Одно время Групповые политики (далее GP) были эксклюзивной территорией, которая была связана с серверами и AD, но с появлением XP Pro многие пользователи обнаружили, что GP может быть применима в управлении компьютерами в небольшой или домашней сети. GP могут быть использованы, даже если вы имеете одиночный компьютер с несколькими пользователями.

В серверной среде администраторы используют GP для конфигурирования ПК, которые являются членами доменов, сайтов, или организационных подразделений, позволяя им гибко контролировать сотни различных аспектов из одного места. В меньшей мере, Локальный объект GP  может быть использован для управления изменениями, которые основаны на системном реестре, а так же как реализация политик, контролирующих функции сценариев и опции безопасности.

Одно из огромных различий это работа GP в доменной среде и использовании их в среде Рабочей группы. Среда рабочей группы требует, чтобы политики были реализованы на каждом индивидуальном компьютере, тогда как  доменная среда позволяет политикам быть реализованными параллельно на группы компьютеров и пользователей за одно действие. Даже в этих условиях, применимость GP позволяют ощутить их ценность.  

 Объект Локальной групповой политики (GPO)

Так, что же такое Объект Групповой политики?

Это группа или набор настроек Групповой политики. GPO, находящиеся на доменном уровне, контролируют компьютеры и пользователей основываясь на членстве в сайте, организационном подразделении и доменах.
Целью этой статьи является попытка сфокусировать внимание в применении GP  на индивидуальных рабочих станциях с XP, игнорируя доменную среду. Каждый XP компьютер имеет один Локальный Объект групповой политики.

GPO это предмет, состоящий из некоторого числа различных файлов и папок. Они хранятся в скрытой папке расположенной по (адресу) C:\WINDOWS\system32\GroupPolicy (%systemroot%\system32\GroupPolicy).
[Если ваш Windows Explorer не отображает скрытые папки, то надо сделать следующее:
Сервис -> Свойства Папки -> Вид и в Дополнительных параметрах в разделе Скрытые папки и файлы, выбрать пункт «Показывать скрытые файлы и папки».]
Папка GroupPolicy по умолчанию создается только после вызова Редактора групповой политики.

 Adm Folder – содержит административные шаблоны (файлы с расширением .adm), которые могут быть использованы для настройки административных параметров Групповой политики. На основе этих шаблонов по умолчанию формируется Локальная Групповая политика.
 Machine Folder – содержит файл registry.pol, файл настроек реестра, которые применяются к компьютеру. Скрипты применяемые при установке ОС для Автозагрузки или Завершения работы для компьютера,  по умолчанию располагаются в папке Scripts (%systemroot%\system32\GroupPolicy\Machine\Scripts) соответственно в одной из содержащихся папок Startup или Shutdown.
Одновременно, если скрипт был настроен, то в папке Scripts создается файл scripts.ini, содержащий информацию о скрипте, его месторасположении и параметрах запуска.
В формате:
Если скрипт расположен в папке Startup или Shutdown 

[Startup]

0CmdLine=script_Startup.bat

0Parameters=-parametersStartup

[Shutdown]

0CmdLine=script_ Shutdown.bat

0Parameters=-parametersShutdown

Или если скрипт расположен в другом месте, то с указанием полного пути до файла скрипта.

 User - содержит файл registry.pol, файл настроек реестра, которые применяются к пользователю. Скрипты применяемые при установке ОС для Автозагрузки или Завершения работы для пользователя, по умолчанию располагаются в папке Scripts (%systemroot%\system32\GroupPolicy\Machine\Scripts) соответственно в одной из содержащихся папок Startup или Shutdown.
Кроме того, другая подпапка Microsoft\IEAK (%Systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK) содержит настройки для параметров относящихся к
Конфигурация Пользователя\Настройки Windows\Настройки Internet Explorer в групповой политике.

Gpt.ini – содержит информацию о расширениях, изменениях настроек, а также состояния веткок параметров Конфигурация компьютера или Конфигурация пользователя.

В формате:

[General]
 gPCFunctionalityVersion=2  -
[Номер версии редактора политик, с помощью которого создан объект.]
 gPCMachineExtensionNames= -(Идентификатор)
[Список GUID описывает, какие клиентские расширения (Client Side Extensions) имеют данные в разделе «Конфигурация компьютера» (Computer configuration) GPO.]
 Version= 6
[это номер версии GPO в десятичном виде]
 gPCUserExtensionNames= -(Идентификатор)
[Здесь указан список GUID, который описывает какие клиентские расширения (Client Side Extensions) имеют данные в разделе «Конфигурация пользователя» (User Configuration) GPO.]
 Options=0 –
[Установки объекта, отключены или нет части «Конфигурация пользователя» или «Конфигурация компьютера».]

Стоит дать комментарий по поводу параметра Options.
Options=0 – Обе ветки (Конфигурация Пользователя и Конфигурация Компьютера) задействованы. Это значение по умолчанию.
Options=1 – Ветки Конфигурация Пользователя отключена.
Options=2 – Ветки Конфигурация Компьютера отключена.
Options=3 – Обе ветки (Конфигурация Пользователя и Конфигурация Компьютера) отключены.
Значения, изменяемые в файле, также отображаются через консоль gpedit.msc.

Неплохую статью по структуре Объекта Групповой политике в среде AD на русском языке можно найти по ссылке

http://forum.ru-board.com/topic.cgi?forum=8&topic=14298&start=0

За кулисами Групповой политики

Мы рассмотрели, что из себя представляет Объект Групповой политики и что он имеет структуру, связанную с файлами и папками.  Но что же в действительности происходит, когда вы назначаете политику? Это не принципиально, чтобы применять Групповые политики, но структурное понимание процесса  может помочь вам избежать ошибок при их реализации. 

Открывая Групповую политику и просматривая через Конфигурация Компьютера и Конфигурация Пользователя, вы проходите по веткам дерева каталога. Несомненно, вы обратили внимание, что расширения Административных шаблонов в обеих ветках содержат наиболее значимые политики, которые могут быть реализованы. Каждая из этих политик происходит из одного из файлов административных шаблонов (.adm) папки Adm. В этих файлах задается название, объяснение, значение ветки реестра, на которое параметр оказывает влияние и возможные значения параметра.

При выборе одного из параметров политики Конфигурация Компьютера и Конфигурация Пользователя, вам предоставляются варианты: Включить, Отключить, Задать значение (В зависимости от типа параметра). После выбора одного из возможных вариантов параметра, система сохраняет новые настройки для последующего использования. Место для хранения новых настроек зависит от политики Конфигурация Компьютера или Конфигурация Пользователя.

Также важно понимать, что происходит с Конфигурация Компьютера и Конфигурация Пользователя, когда система загружается.

• Настройки Конфигурация Компьютера (Machine\Registry.pol) копируют ключи реестра в HKEY_LOCAL_MACHINE (HKLM) улей, когда операционная система инициализируется.
• Настройки Конфигурация Пользователя (User\Registry.pol) копируют ключи реестра в HKEY_CURRENT_USER (HKCU) улей, когда пользователь регистрируется в системе.

Файл Registry.pol  загружается при старте системы или регистрации пользователя, затем требуется какой-нибудь механизм для его периодического обновления в течение сессии. Эту задачу решает Служба Периодического Обновления. По умолчанию, Registry.pol файлы копируются в реестр каждые 90 минут, плюс различное смещение от 0 до 30 минут.  В этой статье речь идет о Локальной Групповой политике, смещения по времени могут игнорироваться, как разработанные для ситуаций с Active Directory в больших сетях, где большое число политик предполагается обновить в специальное время. Мало вероятно, что вам потребуется беспокоиться о Службе Периодического Обновления, но, тем не менее, настройки для компьютера  могут быть найдены в Конфигурация Компьютера\Административные Шаблоны\Система\Груповая политика и  настройки для Пользователя Конфигурация Пользователя\Административные Шаблоны\Система\Груповая политика.

Для обеспечения немедленного обновления любых внесенных изменений, чем заботиться о Службе Периодического Обновления, в среде Локальной Групповой Политики проще открыть командную строку и использовать команду gpupdate. Другой путь, перезагрузить систему или выйти из системы и заново зарегистрироваться в системе для обновления всех настроек Локальной Групповой Политики.

Доступ к Групповой политике

Чтобы получить доступ к Групповой политике вы должны войти в систему как член группы Администраторы, а точнее любой группы имеющей достаточно прав. 

Вот выдержка из справки Windows XP по этому поводу:

Невозможно открыть объект групповой политики в консоли, даже при наличии доступа на чтение.

Причина.  Для открытия объекта групповой политики в консоли администратор должен иметь не только доступ на чтение, но и полный доступ к объекту.

Решение.  Необходимо быть членом группы безопасности с полным доступом к объекту групповой политики. Например, администратор домена может управлять групповой политикой на основе Active Directory. Администратор компьютера может редактировать только локальный объект групповой политики этого компьютера).

Далее можно подготовить оснастку для Групповой политики через Microsoft Management Console (MMC), либо воспользоваться уже существующей оснасткой:

Пуск -> Выполнить, и в строке Открыть, ввести "gpedit.msc" и нажать OK.

Откроется оснастка групповой политики рис.1

Рис.1

Использование Редактора Объекта Групповой политики для задания политик

Пришло время сделать что-нибудь с GP, и посмотреть, как это работает. Эксперименты будем ставить на Windows Messenger.

Неплохой материал по общей работе с групповыми политиками можно найти здесь:

http://ru-board.com/new/article.php?sid=174

Запускаем  gpedit.msc.

Рис.2

Находим в дереве консоли параметры для Windows Messenger.

Открываем Конфигурация Компьютера\Административные шаблоны\Компоненты Windows.

Выбираем Windows Messenger. В правой панели выбираем «Запретить выполнение Windows Messenger». Текущее состояние «Не задана». 

Рис.3

Каждый параметр политики, перечисленный в Административных шаблонах, может иметь одно из следующих значений: Не задана, Включен, Отключен.

По умолчанию, все политики после установки Операционной системы имеют значение «Не задана». «Включен» и «Отключе» – тут всё ясно, но есть одно но. Описание используемое для названия политики может быть нечетким (неоднозначным) и иногда прямо алогичным.

В «Запретить выполнение Windows Messenger», поставив здесь «Включен», тем самым я отключу Windows Messenger. Если бы Разработчик назвал «Разрешить выполнение Windows Messenger», то значение «Отключен» привело бы к тем же самым результатам. Политики со словом «Отключен» требуют тщательной проверки на оказываемый результат.

Приоритеты при наличии одинаковых политик в разных ветвях.

Вернемся к настройке политик. Если посмотреть на  Конфигурация компьютера\Административные шаблоны\Компоненты Windows\

И на Конфигурация пользователя \Административные шаблоны\Компоненты Windows\, то мы заметим, что Windows Messenger встречается в обеих ветвях. Выберем 

Windows Messenger и обнаружим, что в обеих ветках идентичные параметры Групповой политики.

На политики, которые имеют идентичные параметры в обеих ветках (секциях), действует следующее правило:

Настройки параметров в ветке Конфигурация компьютера, всегда имеют приоритет над этими же параметрами в ветке Конфигурация пользователя.

Если политика «Включена» в ветке Конфигурация пользователя, и при этом задан идентичный параметр политики в Конфигурация компьютера, но со значением «Отключен», то политика будет отключена.

Для демонстрирования этого принципа, покажем относительно к Windows Messenger на политике:

Запретить выполнение Windows Messenger 

Результаты сведем в табличку.

Таблица приводит минимальную ступень в иерархии применения политик. В организации обычно происходят более комплексные применения Групповой политики этапами от низшего к высшему через Сайт, Домен, и Объект Групповой политики Организационного подразделения, но мы не будем рассматривать этот вопрос в рамках этой статьи.

Напомним, что Конфигурация Компьютера Registry.pol внедряется во время загрузки системы. Конфигурация Пользователя Registry.pol вступает в игру, когда пользователь регистрируется в системе. 

Задача настройки Групповых политик является более комплексной, чем упорядочивание идентичных настроек Конфигурации Компьютера и Конфигурации Пользователя. В тоже время создание таблички ЕСЛИ/То может показаться несерьезным, но это может помочь избежать проблем и применить политики именно так, как и планируется.

Реализация групповых политик для различных групп пользователей в рамках Локального Объекта Групповой политики (Local GPO)

Достаточно часто встает задача со следующими требованиями:

1)      Чтобы ПК находился за рамками домена (часто даже в отделенном сегменте сети)

2)      Операционная система должна быть Windows XP Professional или Windows 2000 Professional

3)      На ПК должны работать несколько групп пользователей с различными правами 

4)      Безопасность должна обеспечиваться, в том числе и настройками Групповой политики.

Вот тут-то и наступает головная боль Системного администратора.

Применение Групповых политик для различных групп пользователей возможно реализовать при наличии домена AD через объединение пользователей в Организационные подразделения, Домены, Сайты. Но как это сделать в рамках одного Локального объекта Групповой политики?

Без сомнения, что добиться такой же гибкости применения Групповых политик, как в AD, в рамках рабочей группы не получиться. Но всё-таки кое-что сделать возможно, а именно опровергнуть утверждение, сделанное в книге «Microsoft Windows XP: Home Edition и Professional. Русские версии/ Под. общ. ред. А.Н. Чекмарева.» на стр.347.

«Локальный GPO применяется к локальным записям всех пользователей, поэтому вы не можете задавать разные групповые политики для администраторов и обычных пользователей».

Всё-таки можно задать различные групповые политики для администраторов и пользователей.

Ранее мы рассмотрели, что Конфигурация Компьютера, а точнее файл хранилище настроек Registry.pol применяется системой во время загрузки системы, а Конфигурация Пользователя Registry.pol во время регистрации пользователя в системе.

Т.е. мы не сможем ничего варьировать для раздела Конфигурация Компьютера потому, что он загружается вместе с системой, т.е. выполняется с правами учетной записи System.

К моменту, когда пользователь сможет регистрироваться в системе, политики Конфигурация Компьютера уже будет применены для всех пользователей, которые используют этот ПК.

Следовательно, этот раздел (Конфигурация Компьютера) не может быть применен к отдельной группе пользователей.

 В работе с разделом Конфигурация Пользователя Локальной групповой политики мы имеем больше свободы. Файл Registry.pol Конфигурации Пользователя применяется во время регистрации пользователя в системе. Т.к. файл располагается на разделе с файловой системой NTFS то пользователь, к которому применяется Registry.pol должен иметь определенные NTFS права на доступ к этому файлу.

Именно на этом и построено это решение.

Изменение прав пользователя для папки GroupPolicy дает возможность разделить применение раздела Конфигурация Пользователя  Локального Объекта Групповой политики на два типа пользователей.

1)      Пользователи, на которых оказывают воздействие настройки раздела Конфигурация Пользователя 

2)      Пользователи, на которых не оказывают воздействие настройки раздела Конфигурация Пользователя 

Используя следующие шаги для разделения пользователей и групп на две категории.

В примере группа Restricted содержит пользователей, к которым мы не хотим применять параметры раздела Конфигурация Пользователя.

Т.к. запрет в назначении прав NTFS имеет больший приоритет, чем права на разрешение, то ко всем пользователям, которые являются членами группы Restricted параметры раздела «Конфигурация пользователя» применяться не будут.

Обычно это делается только для группы с административными правами и полномочиями.

Как вариант реализации этого, может использоваться следующая последовательность.

Выполним тонкую настройку прав NTFS, чтобы в дальнейшем не испытывать проблем с повторным редактированием политик.

Тонкая настройка NTFS прав для группы Restricted

1)      Создайте Группу пользователей, для которой не должны применяться настройки групповой политики, и добавьте туда требуемые учетные записи

2)      Установите политики для Локальной Групповой Политики – Конфигурации Пользователя.

3)      Откройте %SystemRoot%\System32\GroupPolicy и зайдите в свойства папки

4)      Перейдите на вкладку Безопасность -> Дополнительно -> Разрешения

5)      Далее нажмите «Добавить» и

выберите или добавьте группу, которую вы хотите исключить из распространения раздела Конфигурация пользователя Локальной Групповой политики.

6)      Далее жмем «Изменить» и выставляем права, как на картинке:

рис.4

Запрещаем:

Обзор/Выполнение

Содержание папки/Чтение данных

Чтение атрибутов

Разрешаем:

Чтение разрешений

Смену разрешений

Данная настройка, позволяет в дальнейшем свободно изменять права, не беря объект во владение.  Жмем «ОК».

7)      Далее требуется установить галочку напротив: «Заменить разрешения для всех объектов заданными здесь разрешениями, применимыми к объектам» Жмем «ОК».

рис.5

8)      Выскочит два предупреждения, на которых жмем «Да»

9)      Далее убеждаемся, что права установлены правильно и работают. В качестве проверки, мы можем зайти во вкладку безопасность и там корректно отображаются права пользователей, но при этом через проводник не получаем доступ к файлам.

Права настроены, если всё было сделано правильно, то политики не будут применяться пользователю или пользователям группы Restricted.

Параметры раздела Конфигурация Пользователя вступают в силу со следующей регистрации пользователя в системе, а параметры раздела Конфигурация Компьютера вступают в силу после перезагрузки системы.

Либо возможно их немедленное применение через  команду gpupdate командной строки.

Б) Повторное редактирование Групповых политик.

Вполне вероятна ситуация, что после этой настройки, потребуется внести изменения в Групповые политики, но тут возникает проблема.

Доступ к редактированию Групповых политик будет закрыт.

Чтобы обойти это ограничение необходимо, восстановить права на папку GroupPolicy  и все объекты в ней для этой Группы пользователей хотя бы до Read.

1)      Откройте %SystemRoot%\System32\GroupPolicy и зайдите в свойства папки

2)      Перейдите на вкладку Безопасность -> Дополнительно -> Разрешения

3)      В элементах разрешений выбираем группу Restricted для которой тип прав «Запретить»

4)      Изменяем права на «Разрешить»:

Обзор/Выполнение

Содержание папки/Чтение данных

Чтение атрибутов

Жмем «ОК».

5)      Далее требуется установить галочку напротив: «Заменить разрешения для всех объектов заданными здесь разрешениями, применимыми к объектам»

Жмем «ОК».

С этого момента доступ к редактированию Групповой политики появиться.

После редактирования необходимо вновь восстановить запреты для группы Restricted.

Распространение настроенных Групповых политик на другие ПК рабочей группы.

Многие коллеги утверждают, что для распространения параметров Групповых политик с машины на машину достаточно простого копирования папки GroupPolicy с настроенного ПК на конечный. К сожалению, я так и не смог добиться того, чтобы все параметры настроенной Групповой политики переносились обычным копированием папки.

Обычным копированием переносились параметры разделов кроме:

1) Конфигурация Компьютера\Конфигурация Windows\ Параметры Безопасности

2) Также я не смог уточнить переносятся ли Параметры Безопасности в Конфигурации пользователя из-за того, что задача, которую я прорабатывал изначально подразумевает, что данные станции (входят список потенциально опасных, т.е. никакого использования Сертификатов для установления Доверительных отношений не допускается.

3) Конфигурация программ – данный раздел не может быть использован в рамках Рабочей группы. Служит для централизованного управления и развертывания ПО в рамках домена.

Но это не является большой проблемой, если воспользоваться через MMC оснастками «Шаблоны безопасности» и «Анализ и настройка безопасности» [Secedit.exe].

Исходя из всего этого, для распространения Групповых Политик в рабочей группе требуется:

1.      На эталонном ПК настроить Шаблон безопасности и необходимые параметры Локального Объекта Групповой Политики для разделов Конфигурация Компьютера и Конфигурация Пользователя.

2.      Скопировать Локальный Объект Групповой политики из %Systemroot%\System32\GroupPolicy  на другие клиентские рабочие станции.

3.      Применить эталонный Шаблон безопасности для клиентской машины.

4.      Проверить настройки Локального Объекта Групповой политики, убедиться, что параметры применились.

5.      Если требуется, то настроить NTFS права для требуемых групп на папку GroupPolicy.

!Внимание.

При переносе политик на вновь установленную ОС XP Pro требуются дополнительные действия:

Если на конечной машине не были сгенерированы (настройки политики не были выгружены в файловый вид) объекты групповой политики (не запускалась утилита gpedit.msc и т.д.), то требуется выполнить следующее:

1) Запустить gpedit.msc и просмотреть все разделы, сценарии и т.д.

Это требуется, чтобы система сгенерировала объекты: Registry.pol, папки для скриптов и т.д.

2) После этого скопировать GroupPolicy.

Если этого не сделать, то после копирования с образцовой машины наблюдались:

1)      Зависания при загрузке пользователя, при применении политик.

2)      При обновлении политик через gpupdate, выдавал ошибку, что такой-то раздел недоступен, действие отменено.

3)      Другие различные проявления нестабильной работы с учетными записями пользователей.

Ну и в завершение стоит указать на ещё пару моментов:

Ну и в завершение стоит указать на ещё пару моментов:
1)  По поводу Windows XP Home Edition, вот информация найденная в справке в Win XP:
Windows XP Home Edition, Windows NT 3.51, Windows 3.1 и MS-DOS

К этим операционным системам групповая политика не применяется.

Типично не доверяя справкам от MS, я проверил это утверждение и действительно в «хомяке» не смог заставить запуститься Редактор групповых политик или какую-нибудь команду так или иначе связанную с GP.

2) Есть и другие способы добиться, чтобы для определенной группы не применялись параметры GPO:

а) С применением "свойства" работы Групповых политик

Данный способ даже задокументирован у Microsoft в отдельную статью знаний

http://support.microsoft.com/kb/325351

"Применение локальных политик ко всем пользователям за исключением администраторов в Windows Server 2003 при использовании рабочих групп"

Правда описан он для Server 2003, но с таким же успехом может применяться и на XP Professional и Windows 2000 Professional.

Но у этого способа есть один огромный минус, а именно:

После того, как вы внесли требуемые изменения в GP под администратором, потом провели "шаманство" описанное в kb325351, у вас вроде бы всё заработало. НО как только вы внесете хоть малейшие изменения в GP, тут для администратора сразу же применяться все политики. В обычном случае, если вы не настроили уж что-то совсем страшное, то это потеря времени на отмену политик и повторное шаманство. В худшем откат системы из образа (Вы ведь конечно же сделали backup перед началом изменений)

б) С использованием сторонних или коммерческих продуктов для работы с групповой политикой.

Информацию (на английском) о них можно получить по следующим ссылкам:

http://www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/gptools.mspx

http://grouppolicy.editme.com/3rdParty

Основной минус – большинство из них платные.

Рекомендации:

1)      Набраться терпения, т.к. применение и распространение Групповых политик дело трудоемкое. В каждой производственной среде, требуется предварительно проверять все параметры и их воздействие.

2)      Выполнять копирование Локального Объекта Групповой Политики не через копирование всей папки GroupPolicy, а через копирование подпапок Machine и User. Этим вы избежите потенциальных проблем с параметрами файла Gpt.ini 

В основе статьи лежат материалы из:

Литература:

1) Microsoft Windows XP: Home Edition и Proffessional. Русские версии/

Под. общ. ред. А.Н. Чекмарева. - СПБ: БХВ-Петербург, 2003 - 640с.

ISBN-5-94157-215-8

стр. 344 - 358

Локальный GPO стр. 346

2) Справка к ОС Windows XP

3) Статья о групповых политиках

http://www.theeldergeek.com/group_policy_for_windows_xp_prof.htm

4) Статья знаний Microsoft KB274478

http://support.microsoft.com/kb/274478

5) Статья знаний Microsoft KB325351

http://support.microsoft.com/kb/325351

Во время написание этой статьи я был не в курсе существования такого источника по Групповым политикам как http://forum.ru-board.com/topic.cgi?forum=8&topic=8921#1

Там приведены решения на многие типичные проблемы при работе с Групповыми политиками.

Автор: Шигаревский Леонид (ака Graum)