Персонализация windows 10 через групповые политики

В этой статье показаны действия, с помощью которых можно запретить изменение фона рабочего стола в Windows 10.

По умолчанию пользователи операционной системы могут изменять фон рабочего стола, устанавливая различные изображения. Если нужно запретить пользователям изменять фон рабочего стола, то сделать это можно при помощи редактора локальных групповых политик (способ для пользователей Windows редакции профессиональная или корпоративная) или используя редактор системного реестра (способ для всех редакций).

Как запретить изменение фона рабочего стола в редакторе локальных групповых политик (gpedit.msc)

Существует два способа запретить изменение фона рабочего стола в редакторе локальных групповых политик. В принципе первого способа будет достаточно, только перед его применением установите нужное изображение рабочего стола. Оба способа можно использовать как раздельно (или первый, или второй), так и вместе (второй способ дополняет первый).

Способ 1

Откройте редактор локальных групповых политик, для этого нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите команду gpedit.msc и нажмите клавишу Enter ↵.

В открывшемся окне редактора локальной групповой политики последовательно разверните следующие элементы списка:

Конфигурация пользователя ➯ Административные шаблоны ➯ Панель управления ➯ Персонализация

Далее, в правой части окна дважды щелкните левой кнопкой мыши по параметру политики с названием

Запрет изменения фона рабочего стола

В окне Запрет изменения фона рабочего стола, установите переключатель из положения Не задано в положение Включено и нажмите кнопку OK.

Изменения вступают в силу сразу. Теперь открыв Параметры Windows ➯ Персонализация ➯ Фон, вы увидите строку красного цвета Некоторыми параметрами управляет ваша организация и настройки по изменению фона будут недоступны.

Также вы не сможете изменить фон рабочего стола щелкнув изображение правой кнопкой мыши и выбрав команду Сделать фоновым изображением рабочего стола или с помощью программ для просмотра изображений.

Способ 2

Этот способ можно использовать как отдельно, так и в дополнение к первому способу.

В окне редактора локальных групповых политик перейдите по следующему пути:

Конфигурация пользователя ➯ Административные шаблоны ➯ Рабочий стол ➯ Рабочий стол

Далее, в правой части окна дважды щелкните левой кнопкой мыши по параметру политики с названием

Фоновые рисунки рабочего стола.

В окне Фоновые рисунки рабочего стола, установите переключатель из положения Не задано в положение Включено, в поле Имя фонового рисунка введите полный путь и имя файла изображения. В выпадающем списке Стиль фонового рисунка выберите один из вариантов расположения изображения: Замостить, Заполнение, По размеру, По центру, Растянуть, Расширение и нажмите кнопку OK.

Изменения вступают в силу сразу, но изображение которое вы указали в качестве фона сразу не появится, для этого нужно выйти из системы или перезапустить проводник Windows, или щелкнуть правой кнопкой мыши на любом графическом файле и в контекстном меню выбрать пункт Сделать фоновым изображением рабочего стола, при этом фон рабочего стола изменится на то изображение, которое вы указали в редакторе групповых политик.

Как запретить изменение фона рабочего стола в редакторе реестра

Данный способ подходит для всех редакций операционной системы Windows. Прежде чем вносить какие-либо изменения в реестр, рекомендуется создать точку восстановления или экспортировать тот раздел реестра, непосредственно в котором будут производиться изменения.

Откройте редактор реестра, для этого нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите команду regedit и нажмите клавишу Enter ↵.

Чтобы запретить изменение фона рабочего стола для пользователя под которым вы вошли в систему, в редакторе реестра перейдите по следующему пути:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Если вы хотите запретить изменение фона рабочего стола для всех пользователей данного компьютера, то
перейдите по следующему пути:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

Нажмите правой кнопкой мыши на разделе Policies и в появившемся контекстном меню выберите

Создать > Раздел.

Присвойте созданному разделу имя ActiveDesktop.

Нажмите правой кнопкой мыши на разделе ActiveDesktop и в появившемся контекстном меню выберите

Создать > Параметр DWORD (32 бита). Присвойте созданному параметру имя NoChangingWallPaper.

Далее дважды щелкните левой кнопкой мыши по созданному нами параметру, и в качестве его значения установите 1, нажмите кнопку OK.

Теперь если вы зайдете в Параметры Windows ➯ Персонализация ➯ Фон, вы увидите что настройки по изменению фона
будут недоступны. После выполненных действий рекомендуется перезапустить проводник Windows или выйти из системы.

Описанные выше действия по редактированию реестра по сути повторяют первый способ запрета изменения фона рабочего стола в редакторе групповых политик.

Следующие действия по редактированию реестра повторяют второй способ запрета изменения фона рабочего стола в редакторе групповых политик.

Чтобы запретить изменение фона рабочего стола для пользователя под которым вы вошли в систему, в редакторе реестра перейдите по следующему пути:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Если вы хотите запретить изменение фона рабочего стола для всех пользователей данного компьютера, то
перейдите по следующему пути:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

Нажмите правой кнопкой мыши на разделе Policies и в появившемся контекстном меню выберите

Создать > Раздел. Присвойте созданному разделу имя System.

Далее нажмите правой кнопкой мыши на разделе System и в появившемся контекстном меню выберите

Создать > Строковый параметр. Присвойте созданному параметру имя Wallpaper.

Теперь дважды щелкните левой кнопкой мыши по созданному нами параметру, и в качестве его значения укажите путь к изображению, которое вы хотите использовать, например D:\Wallpaper\img1.jpg, нажмите кнопку OK.

Далее нам нужно в разделе System создать еще один Строковый параметр, для этого нажмите правой кнопкой мыши на разделе System и в появившемся контекстном меню выберите
Создать > Строковый параметр. Присвойте созданному параметру имя WallpaperStyle

Дважды щелкните левой кнопкой мыши по созданному нами параметру, и в качестве его значения установите одну из перечисленных ниже цифр и нажмите кнопку OK.

0 — по центру
1 — замостить
2 — растянуть
3 — по размеру
4 — заполнение
5 — расширение

После выполненных действий рекомендуется перезапустить проводник Windows или выйти из системы. Теперь открыв любое изображение, пользователь не сможет установить его в качестве фонового рисунка рабочего стола.

.

Рассмотрим, как с помощью групповых политик можно установить одинаковый рисунок рабочего стола (обои) на всех компьютерах домена. Как правило, такое требование возникает в крупных организациях, требующих использовать на всех компьютерах одинаковый фон рабочего стола, выполненного в корпоративном стиле компании.

Нам понадобится, собственно файл с рисунком, который вы хотите использовать в качестве обоев. Это может быть файл формата bmp или jpg.

Если в компании используются мониторы различных форматов, нужно выбрать разрешение наименьшего монитора и использовать именно это разрешение для картинки обоев. Например, если минимальное разрешение монитора 1280 x 1024, именно это разрешение картинки нужно использовать. При этом фоновая картинка будет располагаться по центру экрана, и отображается в режиме заполнения (Fill).

Файл с изображением можно предварительно скопировать на все компьютеры, но на мой взгляд проще, чтобы клиенты автоматически брали jpg файл из сетевого каталога. Для этого можно использовать файл-сервер, каталог SYSVOL на контроллерах домена или DFS каталог. Для нашей распределенной сети мы выбрали второй вариант, ведь так как содержимое SYSVOL автоматически реплицируется между всеми DC, это уменьшит WAN — трафик между филиалами при получении клиентами файла с рисунком.

Скопируйте файл с изображением на любом контроллер домена в каталог C:WindowsSYSVOLsysvolwinitpro.locscriptsScreen. UNC путь к файлу будет выглядеть так: \winitpro.locSYSVOLwinitpro.locscriptsScreencorp_wallpaper.jpg.

Проверьте, что у пользователей домена есть права на чтение этого файла (проверьте NTFS разрешения, предоставив право Read группе Domain Users или Authenticated Users).

Настройка групповых политик управления фоном рабочего стола

Затем откройте консоль управления доменными GPO (GPMC.msc). Создайте новую политику и назначьте ее на нужный OU с пользователями (в нашем примере мы хотим, чтобы политика применялась на все компьютеры и сервера домена, поэтому мы просто отредактируем политику Default Domain Policy). Перейдите в режим редактирования политики.

Перейдите в секцию секции User Configuration -> Policies -> Administrative Templates -> Desktop -> Desktop (Конфигурация пользователя -> Административные шаблоны -> Рабочий стол -> Рабочий стол).

Включите политику Enable Active Desktop (Включить Active Desktop).

Затем включите политику Desktop Wallpaper (Фоновые рисунки рабочего стола). В параметрах политики укажите UNC путь к файлу с рисунком и выберите стиль фонового рисунка (Wallpaper Style) — Fill (Заполнение).

Совет. Как правило, стиль фонового рисунка “Fill” выглядит нормально почти на всех разрешениях экрана.

Чтобы проверить работу политики на клиенте, выполните выход из системы (logoff) и зайдите в систему опять. На рабочем столе пользователя должны отобразиться заданные обои.

Если групповая политика не применяется на клиентах, выполнить диагностику назначения политики на конкретном клиенте можно с помощью команды gpresult (убедить что ваша политика отображается в секции Applied Group Policy Objects).

Если требуется запретить пользователям менять фоновый рисунок рабочего стола, включите политику Prevent Changing Desktop Background (Запрет изменения фона рабочего стола) в разделе User Configuration -> Administrative Templates -> Control Panel -> Personalization.

Если вы хотите более точно нацеливать политику с обоями на клиентов, вы можете использовать WMI Фильтры GPO, например, чтобы применить обои только к десктопам с Windows 10, используйте следующий WMI фильтр:

select * from Win32_OperatingSystem where Version like “10.%”

Настройка фона рабочего стола через реестр и GPO

Вы можете задать параметры и файл фонового рисунка рабочего стола через реестра. Путь к файлу обоев хранится в строковом (REG_SZ) параметре реестра Wallpaper в ветке HKEY_CURRENT_USERControl PanelDesktop или HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem. В этом параметре нужно указать UNC путь к вашей картинке.

В этой же ветке реестра параметром WallpaperStyle (REG_SZ) задается положение изображения на рабочем столе. Для растягивания изображения используется значение 2.

Если вы хотите запретить пользователям менять фон рабочего стола, создайте в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesActiveDesktop параметр «NoChangingWallPaper»=dword:00000001

Эти настройки реестра можно распространить на компьютеры пользователей через расширение GPO – Group Policy Preferences. Для этого перейдите в раздел User Configuration -> Preferences -> Windows Settings и создайте два параметра реестра с режимом Update.

С помощью Group Policy Preferences Item level Targeting вы можете более точно назначить политику обоев на клиентов. Например, в свойствах параметра реестра в политике на вкладке Common включите Item level Targeting, нажмите кнопку Targeting и с помощью простого мастера укажите, что данные настройки политики фонового рисунка должны применяться только к компьютерам с Windows 10 и пользователям из определённой группы безопасности AD.

Аналогичным образом вы можете сделать несколько разных файлов обоев для разных групп пользователей (или устройств). Добавив нужных пользователей в группы доступа вы можете задать различный фоновый рисунок рабочего стола для разных категорий сотрудников.

Дополнительно вы можете изменить картинку на экране входа в систему. Для этого можно использовать политику Force a specific default lock screen image в разделе GPO Computer Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization или через следующие параметры реестра:

• HKLMSoftwarePoliciesMicrosoftWindowsPersonalization — LockScreenImage — путь к jpg изображению на экране блокировки;
• HKLMSoftwarePoliciesMicrosoftWindowsPersonalization — LockScreenOverlaysDisabled = 1;
• HKLMSoftwarePoliciesMicrosoftWindowsSystem — DisableLogonBackgroundImage = 0.

На Windows 10 не применяются обои рабочего стола через GPO

На компьютерах с Windows 10 политика обоев рабочего стола может применяться не с первого раза. Дело в том, что Windows 7 и Windows 10 по-разному используют кеш фонового рисунка рабочего стола. В Windows 7 при каждом входе пользователя в систему кэш фонового изображения обоев перегенеририуется автоматически.

В Windows 10, если путь к картинке не изменился, не происходит обновление кэша, соответственно пользователь будет видеть старую картинку, даже если вы обновили ее в каталоге на сервере.

Поэтому для Windows 10 можно добавить дополнительный логоф скрипт, который очищает кэш изображения при выходе пользователя из системы. Это может быть bat файл Clear_wallpaper_cache.bat с кодом:

del /F /S /Q %USERPROFILE%AppDataRoamingMicrosoftWindowsThemesTranscodedWallpaper
del /F /S /Q %USERPROFILE%AppDataRoamingMicrosoftWindowsThemesCachedFiles*.*

В результате фон рабочего стола у пользователей Windows 10 станет применяться нормально.

Централизованная настройка экрана блокировки и плана электропитания операционных систем

Одна из возможностей, которой славится новейшая клиентская операционная система от Microsoft, – это возможность кастомизации фона экрана блокировки компьютера, чего так не хватало в предыдущих операционках, из-за чего пользователям приходилось изобретать различные твики и, в большинстве случаев, использовать сторонние программные продукты, которые, между прочим, могли даже принести вред самому рабочему месту пользователя. Думаю, многие помнят, что если вы не хотите использовать какое-либо стороннее программное обеспечение, то нужно было для решения такой задачи в той же Windows 7 вносить изменения в параметры реестра OEMBackground и UseOEMBackground, создавать картинки с определенными разрешениями экрана и определенными наименованиями и помещать их в папку C:WindowsSystem32oobeinfobackgrounds. Короче говоря, весьма утомительная процедура для какой-то мелочи, без которой, по большому счету, можно было бы и прожить.
Собственно, теперь в Windows 8 можно в разы проще изменять изображения экрана блокировки системы, и это может выполнить, грубо говоря, любой пользователь, включая тех, которые боятся даже подходить к компьютерам. То есть для этого на том же начальном экране нужно перейти по ссылке «Сменить аватар», а затем в группе «Экран блокировки» указывается требуемая картинка. Другими словами, 4 клика, не считая поиска самой картинки. Ну проще некуда. Но, опять же, даже здесь есть одно маленькое ограничение. По дефолту операционная система отображает экран блокировки только лишь 1 минуту, а затем экран гаснет, причем не имеет значения, работаете вы от батареи или от сети. И, к сожалению, по умолчанию просто невозможно найти каких-либо опций, снимающих данное ограничение.
Здесь, естественно, может возникнуть следующий вопрос: «А могу ли я как-то снять такое ограничение и добавить опцию в GUI?». Этим мы в данной статье и займемся. Но чтобы было все интереснее, сделаем все централизовано для каждого пользователя, то есть средствами групповой политики. Ну что же, приступим.
В связи с тем, что решение поставленной задачи будет выполняться средствами групповой политики, можно еще и сделать так, чтобы картинка устанавливалась для пользователя самостоятельно.
Итак, далее по программе:

• Настройка картинки экрана блокировки;
• Обнаружение параметра, отвечающего за время ожидания до отключения экрана блокировки;
• Настройка такого параметра;
• Тестирование получившихся результатов.

Начинать мы сейчас будем по порядку, а именно с

Настройки картинки экрана блокировки

Естественно, сейчас нас пользовательский интерфейс, то есть те четыре клика, о которых я сказал еще во введении, не сильно интересует, а это означает, что мы будем изменять само изображение средствами функциональных возможностей групповой политики.
В последних клиентских и серверных операционных системах от Microsoft, конечно же, появились новые параметры политики в административных шаблонах, используемые лишь для последних функциональных возможностей, и к одному из таких параметров относится параметр, отвечающий за применение настраиваемого изображения экрана блокировки. Что же для этого следует сделать? Сейчас для выполнения такого изменения выполним следующие действия:

1. В оснастке «Управление групповой политикой» нужно создать новый или выбрать существующий объект групповой политики, связать его с подразделением, в которое входят ваши целевые компьютеры, а затем открыть для него редактор управления групповыми политиками;
2. В отобразившейся оснастке следует перейти к узлу Конфигурация компьютераПолитикиАдминистративные шаблоныПанель управленияПерсонализация (Computer ConfigurationPoliciesAdministrative TemplatesControl PanelPersonalization) и выбрать параметр политики «Применение специального изображения экрана блокировки по умолчанию» (Force a specific default lock screen image);
3. Теперь в отобразившемся диалоговом окне останется лишь установить переключатель на опцию «Включено», а далее уже в соответствующем текстовом поле нужно будет указать локальный или UNC-путь к требуемому изображению.
   На этом этапе, ввиду того, что у каждого пользователя однозначно не будут располагаться одни и те же требуемые изображения в определенной папке, вы можете выбрать один из двух следующих вариантов:
   • Можно указать UNC-путь для изображения, которое располагается, скажем, на выделенном файловом сервере, и пользовательские компьютеры будут его загружать при выполнении групповой политики;
   • Можно средствами предпочтений групповой политики один раз скопировать конкретное изображение в библиотеку изображений пользователей, у которых установлена исключительно операционная система Windows 8, а в соответствующем текстовом поле уже использовать локальный путь к файлу.

   Так как в статье будет еще рассмотрено много различных нюансов, остановимся на первом варианте с UNC-путем. Например, как видно на следующей иллюстрации, это будет путь \SERVER02ImgLockScrnIM3.jpg:

   
   Рис. 1. Диалоговое окно параметра политики, отвечающего за изображения экрана блокировки

В принципе, на этом данная фаза подходит к концу. То есть сразу после того, как пользовательский компьютер перезагрузится, у него на экране блокировки будет фигурировать новое изображение.

Поиск параметра, отвечающего за время ожидания до отключения экрана блокировки

В первую очередь, если вам не удалось обнаружить требуемый параметр политики среди доступных административных шаблонов, следует постараться найти подходящий параметр в системном реестре операционной системы, позволяющий изменить определенный компонент системы на компьютере. Каким образом это обычно делается? Естественно, для организации такой задачи следует проводить некоторый мониторинг реестра при изменении такого параметра. То есть берется, например, та же утилита Марка Руссиновича Process Monitor, настраивается фильтрация для вывода требуемых записей, например, в большинстве случаев это будут операции RegCreateKey и RegSetValue для определенного PID-а или имени процесса. В некоторых случаях, естественно, требуется следить за операциями, позволяющими удалять конкретные параметры из разделов реестра. После этого, естественно, среди выведенной информации нужно будет локализовать требуемые записи в реестре, еще раз протестировать эти же параметры, но уже в открытом редакторе реестра, и, собственно, сам твик уже будет практически готов. Останется только лишь каким-то способом распространить такой параметр на ваших пользователей или на их компьютеры. Распространенных способов, в принципе, не так уж и мало, а точнее три: путем создания reg-файла и его распространения средствами сценариев входа или автозапуска, путем написания своего собственного, скажем, кастомного административного шаблона, а также путем настройки элемента предпочтения реестра непосредственно из редактора управления групповыми политиками. Между прочим, в большинстве случаев целесообразно применять последние два способа.
Однако, в этом частном случае невозможно применить мониторинг реестра, так как искомый параметр попросту отсутствует в графическом интерфейсе. Остается только лишь искать такой параметр в редакторе реестра вручную. Поначалу может показаться, что такая задача из разряда «Миссия невыполнима», однако на деле все оказывается куда проще.
Смотрите, так как логичнее всего, если параметр, отвечающий за время ожидания до отключения экрана блокировки будет находиться в диалоге дополнительных параметров электропитания, изменяться будет параметр, который отвечает за компоненты панели управления. Этот параметр должен отображаться у любого пользователя на компьютере, следовательно, его нужно будет искать в корневом разделе HKEY_LOCAL_MACHINE. В принципе, это уже сужает круг поиска.
Смотрим дальше. В разделе HKLM также можно легко запутаться, так как там множество разделов, где мог бы «жить» наш параметр. Куда же нужно смотреть? Мы изменяем параметр из панели управления – значит, нам следует искать его в разделе SYSTEM. Далее, если немного начать исследовать содержимое системного реестра операционных систем Windows, то стает понятно, что большинство параметров панели управления находятся в разделе CurrentControlSetControl.
Теперь из всего множества разделов реестра у нас осталось для поиска требуемого(ых) параметра всего до тысячи разделов. Но это все равно много, и никто не будет пересматривать каждый доступный раздел и параметр. Но тут все оказывается проще, чем может показаться на первый взгляд. Можно найти такой раздел, как Power, который, очевидно, отвечает именно за параметры электропитания. Ну а за сами параметры электропитания уже, как можно предположить, отвечает раздел PowerSettings. Таким образом, мы уже пришли к разделу, в котором находятся все возможные параметры электропитания операционных систем Windows. Осталось дело за малым – найти правильный раздел, а затем локализовать специальный параметр.
В разделе PowerSettings каждый дочерний раздел, представленный в буквенно-цифровом формате, отвечает за группу параметров диалогового окна дополнительных параметров электропитания. Другими словами, нам нужно попробовать найти правильный раздел. Каким образом это можно сделать? На самом деле, здесь тоже все очень просто. Для каждого дочернего раздела можно локализовать параметр, который называется Description. Опять же, если немного логически подумать, то параметр, отвечающий за затухание экрана должен быть в диалоговом окне в группе «Экран». Значит, локализовав раздел с описанием «Video and Display power management settings and configurations» можно предположить, что мы нашли нужный раздел. Это будет раздел 7516b95f-f776-4464-8c53-06167f40cc99.
Последнее, что осталось сделать – это найти раздел, отвечающий за требуемый параметр из раздела экрана. Благо, здесь осталось только лишь 10 дочерних разделов, и много времени эта процедура у нас не займет. Здесь у каждого раздела также есть параметры Description, где можно узнать, за что конкретно будет отвечать полученный параметр. Возьмем для примера первый раздел, то есть раздел 17aaa29b-8b43-4b94-aafe-35f64daaf1ee. При помощи описания раздела можно сразу понять, что этот раздел отвечает за параметр «Гасить экран после», так как описание «Specify how long your computer is inactive before your display dims» можно перевести как «Укажите, как долго у неактивного компьютера не будет гаситься экран». Здесь обратим внимание на то, что у этого раздела значением параметра Attributes является двойка. Можно сделать следующий вывод: каждый раздел, у которого значение параметра Attributes будет 0x00000002, отвечает за параметр, который будет отображен в GUI. Следовательно, нам нужно искать раздел, у которого значение этого параметра будет равняться единице.

Рис. 2. Требуемый раздел системного реестра
Это уже намного проще, так как таких разделов всего лишь 5. Получается, требуемый раздел – это раздел 8EC4B3A5-6868-48c2-BE75-4F3044BE88A7, так как у него значение атрибутов – 1, да и описание подходящее. Изменим значение параметра Attributes на 2 и проверим, изменилось ли что-то в GUI.
Как видно на следующей иллюстрации, в нашем диалоговом окне появился новый параметр, который называется «Время ожидания до отключения экрана блокировки консоли». То есть мы нашли искомый раздел, а также изменяемый параметр!

Рис. 3. Диалоговое окно дополнительных параметров электропитания с новым параметром
Получается, требуемый раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlPowerPowerSettings7516b95f-f776-4464-8c53-06167f40cc998EC4B3A5-6868-48c2-BE75-4F3044BE88A7, а необходимый параметр – Attributes.
Помимо этого параметра нам также нужно будет предопределить его значения за конечного пользователя, так как не факт, что пользователи вообще будут заглядывать в настройки электропитания. Тут все также просто.
В разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlPower можно локализовать дочерний раздел, отвечающий за настройки параметров плана электропитания. Это раздел UserPowerSchemes, в котором можно найти несколько нечитаемых разделов, каждый из которых отвечает за конкретный план электропитания.
Например, в данном примере мы будет работать с планом электропитания «Сбалансированный», за значения параметров которого отвечает дочерний раздел 381b4222-f694-41f0-9685-ff5bb260df2e.
Структура этого раздела следующая: в нем находятся дочерние разделы с настраиваемыми параметрами. Другими словами, если мы будем предопределять значения найденного параметра, то здесь должны быть разделы 7516b95f-f776-4464-8c53-06167f40cc998EC4B3A5-6868-48c2-BE75-4F3044BE88A7.
Какие именно параметры тут должны быть настроены? Если посмотреть на значения для опции «Гасить экран после», то здесь можно найти два параметра: ACSettingIndex и DCSettingIndex. Здесь в шестнадцатеричном формате должны указываться значения для работы параметра от батареи и от сети. За работу от батареи отвечает параметр DCSettingIndex, а от сети – ACSettingIndex.
Теперь точно мы нашли все, а это означает, что мы можем переходить к следующей фазе – к распространению параметра средствами функциональных возможностей групповой политики.

Распространение параметров средствами GPO

Распространение параметров средствами групповой политики в данном примере целесообразнее всего выполнять при помощи создания элементов предпочтений групповой политики. Чтобы не писать множество бесполезных предложений, без которых можно обойтись, пожалуй, сразу перейду к сути.
Для бОльшего удобства, изменять найденные параметры будем для всех пользователей – обладателей операционных систем Windows 8 во всей организации. Итак, чтобы распространить значения найденных параметров реестра на целевые компьютеры пользователей, выполним следующие действия:

1. Для начала следует в оснастке «Управление групповой политикой» создать новый объект групповой политики, например, «New Power Settings», и привязать его ко всему домену. После этого можно переходить к самому редактору управления групповыми политиками;
2. В отобразившейся оснастке следует развернуть узел Конфигурация компьютера, а затем перейти к узлу НастройкаКонфигурация Windows и выбрать узел «Реестр» (Computer ConfigurationPreferencesWindows SettingsRegistry).
   Так как параметры реестра, отвечающие за дополнительные параметры электропитания можно отнести к одной конкретной категории, имеет смысл для таких создаваемых параметров создать отдельную коллекцию, используемую для группировки таких параметров. В принципе, целесообразно создавать такие коллекции в том случае, если один объект групповой политики будет включать в себя сразу множество параметров системного реестра. Для этого щелкните на узле «Реестр» правой кнопкой мыши и из контекстного меню последовательно выберите команды «Создать», а затем «Элемент семейства» (New > Collection Item). В дереве консоли будет создана папка с именем «Коллекция». Можно такую коллекцию переименовать, например, в «Power Settings», и затем нажать на клавишу Enter. Коллекция изображена на следующей иллюстрации:

   
   Рис. 4. Элемент коллекции реестра предпочтений групповой политики

3. Теперь, чтобы, наконец-то создать элемент реестра, перейдите в созданную вами ранее коллекцию, нажмите на созданной вами папке правой кнопкой мыши и из контекстного меню последовательно выберите команды «Создать» и «Элемент реестра» (New > Registry Item);
4. Теперь, как видно на следующей иллюстрации, в отобразившемся диалоговом окне «Новые свойства реестра», на вкладке «Общие» (General), вы можете выбрать одно из четырех стандартных действий:
   • Создать (Create) – создание нового параметра или раздела реестра;
   • Заменить (Replace) – удаление с последующим созданием существующего параметра или раздела реестра со всеми вложенными параметрами и дочерними подразделами;
   • Обновить (Update) – обновление определенных в элементе предпочтения параметров реестра без удаления последних;
   • Удалить (Delete) – удаление указанного параметра или раздела реестра.

   
   Рис. 5. Раскрывающийся список действий создаваемого элемента предпочтений групповой политики
   Следует отметить, что по умолчанию выбрано действие «Обновить», которое лучше всего оставлять нетронутым в большинстве сценариев работы с текущим элементом предпочтения GPO.
   После того, как вы выберете нужное действие, вам еще предстоит указать в новом элементе предпочтения раздел системного реестра, параметр, а также его значение.
   В раскрывающемся списке «Куст:» (Hive) выберите куст реестра, в котором находится параметр, подлежащий изменению. Вы можете выбрать любой из пяти доступных и, полагаю, известных вам кустов системного реестра. Стоит обратить внимание на то, что, так как изначально элемент предпочтения создавался в разделе «Конфигурация компьютера», в раскрывающемся списке по умолчанию будет выбран раздел «HKEY_LOCAL_MACHINE» (в противном случае был бы выбран раздел HKEY_CURRENT_USER);

5. Текстовое поле «Путь реестра» (Key Path) позволяет вам указать раздел, содержащий требуемый параметр реестра. Следует помнить, что в данном текстовом поле вам не нужно указывать куст, а также не нужно указывать слеш перед родительским разделом, так как в противном случае раздел не будет найден. Например, в данном случае следует указать раздел SYSTEMCurrentControlSetControlPowerPowerSettings7516b95f-f776-4464-8c53-06167f40cc998EC4B3A5-6868-48c2-BE75-4F3044BE88A7.
   В группе «Имя параметра» (Value name) вы можете указать параметр, который будет подлежать изменениям. В том случае, если вы изменяете параметр «По умолчанию» (@), установите флажок на одноименной опции. Так как в большинстве случаев не требуется менять параметр по умолчанию, вы можете самостоятельно ввести имя параметра в соответствующее текстовое поле. В нашем случае, параметр – Attributes.
   К этому же параметру можно получить доступ, нажав на соответствующую кнопку, которая расположена около текстового поля пути раздела реестра. При помощи отобразившегося диалогового окна «Браузер элементов реестра» (Registry Item Browser) можно легко локализовать требуемый раздел, не вводя его вручную, причем при помощи него также можно выбрать требуемый параметр. Диалоговое окно браузера элементов можно увидеть ниже:

   
   Рис. 6. Диалоговое окно «Браузер элементов реестра»

6. Вернемся к предыдущему диалоговому окну. Раскрывающийся список «Тип параметра» (Value type) позволяет вам выбрать необходимый тип параметра. Несмотря на то, что в общей сложности насчитывается 15 типов данных, в большинстве случаев используются только параметры типа REG_DWORD, REG_BINARY, а также REG_SZ. Здесь мы укажем значение DWORD;
7. Последнее текстовое поле доступное на этой вкладке, — поле «Значение» (Value data) – позволяет вам указать значения для выбранного параметра системного реестра. У нас будет значение 00000002.

   
   Рис. 7. Диалоговое окно свойств создаваемого элемента предпочтения

Можно сохранять изменения. Сейчас осталось создать еще целых 2 параметра реестра. Приступим.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlPowerUserPowerSchemes381b4222-f694-41f0-9685-ff5bb260df2e7516b95f-f776-4464-8c53-06167f40cc998ec4b3a5-6868-48c2-be75-4f3044be88a7]

• «DCSettingIndex»=dword:000004b0
• «ACSettingIndex»=dword:00000258

Окно оснастки редактора управления групповыми политиками с созданными тремя элементами отображено на следующей иллюстрации:

Рис. 8. Оснастка GPME с созданными элементами предпочтений
Теперь, согласно условию, нам следует еще каждому элементу предпочтения указать, что он должен применяться только лишь для компьютеров с операционными системами Windows 8. Что для этого нужно сделать…
В диалоговом окне свойств каждого созданного ранее элемента предпочтений следует перейти ко вкладке «Общие параметры» (Common), где нужно установить флажок на опции «Нацеливание на уровень элемента» (Item-level targeting), а затем нажать на соответствующую кнопку. В диалоговом окне редактора нацеливания, из раскрывающегося списка «Создать элемент» (New Item) выберите элемент «Операционная система» (Operating system). Для этого элемента настроек совсем уж немного, а именно: выберите из раскрывающегося списка «Продукт» операционную систему «Windows 8», из раскрывающегося списка «Выпуск» укажите требуемую редакцию, например, «Enterprise», и все. У вас фильтрация уже настроена, и элемент предпочтений будет распространяться только лишь на компьютеры, у которых установлена операционная система Windows 8.
Диалоговое окно редактора нацеливания для обсуждаемого только что элемента предпочтения изображено ниже:

Рис. 8. Окно редактора нацеливания на уровень элемента

Тестирование получившихся результатов

Осталось самое важное – проверить, что мы смогли сделать для конечного пользователя за все это время. Другими словами, у нас с вами должна автоматически установиться картинка для экрана блокировки, должен появиться в диалоговом окне свойств дополнительных параметров электропитания новый параметр, а также для этого параметра должны измениться настройки, указанные по умолчанию. Значит, настало самое время все это дело проверить.
На клиентском компьютере при помощи команды gpupdate с параметрами /force и /boot обновим параметры политики и для уверенности перезагрузим сам компьютер. После перезагрузки на экране блокировки экрана должна уже красоваться новая картинка. Если что-то случилось не так, следует сперва проверить, применился ли параметр при помощи результирующей групповой политики, а также удостовериться в том, что в самом параметре политики были указаны правильные параметры. В противном случае, все должно быть настолько хорошо как можно заметить по следующей иллюстрации:

Рис. 9. Экран блокировки на целевом компьютере
Теперь по следующему моменту: у нас в диалоговом окне настройке электропитания, в категории параметров экрана, должен появиться новый параметр, причем для такого плана как «Сбалансированный» должны уже быть указаны предустановленные правильные, на наш взгляд, значения. Естественно, есть смысл проверить, так ли оно есть. Для начала можно попробовать открыть редактор реестра и в нем проверить 3 искомых параметра. Если с ними все в порядке, тогда практически можно ни о чем не беспокоиться. Но, все-таки необходимо перейти и к самому диалоговому окну параметров этого плана электропитания и проверить, все ли так хорошо, как нам хотелось бы. Как видно на следующей иллюстрации, действительно, параметры были правильно определены, и сейчас все красиво (так как скриншот создавался не на ноутбуке, значение параметра «от батареи» попросту отсутствует):

Рис. 10. Новые дополнительные параметры плана электропитания

Так вот…

О чем же вы узнали за время прочтения текущей статьи? В этой статье я рассказал о том, каким образом можно выполнить несколько операций, а именно: как можно централизованно установить пользовательское изображение на экран блокировки операционных систем Windows 8, как можно локализовать дополнительные параметры плана электропитания, которые изначально отсутствуют в пользовательском интерфейсе, а также о том, как же вы можете включить их и настроить сразу на множестве компьютеров непосредственно при использовании функциональных возможности групповой политики. Я надеюсь, что данная статья была для вас интересной и вы из нее вынесли для себя что-то полезное.
И, наконец, коллеги, у меня к вам есть небольшой вопрос: возникала ли у вас потребность в локализации каких-либо дополнительных параметров электропитания, и каким образом вы выполняете мониторинг и распространение параметров, которые можно найти в системном реестре, но которые отсутствуют в наборе стандартных административных шаблонов?

Active Directory предоставляет широкие возможности по централизованному управлению инфраструктурой, один из предназначенных для этого инструментов — групповые политики (GPO), в умелых руках они позволяют легко решать самые разнообразные задачи. Сегодня мы рассмотрим один из таких случаев, задача, в общем и целом, простая, но решение оказалось не столь очевидным и нашему читателю пришлось потратить некоторое время на поиски решения. А затем применить его централизованно при помощи групповых политик.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Одним из достаточно спорных нововведений в дизайне Windows стал отказ от размещения на рабочем столе навигационных значков, таких как Мой компьютер, Мои документы, Сетевое окружение. Вернуть их не так уж и сложно, для этого потребуется щёлкнуть правой кнопкой мыши на рабочем столе и выбрать Персонализация — Темы — Параметры значков рабочего стола.

Но как быть, если компьютеров не один и не два? А пользователей еще больше? Дело в том, что данная настройка выполняется на уровне пользователя и если компьютером пользуется несколько человек, то аналогичную настройку нужно выполнить для каждого. Понятно, что без автоматизации не обойтись, нужно искать подходящее решение. Но если мы начнем с GPO, то не обнаружим там подходящей политики, как быть? Прежде всего следует разобраться, какие еще методы есть в системе, позволяющие скрывать или отображать значки на рабочем столе.

Одной из альтернатив пользовательскому интерфейсу является реестр, который хранит настройки отображения в ветви:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel

Данная ветвь хранит параметры с некоторым {ID} и значением, где 0 (0х0000000) отвечает за показ значка, а 1 (0х0000001) за скрытие. Для отображения в Windows 10 доступны следующие значки с идентификаторами:

• {20D04FE0-3AEA-1069-A2D8-08002B30309D} — Этот компьютер
• {59031A47-3F72-44A7-89C5-5595FE6B30EE} — Профиль пользователя
• {F02C1A0D-BE21-4350-88B0-7367FC96EF3C} — Сеть

Теперь дело за малым — распространить эти изменения через групповую политику. Перейдем в Управление групповой политикой и создадим Новый объект групповой политики. Мы советуем заводить по одной политике на каждую настройку и давать им понятные названия.

Откроем политику на редактирование и перейдем в Конфигурация пользователя — Настройка — Конфигурация Windows — Реестр, где создадим необходимые записи со следующими значениями полей:

• Действие — Обновить
• Куст — HKEY_CURRENT_USER
• Путь раздела — HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel
• Имя параметра — нужный ID, в нашем случае {20D04FE0-3AEA-1069-A2D8-08002B30309D}
• Значение — 00000000
• База — Шестнадцатеричный.

Создав нужные записи для значков сохраним политику и применим ее на OU (подразделение) с пользователями, для этого можно просто перетащить политику в редакторе на нужное OU.

Сделанные нами изменения будут применены при следующем входе пользователя в систему или по мере обновления групповых политик, которое происходит один раз в 90 минут с произвольным смещением до 30 минут. Если нужно применить изменения немедленно, то следует произвести ручное обновление политик командой:

gpupdate

Данный метод применим не только к Windows 10, но и к предыдущим версиям Windows, включая Windows XP. При работе с ними нужно учитывать, что в этих системах может быть включено Классическое меню Пуск (образца Windows 2000), в этом случае изменения нужно вносить в ветвь:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsClassicStartMenu

Также вы можете использовать следующие ID:

• {645FF040-5081-101B-9F08-00AA002F954E} — Корзина
• {5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} — Панель управления
• {450D8FBA-AD25-11D0-98A8-0800361B1103} — Мои документы

По материалам пользователя George.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.