Главная Windows, Новое Использование в работе «GP Preferences»
  • Использование в работе «GP Preferences»

    sec21 На современном этапе у компании Microsoft есть продукты и технологии, которые становятся козырной картой в игре за внимание пользователей и администраторов. Одним из «джокеров» является технология групповых политик, позволяющая достаточно просто и эффективно управлять тысячами windows-компьютеров. Корпорация Microsoft это прекрасно понимает и с каждой версией новой операционной системы увеличивает количество параметров доступных для конфигурирования через GP. (Давайте сразу договоримся, групповые политики или Group Policy здесь и дальше по тексту просто GP).

    Если в Windows 2003 SP1 мы могли настроить через GP порядка 1800 параметров, то в Windows Vista и Windows Server 2008 это количество выросло до 2500. С использованием групповых политик в среде, построенной на Windows 2003 и Windows XP, можно было сделать много, но не все. Часть задач перекладывалась на скрипты, которые можно было создавать самому и применять вместе с GP.

    Скрипты это конечно здорово, но есть одна проблема, далеко не все умеют их писать. А поскольку «свято место пусто не бывает» на рынке появились компании, которые предлагали свои разработки позволяющие расширить стандартные групповые политики. Одной из таких компаний была «Desktop Standard». Видимо их разработка показалась софтверному гиганту достаточно интересной, поскольку в 2006-м году по старой корпоративной традиции компания была куплена Microsoft . С точки зрения ИТ-администраторов данное поглощение однозначно прошло со знаком «+». То, что стоило отдельных денег, теперь является частью доменной сети под управлением Windows Server 2008 и не требует дополнительного лицензирования.

    В данной статье я буду рассказывать об изменениях в групповых политиках, которые произошли после выхода Windows Server 2008 с акцентом на «GP Preferences». Ну а теперь обо всем по порядку.

    Как было в Windows Server 2003.

    Для начала я предлагаю освежить в памяти групповые политики в классическом виде, т.е так как они выглядят в Windows Server 2003. При создании объекта групповой политики мы могли воздействовать на компьютеры или пользователей несколькими способами:

    1. Сценарии – синий блок на рисунке 1. Сценарии давали возможность выполнить скрипты, написанные на Visual Basic Scripting Edition (VBS-файлы) и JScript (JS-файлы). При этом данные скрипты могли применяться в четырех случаях: при загрузке, при входе пользователя в систему, при выходе пользователя из системы, при выключении компьютера.

    2. Установка программ – красный блок на рисунке 1. Компонент «Установка программ» позволял развертывать программное обеспечение из msi-файлов и в ряде ситуации отойти от ручной установки программ.

    3. Параметры безопасности – оранжевый блок на рисунке 1. Параметры безопасности содержали целый ряд настроек безопасности компьютера. Список достаточно большой, могу привести примеры того что мы могли сделать: настроить NTFS права на файлы и папки, разрешить или запретить выключение питания компьютера, регулировать запуск служб, контролировать принадлежность пользователяк группам безопасности и многое другое.

    4. Административные шаблоны – черный блок на рисунке 1. Непосредственная настройка самой операционной системы и ее компонентов ложилась на административные шаблоны. Фактически они являлись текстовыми файлами, в которых было прописано, какие параметры реестра должны быть применены на клиенте. Сразу после установки мы уже имели пять различных шаблонов, каждый из которых отвечал за свои параметры. Например, шаблон «Inetres.adm» позволял конфигурировать параметры обозревателя Internet Explorer.

    image

    Рис. 1 Объект групповой политики Windows Server 2003

    В итоге все выглядело следующим образом, безопасность и права настраивались через «Параметры безопасности», настройка системы и ее компонентов производилась через административные шаблоны, если этого было недостаточно, оставалась возможность скачать дополнительные шаблоны или создать собственный шаблон. Все, что не удалось сделать этими способами, делалось через скрипты.

    Как стало в Windows 2008.

    В принципе данная логика остается и в Windows Server 2008, за одним исключением, при создании объекта групповой политики в Windows Server 2008 у вас появляется новый блок, в русских версиях ОС он звучит как «Настройка». (Рис.2).

    Собственно говоря, это и есть решение бывшей «Desktop Standard» интегрированное в новой серверной операционной системе. Данный блок «Настройка» предназначен для расширенного администрирования компьютеров без использования скриптов.

    Прежде чем оценить возможности новинки, давайте слегка окунемся в теорию и попробуем понять, как работает данный функционал.

    image

    Рис.2 Новый блок при создании GP (англ. — GP Preferences)

    Для начала давайте ответим на вопрос: В какие моменты происходит применение групповых политик?

    Первым моментом является загрузка компьютера, второй это вход пользователя на компьютер, третий фоновое обновление (когда человек уже работает, раз в 90-минут происходит обновление и новые параметры вступают в силу, за исключением параметров требующих выхода из системы или перезагрузки) и последний момент при выполнении команды «gpupdate».

    Примечание: 90 минут является значением по-умолчанию для параметра фонового применения GP, значение этого параметр можно менять.

    Применение нового блока (давайте называть его GP Preferences) осуществляется точно также.

    Разница заключается в следующем. Если GP применяется каждый раз в вышеописанных ситуациях и при изменении параметров на клиентском компьютере приводит все в соответствии с политикой, то параметры «GP Preferences» можно настроить на выполнение как постоянно, так и только один раз.

    Простой пример: вы меняете параметр через GP, пока политика применена этот параметр проверяется каждый раз при загрузке и входе. Если вдруг пользователь поменял этот параметр после входа на компьютер, то через 90 минут действия пользователя будут затерты, и параметр будет иметь значение в соответствии с политикой. Если вдруг вы отключите политику, параметр вернется на то значение, которое он имел По-умолчанию.

    А вот при передаче параметра через «GP Preferences» у вас есть выбор либо применять этот параметр каждый раз, т.е будет действовать классическая схема «принуждения» описанная выше, либо применить его один раз. Соответственно при однократном применении пользователь получит результат, но сможет его поменять и измененное значение останется,

    т.к повторного применения не будет. Плюс к этому отключение политики, где настроены «GP Preferences» не приведет к возвращению на параметры По-умолчанию.

    Не стоит забывать, что «GP Preferences» делятся на часть, которая применяется к пользователям и часть, которая применяется к компьютерам. Т.е здесь все, как и у классических политик. Рис.3

    image

    image

    Рис.3 Часть «GP Preferences» применяемая для объектов компьютер (слева) и часть, применяемая для объектов пользователь. (справа)

    Следующей особенностью является ориентация нового блока «GP Preferences» на выполнения действия, то, что изначально делалось только скриптами: создать папку, создать ярлык, открыть общий доступ к папке, создать локального пользователя и тому подобное.

    Попробуем в «GP Preferences» в деле.

    Я предлагаю для лучшего понимания данной темы, решить практическую задачу с использованием «GP Preferences».

    Вводная информация для задачи такая:

    На сервере «Win2008- DC», который является контроллером домена, есть папка с общим доступом «Intro Docs», в этой папки находятся документы, которые должны прочитать сотрудники в первый рабочий день. Нужно, чтобы при первом входе на компьютер, у нового сотрудника на диск «C:» была скопирована данная папка, на рабочий стол пользователя добавлен к ней ярлык. После ознакомления сотрудник должен иметь возможность удалить и папку и ярлык. Вот и все. Может быть данная ситуация не совсем логична с жизненной точки зрения, но для проверки работы «GP Preferences» этого будет достаточно.

    Прежде чем приступить к выполнению задачи, давайте уясним одну вещь. С помощью «GP Preferences» можно управлять следующими операционными системами:

    · Windows XP with SP2

    · Windows Vista

    · Windows Server 2003 with SP1

    · Windows Server 2008

    И на каждой из управляемых систем (кроме Windows Server 2008) нужно установить клиентскую часть «Group Policy preferences clientside extension» или сокращенно CSE. Для всех из данного списка операционных систем доступна своя версия CSE. Скачать CSE можно с сайта Microsoft

    Важно: Пока CSE не установлены на управляемом компьютере параметры «GP Preferences» применяться не будут.

    Итак, переходим к выполнению задачи:

    1. В первую очередь я скачал CSE для Windows Vista и установил на все компьютеры.

    2. После этого на сервере «Win2008- DC» создал папку «Intro Docs» , открыл к ней общий доступ и наполнил документами.

    3. Поскольку «GP Preferences» являются частью объекта групповой политики, нам будет необходимо создать и применить такой объект. В моем тестовом домене создано организационное подразделение «Moscow», в которое вложены два других организационных подразделения. «Computer» — где хранятся объекты компьютеров и «User» с объектами пользователей. (Рис.4)

    image

    Рис.4 Структура организационных подразделений.

    4. Используя оснастку «Управление групповой политикой» я создаю объект групповой политики и связываю его с организационным подразделением Moscow.

    Назову его «TEST GP Pref». Политика создана, остается ее настроить. (Рис.5)

    image

    Рис.5 Создание GPO

    5. Открываем «TEST GP Pref» для редактирования и перед нами встает вопрос: «Какую часть GP Preferences редактировать? Для пользователя или для компьютера». Я считаю, что в нашей ситуации будет правильно редактировать «Конфигурацию пользователя». В зависимости от того что мы выберем наша политика будет действовать по-разному. Если применим настройки в «Конфигурации пользователя», то на первый же компьютер, на который зайдет пользователь, будет скопирована папка «Intro Docs» и создан ярлык. В последующие заходы данного пользователя на этот или другие компьютеры ничего создаваться не будет. Если применим настройки в «Конфигурации компьютера» то при первой загрузке будет создана папка «Intro Docs» и ярлык и абсолютно не важно, будет ли кто на него входить или нет. Я надеюсь, разницу вы поняли.

    image

    Рис.6 Редактирование GPO

    6. Разворачиваем «Конфигурацию пользователя – Настройка – Конфигурация Windows –Файлы». Щелкаем правой кнопкой мыши на пустом месте и выбираем «Создать» — «Файл». Сейчас перед нами стоит задача настроить копирование папки «Intro Docs» на клиента при первом его входе. Для этого в появившемся окне выбираем действие «Создать» (Рис.7) , в поле «Исходные файлы» вводим путь к папке на сервере, по окончанию пути ставим звездочку, это говорит о том, что из папки нужно копировать все файлы. В поле пути конечной папки указываем, в какой папке на клиенте должны появиться эти файлы. Если папка в момент применения политики не существует – она будет создана! Обратите внимание, что я при указании конечной папки использовал переменную %SystemDrive% которая означает что папка должна находиться в корне на системном диске, т.е на диске где стоит Windows. Если вы не помните, какие переменные используются в Windows, достаточно поставить курсор в поле ввода и нажать клавишу «F3» , перед вами появится окно с переменными, где можно будет выбрать нужную. (Рис.8) Указывая переменные вместо жесткого указания пути, (т.е C:\Intro Docs) вы страхуете себя от нештатных ситуаций. (Например, отсутствие раздела с буквой C:)

    image

    Рис.7 Создание действия в «GP Preferences»

    Но это еще не все, нам необходимо убедиться, что данное действие будет осуществлено только единожды для каждого пользователя. Поэтому переходим на закладку «Общие параметры» (Рис.9) и ставим галочку напротив настройки «Применить один раз и не применять повторно» и нажимаем «Ок»

    Что произойдет в результате применения данной настройки?

    При первом входе пользователя на компьютер будет проверено, существует ли на системном диске папка «Intro Docs», если ее нет, она будет создана и после чего в нее будут скопированы файлы с общей папки по адресу «\\Win2008- DC\Intro Docs\». После применения политики и создания файлов и папки, пользователь сможет сделать с ней все что угодно в рамках данных ему прав, повторно папка создаваться не будет.

    image

    Рис.8 Меню с переменными.

    image

    Рис.9 Настройка закладки общие параметры.

    Первую часть задания мы выполнили, теперь необходимо сделать ярлык на эту папку и положить его на рабочий стол этому же пользователю. Для этого там же в ветке «Конфигурации Windows» выбираем «Ярлыки», щелкаем правой кнопкой мыши на пустом месте и выбираем «Создать».

    image

    Рис. 10 Создание ярлыка.

    В поле «Имя» вводим имя нашего ярлыка, в типе объекта оставляем «Объект файловой системы», в «Размещении» — указываем «Рабочий стол». Но если хотите, чтобы ярлык появился в каком-то другом месте, можете поэкспериментировать.

    «Конечный путь» — путь, к которому будет вести наш ярлык. Прописываем здесь %SystemDrive%\Intro Docs, т.е ярлык будет указывать на папку «Intro Docs» на системном диске клиента.

    В поле «Путь к значку файла» можете нажать на троеточие «» и выбрать иконку для вашего ярлыка. После чего нажимаем «Ок»

    Задача выполнена. Остается обновить политику на клиенте и проверить появление ярлыка на рабочем столе и папки Intro Docs на системном диске клиента.

    На что еще следует обратить внимание при создании действия.

    Когда вы создавали файлы, то при выборе действия у вас было 4 варианта.

    «Создать» — «Заменить» — «Обновить» — «Удалить»

    Если по первому и последнему все я думаю понятно. На нашем примере «Создать» создает файлы путем копирования с сервера, а «Удаление» позволило бы очистить папку Intro Docs.

    То действия «Заменить» — «Обновить» не столь очевидны.

    Особый интерес представляет фильтрация применения «GP Preferences».

    Если вы помните, в Windows Server 2003 мы могли фильтровать применение групповой политики несколькими способами, самой распространенной была и остается фильтрация путем применения GP к разным организационным подразделениям. Если же мы хотели фильтровать применение GP в рамках одного организационного подразделения, то могли использовать WMI-фильтры или запрещать применение политики путем фильтров безопасности. Осуществлять фильтрацию, по каким-то признакам клиента можно было только с помощью WMI-фильтров и было это достаточно сложно.

    В Windows 2008 фильтрация «GP Preferences» выглядит поистине сказочно. Кто не верит на слово, предлагаю взглянуть на Рис.11

    image

    В «Нацеливании» (а именно так называется фильтрация «GP Preferences») есть если не все, то очень многое. Добавьте к этому «Нацеливание» по каждому элементу, а на всей политики разом и вы получите «Мечту системного администратора». Подробнее в видео-приложении.

    Вывод.

    Инструмент для работы получился отменный. Когда смотришь на подобные решения, действительно веришь в снижении стоимости обслуживания новых версии операционных систем от Microsoft. Следует заметить что «GP Preferences» можно установить и на контроллер домена под управлением Windows Server 2003, после чего задействовать данную возможность для управления сетью. Позвольте ответить на вопрос: Почему ты до этого об этом молчал?

    На последней встрече с архитекторами Microsoft зашел разговор о «GP Preferences» и я поинтересовался, почему они умалчивают возможность использования «GP Preferences» без покупки Windows Server 2008, на что я получил конкретный ответ: «Да, установить данную вещь на Windows Server 2003 можно и это будет работать. Но, работа «GP Preferences»на Windows Server 2003 компанией Microsoft не поддерживается, мы это выпустили, а вы хотите, используйте, хотите, нет». Вот собственно и причина моего молчания.

    Некоторые моменты в статье я осознанно опустил. Данная статья является экспериментальной. Она состоит из данного документа и видео-приложения.

    Скачать видео-демонстрацию.

    Рудь Илья

    MCSE/MCT

    me@rudilya.ru

    • Рубрика: Windows,Новое
    • Автор: Илья Рудь
    • Дата: Среда 01 Апр 2009

Комментарии

  1. Про Group Policy Preference есть еще вот такой весьма полезный веб каст

    www.techdays.ru/videos/1066.html

  2. Согласен, Василий Гусев очень качественно сделал. А еще лучше у него записанно видео с Московского MCP клуба. Жаль не всех есть терпение техническое видео по 2 часа смотреть.

  3. Cпасибо! =) жаль у меня не безлимитный инет)

  4. Привет, есть ряд проблем которые на GPP реализовать не удалось.

    Например: надо чтобы в PATH постоянно присутствовал путь для заданной программы, чтобы не случилось.

    Если добавлять или обновлять или заменять через GPP в PATH окружение строку, например c:\path_to_my_program; то PATH разрастается до сумашедщих размеров. Заменять не заменяется, каждый раз дописывается в конце. Если фильтрация в самой GPP, то для чего тогда на столько разнообразны Действия для задач с PATH.

  5. Чтобы ответит на вопрос «почему у меня работает не так как должно?», мне нужно смоделировать вашу ситуацию у себя на виртуалках. К сожалению, времени на это у меня нет. Советую, вам обратиться на тематический форум и найти того, кто уже сталкивался с подобным.

    Сюда -> social.technet.microsoft...u-RU/categories/

  6. Для моделирования данной ситуации виртуалок не требуется, не вводите в заблуждение пожалуйста. Мы имеем дело с не достаточным функционалом. Т.к. такие сравнения как в AD (например): содержит, начинается и т.д. в данном инструменте не присутствуют. Не возможно угадать все переменные PATH пользователя, чтобы воспользоваться только двумя видами сравнения: Равно, не равно (которые предлагает GPP), чтобы найти какой либо элемент в переменной PATH. Вы это можете увидеть, всего лишь открыв GPP. Вопрос был по существу: каков метод решения в данном случае предпочтителен? Если вы пишете такие статьи, то это подразумевает что вы владеете материалом больше чем его читатели. В любом случае, спасибо за совет — обратиться на тематический форум.

  7. Если вы знаете с чем мы имеем дело, к чему тогда вопрос? Лично Я, не знаю, мне нужно открывать виртуалки и смотреть как он обрабатывает параметры с добавлением переменных.

    Я вам все ответил.

  8. Ладно заинтриговали. Если вы ставите выполнять «только один раз» переменная PATH тоже разрастается?

  9. \\Win2008- DC\Intro Docs\* — у вас действительно работает? O_o

  10. Я всегда пишу только то , что проверено и работает.

  11. У политики пользователя не хватит прав на создание папки в корневом разделе.

    Если следовать инструкции, просто получим 0×80070005.

    У вас видимо были изменены права на корневой раздел, т.к. по умолчанию у пользователей нет прав записи в него.

  12. В примере идет копирование файлов из \\Win2008- DC\Intro Docs\* в %SystemDrive%\Intro Docs. Действительно если такой папки нет, то обычного юзера пошлет. Если есть отработает.

    Я просто на виртуальных машиных проверял на администраторе, поэтому и проглядел такой нюанс. Спасибо.

  13. Это вам спасибо, я про звездочку не знал )))

  14. «В примере идет копирование файлов из \\Win2008- DC\Intro Docs\* в %SystemDrive%\Intro Docs. Действительно если такой папки нет, то обычного юзера пошлет. Если есть отработает.

    Я просто на виртуальных машиных проверял на администраторе, поэтому и проглядел такой нюанс. Спасибо.»

    Так и как решить эту проблему? я думал политики выполняется с админскими правами.

  15. Скажите как установить «GP Preferences» на windows 2003 или ссылочку на закачку этой прелести. Спасибо.

  16. На сайте мелко-мягких для закачки CSE требует проверки подлености windows, при согласии качется прога что проверяет подленость. Но при запуске вылазиет окнос, информирующее о том что версия программы устарела и требуется более новая. Новую я так негде ненашёл. Замкнутый круг короче. К чему клоню, если у вас есть закаченные CSE клиентские, серверные как насчёт поделится? ))))))))

Опубликовать

Я не робот.