Korzystanie z zasad grupy MS - Część 2 - Korzystanie z zasad grupy systemu Windows XP
- Karolina Kanas
- February 22,2022
Windows Server, Windows XP i Office XP/2003 oferują bogactwo zasad grupowych, dzięki którym konfiguracja klienta może być kontrolowana z centralnego punktu. Jednak aplikacje można również instalować za pośrednictwem zasad grupy. Ten rozdział ma na celu wyjaśnienie, którymi ustawieniami systemu operacyjnego Windows XP Professional można zarządzać centralnie za pomocą zasad grupy. Analizowane są polisy grupowe objęte zakresem dostawy. Dowiesz się jednak również, jakie brakujące ustawienia możesz wprowadzić za pomocą utworzonych przez siebie zasad grupy. Zasady grupy można zdefiniować dla komputera lokalnego, lokalizacji, domeny lub pojedynczej jednostki organizacyjnej, a także połączyć, co może prowadzić do konfliktów. Administrator musi zatem dogłębnie zrozumieć metody pracy i interakcje polityk grupowych.
Część 1 - Wprowadzenie do zasad grupy Część 3 - Samodzielne tworzenie plików szablonów dla brakujących zasad grupy Część 4 - Microsoft Office w sieci
|
Ta seria artykułów jest fragmentem „Przewodnik integracji sieci Microsoft" von Ulrich Schlüter. Erscheinungstermin: Oktober 2004 bei Obliczenia Galileo. (ISBN 3-89842-525-8) und wurde WinTotal exklusiv vorab zur Verfügung gestellt. |
Komunikat o błędzie „Ciąg za długi” W dodatku Service Pack 2 dla systemu Windows XP ciągi dłuższe niż 255 znaków były również używane w szablonach ADM. Na serwerach Windows 2000 i Windows 2003, podczas otwierania zasad grupy, pod wpisem KB 842933 firma Microsoft wyświetla komunikat o błędzie „Ciąg jest za długi...”.
Zaktualizuj zasady grupy
Domyślnie zasady komputera i zasady użytkownika są aktualizowane co 90 minut w tle z losowym opóźnieniem od 0 do 30 minut i oczywiście podczas uruchamiania komputera lub logowania użytkownika. Standardowy interwał 90 minut i losowy interwał opóźnienia do 30 minut dla aktualizacji zasad grupy można jednak również zmienić za pomocą dwóch zasad grupy. Możesz użyć opcji Interwał aktualizacji zasad grupy dla komputerów w obszarze Konfiguracja komputera — Szablony administracyjne — System — Zasady grupy, aby ustawić interwał aktualizacji zasad komputera.
|
|
Zaktualizuj zasady grupyKlick aufs Bild zum Vergrößern
Zaktualizuj zasady grupy Kliknij na obrazek, aby go powiększyć
Możesz użyć zasady Interwał aktualizacji zasad grupy dla użytkowników w obszarze Konfiguracja użytkownika — Szablony administracyjne — System — Zasady grupy, aby ustawić interwał aktualizacji zasad użytkownika
|
|
Zaktualizuj zasady grupyKlick aufs Bild zum Vergrößern
Zaktualizuj zasady grupy Kliknij na obrazek, aby go powiększyć
Jeśli zmieniłeś zasady grupy i chcesz natychmiast wymusić aktualizację, możesz użyć polecenia secedit z odpowiednimi parametrami na serwerze Windows 2000 lub kliencie Windows 2000 Professional. Polecenie secedit /? pokazuje możliwe parametry. Polecenie secedit/refreshpolicy machine-policy/force aktualizuje zasady grupy komputera w systemie Windows 2000, polecenie secedit/refreshpolicy userpolicy/force aktualizuje zasady grupy użytkowników.
Jednak w systemie Windows XP polecenie secedit zostało zastąpione przez polecenie gpupdate. Aktualizuje lokalne i oparte na Active Directory ustawienia polityki grupowej, w tym ustawienia bezpieczeństwa. Składnia polecenia gpupdate to:
gpupdate [/ target: {komputer | użytkownik}] [/ force] [/ wait: value] [/ logoff] [/ boot]
Parametry mają następujące znaczenie:
/ cel: {komputer | użytkownik}
Przetwarza tylko ustawienia komputera lub bieżące ustawienia użytkownika. Domyślnie przetwarzane są zarówno ustawienia komputera, jak i ustawienia użytkownika.
/ zmuszać
Ignoruje wszelkie optymalizacje przetwarzania i ponownie stosuje wszystkie ustawienia.
/ czekaj: wartość
Liczba sekund, przez które przetwarzanie zasad oczekuje na zakończenie. Wartość domyślna to 600 sekund. 0 oznacza nie czekaj; - 1 oznacza czekanie w nieskończoność.
/ Wyloguj
Wylogowuje się po zakończeniu aktualizacji. Jest to wymagane w przypadku rozszerzeń zasad grupy po stronie klienta, które nie przetwarzają zasad grupy w cyklu aktualizacji w tle, ale podczas logowania użytkownika. Obejmuje to instalację oprogramowania i przekierowanie folderu użytkownika. Opcja nie działa, jeśli nie zostaną wywołane żadne rozszerzenia, które wymagają wylogowania użytkownika.
/Łódź
Po zakończeniu aktualizacji ponownie uruchamia komputer. Jest to wymagane w przypadku rozszerzeń zasad grupy po stronie klienta, które nie przetwarzają zasad grupy w cyklu aktualizacji w tle, ale podczas uruchamiania komputera. Obejmuje to instalację oprogramowania przez komputer. Opcja nie działa, jeśli nie zostaną wywołane żadne rozszerzenia wymagające ponownego uruchomienia komputera.
Polecenie gpupdate natychmiast stosuje zarówno zasady komputera, jak i zasady użytkownika. Polecenie gpupdate / target: computer ponownie stosuje tylko zasady komputera, podczas gdy polecenie gpupdate / target: user ponownie stosuje tylko zasady użytkownika, tj. zasady z kategorii Konfiguracja użytkownika zasad grupy.
Użyj plików szablonów systemu Windows XP dla zasad grupy
Po tym, jak w poprzednich rozdziałach zebrano wiedzę o tym, jak skonfigurować serwer RIS i jak skonfigurować komputer z systemem Windows XP Professional przy użyciu metody RIS, ten rozdział powinien teraz wyjaśnić, które ustawienia systemu operacyjnego Windows XP Professional są zarządzane centralnie przez grupę polityki mogą. W kolejnych rozdziałach dowiesz się, jakie brakujące ustawienia możesz wprowadzić za pomocą utworzonych przez siebie zasad grupowych oraz jak radzić sobie z zasadami grupowymi udostępnionymi przez Office XP/2003. Zanim jednak będzie można narysować obraz przykładowego komputera, należy przeprowadzić dalsze prace przygotowawcze, które są albo zautomatyzowane, albo wykonywane ręcznie na podstawie listy kontrolnej.
Opis polityk grupowych zawiera również wartości kluczy, które są zmieniane poprzez konfigurację tych polityk w rejestrze. Ponieważ jesteś administratorem systemu, a nie tylko administratorem myszy (?), powinieneś również być zainteresowany tym, jakie zmiany są wprowadzane w systemie operacyjnym podczas konfigurowania tych zasad grupy.
Pliki szablonów zasad grupy systemu Windows XP
Jeśli zainstalowałeś system Windows XP Professional z najnowszym dodatkiem Service Pack, w katalogu C:\Windows\inf znajdziesz siedem plików adm. Są to pliki szablonów zasad grupy systemu Windows XP. Skopiuj te pliki do podkatalogu NETLOGON \ adm lub innego katalogu serwera S1, w którym zbierasz również inne pliki adm, takie jak te z pakietu Microsoft Office oraz pliki szablonów zasad grupy, które utworzyłeś samodzielnie. NETLOGON to udział na kontrolerze domeny, który odbiera skrypty logowania.
Pliki szablonów, które są później używane w Active Directory, to te, które ładujesz w edytorze zasad grupy. Podczas procesu ładowania plików szablonów zasad grupy (pliki adm) wszystkie pliki adm z katalogu %SystemRoot%\inf serwera są wyświetlane w edytorze zasad grupy. Nawiasem mówiąc, ten katalog zawiera nie tylko pliki adm, ale także mnóstwo plików inf i pnf. Byłoby z pewnością jaśniejsze w konstrukcji Active Directory, gdyby dla plików adm przewidziano osobny katalog, np.%SystemRoot%\adm.
Sprawdź pakiety serwisowe, aby znaleźć nowsze pliki adm
W każdym razie ważne jest, aby wiedzieć, co następuje: Pliki adm systemu Windows XP były obszerniejsze i bardziej aktualne niż pliki adm systemu Windows 2000 Server, ale miały te same nazwy plików. W pierwszym wydaniu tej książki radziłem skopiować pliki adm systemu Windows XP Professional do katalogu %SystemRoot%\inf na serwerze Windows 2000 i zmienić ich nazwę na XP-xyz.adm. Dlatego oryginalne pliki systemu Windows 2000 Server nie powinny być zastępowane plikami adm systemu Windows XP. Uzasadniłem tę procedurę tym, że nie ma niebezpieczeństwa późniejszego importu dodatku Windows 2000 Server z nadpisaniem nowszych plików adm systemu Windows XP plikami dodatku Service Pack, który ponownie nie uwzględnia szczególnych cech systemu Windows XP. Moje obawy powinny się sprawdzić: później wydany Service Pack 4 dla Windows 2000 Server ponownie zawierał pliki adm ze starą wersją.Na przykład, jeśli miałeś plik System.adm systemu Windows XP w katalogu %SystemRoot%\inf systemu Windows 2000 Server i nie został przemianowany na XP-System.adm, ten plik zostałby zastąpiony przez system.adm, gdy Windows 2000 Server SP4 został później zaimportowany, co nie uwzględnia specjalnych funkcji systemu Windows XP i zawiera znacznie mniejszą liczbę wytycznych , tylko te, które zostały stworzone przez programistów Microsoft dla Windows 2000 Professional. Można odnieść wrażenie, że producent service packa nie zna prawej ręki…?
Dodatki Service Pack dla Windows Server często zawierają nieaktualne pliki adm
Jeśli teraz przyjrzysz się plikom adm systemu Windows Server 2003 z plikami adm systemu Windows XP z dodatkiem SP1, zauważysz, że pliki adm systemu Windows Server 2003 zawierają wszystkie wskazówki dotyczące centralnego administrowania systemem Windows XP. Możesz więc pomyśleć, że możesz pracować z plikami adm systemu Windows Server 2003. Ale wraz z dodatkiem SP2 dla Windows XP są też nowe wytyczne. Pliki adm w katalogu %SystemRoot%\inf klienta systemu Windows XP z dodatkiem SP2 będą zatem bardziej aktualne niż pliki o tej samej nazwie w katalogu systemu Windows Server 2003 o tej samej nazwie. W rezultacie będziesz musiał przenieść te nowsze pliki adm do katalogu% SystemRoot% \ inf serwera. Jeśli nie nadasz plikom nowej nazwy podczas ich przesyłania na serwer, ponownie istnieje ryzyko, że nowsze pliki zostaną nadpisane przez stare wersje po zainstalowaniu przyszłego dodatku Service Pack dla systemu Windows Server 2003, ponieważ programiści Microsoft być może ponownie zapomniałeś zaktualizować pliki adm w dodatku Service Pack. Więc moja pilna rada:
Zmień nazwy plików adm przed przeniesieniem ich do katalogu serwera%SystemRoot%\inf, np. w XP-xyz.adm. Druga rada: za każdym razem, gdy pojawia się dodatek Service Pack dla Windows XP, Windows Server 2000/2003 lub Office XP/2003, sprawdź, która wersja plików adm o tej samej nazwie jest najnowsza. Niekoniecznie polegaj na dacie utworzenia pliku. Zamiast tego sprawdź, czy masz wszystkie potrzebne wytyczne. Pierwszą wskazówką jest rozmiar plików adm.
Jeśli w usłudze Active Directory znajduje się kilka kontrolerów domeny, wszystkie pliki adm na wszystkich kontrolerach domeny muszą mieć ten sam stan. Oznacza to, że nowsze pliki adm należy zaimportować do katalogów %SystemRoot%\inf wszystkich kontrolerów domeny. Tylko z tego powodu sensowne jest zbieranie wszystkich bieżących plików adm w centralnym katalogu serwera i aktualizowanie ich tam. Jeśli ten katalog znajduje się w udziale Netlogon, jest automatycznie replikowany na wszystkie inne kontrolery domeny. Zaktualizowane pliki adm są wówczas również replikowane. Wystarczy zalogować się do różnych kontrolerów domeny jeden po drugim i skopiować te same nowe pliki adm z udziału Netlogon serwera do jego katalogu %SystemRoot%\inf i zmienić ich nazwy z wymienionych powodów!
Uwzględnij import bieżących plików adm na liście kontrolnej instalacji nowych kontrolerów domeny. Jeśli wadliwy lub niewymiarowy kontroler domeny musi zostać wymieniony, istnieje ryzyko, że zostaną do niego skopiowane stare pliki adm.
W odniesieniu do instalacji dodatkowych kontrolerów domeny korzystne byłoby również, gdyby pliki adm znajdowały się w katalogu, który, podobnie jak udział Netlogon, jest automatycznie replikowany. W wyniku replikacji wszystkie kontrolery domeny miałyby zawsze te same wersje plików szablonów zasad grupy.
Analizuj zasady grupy Windows XP
Aby dowiedzieć się, które zasady grupowe tych plików szablonów systemu Windows XP należy zastosować, skonfiguruj jednostkę organizacyjną firmy w domenie Company.local. W ramach firmy OU (OU = Organization Unit) konfigurujesz dwie kolejne jednostki podrzędne o nazwach Komputer i Użytkownik. Przenieś komputer MUSTERPC z kontenera Komputery lub RIS do nowej podrzędnej jednostki organizacyjnej Komputer poniżej jednostki organizacyjnej firmy, ponieważ zasady grupy dotyczą tylko obiektów znajdujących się w skojarzonym kontenerze.
W sub-OU User utwórz nowy ID Testuser o pełnej nazwie Hugo Testuser. Jeśli ten identyfikator już istnieje, ponieważ używałeś go już podczas pracy z rozdziałem innego rozdziału, najpierw usuń zarówno identyfikator, jak i istniejący katalog podstawowy (katalog użytkownika domowego) oraz katalog profilu (katalog profili mobilnych), aby przeprowadzić test bez wstępnego ładowania .
Poniżej założono, że nie zainstalowałeś jeszcze nowego narzędzia zasad grupy GPMC.MSI. W takim przypadku procedura jest podobna, ale ilustracje nie pasują do środowiska testowego. W systemie Windows Small Business Server 2003 plik GPMC.MSI jest instalowany domyślnie.
Teraz skonfiguruj nową politykę grupy XP dla komputera podrzędnej jednostki organizacyjnej: Otwórz właściwości podrzędnej jednostki organizacyjnej, a następnie zakładkę Zasady grupy i kliknij przycisk Nowy. Jako nazwę nowej zasady grupy wybierz standardowy komputer XP, ponieważ ta zasada ma dotyczyć standardowego komputera.
Wybierz przycisk Właściwości i włącz opcję Wyłącz niestandardowe ustawienia konfiguracji. Ponieważ ta zasada grupy jest stosowana tylko do klucza rejestru HKEY_LOCAL_MACHINE, wyłączenie niestandardowych ustawień konfiguracji spowoduje, że zasady grupy będą przetwarzane szybciej.
|
|
Wyłącz niestandardowe ustawienia konfiguracjiKlick aufs Bild zum Vergrößern
Dezaktywacja ustawień konfiguracyjnych zdefiniowanych przez użytkownika Kliknij obraz, aby go powiększyć
Wybierz OK, a następnie Edytuj. W obszarze Konfiguracja komputera kliknij prawym przyciskiem myszy Szablony administracyjne i kliknij Dodaj/Usuń pliki szablonów. W nowym oknie Dodaj / Usuń szablony możesz zobaczyć domyślne pliki szablonów, które są ładowane podczas tworzenia nowej polityki grupy. Są to pliki conf.adm, inetres.adm i system.adm.
|
|
Dodaj / usuń pliki szablonówKlick aufs Bild zum Vergrößern
Dodaj / usuń pliki szablonów Kliknij obraz, aby go powiększyć
Podczas tworzenia nowej polityki grupowej w katalogu %SystemRoot%\SYSVOL\sysvol\Company.local\Policies generowany jest podkatalog, którego nazwa jest zagadkową sekwencją liter i cyfr, ujętą w nawiasy klamrowe.
|
|
Nowy katalogKlick aufs Bild zum Vergrößern
Nowy katalog Kliknij na zdjęcie, aby je powiększyć
Jeśli przejdziesz do właściwości profilu grupy, znajdziesz tę nazwę katalogu na karcie Ogólne w polu Unikalna nazwa.
Podkatalogi ADM, Machine i User są automatycznie tworzone poniżej tego katalogu, a pliki conf.adm, inetres.adm i system.adm są kopiowane z katalogu %SYSROOT%\inf do wygenerowanego katalogu ADM. Jeśli pracujesz z Windows 2000 Server, są to pliki szablonów dla Windows 2000 Server lub Windows 2000 Professional. Jeśli pracujesz z systemem Windows Server 2003, te pliki szablonów zostały już rozszerzone dla systemu Windows XP. Jednak rozszerzenia dodawane przez dodatek SP2 dla systemu Windows XP nie są uwzględnione.
Jeśli chcesz używać plików szablonów systemu Windows XP w systemie Windows 2000 Server, musisz najpierw wyładować trzy szablony conf, inetres i system w oknie Dodaj / Usuń szablony za pomocą przycisku Usuń, a następnie załadować żądane szablony XP za pomocą przycisku Dodaj.
Ponieważ pliki szablonów systemu Windows XP mają takie same nazwy, jak pliki szablonów systemu Windows Server 2000/2003, w bardziej złożonym środowisku nie można później odróżnić, czy pliki szablonów systemu Windows 2000/2003 czy Windows XP zostały załadowane w ramach określonej zasady grupy. Dlatego sugeruję, aby najpierw zmienić nazwy wszystkich plików *.adm przejętych z Windows XP na XP - *.Adm, zaimportuj je do katalogu %SystemRoot%\inf serwera i dodaj te pliki szablonów XP - *.Adm.
Ponieważ często dodajesz pliki szablonów zasad grupy systemu Windows XP i pliki szablonów ADM utworzone przez siebie, zaleca się przeniesienie plików szablonów systemu Windows XP o zmienionej nazwie w XP-xyz.adm do katalogu% SYSTEMROOT% \ inf kopii serwera , ponieważ wtedy te pliki szablonów będą wyświetlane jak oryginalne pliki szablonów Windows 2000/2003, gdy tylko klikniesz przycisk Dodaj w oknie Dodaj/Usuń szablony.
pliki adm są kompatybilne wstecz
Pliki adm rozszerzone dla systemu Windows XP są wstecznie kompatybilne z systemem Windows 2000 Professional. W takim przypadku zgodność wsteczna oznacza, że pliki szablonów systemu Windows XP mogą być również używane w środowisku mieszanym przez klientów z systemem Windows 2000 Professional i Windows XP. Specjalne rozszerzenia tych plików adm zawierające wskazówki dla systemu Windows XP są ignorowane przez klientów Windows 2000 Professional.
Ważna uwaga: Pliki szablonów zasad grupy (* pliki .adm) tylko rozszerzają kategorię Szablony administracyjne. Tę kategorię można znaleźć zarówno w Konfiguracja komputera, jak i Konfiguracja użytkownika po otwarciu zasad grupy za pomocą przycisku Edytuj. Jednak po dodaniu pliku * .adm nowe zasady nie zawsze są wyświetlane od razu. Aby mieć pewność, że zobaczysz wszystkie zasady w obu kategoriach Konfiguracja komputera i Konfiguracja użytkownika, zamknij zasady grupy po załadowaniu pliku adm i otwórz je ponownie za pomocą przycisku Edytuj.
Ale który z plików szablonów zasad grupy XP powinien zostać załadowany? Jaka jest funkcja różnych plików adm? Wszystkie pliki systemu Windows XP ADM można przeglądać i edytować za pomocą programu Notepad.exe. Można również załadować wszystkie pliki ADM systemu Windows XP pojedynczo, aby zobaczyć, jakie zmiany zaszły w obszarze Konfiguracja komputera i Konfiguracja użytkownika. Zauważysz następujące rzeczy:
XP-conf.adm jest odpowiedzialny za wytyczne dotyczące Netmeeting i zapewnia wytyczne w sekcjach Konfiguracja komputera i Konfiguracja użytkownika.
XP-inetcorp.adm zapewnia zasady utrzymania programu Internet Explorer w konfiguracji użytkownika, ale nie można go uruchomić.
XP-inetres.adm jest również odpowiedzialny za dostęp do Internetu i dostarcza wskazówek na ten temat zarówno w Konfiguracji Komputera, jak i Konfiguracji Użytkownika.
XP-system.adm zawiera wiele ważnych wskazówek dotyczących zarówno konfiguracji komputera, jak i konfiguracji użytkownika.
XP-wmplayer zawiera tylko ustawienia zasad grupy dotyczące użytkownika dla programu Windows Media Player.
XP-wuau.adm zawiera tylko zasady grupy związane z komputerem dla usługi Windows Update.
Dopóki nie korzystasz z Netmeeting, nie powinieneś dodawać pliku polityki grupy XP-conf.adm. Pliki zasad XP-inetres.adm, XP-system.adm, XP-wuau.adm są interesujące dla standardowych komputerów XP z zasadami grupy, które właśnie zostały utworzone na komputerze jednostki organizacyjnej.
W jednostce organizacyjnej Użytkownicy utworzymy później politykę grupową o nazwie Użytkownicy standardowi XP. Pliki zasad grupy XP-inetres.adm, XP-system.adm i XP-wmplayer.adm są następnie ładowane dla tej zasady grupy.
Ustaw zasady grupy Windows XP dla domyślnego komputera
Teraz wybierz właściwości zasad grupy XP standardowych komputerów w OU Komputer, kliknij Edytuj, w obszarze Konfiguracja komputera wybierz szablony administracyjne prawym przyciskiem myszy i kliknij Dodaj / Usuń pliki szablonów. W nowym oknie Dodaj / Usuń szablony najpierw usuń szablony Windows Server 2000/2003 conf, inetres i system. Następnie dodaj szablony Windows XP XP-inetres.adm, XP-system.adm i XP-wuau.adm.
|
|
Dodaj szablonyKlick aufs Bild zum Vergrößern
Dodaj szablony Kliknij obraz, aby go powiększyć
Teraz wszystkie zasady w kategorii Konfiguracja komputera są sprawdzane, a ważne zasady są aktywowane lub konfigurowane.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Włączenie programu Internet Explorer okresowego sprawdzania zasad dotyczących aktualizacji oprogramowania wyłącza sprawdzanie dostępności nowej wersji przeglądarki. Jeśli włączysz tę zasadę, weryfikacja, czy zainstalowana jest najnowsza dostępna wersja przeglądarki, oraz powiadomienia o dostępnej nowej wersji są wyłączone. Jeśli ta zasada nie jest aktywowana, co 30 dni przeprowadzana jest standardowa kontrola, aby sprawdzić, czy jest dostępna nowa wersja.
Włączenie zasady Pokaż ekran powitalny przy uruchamianiu wyłącza wyświetlanie ekranu powitalnego programu Internet Explorer podczas uruchamiania przeglądarki.
W kategorii Instalator Windows możesz dezaktywować tworzenie punktów kontrolnych przywracania systemu, co oznacza, że prosty użytkownik nie może już tworzyć nowych punktów przywracania systemu za pomocą Start - Programy - Akcesoria - Narzędzia systemowe - Przywracanie systemu.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Domyślnie Instalator Windows automatycznie tworzy punkt kontrolny przywracania systemu za każdym razem, gdy instalujesz aplikację. Umożliwia to użytkownikom przywrócenie komputera do stanu, w jakim znajdował się przed zainstalowaniem aplikacji. Aktywując zasadę Wyłącz tworzenie punktów kontrolnych przywracania systemu, tylko administrator może utworzyć nowy punkt kontrolny poprzez Start - Programy - Akcesoria - Narzędzia systemowe - Przywracanie systemu. Każdy inny użytkownik otrzymuje następujący komunikat o błędzie podczas próby.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Należy pamiętać, że w kategorii Konfiguracja komputera — Szablony administracyjne — System — Przywracanie systemu znajdują się jeszcze dwie wskazówki:
Wyłącz przywracanie systemu i wyłączaj konfigurację.
Zasada Wyłącz Przywracanie systemu określa, czy Przywracanie systemu jest włączone, czy wyłączone. Przywracanie systemu jest domyślnie włączone. Jeśli administrator uruchomi ikonę System z Panelu sterowania na komputerze z systemem Windows XP i wybierze zakładkę Przywracanie systemu, stwierdzi, że domyślne ustawienie maksymalnej wartości punktów kontrolnych przywracania systemu to 12% partycji systemowej.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Klucz DiskPercent znajdziesz w rejestrze pod HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ SystemRestore. Jeśli Przywracanie systemu jest włączone, ma wartość 12. Jeśli Przywracanie systemu jest wyłączone, ma wartość c. Tutaj znajdziesz również klucz DisableSR, który zmienia się z 0 na 1 po dezaktywacji. Jeśli ustawiona jest jedna z zasad Wyłącz przywracanie systemu lub Wyłącz konfigurację, klucze DisableRestore i DisableConfig z odpowiednimi wartościami znajdują się pod kluczem HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows NT \ SystemRestore przy następnym uruchomieniu komputera z systemem Windows XP.
Aktywacja polityki Wyłącz tworzenie punktów kontrolnych przywracania systemu generuje klucz LimitSystemRestoreCheckpointing w HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer.
Aktywując zasadę Wyłącz przywracanie systemu, zakładka Przywracanie systemu jest również całkowicie ukryta dla administratora w Panelu sterowania - System.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Opis drugiej zasady konfiguracji Wyłącz jest nieco mylący:
Przywracanie systemu umożliwia użytkownikowi przywrócenie komputera do poprzedniego stanu bez utraty jakichkolwiek plików osobistych w przypadku wystąpienia problemu. Zachowanie tego ustawienia zależy od ustawienia „Wyłącz przywracanie systemu”.
Jeśli aktywujesz to ustawienie, zniknie możliwość skonfigurowania przywracania systemu w interfejsie konfiguracyjnym. Jeśli ustawienie „Wyłącz ustawienie konfiguracji” jest wyłączone, interfejs konfiguracji jest nadal widoczny, ale wszystkie domyślne ustawienia konfiguracji odzyskiwania systemu są wymuszane. Jeśli go nie skonfigurujesz, interfejs konfiguracyjny Przywracania systemu pozostanie, a użytkownik będzie mógł skonfigurować Przywracanie systemu.
Rozumieć wszystko? Znaczenie jest następujące: Jeśli zasada Wyłącz przywracanie systemu jest „nieskonfigurowana”, a zasada Wyłącz konfigurację jest wyłączona, administrator może uzyskać dostęp do karty Przywracanie systemu za pomocą Panelu sterowania — System i zobaczy, że Przywracanie systemu zostało wyłączone za pośrednictwem grupy polityka Ale nie zmieniaj ustawienia. Prosty użytkownik nadal nie zobaczy zakładki Przywracanie systemu.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Ponieważ będziesz używać tylko dokładnie przetestowanych aplikacji, które są kompatybilne z twoim środowiskiem w twojej organizacji, a prosty użytkownik nie może instalować żadnych dalszych aplikacji lub sterowników sprzętu, prawdopodobnie możesz obejść się bez funkcji przywracania systemu Windows XP, ale w każdym razie zapobiegaj zezwala się standardowemu użytkownikowi na tworzenie nowych punktów przywracania systemu. Punkty przywracania systemu zapisują stan systemu na lokalnym dysku twardym przed instalacją nowej aplikacji, co oznacza utratę przestrzeni dyskowej. Ponieważ tworzy również kopie zapasowe kilku standardowych aplikacji, takich jak Microsoft Office, Adobe Reader i być może aplikacji komercyjnej. Przed zrzuceniem obrazu możesz przynajmniej wyłączyć tworzenie punktów przywracania systemu dla tych wcześniej przetestowanych aplikacji.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Jeśli zasada Konfiguruj automatyczne aktualizacje jest wyłączona, wszystkie dostępne aktualizacje muszą zostać ręcznie pobrane, przetestowane i zatwierdzone do instalacji przez administratora w witrynie Windows Update. W tym celu można również później zainstalować serwer z usługami SUS (SUS = Software Update Service). Klienci nie próbują instalować aktualizacji samodzielnie i bez Twojej kontroli.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Aktywując wytyczne Określ ścieżkę pliku instalacyjnego Windows i Określ ścieżkę instalacji dodatku Windows Service Pack, możesz upewnić się, że pliki źródłowe komponentów, które mają być później instalowane, będą wyszukiwane w katalogu Install \ WindowsXP serwera, a nie z napędu CD-ROM lub z serwera udziału RemoteInstall, z którego klient został pierwotnie skonfigurowany przy użyciu usług RIS. W rozdziale »Skrypt logowania« można przeczytać, że sensowne jest, aby wszyscy użytkownicy używali dysku U: \ lub innego dysku specjalnie zdefiniowanego do tego celu w skrypcie logowania za pomocą polecenia net use u: \\ Nazwa serwera \ Zainstaluj z archiwum oprogramowania serwera w odpowiedniej lokalizacji. Jeśli aktywujesz te dwie wskazówki i wpiszesz U: \ WindowsXP jako ścieżkę, składniki systemu Windows XP można zainstalować w dowolnym momencie, pod warunkiem, że zalogowany użytkownik ma uprawnienia do instalowania składników.
W kategorii Konfiguracja komputera - Szablony administracyjne - System - Profile użytkowników zdecydowanie należy aktywować politykę Dodaj grupę zabezpieczeń „Administratorzy” do profili mobilnych.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Tło jest następujące: Jeśli utworzysz katalog na serwerze o nazwie Profile i udostępnisz go pod tą samą nazwą, możesz utworzyć tak zwane profile mobilne dla niektórych użytkowników. Jeśli następnie wpiszesz \ \ s1profiles \% Nazwa użytkownika% jako ścieżkę profilu dla identyfikatora użytkownika testowego w zakładce Profil, przy następnym logowaniu użytkownika testowego katalog z identyfikatorem logowania zalogowanego użytkownika i profilem Identyfikator jest automatycznie tworzony pod profilem udostępnienia skopiowanym tam z C: \ Documents and Settings \ Testuser. Jednak tylko system i sam użytkownik testowy mają pełny dostęp do wygenerowanego katalogu profilu \\s1\profile\Testuser, administrator nawet go nie widzi. Aktywując zasadę Dodaj grupę zabezpieczeń „Administratorzy” do profili mobilnych, administrator ma również pełny dostęp do nowo utworzonych katalogów profili na serwerze. Jednak bez tego prawa administrator nie jest upoważniony, na przykład, do usunięcia tego katalogu serwera, jeśli identyfikator użytkownika testowego nie jest już wymagany, a profil użytkownika przechowywany na serwerze również powinien zostać usunięty.
Aktywując zasadę Wyloguj użytkownika, jeśli profil mobilny nie powiedzie się, możesz uniemożliwić użytkownikowi logowanie lokalne za pomocą lokalnej kopii profilu mobilnego w folderze C: \ Documents and Settings, nawet jeśli żaden serwer logowania nie odpowiada lub serwer z profilem mobilnym nie odpowiada.
Nie należy aktywować tej wskazówki dla laptopów, ponieważ właściciele laptopów powinni mieć możliwość zalogowania się nawet wtedy, gdy ich laptop nie jest podłączony do sieci! Dla innych klientów sensowne jest aktywowanie tej polityki. Ponieważ jeśli profil mobilny nie jest dostępny, inne ważne katalogi, takie jak katalog przechowywania grupy, katalog domowy użytkownika, drukarka sieciowa lub serwer Exchange często są niedostępne, przynajmniej jeśli te katalogi i usługi znajdują się na serwerze, na którym klient nie może nawiązać połączenia. Jeśli użytkownik nadal może zalogować się za pomocą lokalnego profilu tymczasowego, nie znajdzie później swojego w pełni skonfigurowanego środowiska pracy. Zaczyna pracować, ale potem nie może zapisać ani wydrukować swoich nowych dokumentów w zwykłym miejscu. Wyśle ci e-maila lub zadzwoni po pomoc. Po prostu będziesz teraz w ogromnym stresie, ponieważ awaria serwera prawdopodobnie spowodowała wszystkie te problemy.
Włączenie zasady Nie pokazuj strony powitalnej dla pierwszych kroków przy logowaniu powoduje ukrycie strony powitalnej, która jest wyświetlana przy każdym logowaniu użytkownika po raz pierwszy w systemach Windows 2000 Professional i Windows XP Professional.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Aktywując profil Zawsze używaj klasycznego logowania, użytkownik jest zmuszony do logowania się do komputera za pomocą klasycznego okna logowania. To okno logowania ma stary wygląd systemu Windows 2000 Professional. W przypadku komputera z systemem Windows XP, który nie jest podłączony do domeny, identyfikatory użytkowników skonfigurowane lokalnie są domyślnie wyświetlane w oknie logowania. Za pomocą Panelu sterowania - Konta użytkowników - Zmień typ logowania użytkownika można również wyłączyć opcję Użyj strony powitalnej w systemie Windows XP i wymusić klasyczne okno logowania, które wymaga wprowadzenia nazwy konta. Klasyczne okno logowania jest zawsze wyświetlane dla klientów Windows XP, którzy są członkami domeny.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Aktywacja profilu Zawsze czekaj na sieć przy ponownym uruchomieniu komputera i podczas logowania jest opisane w opisie profilu w następujący sposób i dlatego należy go aktywować:
Określa, czy system Windows XP czeka na sieć podczas uruchamiania komputera i logowania użytkownika. Domyślnie system Windows XP nie czeka na pełną konfigurację sieci podczas uruchamiania i logowania użytkownika. Istniejący użytkownicy są logowani przy użyciu poświadczeń z pamięci podręcznej, co skutkuje krótszym czasem logowania. Gdy sieć stanie się dostępna, zasady grupy zostaną zastosowane w tle.
Pamiętaj, że jest to aktualizacja w tle, rozszerzenia, takie jak instalacja oprogramowania i przekierowywanie folderów, wymagają dwóch loginów, aby zmiany zaczęły obowiązywać. Aby działać bezpiecznie, rozszerzenia te wymagają, aby żaden użytkownik nie był zalogowany. Dlatego muszą być edytowane na pierwszym planie, zanim użytkownicy będą mogli aktywnie korzystać z komputera. Ponadto zmiany w obiekcie użytkownika, takie jak dodanie ścieżki profilu mobilnego, katalogu domowego lub skryptu logowania obiektu użytkownika, mogą wymagać maksymalnie dwóch logowań do rozpoznania...
Uwaga: Jeśli chcesz zagwarantować zastosowanie przekierowań folderów, instalacji oprogramowania lub ustawień profilu mobilnego przy jednym logowaniu, włącz to ustawienie, aby upewnić się, że system Windows czeka na dostępność sieci przed zastosowaniem zasad.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Aktywując profil Oferuj pomoc zdalną możesz określić poszczególnych pracowników lub grupę pracowników, którzy mogą przejąć kontrolę nad innym komputerem w celu udzielenia pomocy pracownikowi z jego własnej stacji roboczej (konserwacja zdalna). W tym celu należy również aktywować zasadę Żądana Pomoc zdalna. W zasadzie Oferuj pomoc zdalną musisz również używać pojedynczych użytkowników helpdesku lub, jeszcze lepiej, grupy zabezpieczeń, takiej jak pracownicy helpdesku i grupa administratorów domeny, jako autoryzowanych pomocników. Zwróć uwagę na format, którego należy użyć:
Jeśli zasady Pokaż powiadomienie o błędzie i Zgłoś błąd są wyłączone, raporty o błędach nie są wysyłane do firmy Microsoft. Jeśli takie błędy zdarzają się wielokrotnie, Twoim zadaniem będzie ich naprawienie. Nie licz na to, że pracownicy firmy Microsoft zrobią to za Ciebie. Możesz więc wyłączyć tę politykę.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Możesz skorzystać z różnych wskazówek w sekcji Pliki offline, aby zapobiec umieszczaniu poufnych danych firmy na lokalnych dyskach twardych w wyniku synchronizacji offline. Jeśli w Twojej firmie wszystkie dane powinny znajdować się tylko na serwerach i nie ma pracowników, którzy pracują z laptopami, a także powinni mieć dostęp do dokumentów offline w domu lub u klientów, możesz skorzystać z tych wskazówek w konfiguracji komputera, aby uniemożliwić przesyłanie danych między serwerem a klientem mogą być synchronizowane lub użytkownik może manipulować ustawieniami synchronizacji offline. Warto zastanowić się nad zgrupowaniem wszystkich laptopów i tabletów PC w specjalnej jednostce organizacyjnej i umożliwienie korzystania z plików offline poprzez odpowiednie wytyczne.
Możesz jednak również dokonać tych samych ustawień w sekcji Konfiguracja użytkownika. Jeśli istnieje grupa zabezpieczeń użytkownika, która musi pracować w trybie offline z danymi firmy, nie należy wprowadzać tych ustawień w konfiguracji komputera, ale utworzyć specjalne zasady grup trybu offline dla określonych grup użytkowników i wprowadzić zasady w konfiguracji użytkownika.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Ważna uwaga: Ustawienia w kategorii Konfiguracja komputera zwykle zastępują ustawienia o tej samej nazwie w kategorii Konfiguracja użytkownika!
Temat „użytkowników mobilnych” staje się coraz ważniejszy i nie tylko technicznie skomplikowany. Jeśli używasz również Terminala Windows, zwiększa się złożoność. Ten temat i problemy z nim związane (bezpieczeństwo danych, synchronizacja danych z serwerem itp.) należy zatem potraktować oddzielnie. Najpierw utwórz działającą konfigurację dla stacji roboczej, która jest zawsze w trybie online. Gdy już masz tę konfigurację pod kontrolą, możesz użyć specjalnego środowiska testowego, aby krok po kroku dowiedzieć się, co należy zmodyfikować i udoskonalić w skryptach, procedurach instalacyjnych i wytycznych grupowych, aby móc korzystać również ze specjalnych stacji roboczych, takich jak laptopy, tablety lub klientów serwera terminali, aby to opanować.
Gdzie są zapisane ustawienia w obszarze „Konfiguracja komputera” na kontrolerze domeny?
Wprowadzono zmiany w zasadach grupy w obszarze Konfiguracja komputera przy użyciu przystawki Użytkownicy i komputery usługi Active Directory, a zmiany te są wprowadzane w rejestrze każdego klienta znajdującego się w jednostce organizacyjnej Komputery. Ale gdzie na serwerze są zapisywane te zmiany? W katalogu% SYSTEMROOT%\SYSVOL\sysvol\Company.local\Policies\{Unikalna nazwa polityki grupy}\Maszyna znajdziesz teraz plik o nazwie Registry .pol. Jeśli otworzysz plik Registry.pol za pomocą edytora szesnastkowego, możesz przeczytać, w jakich ścieżkach rejestru są dokonywane zmiany: Pod HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies i pod HKEY_LOCAL_MACHINE\Software\Policies. Ponieważ cała zasada grupy jest przechowywana w folderze% SYSTEMROOT% \ SYSVOL, a cały katalog % SYSTEMROOT% \ SYSVOL jest replikowany między wszystkimi kontrolerami domeny w domenie, komputer kliencki znajdujący się w innej lokalizacji nie musi używać zasad grupy za każdym razem, gdy się uruchamia, Odczytaj przez wolne połączenie WAN z serwera, na którym tworzona jest polityka grupy. Klient w oddziale firmy loguje się do kontrolera domeny w oddziale firmy i odczytuje zasady grupy replikowane na tym kontrolerze domeny. Zmniejsza to obciążenie sieci i prowadzi do lepszej dostępności całej sieci, jeśli kontroler domeny gdzieś w organizacji ulegnie awarii lub musi być obsługiwany i dlatego jest niedostępny.
Zdefiniuj zasady grupy dla standardowego użytkownika
Teraz skonfiguruj nową politykę grupy XP dla użytkowników podrzędnej jednostki organizacyjnej. Jednostka podrzędna użytkownika znajduje się poniżej jednostki organizacyjnej firmy. Wybierz właściwości jednostki organizacyjnej, następnie zakładkę Zasady grupy, a następnie przycisk Nowy. Wybierz standardowego użytkownika XP jako nazwę nowej zasady grupy, ponieważ ta zasada ma dotyczyć użytkownika standardowego. Wybierz przycisk Właściwości i włącz opcję Wyłącz ustawienia konfiguracji komputera. Ponieważ ta zasada grupy jest stosowana tylko do klucza HKEY_CURRENT_USER rejestru, dezaktywacja ustawień konfiguracji zdefiniowanych przez komputer powoduje szybsze przetwarzanie zasad grupy.
Kliknij OK, a następnie kliknij Edytuj. W obszarze Konfiguracja użytkownika kliknij prawym przyciskiem myszy Szablony administracyjne i wybierz Dodaj / usuń pliki szablonów. W nowym oknie Dodaj / Usuń szablony najpierw usuń szablony Windows Server 2000/2003 conf, inetres i system. Następnie dodaj szablony XPinetres.adm, XPsystem.adm i XP-wmplayer.
Wszystkie zmiany w obszarze konfiguracji użytkownika tej polityki grupy, które mają sens dla naszego środowiska testowego, są wymienione poniżej. W złożonym środowisku produkcyjnym aktywujesz jednak dalsze polityki grupowe i mniej lub bardziej ograniczysz możliwości, jakie ma standardowy użytkownik, aby dostosować swoje środowisko pracy.
Wytyczne grupowe w obszarze konfiguracji użytkownika są bardzo rozbudowane. Możesz ograniczyć powierzchnię roboczą użytkownika za pomocą zasad grupy tak bardzo, że pulpit i menu startowe są ściśle określone i nie mogą być zmieniane przez użytkownika, że użytkownik może uruchamiać tylko niektóre aplikacje (a mianowicie pliki wykonywalne wymienione na pozytywnej liście) i brak Daje dostęp do określonych dysków lokalnych, katalogów lub rejestru. Można jednak również kategoryzować użytkowników w grupach i przyznawać niektórym zaawansowanym użytkownikom więcej praw do manipulacji, definiując kilka zasad grupowych i kontrolując, na którą grupę użytkowników wpływa która z zasad grupy poprzez sprytne przypisanie uprawnień.
W naszym scenariuszu testowym zostaną później utworzone wytyczne drugiej grupy dla zaawansowanych użytkowników, takich jak szefowie działów, pracownicy obsługi użytkowników lub pracownicy działu rozwoju IT, i zostanie pokazane, w jaki sposób można stworzyć zarządzalną koncepcję wytycznych dla wszystkich pracowników z zaledwie dwoma wytycznymi grupowymi, nawet po kilku miesiącach nie tylko zrozumianych przez administratora systemu, który je wymyślił, ale także przez jego współpracowników.
Aktywuj politykę grupy »Interwał aktualizacji zasad grupy dla użytkowników«
Aby zobaczyć efekty zmian w zasadach grupy w obszarze konfiguracji użytkownika dla użytkownika standardowego, zaloguj się do komputera z systemem Windows XP pod identyfikatorem użytkownika testowego. Domyślnie zasady użytkownika są aktualizowane co 90 minut w tle z losowym opóźnieniem od 0 do 30 minut i oczywiście po zalogowaniu się użytkownika. Ponieważ jednak na pewno nie chcesz ciągle się wylogowywać i logować ponownie pod ID użytkownika testowego lub czekać 90 minut, aby móc przetestować skutki zmienionej polityki na kliencie, możesz ustawić interwał aktualizacji od 90 do 0 minut i losowy przedział opóźnienia od 30 minut do 0 minut. Jednak prawdopodobnie spowoduje to krótkie migotanie ekranu co minutę po zastosowaniu zasad grupy. Nie zapomnij więc zresetować tych wartości do odpowiednich wartości (np. wartości standardowych) później w produkcji.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Wskazówki dotyczące przeglądarki Microsoft Internet Explorer
W obszarze Konfiguracja użytkownika — Ustawienia systemu Windows — Konserwacja przeglądarki Internet Explorer — Interfejs użytkownika można zmienić tytuł okna programu Microsoft Internet Explorer za pomocą zasad tytułu przeglądarki. Na przykład, jeśli użyjesz tutaj nazwy organizacji Firma, Microsoft Internet Explorer dostarczony przez firmę pojawi się jako pasek tytułu.
W obszarze Konfiguracja użytkownika - Ustawienia systemu Windows - Konserwacja przeglądarki Internet Explorer - Połączenie można określić serwer proxy, który ma być używany, np. serwer ISA, za pomocą profilu ustawień Proxy.
W obszarze Konfiguracja użytkownika — Ustawienia systemu Windows — Konserwacja programu Internet Explorer — adresy URL można użyć zasad Ulubione i łącza, aby wstępnie skonfigurować ważne ulubione i łącza dla wszystkich użytkowników. Jeśli wybierzesz opcję Usuń istniejące ulubione i łącza, ulubione MSN i przegląd stacji radiowych ustawione przez przeglądarkę internetową firmy Microsoft, a także łącza Bezpłatna poczta Hotmail, Dostosuj łącza, Windows i Windows Media nie będą już wyświetlane.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
W obszarze Konfiguracja użytkownika — Ustawienia systemu Windows — Konserwacja programu Internet Explorer — adresy URL można użyć zasady Ważne adresy URL, aby określić stronę początkową i usługę wyszukiwania dla wszystkich użytkowników. Te strony muszą zaczynać się od wyrażenia http://.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Opcje dostępne w ramach zasad w obszarze Konfiguracja użytkownika — Ustawienia systemu Windows — Skrypty (logowanie/wylogowanie) i Konfiguracja użytkownika — Ustawienia systemu Windows — Przekierowanie folderu są zróżnicowane i niezwykle ważne. Zostały one szczegółowo opisane w innych miejscach tej serii artykułów.
Aktywując profil Dezaktywuj kreatora dostępu do Internetu, dezaktywując zmiany w ustawieniach połączenia i dezaktywując zmiany w ustawieniach proxy, możesz upewnić się, że domyślne ustawienia, które wprowadziłeś w odniesieniu do standardowego dostępu do Internetu, nie mogą być modyfikowane przez użytkownika. Jeśli, na przykład, używasz serwera ISA i masz ustawione dla wszystkich użytkowników, że dostęp do Internetu powinien odbywać się za pośrednictwem tego serwera ISA, który działa również jako serwer proxy, możesz użyć tej polityki, aby zapewnić, że użytkownicy nie wejdą modem niezauważony lub podłącz kartę IDSN i omiń serwer ISA.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Wskazówki dotyczące Eksploratora Windows
W obszarze Szablony administracyjne — Eksplorator Windows warto aktywować następujące wskazówki:
Włącz powłokę klasyczną To ustawienie umożliwia usunięcie funkcji Active Desktop i Web View.
Ukrywa pozycję menu »Zarządzaj« w menu kontekstowym Eksploratora Windows.Tylko administrator, a nie standardowy użytkownik, powinien mieć możliwość zarządzania komputerem lokalnym.
Ukryj te określone nośniki danych w oknie »Mój komputer« Możesz ukryć niektóre dyski, takie jak dyski lokalne A: i B :. Jeśli Twoja organizacja zwykle ma tylko komputery bez stacji dyskietek lub dysków CD, nie musisz konfigurować tej zasady.
Usuń zakładkę »Sprzęt« Tylko administrator, a nie standardowy użytkownik, powinien mieć możliwość manipulowania sprzętem.
Usuń zakładkę »DFS«. Standardowy użytkownik nie powinien mieć możliwości dokonywania żadnych zmian w ustawieniach DFS.
Usuń funkcje nagrywania płyt CD Chcesz uniemożliwić użytkownikowi wypalanie danych wewnętrznych na płycie CD.
Ogranicz użytkowników do korzystania z zatwierdzonych przystawek
Włączenie zasady Ogranicz użytkownikom korzystanie z zatwierdzonych przystawek uniemożliwia standardowemu użytkownikowi korzystanie ze wszystkich przystawek. W dużej organizacji później powierzysz niektórym pracownikom ograniczone zadania administracyjne. Być może będą pracownicy, którzy będą mogli tylko tworzyć nowe identyfikatory użytkowników lub mogą tylko resetować hasła. Następnie możesz tworzyć i ograniczać konsole MMC w trybie autorskim dla tych pracowników.
Możesz skorzystać z wytycznych w sekcji Szablony administracyjne — Konsola zarządzania Microsoft — Ograniczone/dozwolone przystawki, aby dokładnie kontrolować, do których przystawek mają dostęp ci pracownicy. Wtedy sensowne będzie pogrupowanie tych pracowników w grupę bezpieczeństwa, taką jak »Helpdesk«, w celu zdefiniowania ustawień dla polityki Ograniczone / Dozwolone przystawki w specjalnej polityce grupowej oraz zdefiniowanie uprawnień, które ta polityka grupowa jest przetwarzana tylko przez zdefiniowana grupa bezpieczeństwa.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Aktywuj zasady Nie zezwalaj na uruchamianie programu Windows Messenger i Nie uruchamiaj programu Windows Messenger automatycznie w obszarze Konfiguracja użytkownika — Szablony administracyjne — Windows Messenger, aby uniemożliwić korzystanie z programu Windows Messenger.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Zasady aktualizacji systemu Windows
Włącz zasadę Usuń dostęp do wszystkich funkcji Windows Update, jeśli chcesz usunąć wszystkie funkcje Windows Update. Obejmuje to również blokowanie dostępu do witryny Windows Update pod adresem http://www.update.microsoft.com/windowsupdate/v6/default.aspx za pośrednictwem usługi Windows Update w menu Start oraz w menu Narzędzia programu Internet Explorer. Automatyczne aktualizacje systemu Windows również zostaną wyłączone. Użytkownik końcowy nie jest informowany o ważnych aktualizacjach, ani aktualizacje nie są pobierane i instalowane automatycznie. To ustawienie uniemożliwia również Menedżerowi urządzeń automatyczne instalowanie aktualizacji sterowników z witryny Windows Update. Na książkowym dysku DVD znajdziesz instrukcje dotyczące instalacji serwera SUS (SUS = Software Update Service) oraz inne instrukcje dotyczące dystrybucji dokładnie przetestowanych aktualizacji Windows w Twoim środowisku.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Jeśli zasada Zapobiegaj pobieraniu kodeków jest włączona w obszarze Konfiguracja użytkownika — Szablony administracyjne — Windows Media Player, kodeki nie są przesyłane automatycznie, a pole wyboru Automatycznie pobieraj kodeki na karcie Odtwarzacz w oknie dialogowym Opcje jest niedostępne.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Menu Start, pasek zadań i wytyczne dotyczące pulpitu
Za pomocą wskazówek menu startowego i paska zadań oraz wskazówek pulpitu można ograniczyć wygląd powierzchni roboczej systemu operacyjnego Windows XP dla standardowego użytkownika. Pytanie, na ile te funkcje powinny być ograniczone dla standardowych użytkowników i jak powinna wyglądać powierzchnia robocza standardowej stacji roboczej w firmie, każdy administrator oceni inaczej. Rozważania autora na ten temat są następujące:
Microsoft oferuje zarówno firmom, jak i osobom prywatnym ten sam system operacyjny, choć w dwóch różnych wersjach: Windows XP Professional i Windows XP Home Edition. Microsoft konkuruje z innymi systemami operacyjnymi, takimi jak Linux, i musi stale oferować klientom, zwłaszcza prywatnym, nowe funkcje i atrakcyjną wizualnie powierzchnię. To, co dla klientów prywatnych jest zabawne, kolorowe i piękne, często mało interesuje firmę i powoduje wzrost kosztów obsługi. Wiele funkcji, a zwłaszcza efektów systemu operacyjnego, niepotrzebnie obciąża wydajność sprzętu. W firmie zwykle nie na pierwszym planie wysuwają się aplikacje multimedialne, ale aplikacja komercyjna, CAD oraz edytor tekstu, arkusze kalkulacyjne i poczta elektroniczna. Sam system operacyjny jest przede wszystkim środkiem do celu.
To ostatnie dotyczy na przykład menu startowego. W firmie ważne jest, aby użytkownik mógł szybko i łatwo uruchamiać często używane aplikacje oraz aby działały z najwyższą możliwą wydajnością. Podczas gdy menu startowe systemu Windows 2000 Professional miało smukły wygląd, nowy wygląd menu startowego systemu Windows XP wydaje się raczej zabawny i zagmatwany.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Można jednak również aktywować klasyczne menu Start systemu Windows 2000 w systemie Windows XP, np. za pomocą zasady Wymuś klasyczne menu Start w obszarze Szablony administracyjne - Menu Start i Pasek Start.
Jeśli po zainstalowaniu standardowych aplikacji, ułożysz symbole wymagane przez standardowego użytkownika na co dzień, takie jak MS Outlook, Word, program komercyjny i menedżer plików Eksploratora Windows w menu startowym bezpośrednio nad przyciskiem startowym, użytkownik może znaleźć te aplikacje natychmiast, a menu startowe wygląda schludnie i przejrzyście.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Za klasycznym menu startowym przemawia również inny powód: jeśli chcesz, aby ikona często używanej aplikacji, taka jak ikona kalkulatora, nie była głęboko zagnieżdżona w menu Start - Programy - Akcesoria, ale bezpośrednio nad przyciskiem Start, skopiuj ją lub przenieś Po prostu przenieś plik C: \ Documents and Settings \ Wszyscy użytkownicy \ Menu Start \ Akcesoria \ Computers.lnk do C: \ Documents and Settings \ Wszyscy użytkownicy \ Menu Start. Jeśli jednak nie ustawiłeś klasycznego menu startowego, ta akcja kopiowania nie ma żadnego efektu! Tylko w klasycznym menu startowym symbol kalkulatora pojawia się bezpośrednio nad przyciskiem startowym.
Jeśli później będziesz chciał wprowadzać zmiany w menu startowym wszystkich klientów z centralnego punktu, np. za pomocą skryptu logowania, korzystając z klasycznego menu startowego będziesz wiedział, że masz dostęp tylko do katalogu C: \ Dokumenty i ustawienia \ Menu Start lub podkatalogi tego katalogu Dodaj lub usuń pliki skrótów. Takimi operacjami można zatem zarządzać za pomocą prostych poleceń COPY i DEL w skrypcie logowania. Będziesz wiedział, jak osiągnąć ten rodzaj manipulacji z niezbędnymi prawami lokalnego administratora, jeśli przerobiłeś podsekcję „SU (Przełącz użytkowników) do działania z dowolnymi prawami” (w książce) w rozdziale »Skrypt logowania«. Dlatego sugeruję ustawienie klasycznego wyświetlania zarówno dla menu startowego, jak i pulpitu.
Ważna uwaga: Zanim użyjesz wytycznych, aby za bardzo ograniczyć menu startowe, pulpit, a zwłaszcza widoczne ikony panelu sterowania, pamiętaj o jednej rzeczy! Jeśli użytkownik później ma problemy z systemem operacyjnym i zadzwoni do pomocy technicznej, pracownik działu pomocy będzie chciał zdalnie połączyć się z komputerem użytkownika, aby zobaczyć opisany problem i zbadać przyczynę. W sesji zdalnej pracownik pomocy technicznej ma do dyspozycji tylko te opcje, które nie są odmawiane standardowemu użytkownikowi przez zasady grupy. Jeśli na przykład ukryłeś wszystkie symbole kontroli systemu za pomocą polityki grupowej, a pracownik poprosi pracownika helpdesku o przełączenie myszy z praworęcznej na leworęczną, pracownik helpdesku również nie może dokonać tej zmiany, ponieważ, podobnie jak pracownik, do którego nie ma dostępu, ma ustawienia myszy.
Jeśli pracownik skarży się do help desku, że jego ekran migocze, pracownik help desku nie może zdalnie sprawdzić ustawień karty graficznej i monitora, jeśli polityka została ustawiona tak, że ikona Display jest ukryta dla standardowego użytkownika. Dlatego nie ustalaj wytycznych grupowych tak restrykcyjnie, aby uniemożliwić zdalną konserwację i rozwiązywanie problemów personelowi pomocy technicznej!
Ponadto użytkownik może słusznie czuć się traktowany protekcjonalnie, jeśli nadmiernie regulujesz opcje użytkownika za pomocą zasad grupy. Twierdzenie, że użytkownik jest niedoświadczony i przytłoczony informatyką oraz że istnieje ryzyko, że przedstawia komputer w błędzie, nie ma już dziś zastosowania! Z reguły każdy użytkownik ma komputer w domu i już z nim intensywnie pracował w szkole, a później podczas szkolenia zawodowego. Użytkownicy posiadający kompetencje IT również powinni być traktowani jako tacy. Jednak jedno jest prawdziwe, jak pokazuje mi dzień po dniu praktyka: coraz mniej czasu i energii inwestuje się w szkolenia informatyczne dla użytkowników. To nie jest porażka użytkowników, ale działu IT! Przykładowe, dobrze zaplanowane wprowadzenie Active Directory zawsze zawiera zatem koncepcję szkolenia użytkowników. A stałe szkolenie użytkowników jest częścią struktury IT, która trwale minimalizuje koszty.
Poniższe wskazówki powinny być aktywowane w menu startowym i na pasku zadań, aby utrzymać wsparcie w granicach:
Usuń połączenia sieciowe z menu Start
Usuń pozycję Run menu z menu Start
Usuń symbol otoczenia sieciowego z menu Start
Dodaj opcję Wyloguj do menu Start
Usuń menu kontekstowe przeciągania i upuszczania z menu Start
Zapobiegaj zmianie ustawień paska zadań i menu Start
Wyłącz dostosowane menu
Nie używaj metody opartej na wyszukiwaniu podczas mapowania skrótów powłoki
Nie używaj metody opartej na śledzeniu podczas mapowania skrótów powłoki
zablokuj pasek zadań
Wymuś klasyczne menu startowe
Nie pokazuj niestandardowych pasków narzędzi w zasobniku systemowym
Po zainstalowaniu żądanych standardowych aplikacji i zdefiniowaniu wyglądu menu startowego przez administratora na przykładowym komputerze, standardowy użytkownik nie musi później zmieniać tego menu. Manipulowanie paskiem zadań przez użytkownika prawie nie zwiększa produktywności standardowego użytkownika, ale zwiększa wysiłek wsparcia.
Poniższe wytyczne należy aktywować w sekcji „Pulpit”:
Ukryj ikonę otoczenia sieciowego
Nie zezwalaj na zmianę ścieżki do folderu Moje pliki
Wyłącz dodawanie, przenoszenie i zamykanie pasków narzędzi
Nie zezwalaj na dostosowywanie pasków narzędzi pulpitu
Usuń Asystenta czyszczenia pulpitu.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Powinieneś również dezaktywować Active Desktop, jeśli nie znasz powodów, dla których ta funkcjonalność jest niezbędna dla standardowego użytkownika.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Jakich symboli sterowania systemem potrzebuje użytkownik?
Podczas konfigurowania wytycznych do kontroli systemu ważne są następujące względy: Jak już wspomniano powyżej, personel help desku musi mieć możliwość korzystania ze zdalnej obsługi w celu wyszukiwania błędów w kontekście uprawnień użytkownika i przynajmniej wprowadzania ustawień, które są niezbędne, aby Użytkownik mógł wygodnie pracować.
Nawet standardowy użytkownik musi mieć dostęp do symboli sterowania systemem, za pomocą których może ustawić stanowisko komputerowe w sposób ergonomiczny, czyli przyjazny dla użytkownika.
Pracownik o słabej ostrości wzroku powinien mieć możliwość zmiany rozdzielczości karty graficznej z 1024 x 768 na 800 x 600. Pracownik, który ma duży ekran (19" lub 21") i dużo pracuje z aplikacjami graficznymi, powinien mieć możliwość ustawienia wyższej rozdzielczości. Dlatego symbol wyświetlacza nie powinien być całkowicie ukryty, a jedynie poszczególne opcje lub zakładki wyświetlacza, jeśli to konieczne.
Jeśli użytkownik musi sam ustawić drukarki sieciowe, zwłaszcza jeśli czasami zmienia swoją stację roboczą (Springer), a następnie musi uzyskać dostęp do innych drukarek sieciowych, powinien mieć dostęp do ikony Drukarki i faksy. Z drugiej strony skanery i kamery są zwykle podłączane lokalnie do komputera i mogą być konfigurowane przez członka Helpdesku z uprawnieniami administratora. W związku z tym standardowy użytkownik nie potrzebuje dostępu do symbolu Skanery i Aparaty.
Pracownik niepełnosprawny powinien mieć dostęp do ikony pomocy wejściowej.
Osoby leworęczne muszą być w stanie przełączyć mysz z trybu praworęcznego na leworęczny. Użytkownik powinien również mieć możliwość optymalnego dla siebie ustawienia szybkości myszy i podwójnego kliknięcia. W rezultacie symbol myszy nie może być ukryty.
Jeśli Twoi pracownicy muszą pracować z wersjami językowymi innymi niż niemiecka lub jeśli litery muszą działać, na przykład z symbolami waluty innymi niż symbol euro lub innymi formatami liczb i daty niż formaty powszechnie używane w Europie, Regionalny oraz symbol Opcje językowe nie mogą być ukryte.
Użytkownik musi również mieć możliwość samodzielnego ustawienia opóźnienia i częstotliwości powtarzania znaku za pomocą ikony klawiatury.
Dlatego ma sens, aby standardowy użytkownik ukrył na razie tylko następujące symbole sterowania systemem dla standardowego użytkownika, stosując się do wytycznych:
Konta użytkowników
Data i godzina
Opcje energetyczne
Kontroler gry
Zaplanowane zadania
sprzęt komputerowy
Opcje internetowe
Połączenia sieciowe
Opcje folderu
Skanery i aparaty
Czcionki
oprogramowanie
Urządzenia dźwiękowe i audio
Wejście/wyjście głosowe
system
Opcje telefonu i modemu
administracja
Ten wybór należy traktować jedynie jako sugestię. W swoim środowisku produkcyjnym prawdopodobnie uzyskasz różne wyniki, a optymalny wybór stanie się widoczny dopiero z czasem. Jednak polityki grupowe umożliwiają centralną zmianę takich ustawień w dowolnym momencie dla wszystkich lub dużej liczby użytkowników przy minimalnym wysiłku.
Ustawienia te można wprowadzić za pomocą zasady Ukryj określone ikony kontroli systemu w obszarze Konfiguracja użytkownika — Szablony administracyjne — Panel sterowania. Aby pozostałe ikony panelu sterowania nie wyświetlały się – moim zdaniem niewygodne – według kategorii, sugeruję również aktywację polityki Enforce w klasycznym stylu panelu sterowania.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
W obszarze Konfiguracja użytkownika - Ustawienia administracyjne - Foldery współdzielone należy dezaktywować zasady Zezwalaj na publikowanie folderów współdzielonych i Zezwalaj na publikowanie katalogów głównych DFS. Jeżeli ze względu na ochronę danych i bezpieczeństwo danych wszystkie dokumenty powinny znajdować się na serwerach, a nie na lokalnych dyskach twardych komputerów, użytkownik nie musi publikować katalogu na lokalnym dysku twardym. Z reguły użytkownicy nie wiedzą, co to jest łącze DFS i jak je skonfigurować.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Wytyczne dotyczące plików offline
W obszarze Konfiguracja użytkownika - Ustawienia administracyjne - Sieć - Pliki offline należy aktywować następujące wskazówki, aby uniemożliwić przenoszenie na lokalny dysk twardy dokumentów związanych z ochroną i bezpieczeństwem danych:
Nie zezwalaj na konfigurację plików offline przez użytkownika
Usuń „Udostępnij w trybie offline”
Zapobiegaj używaniu folderów plików offline
Nie udostępniaj automatycznie przekierowanych folderów w trybie offline
Użytkownicy laptopów i synchronizacja offline
Możesz stworzyć specjalną politykę dla użytkowników laptopów, którzy są upoważnieni do przesyłania danych z serwera na laptop i używania ich poza siedzibą firmy. Profil w obszarze Sieć - Pliki offline można również znaleźć w konfiguracji komputera. Ewentualnie wskazane jest ustawienie laptopów jednostki organizacyjnej lub jeszcze lepiej klientów mobilnych pod komputerem jednostki organizacyjnej, ponieważ w międzyczasie oprócz laptopów i komputerów przenośnych dostępne są również tablety PC. Kto wie, jakie urządzenia mobilne będą dostępne jutro. Następnie możesz skonfigurować zasady grupy dla komputerów jednostki organizacyjnej, które uniemożliwiają korzystanie z folderów offline. W klientach mobilnych OU można ustawić kolejną politykę grupową, w której użycie folderów offline będzie ponownie dozwolone. Na marginesie być może mylącego wyboru moich nazw jednostek organizacyjnych: liczba mnoga od „komputer” to „komputer” w języku niemieckim, ale „komputery” w języku angielskim. Alternatywnie możesz na przykład zastąpić nazwę jednostki organizacyjnej Komputer z klientami.
Poniższa uwaga w rzeczywistości nie należy do tematu »Zasady grupowe«, ale jest ważna dla Ciebie, jeśli dbasz o użytkowników laptopów: Pliki offline nie są zapisywane w lokalnej ścieżce profilu Dokumenty i ustawienia \% Nazwa użytkownika%, ale w ukryty katalog% SYSTEMROOT% \ CSC, do którego dostęp ma tylko grupa Administratorzy. Za pomocą narzędzia CACHEMOV z zestawu Windows Server Resource Kit ten katalog plików trybu offline można przenieść do innego katalogu lub partycji. To odroczenie może być konieczne, jeśli użytkownicy synchronizują duże ilości danych w trybie offline, a partycja systemowa ma niewystarczającą przestrzeń dyskową. Jednak w tym procesie należy zmienić nazwę grupy Administrators na amerykańską nazwę Administrators, ponieważ narzędzie nie akceptuje zlokalizowanych nazw grupy Administratorzy z powodu błędu. Przeczytaj artykuły bazy wiedzy „216581 — Jak zmienić lokalizację pamięci podręcznej po stronie klienta w systemie Windows 2000” i „303256 — Cachemov nie działa w zlokalizowanych wersjach systemu Windows 2000”, które dotyczą również systemu Windows XP.
W obszarze Konfiguracja użytkownika — Szablony administracyjne — Sieć — Połączenia sieciowe nie trzeba już konfigurować zasad, ponieważ ustawienia zasad w Panelu sterowania oznaczają, że standardowy użytkownik nie ma już dostępu do ikony Połączenia sieciowe i telefoniczne. Symbol został ukryty w odpowiedniej polityce.
Poniższe wytyczne należy aktywować w obszarze Konfiguracja użytkownika - Szablony administracyjne - System:
Nie pokazuj strony powitalnej „Pierwsze kroki” podczas logowania
Uniemożliwić dostęp do wiersza polecenia
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Listy pozytywne lub negatywne dla plików wykonywalnych
Interesujące w tym miejscu są również wytyczne Uruchamiaj tylko zatwierdzone aplikacje systemu Windows, Nie uruchamiaj określonych aplikacji systemu Windows i Zapobiegaj dostępowi do programów w celu edycji rejestru. Ostatnia wskazówka uniemożliwia jedynie uruchomienie wewnętrznych programów systemu Windows XP, Regedit.exe i Regedt32.exe. Istnieje jednak wiele innych narzędzi w Internecie, które zapewniają dostęp do rejestru. W rozdziale „Skrypt logowania” znajduje się szczegółowe wyjaśnienie tego problemu.
W zasadzie możliwe jest określenie pozytywnej listy wszystkich plików exe, które użytkownik może uruchomić za pomocą profilu Uruchamiaj tylko autoryzowane aplikacje Windows. Nie wystarczy jednak na przykład określić pliki winword.exe, excel.exe, outlook.exe, msaccess.exe i powerpnt.exe, ponieważ główne składniki pakietu Office uruchamiają kolejne podkomponenty. Musisz więc uruchomić polecenie takie jak dir * .exe / s / b> c: \ exe.txt za pośrednictwem instalacji pakietu Office, aby określić wszystkie pliki exe, które mają być wymienione na liście pozytywnej. W tym przypadku nie można jednak zapomnieć o dołączeniu skryptu logowania, wszystkich podprogramów skryptu logowania (pliki cmd, bat i vbs) oraz wszystkich narzędzi na liście pozytywnej, które są używane w skrypcie logowania użytkownika standardowego. I odwrotnie, w przypadku czarnej listy można użyć zasady Nie wykonuj określonych aplikacji systemu Windows, aby wygenerować listę plików wykonywalnych (pliki exe, com, cmd, bat, vbs), których wykonanie należy uniemożliwić.
Oczywiście można w ten sposób zwiększyć bezpieczeństwo sieci, ale jest to bardzo złożone, a lista pozytywna jak i negatywna często muszą być rozszerzone, ponieważ np. urządzenia peryferyjne takie jak skanery, drukarki czy aparaty cyfrowe również dodają wykonywalny exe lub com podczas instalacji System może zostać dodany.
Korzystając ze skryptów logowania, należy aktywować wytyczne Wykonywanie skryptów logowania w tym samym czasie i Wykonywanie skryptów logowania w sposób widoczny, aby użytkownik mógł zobaczyć za pomocą linii echa, że logowanie jest opóźnione z powodu działania skryptu. Ale ważne jest również, aby sam administrator lub pracownik helpdesku mógł zobaczyć wszelkie komunikaty o błędach, które mogą wystąpić podczas działania skryptu logowania.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Obejmuje to wszystkie wytyczne grupy, które są istotne dla początkowego środowiska testowego i które firma Microsoft udostępnia w systemie operacyjnym Windows XP, z wyjątkiem tych, które zostały dodane przez Windows XP SP2. Nie wszystkie pożądane opcje można ustawić centralnie za pomocą usługi Active Directory zgodnie z tymi wytycznymi. Później pokażemy, jak możesz zdefiniować interesujące ustawienia za pomocą utworzonej przez siebie polityki grupowej. Inne ustawienia można wprowadzić za pomocą skryptu logowania. Instalacja pakietu Microsoft Office dodaje dużą liczbę dodatkowych zasad grupowych.
Lokalizacja zasad konfiguracji użytkownika
Gdzie w systemie znajdują się polityki utworzone w obszarze konfiguracji użytkownika faktycznie przechowywane na serwerze?
Na kontrolerze domeny znajdziesz katalog %SystemRoot%\SYSVOL\sysvol\Test firma.de\Policies\{Unikalna nazwa polityki grupy}\Użytkownik z plikiem Registry.pol oraz podkatalogami Applications, Documents & Settings, MICROSOFT i skrypty.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Jeśli otworzysz plik Registry.pol za pomocą edytora szesnastkowego, zobaczysz w prawej kolumnie wpisy rejestru dokonane przez polityki w konfiguracji użytkownika polityki grupy. Zmiany wprowadzane są w następujących ścieżkach rejestru:
HKEY_CURRENT_USER \ Oprogramowanie \ Zasady
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies
Kiedy dwie zasady grupowe kłócą się ...
Poniżej pokazano, w jaki sposób można użyć drugiej polityki grupy, aby złagodzić ograniczenia stworzone dla standardowego użytkownika. Ten przykład ma również na celu zademonstrowanie, w jaki sposób można używać uprawnień zasad grupy do kontrolowania, do których obiektów (indywidualni użytkownicy, grupy zabezpieczeń użytkowników, pojedyncze komputery, grupy zabezpieczeń komputerów) można zastosować zasady, kolejność przetwarzania kilku zasad grup oraz która zasada ma pierwszeństwo, gdy wiele zasad jest stosowanych do obiektu i są ze sobą sprzeczne.
W poprzednich wyjaśnieniach opisano, w jaki sposób interfejs użytkownika Windows XP może być wstępnie ustawiony dla standardowego użytkownika za pomocą wytycznych standardowego użytkownika XP, zapobiegając w ten sposób standardowemu użytkownikowi samodzielnego manipulowania systemem operacyjnym lub zmiany jego środowiska pracy w stan spowodowany do braku wiedzy, co prowadzi do zwiększonego wysiłku w zakresie wsparcia użytkownika. Ten standardowy użytkownik powinien mieć możliwość uruchamiania tylko ograniczonej liczby wybranych aplikacji i generalnie nie działa z aplikacjami multimedialnymi. Zwykle ma komputer bez stacji dyskietek, bez napędu CD lub nagrywarki CD i bez sprzętu multimedialnego.
Do tego dochodzą tzw. zaawansowani użytkownicy, tacy jak programiści IT, pracownicy helpdesku, którzy muszą testować nowe aplikacje, szefowie działów czy pracownicy terenowi wyposażeni w coraz bardziej złożone urządzenia peryferyjne (przyłącze do organizera, skanera, aparatu cyfrowego, itp.) lub komputerem mobilnym i potrzebujesz dostępu do innych aplikacji.
Jednak najpóźniej po przejrzeniu plików zasad grupy dostarczonych przez pakiet Microsoft Office XP / 2003 szybko zdasz sobie sprawę, że sieć może bardzo szybko stać się nieprzejrzysta, jeśli wprowadzisz własne jednostki organizacyjne, grupy zabezpieczeń i zasady grup dla wszystkich możliwych specjalnych sprawy. Sieć zagnieżdżonych zasad grupy szybko wymyka się spod kontroli, a poszukiwanie, która zasada grupy zastępuje inne zasady grupy, staje się przekleństwem. Podczas rozwiązywania problemów zasady grupy są gdzieś dezaktywowane. Jeśli błąd nie zostanie później usunięty, coś zostanie zmienione w innym miejscu, nie zwracając uwagi na to, co zostało dotknięte w jakiej kolejności podczas rozwiązywania problemów. Nawet dokumentacja zainstalowanych wytycznych, która została poprawnie stworzona podczas wstępnej instalacji, z czasem staje się marnotrawstwem, a nowy pracownik IT później znajdzie system nie do opanowania i wadliwy.
Metoda KISS: Keep It Simple and Smart
Jedynym sposobem na uniknięcie tej niejasności jest metoda KISS: Keep It Simple And Smart. Utwórz jak najmniej jednostek organizacyjnych, grup zabezpieczeń i zasad grupy. Unikaj prób mapowania każdego specjalnego przypadku przy użyciu nowej zasady grupy. Podejmij ryzyko, że użytkownik faktycznie „zrujnuje” komputer lub jego ustawienia użytkownika z powodu zbyt wielu praw. Jeśli masz metodę, dzięki której wadliwy komputer może zostać ponownie skonfigurowany w krótkim czasie i jeśli upewnisz się, że żadne dane użytkownika nie zostaną utracone w trakcie procesu, ponieważ wszystkie te dane znajdują się na serwerze, nie stanowi to problemu. W przypadku zaawansowanych użytkowników można skonfigurować grupę zabezpieczeń i zasady drugiej grupy, które mogą być odczytywane tylko przez tę grupę zabezpieczeń. W tej polityce grupowej po prostu dezaktywuj ograniczenia, które powinny dotyczyć zwykłego użytkownika, ale nie użytkownika zaawansowanego.
Skonfiguruj nowego użytkownika, Paul Poweruser, w jednostce organizacyjnej Użytkownicy. Skonfiguruj główną grupę zabezpieczeń użytkownika w jednostce organizacyjnej grup użytkowników i uwzględnij nowego użytkownika Paula Powerusera w tej grupie zabezpieczeń. Możesz również utworzyć grupę Helpdesk lub grupę programistów IT i dodać ich do grupy Użytkownicy zaawansowani.
Teraz utwórz kolejną politykę grupową dla użytkownika podrzędnej jednostki organizacyjnej o nazwie główny użytkownik XP, a następnie otwórz właściwości tej nowej polityki i aktywuj opcję Wyłącz ustawienia konfiguracyjne komputera, tak jak w przypadku standardowej polityki użytkownika XP. Ponieważ w tej polityce grupowej również zmieniane są tylko polityki w kategorii konfiguracji użytkownika, a przetwarzanie polityki jest przyspieszone, jeśli tylko trzeba odczytać konfigurację użytkownika.
Teraz otwórz zakładkę Ustawienia zabezpieczeń we właściwościach polityki grupy Główny użytkownik XP. Pierwszą rzeczą, którą zobaczysz w standardowych ustawieniach, jest to, że istnieje grupa Użytkownicy uwierzytelnieni, która ma prawa do odczytu i zasady grupy. Grupa uwierzytelnionych użytkowników obejmuje nie tylko wszystkich użytkowników domeny, ale także wszystkie komputery należące do domeny. Termin Użytkownicy uwierzytelnieni jest tutaj trochę mylący. Pamiętaj, że polityki grupowej nie można aktywować tylko dla grupy bezpieczeństwa, której członkami są tylko użytkownicy. Możesz także utworzyć grupę bezpieczeństwa, która akceptuje tylko laptopy, na przykład, i utworzyć politykę grupową dla tej grupy bezpieczeństwa. Możesz także utworzyć mieszaną grupę zabezpieczeń składającą się z określonych komputerów i określonych użytkowników w domenie. W jakich sytuacjach coś takiego miałoby sens, pozostawiam to Twojej wyobraźni.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Przyjrzyj się standardowym prawom grup Administratorzy domeny i Administratorzy organizacji. Zgodnie ze standardowym ustawieniem członkowie tych dwóch grup mogą zmieniać zasady grupy, ale nie mają prawa do stosowania zasad grupy. To dobrze, ponieważ w przeciwnym razie ograniczenia, które są wprowadzane za pomocą polityki grupowej, natychmiast zaczną obowiązywać także administratorów, a administrator szybko ograniczyłby wszystkich administratorów poprzez aktywację polityki i być może pozbawiłby się praw do aktywacji polityki do Cofnij to.
Ważna uwaga: W przypadku polityk, które mają obowiązywać również administratorów domeny, grupa Administratorzy domeny musi mieć jawnie przyznane prawo do przyjęcia polityki grupy.
Jednak nasze nowo utworzone wytyczne dotyczące użytkowników głównych XP nie powinny dotyczyć wszystkich użytkowników domeny, a już na pewno nie komputerów, a jedynie grupy zabezpieczeń użytkownika głównego. Usuń więc grupę Użytkownicy uwierzytelnieni i dodaj grupę zabezpieczeń Użytkownicy zaawansowani, którą właśnie utworzyłeś za pomocą przycisku Dodaj. Przyznaj grupie Użytkownicy zaawansowani prawa do odczytu i stosowania zasad grupy. Aby powiedzieć to od razu: Musisz następnie zamienić kolejność dwóch zasad za pomocą przycisków Przenieś w dół lub Przenieś w górę, aby grupa zabezpieczeń głównych użytkowników XP znajdowała się powyżej grupy standardowych użytkowników XP.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Jeśli istnieje kilka zasad grupy pod sobą, zasady grupy są przetwarzane w kolejności od dołu do góry. Jeśli dwie polityki grupowe, które są przetwarzane jedna po drugiej, zawierają sprzeczne ze sobą ustawienia, wygrywa polityka ostatnio przetworzona. To jest dokładnie to, co chcemy osiągnąć: W wytycznych grupowych Użytkownicy główni XP pewne (nie wszystkie!) ograniczenia mają być ponownie dezaktywowane dla małej grupy użytkowników, które zostały ustawione dla wszystkich użytkowników w wytycznych grupowych Użytkownicy standardowi XP.
W standardowej polityce grupowej XP ustawiliśmy, wśród wielu innych ograniczeń, że standardowy użytkownik nie może wykonać polecenia Start - Uruchom, że nie może uruchomić polecenia Start - Programy - Akcesoria - Wiersz polecenia oraz że powinien być wyświetlany tylko wybór ikon w panelu sterowania. Te ograniczenia mają być teraz ponownie zniesione dla głównej grupy użytkowników jako przykład.
Najpierw zaloguj się do klienta Windows XP pod identyfikatorem Poweruser i sprawdź, czy te ograniczenia rzeczywiście wpływają na identyfikator, zanim je usuniemy. Teraz kliknij myszą głównego użytkownika zasad grupy XP i wybierz przycisk Edytuj. Wprowadź następujące zmiany:
Najpierw aktywuj interwał aktualizacji zasad grupy dla użytkowników i ustaw interwał aktualizacji oraz losowe opóźnienie aktualizacji na 0 minut, aby można było zobaczyć efekty zmian wprowadzonych na serwerze w zasadach grupy XP użytkownicy zaawansowani bez Opóźnienie na kliencie Windows XP można zobaczyć. Jak wspomniano wcześniej, obniżenie interwału aktualizacji jest przydatne tylko do testowania zasad grupy. Nie zapomnij ponownie skrócić interwału aktualizacji później w trybie produktywnym! Alternatywnie możesz wydać polecenie gpupdate / force na kliencie, aby natychmiast zastosować zmienione zasady grupy.
Dezaktywuj wskazówkę Usuń pozycję menu »Uruchom« z menu startowego.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Użytkownik zaawansowany widzi teraz polecenie Uruchom ponownie w menu Start. Wyłącz zasadę wiersza polecenia Wyłącz.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Użytkownik zaawansowany nie otrzymuje już komunikatu podczas wywoływania wiersza polecenia w menu Start - Programy - Akcesoria.Wiersz polecenia został dezaktywowany przez administratora.
Aby zastąpić zasadę Pokaż tylko określone ikony panelu sterowania zasady grupy Użytkownicy standardowi XP przez zasadę grupy Użytkownicy zaawansowani XP i ponownie wyświetlić wszystkie ikony panelu sterowania, nie wystarczy dezaktywować zasady Pokaż tylko określone ikony panelu sterowania w polityce grupy Użytkownicy zaawansowani XP . Przetestuj go i zaloguj się do komputera XP jako użytkownik zaawansowany. Nadal wyświetlane są tylko ikony w Panelu sterowania, które zostały dodane w zasadzie Tylko określone ikony panelu sterowania do wiersza grupy Użytkownicy standardowi systemu XP. Pomocna jest tu następująca sztuczka: Aktywuj politykę Ukryj określone ikony panelu sterowania. Możesz teraz określić symbole, które mają być ukryte w kolejnym oknie. Jednakże, jeśli dokonasz tylko wpisu takiego jak XXX na tej liście i tym samym wprowadzisz nieistniejący symbol, wszystkie symbole pojawią się ponownie w sterowaniu systemem dla użytkownika zaawansowanego.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Mam nadzieję, że zrozumiałeś zasadę idei opartej na tych trzech przykładach resetowania aktywowanych polityk dla określonej grupy pracowników: Tworzysz politykę dla standardowego użytkownika i ograniczasz opcje standardowego użytkownika tak bardzo, że źródła błędów poprzez niezamierzoną manipulację przy dużej liczbie użytkowników zostają zlikwidowane, a co za tym idzie wysiłek związany z obsługą jest zminimalizowany.
Tych pracowników, dla których to silne ograniczenie możliwości manipulacji do tego, co jest absolutnie niezbędne w ich codziennej pracy, jest nie do zaakceptowania, należy podsumować w grupie bezpieczeństwa, takiej jak główni użytkownicy. Tworzysz kolejną politykę grupową, np. o nazwie Użytkownicy główni XP, która jest stosowana tylko do członków grupy użytkowników głównych. W tej polityce dezaktywujesz te ograniczenia wywołane przez standardową politykę użytkowników XP, których nie chcesz narzucać użytkownikom zaawansowanym.
Upewnij się, że obie dyrektywy są we właściwej kolejności jedna pod drugą: bezpośrednio umieszczone jedna pod drugą są przetwarzane jedna po drugiej od dołu do góry, a nie od góry do dołu!
Ten model dwóch typów użytkowników i dwóch powiązanych polityk grupowych jest bardzo uproszczony. Jeśli Twoja firma jest złożona, powiesz, że Twoich użytkowników można nie tylko podzielić na typy użytkowników standardowych i użytkowników zaawansowanych, ale że są to zwykli użytkownicy zwykli, szefowie działów z bardziej rozbudowanymi wymaganiami, pracownicy działu rozwoju IT, którzy z kolei potrzebują innych uprawnień niż szefowie działów i pracownicy help desku. Szybko dotrzesz do czterech lub więcej polityk grupowych, których interakcja staje się odpowiednio bardziej skomplikowana.
Zgodnie z przedstawioną zasadą można mapować więcej niż dwa typy użytkowników. Niemniej jednak: zawsze, gdy to możliwe, trzymaj się zasady KISS: Keep It Simple And Smart. Unikaj niepotrzebnych komplikacji! Active Directory jest wystarczająco skomplikowany w interakcji Windows Server z Windows XP Professional, Microsoft Office i Exchange Server. Nie komplikuj swojego modelu Active Directory bardziej niż to konieczne.
Nawiasem mówiąc, narzędzie gpresult.exe pokazuje ustawienia zasad grupy komputera lub użytkownika oraz zestaw wyników wszystkich skutecznych zasad grupy. W nowym narzędziu do zarządzania polityką grupową GPMC.MSI można wygodnie wyświetlić zestaw wyników polityki grupowej mający wpływ na określony komputer i zalogowanego na nim użytkownika.
|
|
WytyczneKlick aufs Bild zum Vergrößern
Wskazówki Kliknij na obrazek, aby go powiększyć
Service Pack 2 dla Windows XP
Wraz z Service Pack 2 firma Microsoft po raz kolejny rozszerzyła liczbę istniejących ustawień w politykach grupowych. Większość z nich obraca się wokół nowych funkcji, takich jak zapora, ustawienia Internet Explorera itp. Łącznie istnieje ponad 600 szablonów administracyjnych. Wystarczy przejrzeć wszystkie możliwe ustawienia. Na przykład możesz dezaktywować nowe centrum bezpieczeństwa w domenie lub okiełznać zaporę systemu Windows w domenie.
W artykule „Zarządzanie funkcjami systemu Windows XP z dodatkiem Service Pack 2 przy użyciu zasad grupy”, który jest dostępny online i jako Word-DOC, firma Microsoft udostępnia wszystkie informacje dotyczące dostosowywania systemu Windows XP z dodatkiem SP2 za pomocą zasad grupy. Szablony bezpieczeństwa, Secedit przez CMD lub własny szablon INF można znaleźć na Group Guidelines.de.
Komunikat o błędzie „Ciąg za długi” W dodatku Service Pack 2 dla systemu Windows XP ciągi dłuższe niż 255 znaków były również używane w szablonach ADM. Na serwerach Windows 2000 i Windows 2003 podczas otwierania zasad grupy pojawia się komunikat o błędzie „Ciąg jest za długi...”. Microsoft udostępnił odpowiednią poprawkę pod wpisem KB 842933.
|
Ta seria artykułów jest fragmentem „Przewodnik integracji sieci Microsoft" von Ulrich Schlüter. Erscheinungstermin: Oktober 2004 bei Obliczenia Galileo. (ISBN 3-89842-525-8) und wurde WinTotal exklusiv vorab zur Verfügung gestellt. |
Ulrich Schlueter
28 ocen
Podobne artykuły:
Active Directory: Usługa katalogowa systemu Windows ...
Wersje Windows 10: porównanie ...
Jak mogę zlokalizować mój telefon komórkowy za pomocą komputera?
Cienki klient: zalety, wady i alternatywy dla ...
Ciekawy Windows: surfowanie z kalkulatorem!
Krótko mówiąc: co to jest serwer proxy?
Serwer plików: definicja i podstawy
Adres MAC: wyjaśnienie, struktura i jak go znaleźć
Czym właściwie jest VPN typu site-to-site?
Pliki AAE: co to jest i jak je otworzyć?
