшие проверку) — Read&Execute (Чтение и выполнение), List Folder Contents (Список содержимого папки) и Read (Чтение).

Группы System и Authenticated Users — системные.

Оснастка Group Policy (Групповая политика) — основной инструмент администратора для определения и управления поведением программ, сетевых ресурсов и ОС для пользователей и компьютеров в организации.

Консоль ММС позволяет создать инструмент, содержащий оснасти Group Policy для каждого GPO, которым хотите управлять. Открыв интерфейс ММС, можно добавить Group Policy (Групповая политика) как изолированную оснастку, при этом выбрав связанный с ней GPO. Добавив оснастку Group Policy (Групповая политика) для каждого GPO, нужно сохранить консоль как файл .mmc. Впоследствии можно в любой момент открыть этот файл для управле-ния объектами GPO, которые были добавлены в консоль. Можно также добавлять или удалять GPO по мере надобности.

В одноранговой сети Групповая политика — это есть Политика «Локальный компьютер». Создать такую оснастку можно так, как указано в пункте 5.1.1, либо используя консоль Gpedit.msc. Для этого необходимо:

а) в меню Start (Пуск) выбрать команду Run (Выполнить);
б) ввести Gpedit.msc и щелкнуть кнопку ОК (рисунок 1 Диалоговое окно консоли Gpedit.msc).

Если нужно редактировать локальный объект групповой политики, хранящийся на другом компьютере в сети, то можно открыть групповую политику как автономную оснастку консоли управления (MMC) и выбрать необходимый объект групповой политики.

Из оснастки Групповая политика (Group Policy) можно задать параметры групповой политики для компьютеров и учетных записей пользователей.

Интерфейс оснастки Групповая политика (Group Policy) включает в себя узлы Computer Configuration (Конфигурация компьютера) и User Configuration (Конфигурация пользователя). Каждый узел отображает расширения:

1) Software Settings (Конфигурация программ). Папки узла Computer Configuration содержат параметры среды пользователя или применения правил для компьютеров в сети. Политики Computer Configuration применяются при инициализации операционной системы. Если назначить компьютерам пользовательские политики, они будут применяться ко всем пользователям этих компьютеров независимо от организационного подразделения, членами которого они являются. Этот узел содержит подузел Установка программ и, возможно, другие подузлы, помещенные туда независимыми поставщиками программного обеспечения;
2) Windows Settings (Конфигурация Windows). Содержит папки с параметрами среды пользователя или применения правил для пользователей в сети. Они включают все определенные пользователем политики, например, вид рабочего стола, параметры приложений, сценарии входа выхода, назначенные и опубликованные приложения. Политики User Configuration (Конфигурация пользователя) применяются при регистрации пользователя на компьютере. Узел, расположенный в Конфигурация компьютера/Конфигурация Windows, содержит конфигурации, применяющиеся ко всем пользователям, входящим в систему. Этот узел состоит из двух подузлов: Параметры безопасности и Сценарии (вход/выход). Узел, расположенный в Конфигурация пользователя/Конфигурация Windows, содержит конфигурации программ, применяющиеся ко всем пользователям. Этот узел состоит из трех подузлов: Параметры безопасности, Сценарии (вход/выход) и Настройка Internet Explorer;
3) Administrative Templates (Административные шаблоны). Узел групповой политики «Административные шаблоны» содержит все сведения о политике на основе реестра. Конфигурация пользователя содержится в HKEY_CURRENT_USER (HKCU), а конфигурация компьютера содержится в HKEY_LOCAL_MACHINE (HKLM). Программные параметры политики включают групповую политику для программ, операционной системы Windows 2000 и ее компонентов. Пространство имен в узле «Административные шаблоны» заполняется с использова-нием файлов с расширением .adm или других расширений групповой политики. При первом использовании этого узла файлы .adm автоматически устанавливаются.

Все оснастки и узлы консоли Групповая политика показаны на рисунке 2 Окно консоли Групповая политика).

Оснастка Установка программ помогает задать установку и сопровождение программ в организации.

Управление приложением происходит посредством объекта групповой политики, который в свою очередь связан с конкретным контейнером Active Directory, будь то сайт, домен или подразделение.

Приложение назначается, когда необходимо, чтобы оно было установлено на всех компьютерах.

Приложение публикуется, когда необходимо сделать его доступным тем пользователям, управляемым объектом групповой политики, кто хочет установить это приложение. Каждый пользователь может решить устанавливать или нет публичное приложение. Для этого необходимо открыть окно Установка и удаление программ на панели управления, выбрать нужное приложение в списке публичных приложений и установить его.

Чтобы назначить или опубликовать приложение:

а) откройте оснастку Group Policy для соответствующего GPO
б) выберите подкаталог Software Settings\Software (Конфигурация программ) из узла Computer Configuration или User Configuration.
в) в меню Action выберите команду New, затем — Package. Просмотрите созданный сетевой ресурс и выберите пакет, который хотите назначить.
г) откроется окно Deploy Application. Выберите метод развертывания.
д) щелкните Assigned: Deployed To All Users At Logon или Published: Users Install Via Add/Remove Programs wizard и щелкните ОК. На правой панели появится имя приложения, которое вы хотите назначить или опубликовать, и его дополнительные свойства.

В групповой политике есть два узла Параметров безопасности. Узел, расположенный в Конфигурация компьютера/Конфигурация Windows/Параметры безопасности содержит параметры безопасности, применяющиеся ко всем пользователям, входящим в систему. Этот узел состоит из четырех подузлов: Политики безопасности IP на «Локальный компьютер», Политики открытого ключа, Локальные политики и Политики учетных записей.

Узел, расположенный в Конфигурация пользователя/Конфигурация Windows/Параметры безопасности содержит параметры безопасности, применяющиеся ко всем пользователям. Этот узел не активен.

Управление сценариями

Политика «Локальный компьютер» Windows 2000 Professional позволяет достаточно гибко назначить сценарии. Можно назначить компьютерам сценарии включения и выключения, а пользователям — сценарии входа и выхода, выполняемые в процессе регистрации пользователя в системе или выхода из нее.

Windows 2000 Professional выполняет сценарии следующим образом:

а) когда назначаются несколько сценариев включения и выключения или входа и выхода пользователю или компьютеру, Windows 2000 выполняет сценарии сверху вниз. Можно определить порядок выполнения нескольких сценариев в окне свойств;
б) при выключения компьютера Windows 2000 сначала выполняет сценарии выхода, а затем выключе-ния. По умолчанию на выполнение сценариев отводится 2 минуты.

Оснастка Политика «Локальный компьютер» в Windows 2000 Professional позволяет назначать как сценарии включения/выключения компьютерам, так и входа/выхода пользователям. Сценарии выполняются при возникновении определенного события через расширение Scripts (Startup/Shutdown) для компьютеров и расширение Scripts (Lo-gon/Logoff) для пользователей.

Для задания сценариев необходимо:

а) запустить оснастку Групповая политика;
б) если необходимо задать сценарий, выполняющийся при загрузке операционной системы или завершении ее работы, открыть узел Конфигурация компьютера;
в) если задать сценарий, выполняющийся при регистрации пользователя и выходе из системы, то открыть узел Конфигурация пользователя;
г) открыть узел Сценарии;
в правом подокне окна оснастки Групповая политика появится пара образов сценариев: Автозагрузка/Завершение (Startup/Shutdown) — для компьютера и Вход в систему/Выход из системы (Logon/Logoff) — для пользователя (рисунок 3— Открытый узел Сценарии для конфигурации пользователя);
д) для подключения сценария нужно указать соответствующий образ и нажать правую кнопку мыши. В контекстном меню выбрать команду Свойства. Откроется диалоговое окно свойств сценариев (рисунок 4 Диалоговое окно свойств сценариев);
е) в этом окне нажать кнопку Добавить. Откроется окно Добавление сценария (Add a Script), в котором необхо-димо ввести имя присоединяемого сценария и задать необходимые значения параметров. Если имя сценария неизвестно, то нажать кнопку Обзор, отобразится содержимое папки, где по умолчанию хранятся сценарии (каждый тип сценария находится в собственной папке на общем томе SYSVOL). Здесь можно выбрать необходимый сценарий. Если щелкнуть кнопку Показать файлы (Show Files), откроется окно, отображающее содержимое папки сценариев;
ж) нажать кнопку ОК.

Пользователю/компьютеру может быть назначено несколько сценариев Logon/Logoff или Startup/Shutdown. За-дать порядок выполнения в случае выбора нескольких сценариев позволяют кнопки Up и Down в окне свойств. Сце-нарии будут выполняться сверху вниз.

После нескольких неудачных попыток регистрации в системе учетная запись пользователя должна быть забло-кирована. Можно установить допустимое максимальное количество неудачных попыток.

Чтобы установить пороговое значение блокировки необходимо:

а) в оснастке Политика «Локальный компьютер» открыть узел Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Политики учетных записей/Политика блокировки учетной записи;
б) для запуска средства редактирования сделать двойной щелчок на разделе, настройку которого нужно изменить, например, на Пороговое значение блокировки;
в открывшемся окне Параметр локальной политики безопасности в поле при ошибках входа в систему ввести новое значение (рисунок 5 Диалоговое окно Параметр локальной политики безопасности);
в) нажать кнопку ОК. Будет установлено новое значение параметра.