Group Policy is great, but sometimes you need to make tweaks to your systems in ways that aren’t covered by existing Group Policy settings. Traditionally login scripts were used to perform this task, but more recently I have used PolicyMaker by DesktopStandard. When Microsoft bought DesktopStandard and repackaged PolicyMaker as “Group Policy Client Side Extensions” (GPCSE) I was keen to deploy and use it.
Unfortunately this proved harder that it should have been. Despite approving the update (KB943729) for installation via WSUS I found that it wasn’t being deployed to a large proportion of my systems – with WSUS reporting that the update was “not needed”. Further investigation revealed that I wasn’t the only person with this problem and a solution wasn’t forthcoming.
So I gave up on using WSUS to deploy and used an MSI based installation via Group Policy. Typically it’s not possible to deploy command-line type installations (i.e. using update.exe or setup.exe) this way because it requires an MSI package. However MSI packages can contain command line actions as a “Custom Action”. So all we need to do is create a basic “empty” MSI package and modify it with some Custom Actions to actually perform the installation.
Preparation
Before progressing it should be noted that the package actually installs two updates. The first is “XML Lite” which is a prerequisite for the actual GPCSE update proper.
To create the new MSI package you can use Caphyon’s Advanced Installer http://www.advancedinstaller.com/. This comes in Free, Professional, Enterprise and Java versions. You get 30 days to try all the Enterprise features after which you will be limited to the Free version only – which is fine for our needs.
To modify the MSI package use “Orca” from Microsoft. This is best downloaded as part of the Windows® Server 2003 R2 Platform SDK here or a there is a direct link to an Orca installation here. This article, http://support.microsoft.com/kb/255905, gives an overview of using Orca.
You will also need to download the GPCSE and XML Lite updates: GPCSE and XML Lite.
Create the MSI Package
Run the Advanced Installer program and follow the “New Project” wizard. Choose the option to create “Simple” project. The options are pretty self-explanatory. I would suggest that you use “Group Policy Preference Client Side Extensions for Windows XP” as the application name and choose the option to create an MSI file. When you get to the “Add files to your project”, browse for the folder containing the downloaded GPCSE and XML Lite installation files.
Advanced Installer Project Window
After the wizard is complete you will be presented with the project window.
In the left-hand pane there are various options pages for you to select. You only need to modify a few settings on a few pages. These are the ones that I use:
Project Details:
Product URL: http://support.microsoft.com/?kbid=943729
Enable “Disable Modify” and “Disable Repair”
Install Parameters:
Installation Type: Choose “Per-Machine Only”
Prerequisites:
Supported Operating Systems: Enable “Windows NT from” only and select “Windows XP Service Pack 2”
Windows Installer Minimum Version: Select “3.0”
Predefined Software Launch Conditions: Enable “Minimum IE Version” and select “Internet Explorer 6.0”
Predefined System Launch Conditions: Enable “Run only if user has administrator priveleges”
Save the project and Build the MSI (F7). Exit the program.
Modify the MSI Package
Right-click on the MSI file created by Advanced Installer and choose “Edit with Orca”. The program window will display the contents of the MSI file as a list of tables.
Orca
Clicking on a table from the list on the left-hand side displays the contents of the table (as rows of data) on the right-hand pane. You need to add a few rows to the “CustomAction” and “InstallExecuteSequence” tables (CTRL+R). The row data that you need to add is listed below.
CustomAction Table:
| Action | Type | Source | Target |
|---|---|---|---|
| SET_XMLLITE_INSTALL_PATH | 51 | XML_LITE_INSTALL_PATH | [APPDIR]WindowsXP-KB915865-v11-x86-ENU.exe |
| SET_GPCSE_INSTALL_PATH | 51 | GPCSE_INSTALL_PATH | [APPDIR]Windows-en-US-KB943729.exe |
| SET_XMLLITE_REMOVE_PATH | 51 | XML_LITE_REMOVE_PATH | [%windir]$NtUninstallKB915865$spuninstspuninst.exe |
| SET_GPCSE_REMOVE_PATH | 51 | GPCSE_REMOVE_PATH | [%windir]$NtUninstallKB943729$spuninstspuninst.exe |
| INSTALL_XMLLITE | 50 | XML_LITE_INSTALL_PATH | /quiet /norestart |
| INSTALL_GPCSE | 50 | GPCSE_INSTALL_PATH | /quiet /norestart |
| REMOVE_XMLLITE | 50 | XML_LITE_REMOVE_PATH | /quiet /norestart |
| REMOVE_GPCSE | 50 | GPCSE_REMOVE_PATH | /quiet /norestart |
InstallExecuteSequence Table:
| Action | Condition | Sequence |
|---|---|---|
| SET_XMLLITE_INSTALL_PATH | NOT REMOVE | 6510 |
| SET_GPCSE_INSTALL_PATH | NOT REMOVE | 6511 |
| INSTALL_XMLLITE | NOT REMOVE | 6512 |
| INSTALL_GPCSE | NOT REMOVE | 6513 |
| SET_GPCSE_REMOVE_PATH | REMOVE | 6514 |
| SET_XMLLITE_REMOVE_PATH | REMOVE | 6515 |
| REMOVE_GPCSE | REMOVE | 6516 |
| REMOVE_XMLLITE | REMOVE | 6517 |
There’s a chance that you may need to use different sequence numbers from me in the InstallExecuteSequence table, depending on how your MSI file was built by Advanced Installer. If so, just make sure that the sequence numbers of your added rows are greater than the “InstallExecute” action sequence number, but less than the “InstallFinalize” action sequnce number. After making the changes, save the file. You should now be able to use the MSI file for deployment in your GPO.
Caveats
Just be aware that, if you re-open your Advanced Installer project to make any modifications, then rebuild, you will also need to modify the MSI again using Orca. There are a couple of ways around this:
1. Use a transform file
Instead of modifying the MSI file directly, create a transform file in Orca. The steps to do this are:
- Open original (unedited) MSI file for editing
- Select Transform/”New Transform” from the menu
- Add row data just as described above
- Select Transform/”Generate Transform”
When using the MSI file for GPO install you will then need to add the MST file to the “Modifications” tab.
2. Use Advanced Installer Professional
If you played with the Professional version of the product within the trial period you may have noticed that it includes functionality for Custom Actions natively. I haven’t tried it myself yet but it should be possible to eliminate the need for editing the MSI in Orca by making use of this functionality.
Finally, there are a few limitations to this technique that you should be aware of. Not all Windows Installer actions are implemented with these custom actions. Install and remove are fine, but there is no contingency for rollback, for example if part of the install fails or is cancelled. In the real world I’ve no problems with this limitation, but you may need to take it into consideration.
Roundup
I been using this technique for a while now with no issues. Hope this post helps others in the same position.
Hi,
> How do I install CSE for windows XP SP3 machines through group policy? can someone help?
The downloaded CSE is .exe format, we can’t deploy it though software group policy. But we can install it through startup script.
Also you may deploy .exe file through System Center Configuration Management (SCCM) or third party application.
> is it possible through WSUS
Yes. Updated versions of the new Windows Server 2008 Group Policy preferences client-side extensions for Windows Server 2003 and Windows XP can be downloaded by using Windows Update.
Check your WSUS settings, make sure you selected Feature Packs, and approve KB943729.
For more information please refer to following MS articles:
Information about new Group Policy preferences in Windows Server 2008
http://support.microsoft.com/kb/943729
Group Policy Preferences Not Applying on Some Clients: Client-Side Extension, XMLLite
http://blogs.technet.com/b/grouppolicy/archive/2009/03/27/group-policy-preferences-not-applying-on-some-clients-client-side-extension-xmllite.aspx
Hope this helps!
TechNet Subscriber Support
If you are
TechNet Subscription user and have any feedback on our support quality, please send your feedback
here.
Lawrence
TechNet Community Support
-
Помечено в качестве ответа
5 сентября 2012 г. 10:46
Install Group Policy Preferences XP Client Side Extensions at Logon
|
732 Downloads
I use this script as a logon script in a GPO to install the Group Policy Preference Client Side Extensions for Windows XP. The script will check your OS to make sure it is XP then check if the GPP Client Side Extensions are installed before installing them.
To use the script you have to download the Group Policy Preference Client Side Extensions for Windows XP from http://www.microsoft.com/en-us/download/details.aspx?id=3628 and place them in your netlogon folder of your server (\server_namenetlogon) in a folder called «GPPxp». You also need to change the SET DC_NAME=Your_DC to the name of your domain.
Once the user logs on and the install completes the user will need to reboot the PC before GPP will take effect. I have not set the script to automatically reboot the PC. Instead I have the users reboot at the end of the day after deployment. You could optionally schedule a reboot using «shutdown /m \PC_Name /r /t 1» after hours. If you want the script to restart after install remove the «/norestart» from the :install_update section of the script.
Source Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
@echo off SET DC_NAME=Your_DC rem Check to see this is Windows XP ver | find "Windows XP" >NUL if errorlevel 1 goto end rem Check to see if the update is already installed reg QUERY "HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdatesWindows XPSP20KB943729" >NUL 2>NUL if errorlevel 1 goto install_update goto end :install_update \%DC_NAME%netlogonGPPxpWindows-KB943729-x86-ENU.exe /quiet /norestart :end
-
Worked for me. I’m a noob tho, and it took me a few tries before putting the .bat extension on the script file to make it work.
-
jmarty
Oct 23, 2015 at 17:24 UTC
Some issues with the methods used. «Find» doesn’t work in XP, so you’d end up with the error levels you need to proceed to the install. So, it works because the CSE update is installed, but your script would proceed through the entire thing every time.
Instead I used «findstr /i «Windows XP»». Also, the script needs to evaluate the output of the «reg QUERY» in order to get an errorlevel you can do something with. For that, I used «findstr /i» again and searched for «InstalledDate».
Also, CSE requires an XMLlite update to be installed first, and there’s different versions of that and the CSE update for 32 bit and 64 bit.
-
Nice !!! — Worked for me
Glad you decided to share
Group Policy Preference
In Windows Server 2008 operating system, Group Policy Preference increase the functionality in Group Policy management, include more than 20 new Group Policy extensions that provide to simplify deployment and standardize configurations.
Group Policy Preference Client Side Extensions
Although Group Policy Preferences were first implemented in Windows Server 2008, Administrator can use Group Policy Preference by installing Group Policy client-side extensions (KB943729) in Windows Server 2003, Windows XP and Windows Vista.
How to confirm if Group Policy Preference Client Side Extensions are installed in WinXP?
After you install above update in the computer will be able to process the new Group Policy Preference extensions. The below method helps you to confirm the update is properly installed.
1. Locate the Gpprefcl.dll file in the below location. If the file is available, You are right, It has been installed properly.
%SystemRoot%System32Gpprefcl.dll
2. In Registry editor, Find the below value that confirms the values are belongs GPP.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdatesWindows XPSP20KB943729
Group Policy Preference Client Side Extensions Downloads
Windows Vista, 64-bit edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=B10A7AF4-8BEE-4ADC-8BBE-9949DF77A3CF
Windows Vista, 32-bit edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=AB60DC87-884C-46D5-82CD-F3C299DAC7CC
Windows Server 2003, 64-bit edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=29E83503-7686-49F3-B42D-8E5ED23D5D79
Windows Server 2003, 32-bit edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=BFE775F9-5C34-44D0-8A94-44E47DB35ADD
Windows XP, 64-bit edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=249C1AED-C1F1-4A0B-872E-EF0A32170625
Windows XP, 32-bit edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=E60B5C8F-D7DC-4B27-A261-247CE3F6C4F8
В каждой новой версии Windows — и это в первую очередь касается сферы групповых политик — реализуются уникальные дополнительные возможности: новые модули управления, новые средства и функции, которые избавляют нас от необходимости бегать от компьютера к компьютеру, решая ту или иную задачу.
В каждой новой версии Windows — и это в первую очередь касается сферы групповых политик — реализуются уникальные дополнительные возможности: новые модули управления, новые средства и функции, которые избавляют нас от необходимости бегать от компьютера к компьютеру, решая ту или иную задачу. Как правило, все эти средства реализуются в операционной системе. Так, когда на рынке появилась версия Windows Vista, к ней прилагались политика Wired Ethernet, политика Enterprise QoS, новый механизм управления принтерами и т. д.
В 2007 году корпорация Microsoft выпустила дополнительный набор функций групповых политик Group Policy Preferences. Некоторые функции Group Policy Preferences имеют имена, сходные с именами базовых функций групповых политик, и потенциально дублируют их, но в данной статье я хочу показать, как использовать эти новые возможности так, чтобы получить от механизма групповых политик максимальную отдачу.
Где найти Group Policy Preferences
Всего в набор Group Policy Preferences входит 21 функция. Можно подумать, что для размещения такого количества новых функций необходим большой объем программных средств. На самом же деле комплект Group Policy Preferences поставляется в виде единого набора клиентских расширений (Client-Side Extensions, CSE). Когда целевой компьютер обрабатывает объект групповой политики (Group Policy Object, GPO), содержащий функцию Group Policy Preferences, он просто вызывает нужное расширение, которое и выполняет соответствующую задачу.
Клиентское расширение Group Policy Preferences входит в комплект поставки Windows Server 2008 (и будет входить в комплект поставки Windows 7), так что под управлением этих систем директивы Group Policy Preferences выполняются без каких-либо дополнительных действий со стороны пользователя. Но если на ваших компьютерах установлены системы Windows Vista, Windows Server 2003 или Windows XP, вы сможете воспользоваться новой технологией только при условии обновления этих систем. Компьютеры Windows 2000 несовместимы с расширением Group Policy Preferences. Более подробную информацию об этом можно найти на GPanswers.com (http://gpanswers.com/resources/newsletter-archives.html); в этом номере содержатся подробные инструкции по установке, применимые в самых разных обстоятельствах.
Учтите, что на компьютере, где установлена консоль управления, должна также использоваться обновленная консоль управления групповыми политиками Group Policy Management Console (GPMC) с обновленным редактором групповых политик Group Policy Editor (GPE). Обновленная GPMC поставляется с Server 2008 и совместима с Windows Vista SP1 и более поздними системами, если установить набор инструментов для администрирования удаленного сервера — Remote Server Administration Toolkit (RSAT), который можно получить на сайте Microsoft Download Center. Обновленная версия GPMC несовместима с XP.
Расширения Group Policy Preferences позволяют выполнять большее число задач, нежели базовые групповые политики. Исходя из этого обстоятельства, давайте рассмотрим те области, где расширения Group Policy Preferences дают возможность расширить потенциал механизма групповых политик.
Развертывание принтеров
Когда-то развертывание принтеров с помощью групповых политик было заветной мечтой многих администраторов. Наконец эта функция была реализована в системе Windows Server 2003 R2, хотя администраторы на первых порах активно ее критиковали. Начать с того, что для успешной работы функции необходимо было обновление схемы. Требовалось также, чтобы администраторы вводили в свои сценарии запуска и регистрации специальный дополнительный модуль. И, что хуже всего, функция работала неустойчиво.
Настройки политики Deployed Printers можно найти в редакторе GPE в разделе Computer ConfigurationPoliciesWindows SettingsDeployed Printers andUser ConfigurationWindows SettingsDeployed Printers. Имейте в виду, что на системе управления Server 2008 или Windows Vista вы не увидите узел Deployed Printers до тех пор, пока не будут загружены компоненты Print Management, которые можно установить с помощью инструментов RSAT; последние располагаются в разделе Feature узла Remote Server Administration ToolsRole Administration ToolsPrint Services Tools.
Обычно внимание администраторов привлекает не столько расширение Deployed Printers, сколько функция Group Policy Preferences Printers. Для ее использования не требуются ни расширения схемы, ни обновления сценариев запуска или регистрации. Узел Group Policy Preferences Printers располагается в двух местах: Computer ConfigurationPreferencesControl Panel SettingsPrinters и User ConfigurationPreferencesControl Panel SettingsPrinters. Данная функция дает возможность развертывать принтеры TCP/IP и локальные принтеры (для пользователя или для компьютера) либо совместно используемые принтеры (только для пользователя).
Если на целевом компьютере установлен клиент Group Policy Preferences, развертывание принтеров — это сплошное удовольствие.
Расширения Group Policy Preferences несовместимы с Windows 2000, поэтому, если у вас возникает необходимость развертывать принтеры на этих системах, следует продолжать применять традиционный метод Group Policy Deployed Printers.
Управление браузером IE
Механизм групповых политик предоставляет ряд возможностей для управления одним из наиболее популярных приложений Windows — браузером Microsoft Internet Explorer. Исходные настройки политики размещаются в одной из папок User Configuration или Computer Configuration в каталоге PoliciesAdministrative TemplatesWindows ComponentsInternet Explorer. Эти настройки могут помочь администратору определить, что пользователи могут делать с браузером IE и чего не могут.
Дополнительные настройки IE, именуемые IE Maintenance, размещаются в папке User ConfigurationPoliciesWindows SettingsInternet Explorer Maintenance. Некоторые из этих настроек выполняют блокировку аналогично тому, как это делают политики; другие дают пользователям возможность обходить предустановленные настройки.
Настройки Internet Settings набора Group Policy Preferences несколько расширяют эти возможности. Настройки IE размещаются в папке User ConfigurationPreferencesControl Panel SettingsInternet Settings. Указание установок (preferences) означает следующее: администратор задает первоначальные настройки, но пользователи могут изменять их. Пример: вы можете указать Web-страницу компании в качестве начальной страницы для всех пользователей, но дать им возможность при желании изменить данную настройку. В этом отношении установки Group Policy Preferences подобны настройкам IE Maintenance; в то же время интерфейс Group Policy Preferences Internet Settings на удивление оригинален и приятен. В сущности, он напоминает интерфейс браузера Internet Explorer, что должно понравиться большинству администраторов.
Управление энергопитанием
В системе Windows Vista реализован ряд весьма добротных функций управления электропитанием. Они размещаются в разделе Computer ConfigurationPoliciesSystemPower Management. Эти установки управляют настройками режима ожидания, реакцией системы на нажатие пользователем тех или иных кнопок управления энергопитанием, инициируют остановку жесткого диска, но все они доступны только в системе Windows Vista.
Настройки Group Policy Preferences Power Options располагаются в разделах Computer Configuration и User Configuration папки PreferencesControl Panel SettingsPower Options. Эти настройки дают возможность использовать в системе Windows XP новые средства управления электропитанием на базе групповых политик. Благодаря такому пополнению в семействе средств управления электропитанием остро необходимая функция переносится на широкую базу установленных систем. Мало того, пользовательский интерфейс для установки настроек Power Options и Power Schemes напоминает интерфейс XP, что существенно сокращает время его освоения. Поэтому администраторы могут быстро приступать к использованию новой функции.
Управление файлами
Иногда у администраторов возникает необходимость устанавливать для отдельных файлов ту или иную степень защиты на серверах и настольных системах. Для выполнения этой задачи совсем не обязательно переходить от компьютера к компьютеру. Вместо этого можно воспользоваться групповой политикой. Фактический перенос таких файлов на настольные системы — вопрос отдельный. Файлы приходится копировать вручную или использовать для этой цели сценарии регистрации либо что-то в этом роде.
Но теперь вы можете доставить на клиентскую систему файл или несколько файлов с помощью расширения Group Policy Preferences Files, расположенного в разделе Computer ConfigurationPreferencesWindows SettingsFiles. А с помощью настроек политики Group Policy File Security, расположенных в разделе Computer ConfigurationPoliciesWindows SettingsSecurity Settings File System, можно применить к этим файлам список управления доступом. Ну просто волшебное сочетание!
Настройка служб
Менять параметры службы, перебегая от сервера к серверу (особенно если их в хозяйстве целая сотня), — удовольствие сомнительное. Вот почему в системе групповых политик реализован метод управления службами; он размещается в разделе Computer ConfigurationPoliciesSecurity SettingsSystem Services. Эти настройки дают возможность устанавливать для учетной записи тот или иной уровень защиты, например указывать, кто может запускать службу, а также прекращать и временно приостанавливать ее работу.
Однако с помощью настройки Group Policy Preferences Services (Computer ConfigurationPreferencesControl Panel SettingsServices) можно также изменять пароль локальной системной учетной записи, изменять параметры восстановления в случае сбоя службы, а также назначать другую программу, выполняемую в случае отказа службы, или предусматривать перезапуск компьютера при сбое.
Обслуживание реестра
Установка одного значения реестра для всех целевых систем сети может быть делом весьма хлопотным. Для выполнения этой задачи многие администраторы используют сценарии регистрации и другие квазиавтоматические методы.
Система групповых политик всегда обеспечивала перенос конкретных значений реестра на клиенты с помощью встроенных шаблонов ADM и ADMX. Вы всегда видите результаты этих шаблонов при просмотре раздела Computer ConfigurationPoliciesAdministrative Templates orUser ConfigurationPoliciesAdministrative Templates. Эти настройки групповых политик просто присваивают желаемые значения параметрам реестра на целевых системах.
Файлы ADM и ADMX могут быть модифицированы таким образом, чтобы доставлять установки реестра для ваших приложений. Однако эти параметры могут быть доставлены только в ветви HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER; доставка их в другие разделы невозможна. Кроме того, надо отметить, что файлы ADM и ADMX не могут доставлять параметры, имеющие популярный тип данных REG_BINARY. Наряду с этим хорошо известно, что файлы ADM и ADMX оставляют после себя нежелательные настройки, если соответствующее приложение не следует строгим требованиям Microsoft. Так, если пользователь исключается из группы или объект GPO удаляется или отсоединяется, параметр сохраняется.
Элемент Group Policy Preferences Registry открывает перед администратором новые возможности. Эти настройки размещаются в разделах User ConfigurationPreferencesWindows SettingsRegistry и Computer ConfigurationPreferencesWindows SettingsRegistry. Данный элемент конфигурации позволяет размещать параметры реестра практически в любой его области.
Возможно, вы захотите и дальше использовать файлы ADM и ADMX, если нужно, чтобы администраторы могли выбирать из целого диапазона значений. Допустим, у вас имеется прикладная программа, в которой применяются задаваемые пользователем значения. Вы можете создать файл ADM или ADMX, чтобы администраторы на выбор задавали цвет фона как зеленый, красный или персиковый. Эти цвета могут соответствовать значениям 1, 2 и 4.57. Администраторы могут выбирать цвет по его названию в простом раскрывающемся меню — так им не нужно будет запоминать цифровые значения цветов.
Настройки Group Policy Preferences Registry не позволяют задействовать диапазон параметров. С помощью настроек Group Policy Preferences Registry можно присваивать значения только конкретным параметрам реестра; если файлы ADM и ADMX позволяют описывать пользовательский интерфейс для целевого приложения, то настройки Group Policy Preferences Registry не дают такой возможности.
Ограничение на использование устройств
Всем администраторам требуются средства для указания тех устройств, которые могут быть подключены к сети, а также тех, подключение которых не допускается. Такие устройства, как накопители USB или внешние накопители, часто являются первыми кандидатами на запрет: они дают возможность извлекать информацию из корпоративной сети и переносить в нее данные извне. В операционной системе Windows Vista был реализован новый набор ограничений в групповых политиках на использование устройств; эти ограничения размещаются в разделе Computer ConfigurationPoliciesSystemDevice InstallationDevice Installation Restrictions. Упомянутые настройки блокируют подключение к целевым системам Windows Vista устройств с заданными идентификаторами.
Существующая база систем Windows XP не позволяла выполнять подобные действия, но теперь узел Group Policy Preferences Devices дает возможность реализовать некоторые средства управления подключением устройств к системам Windows XP. Узел Devices имеется как для раздела Computer Configuration, так и для раздела User Configuration по адресу PreferencesControl Panel SettingsDevices. Настройки Group Policy Device Installation Restrictions действуют только в среде Windows Vista, однако метод Group Policy Preferences функционирует во всех совместимых операционных системах (Windows XP SP2 и более новых).
Кстати, следует отметить, что упомянутые технологии строятся на абсолютно разных принципах. Расширение Group Policy Device Installation Restrictions блокирует попытки пользователей устанавливать драйверы для новых аппаратных компонентов. Поэтому, когда вы налагаете ограничение на подключение к системам Windows Vista того или иного устройства, фактически осуществляется блокировка использования соответствующего драйвера. Этот механизм прекрасно работает с картами памяти и другими USB-устройствами, которые, как правило, часто устанавливаются в системе и удаляются из нее, поскольку при следующей проверке наложенное ограничение блокирует подключение устройства.
Но расширение Group Policy Device Installation Restrictions не всегда функционирует в соответствии с ожиданиями применительно к устройствам, которые уже установлены и используются на данном компьютере, таким как жесткие диски, платы SCSI и сканеры. Необходимые драйверы уже установлены, между тем порядок использования соответствующих устройств не предусматривает их отключения и повторного подключения. Следовательно, повторные проверки драйвера не выполняются, и ограничений на использование устройства не налагается — даже в том случае, когда применяется ограничивающая политика.
Механизм действия расширения Group Policy Preferences Devices иной. Оно не блокирует загрузку драйвера, а вместо этого отключает само устройство или порт. Следовательно, если устройство уже установлено, оно может быть просто отключено, что делает невозможным его использование. Здесь нужно отметить, что, поскольку расширение ограничивается отключением устройства, установка драйвера устройства не блокируется. Как показано на экране, любой обладающий соответствующими правами пользователь — обычно это локальный администратор — может просто вновь активировать устройство. Но у обычных пользователей таких прав нет, а значит, рассматриваемая настройка расширения может помочь вам немедленно приступить к ограничению применения устройств: сразу же по получении объекта GPO с элементом Group Policy Preferences Devices использование соответствующего устройства прекращается.
Работа с пользователями и группами
Нередко администраторы хотят только сами определять, какие именно пользователи и группы могут работать на целевых компьютерах. Кроме того, некоторые администраторы стараются добиться того, чтобы членство в отдельных группах внутри каталога Active Directory (AD) соблюдалось без каких-либо иск лючений. Настройки групповых политик, обеспечивающие указанный уровень контроля, расположены в разделе Computer ConfigurationPoliciesSecurity SettingsRestricted Groups. Эти настройки жестко контролируют членство в группах как для локальных групп, так и для групп на базе AD.
Однако многим администраторам необходимо иметь возможность определять круг пользователей, которые могут входить в состав тех или иных локальных групп. Параметр Group Policy Preferences Local Users and Groups размещается в двух узлах — Users и Computer — в разделе PreferencesControl Panel SettingsLocal Users and Groups, что свидетельствует о высокой степени универсальности механизма управления. Этот параметр можно также использовать для добавления новой оснащенной всеми настройками учетной записи пользователя в компьютеры по выбору администратора. С помощью расширения Local Users and Groups можно удалять локальные группы и указывать для удаления из групп тех или иных пользователей; эта функция может пригодиться, если вам, к примеру, нужно исключить из группы локальных администраторов одного пользователя.
Отметим, кстати, что расширение Local Users and Groups может действовать лишь применительно к локальным пользователям и группам, а не к группам на базе AD (как это делает функция Group Policy Restricted Groups).
Настройка меню Start
Возможность управлять средой, в которой работает пользователь, относится к числу основных достоинств системы групповых политик, и средства настройки меню Start традиционно используются администраторами. Настройки групповой политики меню Start находятся в разделе User ConfigurationAdministrative TemplatesStart Menu and Taskbar.
Однако в этом методе не предусмотрена возможность установки базовой предпочтительной конфигурации элементов. Кроме того, поскольку при использовании настроек меню Start и панели задач возможности операционной системы, в сущности, ограничиваются, а пользователи вынуждены принимать предложенные изменения, некоторые считают данные настройки политики недостаточно гибкими.
С другой стороны, настройки Group Policy Preferences Start Menu, находящиеся в разделе User ConfigurationPreferencesControl Panel SettingsStart Menu, представляют собой предпочтительные установки, а это значит, что их можно рассматривать скорее как рекомендации для пользователя. Если пользователям не нравятся предложенные вами настройки меню Start, дайте им возможность при желании изменять эти настройки. Позднее вы сможете отменить это право, используя параметр Apply once and do not reapply соответствующего элемента Group Policy Preferences.
Широкие возможности управления
Исходный набор настроек групповых политик позволяет решать множество задач, но потребности администраторов растут, в том числе и потребность в новых функциях. Расширения Group Policy Preferences открывают доступ к новым функциям, сохраняя в то же время потенциал базового механизма групповых политик.
Настройки исходных групповых политик и расширения Group Policy Preferences должны дополнять друг друга, один механизм не следует противопоставлять другому.
Джереми Московиц (jeremym@moskowitzinc.com) — организатор сайта http://www.gpanswers.com, общественного форума по групповым политикам. Имеет сертификат MCSE
In my previous post, I ran through a quick and dirty overview of Group Policy Preferences in Windows 2008. One little tidbit of information to note is that in order to take advantage of Group Policy Preferences in your Windows 2008 domain, you need to have the Group Policy Preferences Client Side Extensions installed on your PCs and Servers. The Client Side Extensions are installed on Windows 2008 systems by default, but they must be deployed to your XP, Vista, and 2003 devices in order to take advantage of Group Policy Preferences.
Like virtually everything in IT – there is more than one way to skin a cat. The GPP Client Side Extensions are available as an update for Windows (KB 943729). So if you have a method for centralized deployment of updates, you can push this update out to all of your machines. If you’re using WSUS – 943729 is classified as a Feature Pack – so you will need to be synchronizing all Feature Pack updates in order to deploy this via WSUS.
If you don’t have an automated method for deploying updates, or if you’re just a bit sick & twisted like I am, we can configure our SBS 2008 domain so that all machines get the update installed automatically via a GPO startup script. I personally like this approach for a few reasons. First – once it’s set up, we don’t have to do anything special. If we add a new machine to the domain, it will get the Client Side Extensions installed automatically at startup. And considering the few reboots that happen when joining a PC to the domain via http://connect – the CSE will almost always be installed before the user logs in for the first time. This is beneficial to relying on WSUS – because even if we have the update approved for installation, when the PC is first joined to the domain it has to check in with WSUS, and depending on our patching schedule, it could take several days until the CSE actually gets installed. If we’re relying on Group Policy Preferences to handle our drive mappings, printer installations, etc. – it’s obviously preferable to have the CSE installed as soon as possible.
So, I’ve put together a little vbscript to handle the installation of the Group Policy Preferences Client Side Extensions. This script can be used in a number of fashions – from running it manually on a device, to using your favorite Remote Monitoring & Management product (Level Platforms, Kaseya, etc.) to deploy it, or by using it as a startup script in a domain Group Policy Object.
A few details regarding the script:
- The script assumes that the CSE installers are present on the LAN. Therefore you will want to make sure each of the six variations of the CSE installer (both x86 & x64 for Vista, XP & 2003) are downloaded to a share on your network.
- You will need to edit the paths to the installers in the script. The defined paths can be found on lines 47 – 52. Note that these paths must be UNC paths to work.
- If you are going to use the script as a domain startup script, remember that startup scripts execute under the computer account’s security context – so you will need to make sure that your Domain Computers security group has read access to the share where the script and the CSE installers reside.
I’ve tested the script on a number of systems, and it has worked flawlessly on each. However, as usual I make no warranties of any kind, and if you choose to use this script in a production environment, you do so at your own risk 
Большинство win- администраторов, даже если их разбудить посредине ночи, смогут безошибочно указать раздел групповых политик, в котором задаются параметры прокси–сервера для Internet Explorer. Напомним, что настройка параметров Internet Explorer (в том числе настройка прокси-сервера) выполняется с помощью редактора групповых политик (gpmc.msc). Нужные политики находятся в пользовательском разделе GPO:User configuration –> Policies –> Windows Settings –> Internet Explorer Maintenance.
Но в Windows Server 2012 / Windows 8 разработчики Microsoft решили удивить своих пользователей и целиком убрали раздел Internet Explorer Maintenance из редактора групповых политик.
Привычный раздел групповых политик Internet Explorer Maintenance (IEM) также пропадает и в Windows 7 / Windows Server 2008 R2 после установки браузера Internet Explorer 10 или IE 11 (в котором появился полезный режим совместимости Enterprise Mode). И если даже на компьютер с IE 10 / 11 продолжает действовать старая политика с IEM, применять на такой системе она не будет.
Попытки отыскать новое местоположение раздела с настройками IE в редакторе GPO с помощью поиска по GPO ничего не дают. Каким же образом инженеры Microsoft предполагают в дальнейшем задавать параметры браузера (в т.ч. прокси сервера) для Internet Explorer? Как оказалось, теперь это возможно сделать через предпочтения групповых политик GPP (Group Policy Preferences).
Совет. Предпочтения групповых политик появились в Windows Server 2008. Для работы в XP и Windows Server 2003 требуется установка специального расширения — Group Policy Preferences Client Side Extensions.
Итак, в консоли редактора GPO (Group Policy Management Console) откроем раздел User Configuration -> Preferences -> Control Panel Settings -> Internet Settings. В контекстном меню выберем New -> и выберем версию IE, настройки которой будут определяться в политике.
Доступны настройки для следующих версий IE:
- Internet Explorer 5 и 6
- Internet Explorer 7
- Internet Explorer 8 и 9
- Internet Explorer 10
Совет. Политика Internet Explorer 10 действует и на Internet Explorer 11 (в xml файлах политики можно увидеть, что опция действительна для всех версии IE, начиная c 10.0.0.0 и заканчивая 99.0.0.0).
Создадим политику для IE 10 (и выше).
Как вы видите, процесс настройки параметров IE стал более удобным. Параметры IE в предпочтениях групповой политики воспроизводят вкладки настроек для каждой совместимой версии IE.
Укажем домашнюю страницу (Вкладка General, поле Home page).
Важно. Не достаточно просто сохранить внесенные изменения в редакторе политики. Обратите внимание на красные и зеленые подчеркивания у настраиваемых параметров IE. Красное подчеркивание говорит о том, что эта настройка не подтверждена и применяться не будет. Чтобы ее принять, нажмите F5. Зеленое подчеркивание у параметра означает, что этот параметр будет применяться через GPP.
Доступные функциональные клавиши
- F5 – Включить все настройки на текущей вкладке
- F6 – Включить выбранный параметр
- F7 – Отключить выбранный параметр
- F8 – Отключить все настройки на текущей вкладке
Укажем прокси-сервер (Вкладка Connections ->Lan Settings). Ставим галку Use a proxy server for your LAN, а в полях Address и Port соответственно указываем ip/имя прокси-сервера и порт подключения.
Совет. Параметры прокси-сервера в Google Chrome можно задать централизованно через групповые политики с помощью специальных административных шаблонов.
Итак, поведем итоги: параметры браузера IE, начиная с версии 10, теперь не задаются через раздел групповых политик Internet Explorer Maintenance. Вместо него нужно использовать настройки Internet Settings с новым интерфейсом в предпочтениях групповых политик. Из неудобств нововведения — для каждой версии браузера придется делать свои отдельные настройки GPP.
(Всего просмотров: 4 336, просмотров сегодня: 1)