Переваги групової політики. Налаштування групової політики у Windows

Переваги групової політики. Налаштування групової політики у Windows

Серед нинішніх системних адміністраторів, не кажучи вже про пересічних користувачів, знайдеться досить обмежена кількість людей, які чітко собі уявляють собі, що таке переваги групової політики. Ні, в загальному сенсі поняття є. Більшість вважає, що редактор групових політик є чимось на зразок аналога засобу зміни ключів системного реєстру. Так, частково так воно і є. Але системний реєстр у плані завдання основних параметрів є пріоритетним. Але тут не варто плутати самі групові політики і переваги. Це зовсім різні речі (далі буде зрозуміло, чому).

Групова політика Windows: що це?

Для початку ознайомимося з самим терміном. Що таке групова політика "Віндовс"? Це певний набір правил, що застосовуються до налаштувань самої операційної системи або до встановлених параметрів для кожного конкретного користувача, які, грубо кажучи, зумовлюють його статус в плані зміни тих чи інших параметрів.


Таким чином, налаштування групової політики дозволяє встановити для кожного юзера свої пріоритети доступу до конфігурації системи, виклику певних програм, маневрування на рівні включення або відключення елементів управління системою або її компонентами. Але! Не варто плутати самі політики і вподобання. Вони були спочатку розроблені як якесь доповнення до опцій самих політик. У деяких випадках вони навіть не залежать від політик, оскільки застосовуються в системах Windows з увімкненим доменом доступу Active Directory.

Що представляють собою переваги

Якщо розібратися, за великим рахунком, переваги групової політики являють собою швидше не догматичні правила і налаштування, а змінювані параметри.

Тобто, якщо потрібно встановити певні пріоритети входу, змінити параметри "Робочого столу" або щось ще, дати або скасувати права на виконання якихось дій, природно, буде потрібна роздільна здатність. Кожен користувач, напевно, помічав, що навіть деякі програми запустити від імені адміністратора без відповідного підтвердження буває неможливо. І справа тут, як виявляється, зовсім не в налаштуваннях захисних засобів системи або блокуванні з боку файрвола, а тільки в тому, що локальна групова політика налаштована таким чином, що користувач просто не має права змінювати поточну конфігурацію системи.

Аналіз входу до системи

Якщо говорити в загальному сенсі, такі параметри дійсно можна інтерпретувати як засіб управління правами користувача при вході в систему. При підключенні власного облікового запису зареєстрований юзер отримує якісь права на внесення змін до системної конфігурації (або не отримує їх зовсім, якщо такі налаштування задані на адміністративному рівні).

Клієнт групової політики просто регулює всі ці дії. Ось тільки користувач увійшов до системи під власною реєстрацією, а в налаштуваннях відразу ж фіксується, що він може робити, що ні. На рівні звичайного юзера, що не володіє правами адміністратора, змінити параметри не вийде. Навіть деякі адміністраторські "обліки" можуть блокуватися. Це є налаштування політики, але не переваги.

Питання налаштування системи

Налаштування групової політики багато в чому залежить від того, які саме дозволи повинні бути надані зареєстрованому користувачеві (навіть на рівні адміністратора). Звичайно, можна знизити ступінь контролю UAC, але це все одно не надасть користувачеві повного контролю над виконуваними діями.


Але групова політика Windows будь-якої версії, принаймні, на початковому етапі налаштування дозволяє сконфігурувати вхід в систему (наприклад, можна задати для кожного конкретного користувача екранну заставку, відображення ярликів програм на "Робочому столі", дати доступ до командного рядка і меню "Виконати" тощо). Повний опис параметрів і параметрів буде наведено нижче.

У такій ситуації редактор групових політик може використовуватися для встановлення заборон на виконання якихось дій, але, за великим рахунком, якщо внести відповідні зміни до системного реєстру, всі ці дії можуть виявитися просто безглуздими. І ось чому.

Справа в тому, що система при старті зчитує саме дані реєстру, управління яким передається після ініціалізації всіх пристроїв в первинній системі BIOS/UEFI. І саме копія стану реєстру є ключовою умовою для відновлення. Виходить, що спосіб жорсткого диска зберігати абсолютно не обов 'язково. Просто створіть копію через функцію експорту та збережіть файл з розширенням REG в будь-якому зручному місці.

А звернення до групових політиків при старті відбудеться якраз на рівні реєстру. У гілці HKLM, якщо перейти до розділу System (і не тільки там), є спеціальний каталог Policies, параметри якого повністю дублюють параметри, встановлені в групових політиках, проте мають більш високий пріоритет.

У чому відмінність пріоритетів від правил політики?

Ось тепер настав час подивитися на те, чим відрізняються переваги групової політики від параметрів самих політик. Це потрібно розуміти (принаймні хоча б на початковому рівні).

Попередньо відразу варто сказати, що переваги групової політики в сенсі встановлення правил для кожного конкретного користувача або комп 'ютера не мають нічого спільного з обмеженнями, встановленими за замовчуванням в самій системі. Пояснити це можна на наступному прикладі.

Параметр


Політики

Переваги

Блокування і обов 'язкове виконання

+

-


Часткове створення елементів керування, імпортування та додавання даних налаштувань (у тому числі з реєстру)

-

+

Доступ до параметрів локального користувача

-


+

Початкові параметри

Затираються (видаляються)

Не змінюються (зберігаються при відновленні первинних значень)

Фільтрування


Тільки стосовно всіх об 'єктів у системі

Для кожного користувача і параметра можна використовувати особисте налаштування

Інтерфейс

Стандартний

Розширений

Порівняльна характеристика політик і уподобань у загальнодоступному варіанті

Тепер потрібно зрозуміти, що групова політика домену, що відповідає за ідентифікацію комп 'ютерів в локальній мережі, так само як політика встановлення дозволів твору якихось дій в комп' ютерній системі, істотно не розрізняються.

Якщо відштовхуватися саме від переваг, як виявляється, правила групових політик можна порушити елементарно, використовуючи для цього відповідний редактор. Як відкрити групові політики? Просто введіть команду gpedit.msc у меню "Виконати". На специфікації редактора зупинимося дещо пізніше, а поки подивимося, на які саме об 'єкти націлена дія цієї служби.

Цільові об 'єкти

Що стосується вибору параметрів, в основному всі ці дії розраховані на встановлення або скасування чинних санкцій у самій системі стосовно локального користувача або групи. Навіть зниження ступеня контролю зареєстрованих "обліковок" при задіянні активних параметрів групових політик ні до чого не призведе (у користувача як мінімум на це не буде прав).

Самі ж об 'єкти, які використовують програми групової політики, в основному належать до власних налаштувань, параметри яких при відповідних діях системного адміністратора можуть мати заборонні, дозволяючі або виключні правила. Це параметри входу до системи (відображення заставки та зображення "Стільниці", автовантаження). Зауважте, що жодна програма, включаючи Windows Manager, не може змінювати параметри політик. Це можна зробити або в редакторі, або в системному реєстрі.

Редактор локальної групової політики Windows і зв 'язок з реєстром

Команда gpedit.msc, що вводиться в меню виконання програм (Win + R), викликає відповідний редактор. Однак не варто плутати дозволи і заборони на рівні GPO. Буває і так, що служба групової політики перешкоджає входу в систему. Це нормально.

Якщо користувач входить в систему не на рівні адміністратора, чого очікувати? Проблема може полягати ще й у тому, що завдання параметрів на рівні реєстру блокує редагування в групових політиках, оскільки реєстр є обов 'язковим до перевірки при старті системи. У редакторі реєстру є гілки, в яких присутній розділ Policies. У них задаються значення ключів у шістнадцятковій системі з присвоєнням нуля або одиниці, що може означати заборону або дозвіл на виконання якихось дій. Навіть відновлення системи відбувається саме з копії системного реєстру. При виборі останньої працездатної конфігурації спочатку зчитується останній збережений REG-файл, а тільки потім відбувається старт. І задане в реєстрі налаштування групової політики спрацьовує раніше, ніж ці параметри визначаються в "рідному" редакторі.

Як відкрити групові політики в реєстрі? У меню "Виконати" введіть команду regedit, використовуйте пошук (Ctrl + F) і вкажіть поточне значення Policies. У знайдених розділах можна буде змінювати будь-які ключі, але тільки за умови, що вхід зроблений на рівні адміністратора (якщо в консолі "Виконати" запуск від адміну відсутній, файл можна відкрити в теці System32 через ПКМ).

Основні дії

Але ось навіть не всі системники знають, що в самому редакторі налаштування групової політики може проводитися не тільки на рівні адміністративних шаблонів, які відіграють першорядну роль, введення деяких команд може докорінно змінити налаштування системи, такі як:

  • Create - створення параметра, якщо його не створено або немає.
  • Replace - заміна поточного значення або створення нового параметра із заміною.
  • Update - створення параметра, який ще не існує з урахуванням оновлення даних користувачів.
  • Delete - вилучення переваг всіх рівнів.

Спеціальні переваги

Що стосується розширених параметрів, які передбачає клієнт групової політики, вони полягають у тому, щоб налаштувати опції, Windows-системами прямо не передбачені. Вважається, що саме ці ОС заздалегідь не зумовлюють дозволу і заборони, тому можна домогтися того, що установки будуть відповідати саме користувальницькому режиму, причому вибірково для кожної Windows-системи.

Досягти цього можна за допомогою так званих правил CRUD, які і встановлюють додаткові переваги. Іншими словами, адміністратор може отримати розширений інтерфейс операційної системи, який особливо не відрізнятиметься від стандартного, за винятком позначень застосованих іконок у налаштуваннях зеленого і червоного кольорів. Зелений відповідає активації встановленого параметра під час обробки його клієнтом, червоний означає його відключення або непідтримувану зміну.

Таким чином задаються параметри для кожної окремо взятої системи, де можна редагувати параметри меню "Пуск" (стандартний вигляд, кількість відображуваних програм, розмір плиток тощо), схем електроживлення, користувацького входу в систему і ще багато всього. Але не всі параметри можна змінити. Так, наприклад, відображення вмісту панелей та параметрів встановленого за замовчуванням оглядача Internet Explorer залежить виключно від інстальованої версії. Редагування параметрів плиток в меню "Пуск" недоступне в модифікаціях системи нижче восьмої.

А взагалі, такі налаштування дозволяють домогтися більш гнучкого управління системою, при якому проводиться установка персоналізованих опцій.

Для швидкого керування параметрами можна використовувати функціональні клавіші F5-F8:

  • F5 - увімкнення всіх параметрів.
  • F6 - увімкнення лише вибраного параметра.
  • F7 - деактивація вибраного параметра.
  • F8 - деактивація всіх параметрів.

Оновлення налаштувань

Однак далеко не завжди можна щось поміняти. Клієнт може просто не спрацювати в певний момент, скажімо, через короткочасні збої в самій системі або вірусний вплив. У цьому випадку необхідно проводити оновлення групової політики. У редакторі зробити це неможливо. Тому необхідно використовувати командний рядок, який є якимось уніфікованим інструментом для усунення безлічі проблем з системними збоями.

Оновлення групової політики (примусово) у загальному випадку проводиться командою gpupdate/force або з доповненнями, показаними на зображенні вище. Дехто вважає, що достатньо просто перезавантажити систему або змінити користувача. Це не так. Належного ефекту ви не отримаєте. Але рядок оновлення, вказаний вище, результат дає негайно. Правда, командна консоль повинна бути запущена від імені адміністратора. В іншому випадку дозволу на виконання в ній команд користувач не отримає.

Основне призначення переваг

Як вважається, на локальному рівні займатися зміною налаштувань політик сенсу немає. Налаштовування розширених параметрів здебільшого може застосовуватися в корпоративних системах з розгалуженими локальними мережами на підприємствах або в офісах.

У цьому сенсі системний адміністратор, керуючий дочірніми машинами з центрального сервера, може, що називається, спростити життя і собі, і рядовим співробітникам, один раз зробивши відповідні налаштування. При цьому абсолютно неважливо, яка саме модифікація операційної системи встановлена на мережевих комп 'ютерах або яким чином проводиться їх завантаження (наприклад, по мережі при відсутності на дочірніх терміналах жорстких дисків).

Яким саме чином буде проводитися налаштування параметрів, адміністратор вирішує сам. Тут все залежить від того, як операційні системи завантажуються на локальних комп 'ютерах. З одного боку, начебто використання клієнта групової або локальної політики виглядає простіше. З іншого - дії з системним реєстром мають підвищений пріоритет. Скасувати проведені дії в ньому не можна, не кажучи вже про те, що в редакторі політик перевстановлені опції просто стануть недоступними.

Втім, редагування реєстру можна застосовувати, коли завантаження ОС здійснюється з центрального сервера, наприклад, при підключенні мережевих терміналів за схемою "зірка". На окремо взятих комп 'ютерах з встановленими на них операційних системах ритися в параметрах - справа абсолютно непотрібна, тому тут краще використовувати саме налаштування політик. Втім, при знанні питання деякі параметри можна задати для клієнта, а деякі (особливо важливі) відредагувати в реєстрі. Нічого поганого в цьому не буде, навіть незважаючи на те, що деякі налаштування дублюються і там, і там.

Замість підсумку

Ось коротко і все, що стосується переваг. Звичайно, пересічному користувачеві розуміння суті всього, що було наведено вище, може здатися дещо ускладненим. Однак, якщо хочете до тонкощів розібратися в таких налаштуваннях (особливо це стосується системних адміністраторів-початківців), доведеться вивчити абсолютно все. І, як стверджують справжні фахівці в цій галузі, працювати з політиками потрібно на практиці, а не пізнавати питання на рівні теоретичних даних і статей. Як кажуть, було б бажання. А почати освоєння застосовуваних параметрів можна з того ж редактора, де вибираються адміністративні шаблони, в яких і позначені головні правила і для локальних, і для групових налаштувань. Решта ж - справа техніки. Розуміння прийде з часом, якщо дійсно почати цим займатися.

Якщо підбивати невеликий результат, залишається додати тільки те, що переваги на те і створені, щоб вибирати необхідні параметри і параметри, а не обмежуватися виключно заборонами і дозволами. А це, в свою чергу, дозволяє керувати будь-якою системою дуже гнучко. Звичайно ж, окремо варто зауважити, що звичайному користувачеві такі розширені налаштування не потрібні абсолютно, але за умови того, що на одному терміналі може бути зареєстровано кілька користувачів, іноді встановлення відповідних бажаних опцій може стати в нагоді. Адже досить часто доводиться навіть встановлювати той же батьківський контроль, якщо на комп 'ютері, крім дорослих батьків, може працювати ще й дитина. І все це абсолютно елементарно регулюється в Windows-системах.