14. rész

előzőa következő

Folytassuk az NT adminisztrációs eszközök szokatlan használatának témáját;). Ezúttal beszéljünk egy ilyen fogalomról egy olyan Active Directory tartományhoz, mint a Csoportházirend. Ne félj a "domain" szótól - ez nem kerül megvitatásra, csak a helyi gépen fogjuk figyelembe venni a csoportházirendet.

Egyébként, még akkor is, ha van otthoni hálózata, azaz munkacsoport, hanem egy domain, egy csoportba tartozó szabályok csak akkor tudjuk irányítani a gépet, vagy távolról a megfelelő jogokat, de nem a Nelly nem az egész hálózatot. De miért van szükségünk erre? Mondjuk van OS több felhasználó (NT a törvény), és a helyi rendszergazda, szeretnék egy kicsit „csípés” beállításainak programok, beleértve a Windows asztalon (kapcsolja ki az összes, mondjuk, a központ el a bűntől ), változtassa meg a rendszer alapértelmezett biztonsági beállításait, így csak akkor tudja visszaadni. A Csoportházirend segítségével mindez egy ülésen történik. Kezdjük el tanulmányozni a témát.

Amint már említettük, a csoportszabályok felhasználhatók a felhasználók és a számítógépek konfigurálására és semmi másra. A biztonsági szabályok nem alkalmazhatók a biztonsági csoportokra, azonban a fordított művelet lehetséges - az egyes csoportok szűrési szabályai. Folytatni ezt a témát nem - ez a domain adminisztrátorok feladata.

A felhasználók számára beállíthatja a következő beállításokat:

Ezek a szabályok akkor alkalmazandók, amikor egy felhasználó bejelentkezik a rendszerbe (a regisztráció során) és a rendszeres frissítési ciklusok során (tartományvezérlőkről, magának a tartománynak a esetében).

Minden egyes számítógép esetében a következő paraméterek állnak rendelkezésre:

  • az operációs rendszer viselkedése;
  • asztali beállítások;
  • alkalmazási beállítások;
  • biztonsági beállítások;
  • a számítógéphez rendelt alkalmazások beállításai (csak domain);
  • szkriptek a számítógép elindításához és leállításához.

Ezeket a szabályokat akkor alkalmazzák, amikor az operációs rendszert inicializálják, azaz terhelés és az időszakos frissítési ciklusok alatt.

A csoportházirend szabályait a csoportházirend-objektumok tárolják, nem a rendszerleíró adatbázisban, mint az NT 4.0 rendszer házirendje esetében. A kétféle objektum létezik: helyi és nem helyi. Az első az egyes ügyfélgépeken, a második a tartományvezérlőkön tárolódik, és a webhelyen, tartományon, egységen működik. Nem helyi szabályok a konfliktusok átfedése esetén helyiek, különben egyszerűen hozzáadják paraméterüket. Csak egy helyi objektumot fogunk megvizsgálni. Ez fizikailag a% SystemRoot% \ system32 \ GroupPolicy mappában tárolódik. Ez a mappa a következő struktúrával rendelkezik (XP esetén):

  • Adm - adminisztratív sablonokat (.adm) tartalmaz;
  • Gép - a számítógépre vonatkozó adatok;
  • Szkriptek - a számítógéphez használt szkriptek;
  • Leállítás - a gép leállításához szükséges forgatókönyvek;
  • Üzembe helyezés - a gép indításához szükséges szkriptek;
  • Registry.pol - a HKEY_LOCAL_MACHINE rendszerleíró adatbázisban végrehajtandó változtatásokat tartalmazó fájl;
  • Felhasználó - a felhasználó számára meghatározott adatok;
  • Parancsfájlok - parancsfájlok a felhasználó számára;
  • Logoff - kilépés parancsfájlok;
  • Bejelentkezés - bejelentkezési parancsfájlok a rendszerben;
  • Registry.pol - a HKEY_CURRENT_USER regisztrációs ághoz hozzáadandó változtatásokat tartalmazó fájl;
  • gpt.ini - néhány csoportházirend-beállítás és verziószám.

Felhívjuk a figyelmet arra, hogy a kiválasztott szabályoktól függően a helyi csoportszabályok objektumának tartalma és szerkezete megváltozhat, bár az adott információ alapvető. Most vegye figyelembe a csoportházirend szabályok alkalmazását (egyszerűsítve) egy olyan számítógépre, amely nem része a domainnek.

  • Szcenáriók - lehetővé teszik a számítógép bekapcsolásának és kikapcsolásának folyamatát, valamint a felhasználó belépését a rendszerből. Használata javasolt a domainhez tartozó számítógép számára.
  • Biztonsági beállítások - határozza meg a helyi rendszer biztonsági beállításait. Ez a téma nagyon kiterjedt, szóval komolyan beszélünk róla.
  • Adminisztratív sablonok - tartalmazza a rendszerleíró adatbázisban tárolt operációs rendszer és összetevői paramétereit.

Megjegyzem, hogy a csoportházirend számítógépre gyakorolt ​​hatásának megvalósítása a kliens oldalon található segédösszetevők, kiterjesztések segítségével valósul meg, amelyek rendes DLL-ek.

A legérdekesebb számunkra adminisztratív sablonok. Tehát az adminisztrációs sablonok az .adm kiterjesztéssel rendelkező fájlok, amelyekben a számítógépes rendszerleíró adatbázis módosítását végző paraméterek szöveges formában (HKLM ág a számítógépes paraméterek és HKCU a felhasználó számára) íródnak. Alapértelmezés szerint az adminisztratív sablonok tartalmazzák (csak a legfontosabbakat felsoroljuk):

  • Windows-összetevők - információkat tartalmaz a Windows rendszeralkalmazásokról, például az Internet Explorer, a Microsoft Management Console stb.
  • Rendszer - lehetővé teszi a rendszer szabályok módosítását, például a felhasználói regisztrációs beállításokat, a csoportházirendet, a fájlok védelmét
    és így tovább.
  • A hálózat - ahogy talán sejtheted - a hálózati beállításokat tartalmazza.
  • Nyomtatók - a rendszerhez csatlakoztatott helyi és távoli nyomtatók beállításai.
  • Tálca és Start menü - lehetővé teszi az interfész adatelemeinek tulajdonságainak és tartalmának kezelését.
  • Desktop - Az asztal tulajdonságainak, valamint az Active Desktop beállításainak kezelése.
  • Vezérlőpult - állítja be a Vezérlőpult elemeinek számát és azok kezelési képességét.

Nagyon gazdag lehetőségek, nem igaz? Szóval használjuk őket! Próbáljuk meg például letiltani a lemezekhez való hozzáférést az Explorerből. Keresse meg a fiók Felhasználói konfiguráció \ Felügyeleti sablonok \ Windows összetevők \ Explorer és benne - a Kulcs letiltja a lemezek elérését a Sajátgépen keresztül, és kattintson rá kétszer. Itt magyarázatra van szükségünk. A tulajdonságok módosítása ablakban két lap található: Paraméter és magyarázat.

Az elsőben az objektumot közvetlenül szerkesztjük, a második pedig a referencia-rendszert.

A paraméter engedélyezhető, letiltható és nincs beállítva. Ha engedélyezve van, akkor a megfelelő érték szerepel a kívánt rendszerleíró kulcsban; Ha le van tiltva, egy másik érték be van jegyezve a rendszerleíró adatbázisba (vagy a kulcs törlődik), és ha a paraméter nincs beállítva a rendszerleíró adatbázisban, akkor nem történik változás, és az alapértelmezett értéket használják.

Ezenkívül az ingatlan több további paraméterrel is rendelkezhet (lásd az alábbi esetet). XP-ben megjelenik a "Támogatott" sor, amely jelzi az operációs rendszer verzióját, amelyre az opció szerkesztése elérhető.

Miután újra belépett a rendszernek (szükséges, hogy a házirend érvénybe léphessen), megtudjuk, hogy az Explorer nem rendelkezik hozzáféréssel a megadott lemezekhez, ami bizonyítást nyer.

Megjegyzés: A csoportházirend érvényes minden felhasználó számára, lehetséges, hogy hatást gyakoroljon az egyes csoportokra, nyilvánvalóan csak domain esetén.

Most beszéljünk adminisztratív sablonok létrehozásáról. Az operációs rendszerhez olyan sablonok tartoznak, mint például a System.adm, Inetres.adm stb., Az alapvető rendszerkonfigurációhoz. Lehetséges, hogy a sablonok képességeit más alkalmazások konfigurálásával szeretné kiegészíteni (ha természetesen tárolják a beállításokat a rendszerleíró adatbázisban). A meglévő sablonok szerkesztése nem ajánlott, ezért jobb, ha új sablont hoz létre, majd hozzáadja a meglévő sablonokhoz. Ezt úgy teheti meg, ha jobb egérgombbal kattint a Felügyeleti sablonok ágra a Csoportházirend-beépülő modulban, és kiválasztja a Sablonok hozzáadása vagy eltávolítása lehetőséget. A szintaxis ellenőrzése után az új sablon betöltődik a rendszerbe.

Minden sablon a% SystemRoot% \ inf csomagban található. Ezek rendes szövegfájlok UNICODE formátumban (pontosabban egy kétbájtos UNICODE - UTF16), így szerkeszthet és új sablonokat hozhat létre a Jegyzettömbben. A sablonformátum leírása megtalálható a Windows súgórendszerében. Megjegyzendő, hogy az alkalmazások összes csoportházirend-beállítása (ha fejlesztője) a következő rendszerleíró adatbázisokban tárolódik: [HKLM \ SOFTWARE \ Policies]; [HKCU \ Software \ Policies]; [(HKCU vagy HKLM) \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies]. Az a tény, hogy csak ezekre az ágakra, amikor a paraméter le van tiltva, eltávolításra kerül a rendszerleíró adatbázisból.

Ez érdemes megállni. Kísérlet, de csak szándékosan és gondosan.

előzőa következő