- Remove From My Forums
-
Question
-
I need to make a GPO that changes the registry value hkey_current_user/software/microsoft/windows/currentversion/policies/explorer ‘NoWindowsUpdate’ from 1 to 0 based off an admin logging onto the machine
I see a registry option in Group policy management that will let me set security policies to allow or disallow groups to change this value but how can I setup a policy to change this automatically?
Answers
-
Computer Configuration — Preferences — Windows Settings — Registry — right click new item
Mohamed Abd Elhamid Abd Elaziz Microsoft System Administrator My blog: http://Mabdelhamid.wordpress.com/
-
Marked as answer by
Wednesday, January 25, 2012 9:36 AM
-
Marked as answer by
-
you have windows server 2003 right
you should download and install Group policy prefernce or upgrate to windows server 2008 atleast
Mohamed Abd Elhamid Abd Elaziz Microsoft System Administrator My blog: http://Mabdelhamid.wordpress.com/
-
Marked as answer by
Ryan vande
Wednesday, January 25, 2012 9:37 AM
-
Marked as answer by
In the domain environment, it’s not always possible to use Group Policy (GPO) to manage some of the Windows or applications’ settings. It’s a fact that you can apply some settings only through the system registry. In an Active Directory domain, you can centrally manage registry keys on domain computers through a GPO. In this article, we will show you how to use Group Policy to manage, add, modify, import, and delete registry keys across a domain.
Windows Server 2008 introduced a special Group Policy extension (Group Policy Preferences — GPP). It allows you to manage registry keys and parameters through the Group Policy. GPP allows you to add, remove, or modify registry parameters, values, and keys on domain-joined computers. Let’s review these possibilities.
Note. Previously, to manage registry settings on domain computers, domain administrators had to create their own administrative GPO templates (.adm/.admx) or .bat logon scripts. Also, saved *.reg files were often used, which had to be imported to the users’ computers using the reg import or Regedit.exe /s import.reg commands).
How to Add/Set Registry Key via GPO?
Let’s say we need to disable automatic drivers updating on domain computers in a particular OU. We have to modify the SearchOrderConfig parameter in the registry key HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionDriverSearching.
The registry settings are available in the Computer and User configurations GPO section. Note that depending on the registry hive (HKEY_LOCAL_MACHINE / HKEY_CURRENT_USER), you must apply the settings through the Computer or User configuration GPP, respectively.
There are three options for selecting the registry key on the target PCs:
- Registry Wizard — allows you to use a local remote computer as a reference with the built-in GPP registry browser;
- Collection Item — creates and organizes registry items in a folder. Useful if you need to add a group of registry keys;
- Registry Item — allows you to manually change a single registry key, parameter name, or value.
Lets’ try to use the GPO Registry Wizard to set the registry parameter value:
- Open the Group Policy Management Console (gpmc.msc);
- Create a new (or edit an existing) GPO, and link it to the appropriate Active Directory OU. After that, switch it to the GPO Edit mode;
- Expand the following GPO section: Computer (or User) Configuration > Preferences > Windows Settings > Registry. Select in the context menu: New > Registry Wizard;
- Registry Wizard allows you to browse the registry on a local computer. You can connect to the registry on the remote computer, and select the existing registry key and parameter;
- Specify the remote computer name (or an IP address) to connect. Use the Registry Browser tree to locate and select an existing registry key/parameter;
- In this example, we want to add only one registry item to our GPP — REG_DWORD parameter named SearchOrderConfig;
- This parameter with the full reg path and value will be imported into the GPO editor console. You can change its value and the desired action. To set a specific registry parameter value, use the Update option (look below);
- This completes the registry policy setting. The next time Group Policy is updated on computers (or after running the gpupdate command), the specified registry settings will be applied on all computers in the OU.
You can also type the full registry key path and a parameter name manually:
- Select New > Registry Item;
- In the following fields (Hive, Key path, Value type, Value data) you have to specify the registry hive (HKLM, HKCU, etc.); registry key; parameter name, type, and value;
Note. You can use the following Hive names: HKEY_CLASSES_ROOT (HKEY_LOCAL_MACHINESoftwareClasses), HKEY_CURRENT_CONFIG (HKEY_LOCAL_MACHINESystemCurrentControlSetHardware ProfilesCurrent), HKEY_LOCAL_MACHINE, HKEY_CURRENT_USER (HKEY_USERS.Default will be used if you’ll set HKCU registry key using Computer Configuration Policy); HKEY_USERS — affects individual user profiles.
- As a default, set the policy option to the Update mode.
There are 4 types of operation with the registry items:
- Create — creates a registry parameter. If the parameter already exists, the value does not change;
- Update (default) — if the parameter already exists, its value will be updated with the specified in the GPP. If not, a parameter with the specified value will be created;
- Replace — if the registry item already exists, deletes and recreates the registry item (rarely used). If the reg key or value does not exist, a new registry entry will be created. If the target item is a registry key, this option will remove all parameters and subkeys, leaving only a default value name with no data. If the target item is a registry value, the Replace action will overwrite any existing settings;
- Delete — removes a registry key and all of its values and subkeys.
There are many useful options on the Common tab:
- Run in logged-on user’s security context — the registry parameter is created in the context of the current user. If you check this option, the parameter will be created with the current user permissions. If the user doesn’t have local admin permissions, the policy will be applied only to the HKEY_CURRENT_USER hive. But not to the HKEY_LOCAL_MACHINE;
- Remove this item when it is no longer applied — if you unlink GPO from the AD container, the changed registry settings will return to their initial state;
- Apply once and do not reapply — apply the policy for each computer only once;
- Item-level targeting — can be used to target registry settings via GPP based on computer settings, and/or AD group membership at a granular level.
The final report with policy settings in the GPMC console looks like this:
Note. In Windows XP and Windows Server 2003, the GPP section is absent. To add it to the OS, you have to install the KB943729 update (client-side extensions for Group Policy).
How to Delete Registry Entry Using the Group Policy Preferences?
You can also use GP Preferences to remove a specific key or registry entry on computers in a domain.
For example, you want to delete a certain parameter in the registry key HKEY_CURRENT_USER.
- Create a new registry GPP entry in the section User Configuration > Preferences > Windows Settings > Registry;
- Use the Registry Browser to select a parameter or key;
- Expand the registry key in the GPO console. Open the parameter properties, and change the Action to Delete;
- Save the changes;
- Now, after updating the group policy settings on clients, the specified parameter will be deleted from the user’s registry hive.
Tip. If you receive Network Path not found error when viewing the registry of a remote computer using Registry Browse, check if the specified computer is accessible over the network. Also, check if the Remote Registry service is running (this service is disabled by default). If not, use the Services console (services.msc) to start the service.
Or you can remotely check service status and enable it using the following PowerShell commands:
$remoteservice=get-service RemoteRegistry -ComputerName PC2212ba $remoteservice| Set-Service -StartupType Manual $remoteservice| start-service
How to Deploy a Reg File on Domain Computers Using GPO?
Let’s consider another scenario that can be used when you need to deploy a reg file with a large number of registry settings to all computers in the domain. Instead of creating individual registry settings manually in the GPP editor, you can import the reg file with the settings via the GPO startup script.
- Export the registry key contents on the reference computer to a reg file. To do this, start the registry editor (regedit.exe), right-click on the registry key, and select Export. Specify the name of the file you want to save the contents of the registry key;
- You can open this reg file with any text editor and edit it manually. Remove empty registry key, edit parameter values (if necessary), and add new keys or parameters;
- Start the Group Policy Management console, create a new GPO and link it to the OU with computers (if you want to apply the parameters from the HKLM registry hive);
- Go to the following GPO section: Computer Configuration > Windows Settings > Scripts > Logon;
- Click the Add button to add a new Startup script.
- In the next window, click on the Browse button and copy your reg file to this directory (\domain-nameSysvoldomain-namePolicies…);
- Specify the following parameters of the logon script:
Script Name: regedit.exe Script Parameters: /s your_reg_file.reg
- Save changes to the policy;
- Registry settings from your reg file will be applied on all computers in the specified OU after reboot.
Assigning Registry Key Permissions via Group Policy
Also, you can assign permissions (ACLs) to registry keys using Windows Group Policy. This feature may be useful when you grant a user permission to system-protected registry keys or want to prevent non-administrator users from changing certain registry keys.
- Create a new GPO or edit an existing one;
- Expand the following Group Policy section: Computer Configuration > Windows Settings > Security Settings > Registry;
- Right-click in the right pane and select Add key;
- Use the built-in Registry Browser to select the local registry key you want to assign an ACL to. If you want to set permissions for a registry key that is missing on current computer, you will need to install the GPMC snap-in and edit the GPO from the computer that has this key;
- The Database Security for <KeyName> dialog will open. Here you can change the ACL for this registry key. In our case, we granted Full Control (Read + Write + Change) permissions to the Chrome registry key for the caWKSPowerUsers Active Directory group. By default, this ACL is not inherited to nested subkeys. If you want to enable permission inheritance, click the Advanced > Enable Inheritance button;
- Save changes by clicking OK. You will see the Template Security Policy Settings dialog window. Here you can force your ACL to apply to all subkeys of the target key (Propagate inheritable permissions to all subkeys) or force new ACL only to subkeys that inherit from the target key (Replace existing permissions on all subkeys with inheritable permission). Or, you can enable the “Do not allow permissions on this key to be replaced” option to prevent editing ACL on this reg entry;
- Close the GPO editor window. Registry permissions will be applied the next time you restart target client computers.
- About
- Latest Posts
I enjoy technology and developing websites. Since 2012 I’m running a few of my own websites, and share useful content on gadgets, PC administration and website promotion.
In this article, I am going to explain how to add and edit registry values into group of computers via Group Policy. This is a very common task in GPO based Active Directory environment for either all of your user’s computer or to a certain group of user’s computer. You can do it easily via Group Policy‘s Computer Preferences setting Registry (SampleGPOComputer ConfigurationPreferencesWindows SettingsRegistry). You can update existing registry value, add new registry value, create new registry key and import existing registry values from one computer and update imported registry values into group of computers via Group Policy.
Summary
- Update existing Registry Value via GPO
- Add new Registry Value via GPO
- Deploy Registry settings by Import Wizard
Update existing Registry Value via Group Policy
Before configuring Group Policy, group the computers those you want to deploy registry settings and move into single OU so that we can easily link new gpo into that OU.
Follow the below steps to update existing registry value through gpo:
1. Open the Group Policy Management console by running the command gpmc.msc.
2. Expand the tree and right-click on the OU you want this policy to be applied to. Now, I am going to apply computers which are under the OU ManagementTeam. so right-click on the OU ManagementTeam, and click Create a GPO in this domain, and Link it here…
3. Give the new policy name and click OK. Here, I am giving new policy name Deploy Registry Policy
4. Now right-click on the newly created gpo Deploy Registry Policy and click edit.
5. In the Group Policy Management Editor window, expand Computer Configuration and go to the node Registry (Computer Configuration/Preferences/Windows Settings/Registry).
6. Right-click on the node Registry, click New > Registry Item.
7. In new window, select the Registry Hive where your registry key exist and click browse (…) button to select existing registry value.
8. Select the registry value which you want update new value. Here, I have selected the registry value Debug from SoftwareMorganApp.
9. Set new value data (I have set it as 1) and click Apply to complete process.
10. That’s all, now you can login into any one of the computer which is located under the OU where this group policy is linked and see the updated registry value. If you already logged-in, just run the command gpupdate/force to refresh GPO settings and see the updated registry value.
Add new Registry Value through Group Policy
Adding new registry value via GPO is same process like updating existing registry value. Here, we are just giving new registry value and its value data instead of selecting registry value.
1. Open the Group Policy in which you want to configure deploy registry settings.
2. In the Group Policy Management Editor window, expand Computer Configuration and go to the node Registry (Computer Configuration/Preferences/Windows Settings/Registry).
3. Right-click on the node Registry, click New > Registry Item.
4. In new window, select the Registry Hive where your registry key is exist.
5. Type existing registry key path (SoftwareMorganApp) and type new registry value. Here, I have given new registry value ‘Description‘.
6. Set new value data (I have set it as ‘This is new description‘) and click Apply to complete process.
7. That’s all, now you can login into any one of the computer which is located under the OU where this group policy is linked and see the created new registry value. If you already logged-in, just run the command gpupdate/force to refresh GPO settings and see the newly created registry value.
Deploy Registry settings by Importing Registry via Group Policy
This method will be very useful if you want to update group of related registry values. Just configure the required registry values in local machine (The machine where you are editing GPO) and you can import the registry settings via import wizard in GPO.
1. Open the Group Policy in which you want to configure deploy registry settings.
2. In the Group Policy Management Editor window, expand Computer Configuration and go to the node Registry (Computer Configuration/Preferences/Windows Settings/Registry).
3. Right-click on the node Registry, click New > Registry Wizard.
4. In new window, select Local Computer and click Next.
5. Expand My Computer and Registry Hive, select the Registry setting which you want to import (I have selected MorganApp1 and its registry values) and click Finish to complete process.
6. That’s all, now you can login into any one of the computer which is located under the OU where this group policy is linked and see the created new registry settings. If you already logged-in, just run the command gpupdate/force to refresh GPO settings and see the newly created registry settings.
В каждой новой версии Windows — и это в первую очередь касается сферы групповых политик — реализуются уникальные дополнительные возможности: новые модули управления, новые средства и функции, которые избавляют нас от необходимости бегать от компьютера к компьютеру, решая ту или иную задачу. Как правило, все эти средства реализуются в операционной системе. Так, когда на рынке появилась версия Windows Vista, к ней прилагались политика Wired Ethernet, политика Enterprise QoS, новый механизм управления принтерами и т.д.
В 2007 году корпорация Microsoft выпустила дополнительный набор функций групповых политик Group Policy Preferences. Некоторые функции Group Policy Preferences имеют имена, сходные с именами базовых функций групповых политик, и потенциально дублируют их, но в данной статье я хочу показать, как использовать эти новые возможности так, чтобы получить от механизма групповых политик максимальную отдачу.
Где найти Group Policy Preferences
Всего в набор Group Policy Preferences входит 21 функция. Можно подумать, что для размещения такого количества новых функций необходим большой объем программных средств. На самом же деле комплект Group Policy Preferences поставляется в виде единого набора клиентских расширений (Client-Side Extensions, CSE). Когда целевой компьютер обрабатывает объект групповой политики (Group Policy Object, GPO), содержащий функцию Group Policy Preferences, он просто вызывает нужное расширение, которое и выполняет соответствующую задачу.
Клиентское расширение Group Policy Preferences входит в комплект поставки Windows Server 2008 (и будет входить в комплект поставки Windows 7), так что под управлением этих систем директивы Group Policy Preferences выполняются без каких-либо дополнительных действий со стороны пользователя. Но если на ваших компьютерах установлены системы Windows Vista, Windows Server 2003 или Windows XP, вы сможете воспользоваться новой технологией только при условии обновления этих систем. Компьютеры Windows 2000 несовместимы с расширением Group Policy Preferences. Более подробную информацию об этом можно найти на GPanswers.com (http://gpanswers.com/resources/newsletter-archives.html).
Учтите, что на компьютере, где установлена консоль управления, должна также использоваться обновленная консоль управления групповыми политиками Group Policy Management Console (GPMC) с обновленным редактором групповых политик Group Policy Editor (GPE). Обновленная GPMC поставляется с Server 2008 и совместима с Windows Vista SP1 и более поздними системами, если установить набор инструментов для администрирования удаленного сервера — Remote Server Administration Toolkit (RSAT), который можно получить на сайте Microsoft Download Center. Обновленная версия GPMC несовместима с XP.
Расширения Group Policy Preferences позволяют выполнять большее число задач, нежели базовые групповые политики. Исходя из этого обстоятельства, давайте рассмотрим те области, где расширения Group Policy Preferences дают возможность расширить потенциал механизма групповых политик.
Развертывание принтеров
Когда-то развертывание принтеров с помощью групповых политик было заветной мечтой многих администраторов. Наконец эта функция была реализована в системе Windows Server 2003 R2, хотя администраторы на первых порах активно ее критиковали. Начать с того, что для успешной работы функции необходимо было обновление схемы. Требовалось также, чтобы администраторы вводили в свои сценарии запуска и регистрации специальный дополнительный модуль. И, что хуже всего, функция работала неустойчиво.
Настройки политики Deployed Printers можно найти в редакторе GPE в разделе Computer ConfigurationPoliciesWindows SettingsDeployed Printers andUser ConfigurationWindows SettingsDeployed Printers. Имейте в виду, что на системе управления Server 2008 или Windows Vista вы не увидите узел Deployed Printers до тех пор, пока не будут загружены компоненты Print Management, которые можно установить с помощью инструментов RSAT; последние располагаются в разделе Feature узла Remote Server Administration ToolsRole Administration ToolsPrint Services Tools.
Обычно внимание администраторов привлекает не столько расширение Deployed Printers, сколько функция Group Policy Preferences Printers. Для ее использования не требуются ни расширения схемы, ни обновления сценариев запуска или регистрации. Узел Group Policy Preferences Printers располагается в двух местах: Computer ConfigurationPreferencesControl Panel SettingsPrinters и User ConfigurationPreferencesControl Panel SettingsPrinters. Данная функция дает возможность развертывать принтеры TCP/IP и локальные принтеры (для пользователя или для компьютера) либо совместно используемые принтеры (только для пользователя).
Если на целевом компьютере установлен клиент Group Policy Preferences, развертывание принтеров — это сплошное удовольствие.
Расширения Group Policy Preferences несовместимы с Windows 2000, поэтому, если у вас возникает необходимость развертывать принтеры на этих системах, следует продолжать применять традиционный метод Group Policy Deployed Printers.
Управление браузером IE
Механизм групповых политик предоставляет ряд возможностей для управления одним из наиболее популярных приложений Windows — браузером Microsoft Internet Explorer. Исходные настройки политики размещаются в одной из папок User Configuration или Computer Configuration в каталоге PoliciesAdministrative TemplatesWindows ComponentsInternet Explorer. Эти настройки могут помочь администратору определить, что пользователи могут делать с браузером IE и чего не могут.
Дополнительные настройки IE, именуемые IE Maintenance, размещаются в папке User ConfigurationPoliciesWindows SettingsInternet Explorer Maintenance. Некоторые из этих настроек выполняют блокировку аналогично тому, как это делают политики; другие дают пользователям возможность обходить предустановленные настройки.
Настройки Internet Settings набора Group Policy Preferences несколько расширяют эти возможности. Настройки IE размещаются в папке User ConfigurationPreferencesControl Panel SettingsInternet Settings. Указание установок (preferences) означает следующее: администратор задает первоначальные настройки, но пользователи могут изменять их. Пример: вы можете указать Web-страницу компании в качестве начальной страницы для всех пользователей, но дать им возможность при желании изменить данную настройку. В этом отношении установки Group Policy Preferences подобны настройкам IE Maintenance; в то же время интерфейс Group Policy Preferences Internet Settings на удивление оригинален и приятен. В сущности, он напоминает интерфейс браузера Internet Explorer, что должно понравиться большинству администраторов.
Управление энергопитанием
В системе Windows Vista реализован ряд весьма добротных функций управления электропитанием. Они размещаются в разделе Computer ConfigurationPoliciesSystemPower Management. Эти установки управляют настройками режима ожидания, реакцией системы на нажатие пользователем тех или иных кнопок управления энергопитанием, инициируют остановку жесткого диска, но все они доступны только в системе Windows Vista.
Настройки Group Policy Preferences Power Options располагаются в разделах Computer Configuration и User Configuration папки PreferencesControl Panel SettingsPower Options. Эти настройки дают возможность использовать в системе Windows XP новые средства управления электропитанием на базе групповых политик. Благодаря такому пополнению в семействе средств управления электропитанием остро необходимая функция переносится на широкую базу установленных систем. Мало того, пользовательский интерфейс для установки настроек Power Options и Power Schemes напоминает интерфейс XP, что существенно сокращает время его освоения. Поэтому администраторы могут быстро приступать к использованию новой функции.
Управление файлами
Иногда у администраторов возникает необходимость устанавливать для отдельных файлов ту или иную степень защиты на серверах и настольных системах. Для выполнения этой задачи совсем не обязательно переходить от компьютера к компьютеру. Вместо этого можно воспользоваться групповой политикой. Фактический перенос таких файлов на настольные системы — вопрос отдельный. Файлы приходится копировать вручную или использовать для этой цели сценарии регистрации либо что-то в этом роде.
Но теперь вы можете доставить на клиентскую систему файл или несколько файлов с помощью расширения Group Policy Preferences Files, расположенного в разделе Computer ConfigurationPreferencesWindows SettingsFiles. А с помощью настроек политики Group Policy File Security, расположенных в разделе Computer ConfigurationPoliciesWindows SettingsSecurity Settings File System, можно применить к этим файлам список управления доступом. Ну просто волшебное сочетание!
Настройка служб
Менять параметры службы, перебегая от сервера к серверу (особенно если их в хозяйстве целая сотня) — удовольствие сомнительное. Вот почему в системе групповых политик реализован метод управления службами; он размещается в разделе Computer ConfigurationPoliciesSecurity SettingsSystem Services. Эти настройки дают возможность устанавливать для учетной записи тот или иной уровень защиты, например указывать, кто может запускать службу, а также прекращать и временно приостанавливать ее работу.
Однако с помощью настройки Group Policy Preferences Services (Computer ConfigurationPreferencesControl Panel SettingsServices) можно также изменять пароль локальной системной учетной записи, изменять параметры восстановления в случае сбоя службы, а также назначать другую программу, выполняемую в случае отказа службы, или предусматривать перезапуск компьютера при сбое.
Обслуживание реестра
Установка одного значения реестра для всех целевых систем сети может быть делом весьма хлопотным. Для выполнения этой задачи многие администраторы используют сценарии регистрации и другие квазиавтоматические методы.
Система групповых политик всегда обеспечивала перенос конкретных значений реестра на клиенты с помощью встроенных шаблонов ADM и ADMX. Вы всегда видите результаты этих шаблонов при просмотре раздела Computer ConfigurationPoliciesAdministrative Templates orUser ConfigurationPoliciesAdministrative Templates. Эти настройки групповых политик просто присваивают желаемые значения параметрам реестра на целевых системах.
Файлы ADM и ADMX могут быть модифицированы таким образом, чтобы доставлять установки реестра для ваших приложений. Однако эти параметры могут быть доставлены только в ветви HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER; доставка их в другие разделы невозможна. Кроме того, надо отметить, что файлы ADM и ADMX не могут доставлять параметры, имеющие популярный тип данных REG_BINARY. Наряду с этим хорошо известно, что файлы ADM и ADMX оставляют после себя нежелательные настройки, если соответствующее приложение не следует строгим требованиям Microsoft. Так, если пользователь исключается из группы или объект GPO удаляется или отсоединяется, параметр сохраняется.
Элемент Group Policy Preferences Registry открывает перед администратором новые возможности. Эти настройки размещаются в разделах User ConfigurationPreferencesWindows SettingsRegistry и Computer ConfigurationPreferencesWindows SettingsRegistry. Данный элемент конфигурации позволяет размещать параметры реестра практически в любой его области.
Возможно, вы захотите и дальше использовать файлы ADM и ADMX, если нужно, чтобы администраторы могли выбирать из целого диапазона значений. Допустим, у вас имеется прикладная программа, в которой применяются задаваемые пользователем значения. Вы можете создать файл ADM или ADMX, чтобы администраторы на выбор задавали цвет фона как зеленый, красный или персиковый. Эти цвета могут соответствовать значениям 1, 2 и 4.57. Администраторы могут выбирать цвет по его названию в простом раскрывающемся меню — так им не нужно будет запоминать цифровые значения цветов.
Настройки Group Policy Preferences Registry не позволяют задействовать диапазон параметров. С помощью настроек Group Policy Preferences Registry можно присваивать значения только конкретным параметрам реестра; если файлы ADM и ADMX позволяют описывать пользовательский интерфейс для целевого приложения, то настройки Group Policy Preferences Registry не дают такой возможности.
Ограничение на использование устройств
Всем администраторам требуются средства для указания тех устройств, которые могут быть подключены к сети, а также тех, подключение которых не допускается. Такие устройства, как накопители USB или внешние накопители, часто являются первыми кандидатами на запрет: они дают возможность извлекать информацию из корпоративной сети и переносить в нее данные извне. В операционной системе Windows Vista был реализован новый набор ограничений в групповых политиках на использование устройств; эти ограничения размещаются в разделе Computer ConfigurationPoliciesSystemDevice InstallationDevice Installation Restrictions. Упомянутые настройки блокируют подключение к целевым системам Windows Vista устройств с заданными идентификаторами.
Существующая база систем Windows XP не позволяла выполнять подобные действия, но теперь узел Group Policy Preferences Devices дает возможность реализовать некоторые средства управления подключением устройств к системам Windows XP. Узел Devices имеется как для раздела Computer Configuration, так и для раздела User Configuration по адресу PreferencesControl Panel SettingsDevices. Настройки Group Policy Device Installation Restrictions действуют только в среде Windows Vista, однако метод Group Policy Preferences функционирует во всех совместимых операционных системах (Windows XP SP2 и более новых).
Кстати, следует отметить, что упомянутые технологии строятся на абсолютно разных принципах. Расширение Group Policy Device Installation Restrictions блокирует попытки пользователей устанавливать драйверы для новых аппаратных компонентов. Поэтому, когда вы налагаете ограничение на подключение к системам Windows Vista того или иного устройства, фактически осуществляется блокировка использования соответствующего драйвера. Этот механизм прекрасно работает с картами памяти и другими USB-устройствами, которые, как правило, часто устанавливаются в системе и удаляются из нее, поскольку при следующей проверке наложенное ограничение блокирует подключение устройства.
Но расширение Group Policy Device Installation Restrictions не всегда функционирует в соответствии с ожиданиями применительно к устройствам, которые уже установлены и используются на данном компьютере, таким как жесткие диски, платы SCSI и сканеры. Необходимые драйверы уже установлены, между тем порядок использования соответствующих устройств не предусматривает их отключения и повторного подключения. Следовательно, повторные проверки драйвера не выполняются, и ограничений на использование устройства не налагается — даже в том случае, когда применяется ограничивающая политика.
Механизм действия расширения Group Policy Preferences Devices иной. Оно не блокирует загрузку драйвера, а вместо этого отключает само устройство или порт. Следовательно, если устройство уже установлено, оно может быть просто отключено, что делает невозможным его использование. Здесь нужно отметить, что, поскольку расширение ограничивается отключением устройства, установка драйвера устройства не блокируется. Как показано на экране, любой обладающий соответствующими правами пользователь — обычно это локальный администратор — может просто вновь активировать устройство. Но у обычных пользователей таких прав нет, а значит, рассматриваемая настройка расширения может помочь вам немедленно приступить к ограничению применения устройств: сразу же по получении объекта GPO с элементом Group Policy Preferences Devices использование соответствующего устройства прекращается.
Работа с пользователями и группами
Нередко администраторы хотят только сами определять, какие именно пользователи и группы могут работать на целевых компьютерах. Кроме того, некоторые администраторы стараются добиться того, чтобы членство в отдельных группах внутри каталога Active Directory (AD) соблюдалось без каких-либо иск лючений. Настройки групповых политик, обеспечивающие указанный уровень контроля, расположены в разделе Computer ConfigurationPoliciesSecurity SettingsRestricted Groups. Эти настройки жестко контролируют членство в группах как для локальных групп, так и для групп на базе AD.
Однако многим администраторам необходимо иметь возможность определять круг пользователей, которые могут входить в состав тех или иных локальных групп. Параметр Group Policy Preferences Local Users and Groups размещается в двух узлах — Users и Computer — в разделе PreferencesControl Panel SettingsLocal Users and Groups, что свидетельствует о высокой степени универсальности механизма управления. Этот параметр можно также использовать для добавления новой оснащенной всеми настройками учетной записи пользователя в компьютеры по выбору администратора. С помощью расширения Local Users and Groups можно удалять локальные группы и указывать для удаления из групп тех или иных пользователей; эта функция может пригодиться, если вам, к примеру, нужно исключить из группы локальных администраторов одного пользователя.
Отметим, кстати, что расширение Local Users and Groups может действовать лишь применительно к локальным пользователям и группам, а не к группам на базе AD (как это делает функция Group Policy Restricted Groups).
Настройка меню Start
Возможность управлять средой, в которой работает пользователь, относится к числу основных достоинств системы групповых политик, и средства настройки меню Start традиционно используются администраторами. Настройки групповой политики меню Start находятся в разделе User ConfigurationAdministrative TemplatesStart Menu and Taskbar.
Однако в этом методе не предусмотрена возможность установки базовой предпочтительной конфигурации элементов. Кроме того, поскольку при использовании настроек меню Start и панели задач возможности операционной системы, в сущности, ограничиваются, а пользователи вынуждены принимать предложенные изменения, некоторые считают данные настройки политики недостаточно гибкими.
С другой стороны, настройки Group Policy Preferences Start Menu, находящиеся в разделе User ConfigurationPreferencesControl Panel SettingsStart Menu, представляют собой предпочтительные установки, а это значит, что их можно рассматривать скорее как рекомендации для пользователя. Если пользователям не нравятся предложенные вами настройки меню Start, дайте им возможность при желании изменять эти настройки. Позднее вы сможете отменить это право, используя параметр Apply once and do not reapply соответствующего элемента Group Policy Preferences.
Широкие возможности управления
Исходный набор настроек групповых политик позволяет решать множество задач, но потребности администраторов растут, в том числе и потребность в новых функциях. Расширения Group Policy Preferences открывают доступ к новым функциям, сохраняя в то же время потенциал базового механизма групповых политик.
Настройки исходных групповых политик и расширения Group Policy Preferences должны дополнять друг друга, один механизм не следует противопоставлять другому.
Джереми Московиц — организатор сайта http://www.gpanswers.com, общественного форума по групповым политикам. Имеет сертификат MCSE
Журнал «Windows IT Pro», Издательство «Открытые системы» (http://www.osp.ru/)