|
Эта статья, предназначена для организаций, которые уже используют или планируют использовать службу Active Directory, направлена помочь администраторам управлять настройками политик для компьютеров, работающих под управлением операционной системы Windows XP, являющейся последователем Windows 2000 Professional.
Многие новые возможности Windows XP – такие как Удаленный Помощник (Remote Assistance), Проигрыватель Windows Media (Windows Media Player) и Служба регистрации ошибок (Error Reporting) – имеют свои собственные настройки групповой политики, которые администраторы могут использовать, чтобы изменять и стандартизировать конфигурации для пользователей и компьютеров во всей сети.
Управление политиками является частью набора технологий управления IntelliMirror, впервые представленного в операционной системе Windows 2000. IntelliMirror позволяет данным, программам и настройкам пользователей придерживаться распределенной вычислительной среды, независимо от того, подключены они или нет. В основе IntelliMirror лежат три средства: Управление данными пользователя (User Data Management), Управление настройками пользователя (User Settings Management), Установка и эксплуатация программного обеспечения (Software Installation and Maintenance). Они могут использоваться вместе или раздельно.
Основанное на политике управление IntelliMirror предоставляет два важных преимущества:
-
Снижение совокупной стоимости управления средой рабочего места.
Поддержка пользователей на индивидуальной основе обходится дешевле, поскольку организации могут использовать заранее настроенные конфигурации рабочих мест. Пользователи получают гибкость, необходимую для выполнения работы, не затрачивая дополнительное время на самостоятельное конфигурирование системы.
-
Повышенная производительность пользователей, наделенных новыми возможностями.
Так как приложения, данные и настройки пользователей доступны им независимо от того, где они начинают работу, они могут делать больше. Приложения также могут быть установлены и обновлены удаленно.
Клиентские компьютеры, работающие под управлением Windows XP, могут быть так же добавлены в службу каталога Active Directory и могут использовать те же политики, которые в настоящее время применены к компьютерам под управлением Windows 2000. Новые настройки политики, примененные только в Windows XP, игнорируются любыми клиентскими компьютерами под управлением Windows 2000. Проверка требований операционной системы и функций каждого параметра стала проще благодаря тексту объяснения, находящемуся прямо в новом пользовательском интерфейсе для оснастки Групповой Политики – теперь администраторам нет необходимости искать документацию, чтобы узнать, что именно делает политика.
Эта статья объясняет:
-
Что нового для параметров политики в Windows XP.
-
Оптимизация входа в систему в Windows XP.
-
Управление клиентскими компьютерами с использованием Windows XP.
-
Проверка политики с помощью Результирующей политики (RSoP).
Что нового в настройке политики в Windows XP
В Windows XP содержится улучшенное управление настройками политики, позволяющее администраторам настраивать, изменять или просто отключать возможности, которыми они не хотят пользоваться. Администраторы могут развертывать любой параметр политики Windows XP из Active Directory Windows 2000 Server
Все политики
Windows 2000 поддерживаются в
Windows
XP
В Windows 2000 имеется 421 политика, все из которых поддерживаются Windows XP, а некоторые даже улучшены. Например, настройка пользовательского интерфейса усовершенствована предоставлением возможности точного контроля за объектами, такими как меню Пуск.
Новые параметры политики в
Windows
XP
В Windows XP количество параметров политики увеличилось на 212, что дает возможность организациям стандартизировать такие новые особенности, как Удаленный помощник (Remote Assistance), Проигрыватель Windows Media (Windows Media Player) и меню Пуск (Start Menu). Если требуется, администраторы могут настроить рабочие места, чтобы они использовали классический пользовательский интерфейс Windows 2000.
Для получения дополнительной информации обратитесь к
статье
на сайте Windows XP.
Политики
Windows
XP игнорируются на компьютерах под управлением
Windows 2000
Вновь добавленные в Windows XP параметры политики применяются только на компьютерах под управлением Windows XP, и будут проигнорированы любыми компьютерами под управлением Windows 2000. Кроме того, любые новые политики, добавленные в Windows XP, не могут нанести вред компьютерам под управлением Windows 2000. При просмотре параметров политики в Windows XP требования каждого параметра перечислены в начале текста объяснения, показанного в средней колонке на Рисунке 1 ниже.
Рисунок 1: Использование оснастки Групповой политики в
Windows
XP.
Новый пользовательский интерфейс для управления политикой
Оснастка Групповой политики в Windows XP дает преимущества возможностей Web-вида, упрощая оценку и проверку параметров политик администраторами. Как показано ранее на Рис. 1, администраторы могут перемещаться к нужной политике и просматривать текст, объясняющий её действие и поддерживаемые среды, например, только Windows XP или Windows 2000.
Встроенная Справка
Изучение и отслеживание настроек политики стало проще благодаря интегрированным файлам Справки, имеющим возможность поиска. В дополнение к тексту объяснения, включенному прямо в оснастку, Вы можете получить Справку об определенной области, нажав F1 на клавиатуре. Например, если Вы выберете узел Административные шаблоны в оснастке Групповой политики и нажмете F1, Вы попадете прямо в раздел Административные шаблоны, где сможете найти ссылки на определенные HTML-файлы Справки, такие как system.adm, показанный ниже.
Рисунок 2: Просмотр интегрированной Справки в
Windows
XP
Оптимизация входа в Windows XP
По умолчанию Windows XP не ожидает полной инициализации сети при включении и входе в систему. При входе пользователя в систему, в целях сокращения времени входа, применяются кэшированные данные учетных записей. Так как компьютер не ждет полного запуска сети, Групповая политика применяется в фоновом режиме (асинхронно), как только сеть становится доступной. В Таблице 1, расположенной ниже, приведено сравнение обработки политик в Windows 2000 и Windows XP Professional.
Таблица 1. Обработка политики в
Windows 2000 и
Windows
XP
Обработка политики по умолчанию на клиентском компьютере |
При загрузке |
При входе |
При обновлении политики |
Windows 2000 |
Синхронно |
Синхронно |
Асинхронно |
Windows XP Pro |
Асинхронно |
Асинхронно |
Асинхронно |
Время загрузки – это время, которое проходит пока пользователь не увидит окно входа в систему. Время входа в систему – это время до момента, когда пользователи могут начать работу на своем компьютере.
Асинхронная обработка в Windows XP Professional позволяет сократить время загрузки и входа по сравнению с синхронной обработкой в Windows 2000, где пользователям необходимо дожидаться, пока все их политики будут применены, перед тем как начать работу с компьютером. Тем не менее, все параметры Групповой политики ещё обрабатываются в полном объеме, когда пользователь впервые начинает работу на компьютере.
Для вступления в силу изменений некоторых параметров Групповых политик может потребоваться до трех входов.
Поскольку, по умолчанию в Windows XP, применение групповой политики выполняется в фоновом режиме, некоторым расширениям политики, таким как Установка программ (Software Installation) и Перенаправление папок (Folder Redirection) может требоваться до трех входов, чтобы вступить в силу.
Это происходит потому, что Установка программ и Перенаправление папок не могут вступить в силу во время асинхронного или фонового применения политики. Эти расширения могут быть применены только синхронно.
Ниже приводится примерный сценарий, иллюстрирующий применение политик:
-
Администратор развертывает программный пакет для Пользователя А.
-
Пользователь А начинает работу, и происходит фоновое (асинхронное) применение политики.
-
Так как применение политики прошло асинхронно, установка программного обеспечения не была выполнена. Вместо этого компьютеру было сообщено, что необходимо выполнить установку программного обеспечения при следующем входе.
-
При следующем входе пользователя в систему, для установки программного пакета политики применятся синхронно (Аналогично Windows 2000). В результате для установки программного обеспечения требуется один дополнительный вход.
В случае Перенаправления папок, так как политика основана на членстве пользователей в группах, понадобится три входа в систему. При первом входе обновляется КЭШ объекта пользователя (и членство в группах безопасности), при втором входе для применения политики, определяется изменение членства в группах безопасности и требуется приоритетное применение политики, и при третьем, фактическое применение политики перенаправления папок.
Для вступления в силу изменений некоторых параметров объекта пользователя может потребоваться два входа.
Когда включена оптимизация быстрого входа в систему, все входы пользователей кэшируются. Учетные данные пользователей обновляются после того, как вход в систему произведен. Это значит, что изменения объекта пользователя, такие как добавление пути перемещаемого профиля, основного каталога пользователя или сценария входа, не будут применены до второго входа. Во время следующего входа, если системой будет обнаружено, что у пользователя появился перемещаемый профиль, изменилась домашняя папка или сценарий входа, то для данного пользователя, будет запрещена оптимизация быстрого входа в систему. (Несмотря на это, компьютер пользователя всё ещё может использовать быструю загрузку.)
Возвращение к обработке входа в систему как в
Windows 2000.
Некоторым администраторам необходима гарантия, Перенаправления папок, Установки программ или настроек перемещаемого профиля пользователя будут применены за один вход в систему или цикл перезагрузки компьютера, как это делается по умолчанию в Windows 2000. Чтобы разрешить эту возможность в Windows XP, администраторы должны включить параметр
Всегда ожидать инициализации сети при загрузке и входе в систему (расположенный в оснастке Групповой политики в Конфигурация компьютераАдминистративные шаблоныСистемаВход в систему).
Управление клиентскими компьютерами с использованием файлов административных шаблонов Windows XP.
Параметры Групповой политики, которые определяют администраторы, содержатся в объекте Групповой политики (GPO), который в свою очередь связан с выбранными объектами Active Directory – сайтами, доменами или организационными единицами. Групповая политика применяется не только к пользователям и клиентским компьютерам, но также к рядовым серверам, контроллерам доменов и любым другим компьютерам, работающим под управлением Windows 2000 или Windows XP в пределах области управления. Чтобы создать определенную конфигурацию рабочего места для отдельной группы пользователей, администраторы используют оснастку Групповой политики, также известную как Редактор объектов Групповой политики.
Для того, чтобы управлять клиентскими компьютерами, работающими под управлением Windows XP, надлежащим образом, администраторам нужен компьютер, работающий под управлением Windows XP, на котором имеются обновленные файлы Административных шаблонов (.adm). Эти файлы предоставляют информацию о политиках для элементов, находящихся в узле Административные шаблоны в дереве консоли оснастки Групповой политики, как показано на рисунке ниже.
Windows XP содержит следующие обновленные файлы Административных шаблонов:
-
System.
adm.
Используется для параметров ядра.
-
Wmplayer.
adm.
Используется для параметров проигрывателя Windows Media.
-
Conf.
adm.
Используется для коммуникационного ПО NetMeeting.
-
Inetres.
adm.
Используется для обозревателя Internet Explorer.
-
Wuau.
adm.
Используется для автоматических обновлений.
Рисунок 3: Просмотр политик Административных шаблонов в
Windows
XP
Обновление файлов Административных шаблонов до последних версий
Если у Вас есть файлы .adm новее используемых в GPO, Ваш компьютер автоматически добавит их в Групповую политику. Для этого новые версии .adm файлов должны находиться в папке INF.
Чтобы
обновить
.adm файлы
:
-
Поместите необходимые .adm файлы на компьютер с Windows XP. (Они находятся в папке Windows/INF).
-
Скопируйте system.adm и любые другие .adm файлы в общий файловый ресурс.
-
На компьютере под управлением Windows 2000 откройте GPO в оснастке Групповой политики (Group Policy snap-in).
-
Щелкните правой кнопкой мыши по
Административные шаблоны и выберите
Добавить/Удалить Шаблоны, как показано на ниже.
Рисунок 4: Добавить/Удалить Шаблоны
-
Когда появится диалоговое окно
Добавить
/Удалить
Шаблоны
(Add/Remove Templates), удалите .adm файлы Windows 2000 и добавьте .adm файлы Windows XP.
-
Повторите указанные действия для каждого объекта групповой политики.
Советы и Рекомендации
-
Чтобы администрировать объекты Групповой политики в смешанной среде, используйте файлы .adm Windows XP.
-
Чтобы закрепить опыт, попробуйте применить одинаковые параметры политики, разрешив использование перемещаемых профилей пользователей в Windows XP и Windows 2000.
-
Проверьте функциональную совместимость различных параметров перед развертыванием.
-
Конфигурируйте параметры политик на клиентских машинах, используя только Групповые политики. Не пытайтесь создать эти значения реестра другими методами.
Проверка политик с помощью Результирующей политики (RsoP)
С помощью Результирующей политики (Resultant Set of Policy), администраторы могут оценить и предсказать, как разные политики будут действовать на определенный компьютер или пользователя, так и на группу компьютеров или пользователей. Когда политики применены на нескольких уровнях (например, сайт, домен, контроллер домена и организационная единица), их результаты могут противоречить друг другу. Если обнаружена несовместимая политика, то может быть сложно откатить и изменить её. Результирующая политика помогает администраторам определить окончательный набор примененных политик и отменить неправильные приоритеты политик, облегчая исправление ошибок.
Как работает результирующая политика (
RSoP)
Результирующая политика (RSoP) – это обработчик запросов, который опрашивает существующие политики и сообщает о результатах запроса. Он опрашивает существующие политики, основанные на сайте, домене, контроллере домена и организационной единице (OU). Результирующая политика собирает информацию из базы данных CIMOM (обычно называемой «WMI»).
Помимо проверки параметров, установленных Групповой политикой, Результирующая политика также проверяет Установку программ для любого приложения, относящегося к конкретному пользователю или компьютеру, и также сообщает результаты этих запросов. В Результирующей политике подробно отражены все параметры политик, сконфигурированные администратором, включая Административные шаблоны, Перенаправление папок, Настройка Internet Explorer, Параметры Безопасности и Сценарии.
Инструменты Результирующей политики
В Windows XP проще проверить, какая политика применена к определенному компьютеру. У администраторов есть несколько инструментов, которые они могут использовать, для запуска Результирующей политики для пользователей и компьютеров:
-
Оснастка Результирующей политики.
-
Инструмент командной строки GPResult.
-
Отчет Результирующей политики Центра справки и поддержки.
Использование оснастки Результирующей политики
Оснастка Результирующей политики позволяет Вам проверять действие политик на данного пользователя или компьютер. Возможно удаленное использование Результирующей Политики, это означает, что администраторы могут проверить политики для любого пользователя или компьютера в домене.
Чтобы запустить оснастку Результирующей политики
-
Войдите в домен, на компьютер, работающий по управлением Windows XP, с правами администратора.
-
Нажмите
Пуск,
Выполнить, и наберите
ММС. Появится Консоль управления Microsoft.
-
В меню
Консоль выберите
Добавить или удалить оснастку (
Add/
Remove
Snap-
in
). Когда появится диалог
Добавить или удалить оснастку, нажмите кнопку
Добавить (
Add).
-
В списке
Доступные изолированные оснастки (
Available
Standalone
Snap-
ins) выберите
Результирующая политика(
RSoP) и нажмите
Добавить (
Add).
-
Когда появится Мастер результирующей политики, нажмите
Далее (
Next). После появления страницы
Выбор режима (
Mode
Selection
) нажмите
Далее (
Next).
-
Когда появится страница
Выбор компьютера (
Computer
Selection), с помощью кнопки
Обзор (
Browse) выберите компьютер, для которого Вы хотите отобразить параметры, иначе мастер проверит Результирующую политику для компьютера, на котором он запущен. Нажмите
Далее (
Next).
-
Когда появится страница
Выбор пользователя (
User
Selection), Вы сможете выбрать, для какого пользователя Вы хотите просмотреть параметры политики. (В этом примере администратор выбирает пользователя Cynthia, как показано ниже.) Нажмите
Далее
(Next).
Рисунок 5: Выбор пользователя в мастере Результирующей политики
-
После появления страницы
Сводка выбранных параметров (
Summary
of
Selections
), нажмите
Далее(
Next). Мастер должен достигнуть завершающей страницы. Нажмите
Готово
(Finish). Закройте диалог
Добавить изолированную оснастку.
-
В диалоге
Добавить или удалить оснастку (
Add
Remove
Snap
in
) нажмите кнопку
OK. Отчет Результирующей политики появятся в консоли, как показано ниже.
Рисунок 6: О
тчет результирующей политики.
Вы можете раскрыть дерево политики в левой панели и перемещаться к любой политике, которая применена для целевого пользователя. В этом примере Результирующая политика показывает, что пользователь Cynthia является объектом различных политик, разрешенных через Групповую политику Kiosklockdown.
Рисунок 7: Просмотр разрешенных политик в отчете Результирующей политики
Использование инструмента командной строки Результаты групповой политики (
GPResult.
exe)
Этот инструмент командной строки запускается на компьютере на котором необходимо проверить Групповую политику. Благодаря тому, что Вы можете применять пересекающиеся уровни политик к любому компьютеру или пользователю, Групповая политика формирует результирующий набор политик при входе. GPResult отображает результирующий набор политик, примененных на данном компьютере при входе в систему, для конкретного пользователя.
Чтобы запустить
GPResult на Вашем компьютере:
-
Нажмите
Пуск,
Выполнить и введите
cmd, чтобы открыть окно командной строки.
-
Наберите gpresult и перенаправьте выходные данные в текстовый файл, как показано ниже:
Рисунок 8: Направление данных
GPResult в текстовый файл.
-
Введите
notepad
gp.
txt чтобы открыть файл. Результаты появятся как показано ниже:
Рисунок 9: Проверка политик с помощью
GPResult
Отчет Результирующей политики Центра справки и поддержки
Несмотря на то, что результирующая политика предусмотрена для использования администраторами, пользователи могут запускать Отчет Результирующей политики Центра справки и поддержки, чтобы проверить параметры политики. Этот инструмент предоставляет отчет о большинстве политик, действующих на данном компьютере, в виде, удобном для пользователя.
Чтобы открыть
инструмент Результирующей политики Центра справки и поддержки:
-
Нажмите
Пуск, Выберите
Справка и Поддержка.
-
Под Выбором задания нажмите
Использование служебных программ для просмотра информации о компьютере и диагностики неполадок.
-
Выберите
Расширенные
сведения
о
системе
(Advanced System Information), затем
Просмотр
примененных
параметров
(View Group Policy settings applied) Групповой политики.
Примечание
: Вы также можете сформировать отчет путем ввода следующего адреса в Вашем обозревателе: hcp://system/sysinfo/RSoP.htm#
Когда системная информация будет собрана, результаты появятся на экране. Этот отчет может быть распечатан, сохранен или отправлен администратору. Ниже, для примера, показаны первые несколько элементов отчета.
Рисунок 10: Просмотр отчета Результирующей политики в Центре справки и поддержки
Разработка индивидуального инструментария Результирующей политики.
За дополнительной информацией о Результирующей политике, включая документацию о разработке инструментов Результирующей политики обратитесь к
Microsoft Platform SDK
на
http://www.microsoft.com/msdownload/platformsdk/sdkupdate/
Заключение
Эта статья, предназначенная для организаций, которые уже развернули или планируют развернуть службу каталога Active Directory, объясняет:
-
Что нового для параметров политики в
Windows
XP.
В Windows XP содержится более 200 новых политик вдобавок к 421 политике, имеющейся в Windows 2000, которые всё ещё поддерживаются. Политики Windows XP, которые не могут быть применимы в Windows 2000, игнорируются.
-
Оптимизация входа в систему в
Windows
XP.
Windows XP поддерживает быстрый вход в систему, который уменьшает задержки, возникающие во время обычного входа в систему. Для применения политик, касающихся Установки программ или Перенаправления папок, требуются несколько раз выполнить вход в систему.
-
Управление клиентскими компьютерами с использованием
Windows
XP.
Для управления параметрами политики в среде службы каталога Windows 2000 Active Directory, администраторы могут использовать новейшие версии файлов Административных шаблонов. Управление политикой стало проще благодаря новому пользовательскому интерфейсу, содержащему текст объяснения и требования ОС для каждой политики. Новые файлы помощи, касающиеся параметров политики, позволяют Вам находить определенные политики по ключевому слову.
-
Результирующая политика (
RSoP).
Пользователи и администраторы могут быстро проверить, какие политики действуют для данного пользователя или определенного компьютера. Новые инструменты позволяют администраторам проверять действие параметров политик для любого компьютера или пользователя в домене. Пользователи могут проверить собственные параметры политик на своем компьютере с помощью дружественного отчета, доступного в Центре Справки и поддержки.
Источник: oszone.ru
|
|