Обзор групповой политики (версия 2007 системы Office)
Обновлено: Март 2007
Назначение: Office Resource Kit
Последнее изменение раздела: 2015-03-09
Групповая политика — это инфраструктура, позволяющая администраторам внедрять определенные конфигурации систем для пользователей и компьютеров. Параметры политики можно применять к рядовым серверам и контроллерам домена в масштабе леса Active Directory. При помощи групповой политики администраторы могут один раз определить конфигурацию, чтобы впоследствии она принудительно использовалась операционной системой.
Параметры групповой политики содержатся в объектах групповой политики, связанных с выбранными контейнерами службы каталогов Active Directory — сайтами, доменами или подразделениями. Параметры в объектах групповой политики оцениваются по задействованным целевым объектам на основе иерархической структуры Active Directory.
Инфраструктура групповой политики состоит из модуля групповой политики и нескольких отдельных расширений. Расширения используются для настройки параметров групповой политики путем изменения реестра через расширение административных шаблонов или путем настройки параметров групповой политики для параметров обеспечения безопасности, установки программного обеспечения, перенаправления папок, настройки Internet Explorer, параметров беспроводной сети и других областей.
В каждом расширении групповой политики присутствует по два расширения:
Серверное расширение оснастки консоли управления (MMC) редактора объектов групповой политики, используемое для определения и настройки параметров политики, применяемых к клиентским компьютерам.
Клиентское расширение, вызываемое модулем групповой политики для применения параметров политики.
Параметры политики системы Выпуск 2007 системы Microsoft Office содержатся в файлах административных шаблонов (ADM). Дополнительные сведения см. в разделе Административные шаблоны.
В следующих разделах приводится обзор концепции групповой политики. Более подробные сведения см. в статье Набор групповых политик (на английском языке) на веб-сайте Microsoft TechNet.
В этой главе
Локальная групповая политика и групповая политика на основе Active Directory
Обработка групповой политики
Применение групповой политики
Выбор целевого объекта для применения объектов групповой политики
Расширения административных шаблонов
Пользовательские настройки и истинные политики
Средства управления групповыми политиками
Центр развертывания Office и групповая политика
Локальная групповая политика и групповая политика на основе Active Directory
На каждом компьютере имеется локальный объект групповой политики, который обрабатывается всегда вне зависимости от того, входит ли компьютер в домен или является автономным. Локальный объект групповой политики не может блокироваться доменными объектами групповой политики. Однако параметры доменных объектов групповой политики всегда имеют преимущество, поскольку обрабатываются после локального объекта групповой политики.
Хотя локальные объекты групповой политики можно настроить на каждом отдельном компьютере, максимальные преимущества групповой политики можно получить в сети на основе Windows 2000 или Windows Server 2003 с установленной службой каталогов Active Directory.
При необходимости администраторы могут внедрить параметры групповой политики как для всех пользователей в организации, так и для узкого их круга. Для этого администраторы связывают объекты групповой политики с сайтами, доменами и подразделениями. Связи объектов групповой политики влияют на пользователей и компьютеры следующим образом:
Объекты групповой политики, связанные с сайтом, действуют для всех пользователей и компьютеров в этом сайте.
Объекты групповой политики, связанные с доменом, действуют непосредственно для всех пользователей и компьютеров в домене и наследуются всеми пользователями и компьютерами в дочерних подразделениях. Между доменами групповая политика не наследуется.
Объекты групповой политики, связанные с подразделением, действуют непосредственно для всех пользователей и компьютеров в подразделении и наследуются всеми пользователями и компьютерами в дочерних подразделениях.
Созданный объект групповой политики хранится в домене. При связывании объекта групповой политики с контейнером Active Directory (например, подразделением) эта связь становится компонентом этого контейнера Active Directory. Связь не является компонентом объекта групповой политики.
Для создания объекта групповой политики администраторы должны иметь привилегию создания объектов групповой политики. По умолчанию только администраторы домена, администраторы предприятия и члены группы создателей-владельцев групповой политики могут создавать объекты групповой политики. Для редактирования объекта групповой политики пользователь должен иметь разрешения на его изменение.
Подробные сведения об инфраструктуре групповой политики см. в главе Набор групповых политик в Технической справке по Windows Server 2003 на веб-сайте Microsoft TechNet.
В операционных системах Windows Vista и Windows Server® 2008 представлены новые функциональные возможности управления локальными объектами групповой политики, позволяющие администраторам изолированных компьютеров применять несколько объектов групповой политики к пользователям изолированных компьютеров.
Несколько локальных объектов групповой политики: изменения в ОС Windows Vista и Windows Server 2008
Операционные системы Windows Vista и Windows Server 2008 поддерживают управление несколькими локальными объектами групповой политики на изолированных компьютерах. Такая возможность полезна для управления средами, в которых один компьютер используется несколькими пользователями, например в библиотеках или компьютерных классах. Локальным пользователями или встроенным группам можно назначить несколько локальных объектов групповой политики.
В среде рабочей группы на каждом компьютере настроены собственные параметры политики. Эту возможность можно использовать для групповой политики на основе домена, или ее можно отключить при помощи параметра групповой политики.
Администраторы могут использовать несколько локальных объектов групповой политики для следующих целей.
Применение различных уровней локальной групповой политики к локальным пользователям изолированного компьютера. Эта возможность отлично подходит для общих вычислительных сред, в которых не доступно управление на уровне домена.
Управление групповой политикой на основе групп администраторов и не-администраторов. Например, если администраторам необходимо настроить компьютеры в компьютерном классе для поддержания безопасной среды, то можно создать жестко контролируемые параметры политики для групп пользователей и менее контролируемые параметры для встроенных учетных записей администраторов. Это позволяет избежать необходимости явного отключения или удаления параметров групповой политики локальными администраторами перед выполнением задач администрирования, если настройки мешают им управлять рабочей станцией. Администраторы Windows Vista могут также отключить параметры локальной групповой политики без явного включения групповой политики на базе домена.
Администраторы домена могут отключить обработку объектов локальной групповой политики на клиентских компьютерах под управлением Windows Vista, включив параметр политики Выключение обработки локальных объектов групповой политики в объекте доменной групповой политики. Этот параметр расположен в папке Конфигурация компьютера\Административные шаблоны\Система\Групповая политика.
В Windows Vista используются три уровня локальных объектов групповой политики: локальная групповая политика, групповая политика администраторов и не-администраторов, а также пользовательская локальная групповая политика. Эти уровни локальных объектов групповой политики обрабатываются в следующем порядке:
Локальная групповая политика
Групповая политика администраторов и не-администраторов
Пользовательская локальная групповая политика
Подробные сведения об использовании нескольких локальных объектов групповой политики в Windows Vista см. в разделе Пошаговая инструкция по управлению несколькими локальными объектами групповой политики на веб-сайте Microsoft TechNet.
Обработка групповой политики
Локальный объект групповой политики обрабатывается первым, а подразделение, которому принадлежит компьютер или пользователь (непосредственным членом которого он является) — последним. Параметры групповой политики обрабатываются в следующем порядке:
Локальный объект групповой политики. На каждом компьютере имеется локальный объект групповой политики. Этот объект групповой политики обрабатывается для групповой политики как компьютера, так и пользователя.
Сайт. После этого обрабатываются объекты групповой политики, связанные с сайтом, к которому принадлежит компьютер. Порядок обработки определяется администратором на вкладке Связанные объекты групповой политики для сайта в консоли управления групповыми политиками. Объект групповой политики, имеющий самый низкий порядок ссылки, обрабатывается последним и имеет наивысший приоритет. Сведения о консоли управления групповыми политиками см. в разделе Средства управления групповыми политиками.
Домен. Группа связанных с доменом объектов групповой политики обрабатывается в порядке, заданном администратором на вкладке Связанные объекты групповой политики для домена в консоли управления групповыми политиками. Объект групповой политики, имеющий самый низкий порядок ссылки, обрабатывается последним и имеет наивысший приоритет.
Подразделения. Объекты групповой политики, связанные с подразделением, расположенным в самом верху иерархии Active Directory, обрабатываются первыми. Затем обрабатываются объекты групповой политики, связанные с дочерним подразделением и т. д. Объекты групповой политики, связанные с подразделением, в котором находится компьютер или пользователь, обрабатываются последними.
Порядок обработки зависит от следующих условий:
Примененные к объектам групповой политики инструментарий управления Windows (WMI) или фильтры параметров безопасности.
Любой доменный объект групповой политики (не локальный групповой политики) может быть принудительно применен при помощи параметра Обеспечить, так что его параметры политики невозможно перезаписать. Поскольку принудительный объект групповой политики обрабатывается последним, никакие другие параметры не могут перезаписать параметры такого объекта групповой политики. При наличии нескольких объектов групповой политики одному параметру в каждом объекте можно присвоить разные значения. В этом случае порядок связей объектов групповой политики определяет, какой параметр групповой политики содержит окончательные параметры.
В любом домене или подразделении наследование для групповой политики можно выборочно указать параметр Блокировать наследование. Однако, поскольку принудительные объекты групповой политики применяются всегда, и блокировать их нельзя, блокировка наследования не предотвращает применение параметров политики из принудительных объектов групповой политики.
Наследование политики
Действующие для пользователя или компьютера параметры политики — это результат объединения объектов групповой политики, примененных на сайте, в домене и подразделении. При применении нескольких объектов групповой политики к пользователям и компьютерам в таких контейнерах Active Directory параметры в объектах групповой политики объединяются. По умолчанию параметры, развернутые в объектах групповой политики, связанных с контейнерами верхнего уровня (родительскими контейнерами) в Active Directory, наследуются дочерними контейнерами и объединяются с параметрами, развернутыми в объектах групповой политики, связанных с дочерними контейнерами. Если несколько объектов групповой политики пытаются настроить парметры политики с использованием конфликтующих значений, параметр задается из объекта групповой политики с высшим приоритетом. Обрабатываемые впоследствии объекты групповой политики имеют преимущество по отношению к ранее обработанным объектам групповой политики.
Применение групповой политики
Групповая политика для компьютеров применяется при запуске компьютера, а групповая политика для пользователей применяется при входе пользователя в систему. Кроме начальной обработки групповой политики в момент запуска и входа в систему, групповая политика периодически применяется впоследствии в фоновом режиме. При обновлении в фоновом режиме клиентское расширение повторно применяет параметры политики только в случае обнаружения изменений на сервере в любом из объектов групповой политики или списке объектов групповой политики.
При установке программного обеспечения или перенаправлении папок групповая политика обрабатывается только во время запуска компьютера и входа пользователя в систему.
Синхронная и асинхронная обработка
Синхронные процессы можно представить в виде ряда процессов, запускаемых друг за другом по мере завершения. Асинхронные процессы могут выполняться одновременно несколькими потоками, поскольку их результат не зависит от других процессов. Администраторы могут использовать параметр политики для каждого объекта групповой политики для изменения режима обработки по умолчанию с синхронного на асинхронный.
При синхронной обработке существует ограничение по времени (60 минут) обработки всех объектов групповой политики на клиентском компьютере. Клиентским расширениям, которым не удалось завершить обработку за 60 минут, отправляется сигнал прекращения обработки. В этом случае связанные параметры политики могут быть применены не полностью.
Функция оптимизации быстрого входа
Функция оптимизации быстрого входа по умолчанию включена для членов домена и рабочей группы. Она приводит к асинхронному применению политики при запуске компьютера и входе пользователя в систему. Такое применение политики аналогично обновлению в фоновом режиме. Это может сократить время отображения диалогового окна входа в систему, и пользователь быстрее получает доступ к рабочему столу.
.gif "Note") Примечание: |
|---|
| Оптимизация входа не включена и политики обрабатываются синхронно, если пользователь впервые входит в систему, использует перемещаемый профиль, имеет домашний каталог или использует сценарий входа, указанный в объекте пользователя. При перенаправлении папок и установки программного обеспечения групповой политики необходимо асинхронное применение политики. В этом случае компьютер можно по-прежнему запускать асинхронно. Однако оптимизация входа не выполняется, поскольку вход осуществляется синхронно. Клиентские компьютеры, на которых запущены операционные системы Windows XP Professional, Windows XP 64-bit Edition (Itanium) и Windows Server 2003, поддерживают оптимизацию быстрого входа в любой доменной среде. Обработка запуска и входа в систему на серверах всегда происходит так, как если бы этот параметр политики был включен. |
Администраторы могут отключить функцию оптимизации быстрого входа, используя параметр политики Всегда ожидать инициализации сети при загрузке и входе в систему, расположенный в узле Конфигурация компьютера\Административные шаблоны\Система\Вход в систему редактора объектов групповой политики. При включении этого параметра политики вход в систему выполняется так же, как на клиентских компьютерах с Windows 2000. Это означает, что Windows XP ожидает полной инициализации сети до входа пользователей в систему. Групповая политика применяется синхронно на переднем плане.
Обработка медленных подключений
Некоторые расширения групповой политики не обрабатываются, если скорость подключения опускается ниже заданных предельных значений. В качестве значению по умолчанию, определяющего медленное подключение для групповой политики, можно указать любое значение до 500 килобит в секунду (Кбит/с).
При обработке групповой политики при медленных подключениях устанавливаются следующие параметры по умолчанию.
| Параметр | Default (По умолчанию) |
|---|---|
Параметры безопасности |
ВКЛ (нельзя отключить) |
IP-безопасность |
ВКЛ |
EFS-шифрование |
ВКЛ |
Политика программных ограничений |
ВКЛ |
Беспроводная сеть |
ВКЛ |
Административные шаблоны |
ВКЛ (нельзя отключить) |
Установка программного обеспечения |
ВЫКЛ |
Сценарии |
ВЫКЛ |
Перенаправление папок |
ВЫКЛ |
Настройка IE |
ВКЛ |
Администраторы могут использовать параметр политики для переопределения параметра по умолчанию. Для настройки параметров обнаружения медленных подключений для групповой политики компьютеров используйте параметр политики Обнаружение медленных подключений для групповой политики, расположенный в узле Конфигурация компьютера\Административные шаблоны\Система\Групповая политика редактора объектов групповой политики.
Чтобы задать этот параметр для пользователей используйте параметр политики Обнаружение медленных подключений для групповой политики в узле Конфигурация пользователя\Административные шаблоны\Система\Групповая политика.
Дополнительные сведения об управлении групповой политикой при медленных подключениях см. в разделе Определение групповой политики для обнаружения медленных подключений на веб-сайте Microsoft TechNet.
Интервал обновления групповой политики
По умолчанию групповая политика обрабатывается каждые 90 минут с произвольной задержкой не более 30 минут, следовательно, общий максимальный интервал обновления составляет не более 120 минут.
При изменении политик параметров безопасности параметры политики обновляются на компьютерах подразделения, с которым связан объект групповой политики в следующих случаях.
При перезапуске компьютера.
Каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена.
По умолчанию параметры политики безопасности в групповой политике также применяются каждые 16 часов (960 минут), даже если объект групповой политики не был изменен.
Запуск обновления групповой политики
Изменения, вносимые в объект групповой политики, сначала должны копироваться на соответствующий контроллер домена. Таким образом, изменения параметров групповой политики могут не сразу стать доступными на рабочих столах пользователей. В ряде случаев (например, при применении параметров политики безопасности), может возникать необходимость немедленного применения параметров политики.
Администраторы могут вручную запустить обновление политики с локального компьютера, не дожидаясь автоматического обновления в фоновом режиме. Для этого в командной строке администраторы должны ввести команду gpupdate для обновления параметров политики пользователя или компьютера. Консоль управления политиками безопасности для запуска обновления политики использовать нельзя.
Команда gpupdate запускает фоновое обновление политики на локальном компьютере, на котором она запущена. Команда gpupdate используется в средах Windows Server 2003 и Windows XP.
Применение групповой политики по требованию сервера на клиентских компьютерах невозможно.
Дополнительные сведения об использовании команды gpupdate см. в документе Обновление параметров групповой политики при помощи команды GPUpdate.exe на веб-сайте Microsoft TechNet.
Выбор целевого объекта для применения объектов групповой политики
Основной способ определения пользователей и компьютеров, к которым применяются параметры объекта групповой политики, заключается в связывании объекта с сайтами, доменами и подразделениями.
Пользователь может изменить порядок по умолчанию, в котором происходит обработка объектов групповой политики, изменив порядок связей, заблокировав наследование политики, принудительно применив связь групповой политики (которую ранее было невозможно переопределить) или отключив связь групповой политики.
Для изменения группы пользователей и компьютеров, к которым применяется объект групповой политики, администраторы могут использовать фильтрацию параметров безопасности или WMI.
Для применения одного набора параметров безопасности к любому пользователю, входящему в систему на определенном компьютере администраторы могут также использовать возможность обработки замыкания на себя.
Изменение порядка обработки объектов групповой политики
Для изменения порядка обработки объектов групповой политики администраторы могут использовать один из следующих методов.
Изменение порядка связей. От порядка связей групповой политики на сайте, домене или подразделении зависит очередность применения связей. Администраторы могут менять приоритет связи, изменив порядок связей, перемещая каждую связь вверх или вниз по списку в соответствующее место списка. Связь старшего порядка (1 — самый старший порядок) имеет наивысший приоритет для сайта, домена или подразделения.
Блокировка наследования. Блокировка наследования для домена или подразделения препятствует автоматическому наследованию объектов групповой политики, связанных с сайтами, доменами или подразделениями более высокого уровня, контейнером Active Directory дочернего уровня. По умолчанию контейнеры дочернего уровня наследуют все объекты групповой политики от родителя. Однако блокировка наследования иногда оказывается полезной.
Принудительное применение связи объекта групповой политики. Администратор может указать, что параметры в связи объекта групповой политики имеют приоритет по отношению к параметрам любого дочернего объекта, указав для этой связи параметр Принудительный. Принудительные связи объекта групповой политики не могут блокироваться родительским контейнером. Если в объектах групповой политики содержатся конфликтующие параметры, и они не имеют принуждений от контейнера более высокого уровня, то параметры связей объекта групповой политики родительского контейнера более высокого уровня перезаписываются параметрами в объектах групповой политики, связанных с дочерними подразделениями. При принудительном применении связь родительского объекта групповой политики всегда имеет приоритет. По умолчанию, связи объектов групповой политики не являются принудительными.
Отключение связи объекта групповой политики. По умолчанию обработка включена для всех связей объектов групповой политики. Применение объекта групповой политики можно полностью заблокировать для сайта, домена или подразделения, отключив связь объекта групповой политики для соответствующего домена, сайта или подразделения. При этом объект групповой политики не отключается. Если объект групповой политики привязан к другим сайтам, доменам или подразделениям, то они по-прежнему будут обрабатывать объект групповой политики, если связи остаются включенными.
Фильтрация параметров безопасности
Этот способ используется, чтобы указать, что к объекту групповой политики применяются только определенные участники безопасности в контейнере, с которым связан объект групповой политики. Фильтрация параметров безопасности может использоваться администраторами для ограничения области действия объекта групповой политики, так что объект будет применяться только к одной группе, пользователю или компьютеру. Фильтрацию параметров безопасности нельзя использовать выборочно с различными параметрами в объекте групповой политики.
Объект групповой политики применяется к пользователю или компьютеру, только если такой пользователь или компьютер имеют разрешения на чтение и применение групповой политики для объекта групповой политики, явно или фактически через членство в группе. По умолчанию для всех объектов групповой политики разрешения на чтение и применение групповой политики включены для группы прошедших проверку пользователей, в состав которой входят пользователи и компьютеры. Таким образом, все прошедшие проверку пользователи получают параметры нового объекта групповой политики при его применении к подразделению, домену или сайту.
По умолчанию администраторы домена, администраторы предприятия и локальная система имеют разрешения полного доступа без элемента управления доступом Применить групповую политику. Администраторы также являются членами группы пользователей, прошедших проверку. Это означает, что по умолчанию администраторы получают параметры в объекте групповой политики. Эти разрешения можно изменить для ограничения области действия определенным набором пользователей, групп или компьютеров в подразделении, домене или сайте.
Консоль управления групповыми политиками позволяет управлять этими разрешениями как единым блоком и отображать фильтры параметров безопасности для объекта групповой политики на вкладке Область групповой политики. В консоли управления групповыми политиками можно добавить или удалить группы, пользователей и компьютеры как фильтры параметров безопасности для каждого объекта групповой политики. Дополнительные сведения о консоли управления групповыми политиками см. в разделе Средства управления групповыми политиками.
Фильтры инструментария управления Windows
Инструментарий управления Windows (WMI) — это реализация компанией Майкрософт промышленной инициативы управления предприятием на основе веб-технологий, определяющая стандарты инфраструктуры управления и позволяющей объединять информацию от различных аппаратных и программных систем управления. Инструментарий WMI отображает данные конфигурации оборудования, такие как ЦП, память, дисковое пространство и производитель, а также данные программного обеспечения из реестра, драйверов, файловой системы, службы каталогов Active Directory, службы установщика Windows, сетевой конфигурации и данных приложений. Данные о целевом компьютере можно использовать для целей администрирования, например для фильтрации WMI объектов групповой политики.
Фильтры WMI используются для фильтрации применения объекта групповой политики, присоединив к объекту групповой политики запрос на языке запроса WMI (WQL). Запросы можно использовать для опроса WMI по нескольким элементам. Если запрос возвращает истинное значение по всем запрашиваемым элементам, то объект групповой политики применяется к целевому пользователю или компьютеру.
Объект групповой политики связывается с фильтром WMI и применяется к целевому компьютеру, и фильтр оценивается на целевом компьютере. Если фильтр WMI оценивается как ложный, объект групповой политики не применяется (кроме случаев, когда клиентский компьютер работает под управлением Windows 2000, поскольку в этом случае фильтр игнорируется, и объект групповой политики применяется всегда). Если фильтр WMI оценивается как истинный, то объект групповой политики применяется.
Фильтр WMI — это отдельный от групповой политики объект в каталоге. Для применения фильтр WMI следует связать с объектом групповой политики, при этом фильтр и объект групповой политики, к которому он привязан, должны находиться в одном домене. Фильтры WMI хранятся только в доменах. Каждый объект групповой политики может иметь только один фильтр WMI. Один фильтр WMI можно связать с несколькими объектами групповой политики.
Обработка замыкания на себя
Обработка замыкания на себя — расширенный параметр групповой политики, который полезно использовать на компьютерах в ряде жестко управляемых сред, таких как серверы, Интернет-киоски, лаборатории, классные комнаты и регистратуры. При настройке замыкания на себя параметр политики Конфигурация пользователя в объектах групповой политики, применяемый к компьютеру, будет применен в каждому пользователю, входящему в систему на этом компьютере, вместо параметра Конфигурация пользователя (в режиме Замена) или в дополнение в нему (в режиме Слияние). Администраторы могут использовать эту возможность для применения согласованного набора параметров политики к любому пользователю, входящему в систему на определенном ПК, независимо от его местоположения в Active Directory.
Для настройки обработки замыкания на себя можно использовать параметр политики Режим обработки замыкания пользовательской групповой политики, расположенный в папке Конфигурация компьютера\Административные шаблоны\Система\Групповая политика в редакторе объектов групповой политики.
Для использования функции обработки замыкания на себя учетные записи пользователя и компьютера должны находиться в домене под управлением Windows 2000 или более поздней версии. Для компьютеров рабочей группы замыкание на себя не применяется.
Дополнительные сведения о выборе целевых объектов для применения объектов групповой политики см. в документе Контроль области действия объектов групповой политики с использованием консоли управления групповой политикой на веб-сайте Microsoft TechNet.
Расширение административных шаблонов
Расширение административных шаблонов групповой политики состоит из серверной оснастки MMC, служащей для настройки параметров политики, и клиентского расширения, используемого для настройки разделов реестра на целевых компьютерах. Политику административных шаблонов также называют реестровой политикой или политикой на основе реестра.
Параметры политики Выпуск 2007 системы Microsoft Office содержатся в файлах административных шаблонов, которые можно загрузить на странице Административные шаблоны системы Office выпуска 2007 (ADM) в центре загрузки Microsoft.
Файлы административных шаблонов
Файлы административных шаблонов (ADM) — это файлы в кодировке Юникод, содержащие иерархию категорий и подкатегорий, определяющих отображение параметров в редакторе объектов групповой политики и консоли управления групповой политикой. Они также указывают места реестра, где следует внести изменения при выборе параметра, определяют параметры или ограничения (на значения), связанные с выбранной настройкой и, в некоторых случаях, указывают значение по умолчанию при включении настройки.
Функциональные возможности файлов ADM ограничены. Их цель — предоставить пользовательский интерфейс для настройки параметров политики. Файлы ADM не содержат параметры политики. Параметры политики содержатся в файлах registry.pol, расположенных в папке Sysvol на контроллерах домена.
Серверная оснастка административных шаблонов содержит узел Административные шаблоны, отображаемый в редакторе объектов групповой политики под узлом Конфигурация компьютера и Конфигурация пользователя. Параметры узла Конфигурация компьютера позволяют управлять параметрами реестра для компьютера, а параметры узла Конфигурация пользователя — для пользователей. Хотя для настройки многих параметров политики требуются простые элементы пользовательского интерфейса, такие как текстовые поля для ввода значений, большинство параметров политики имеют только следующие значения:
Включен. Политика применяется принудительно. Некоторый параметры политики могут иметь дополнительные варианты, определяющие режим работы политики при ее включении.
Отключен. Для большинства параметров политики применяется действие, противоположное состоянию Включен. Например, если значение Включен принудительно отключает функцию, значение Отключен принудительно включает ее.
Не задано. Политика не применяется принудительно. Большинство параметров по умолчанию не заданы.
Файлы административных шаблонов системы Office выпуска 2007
Следующие файлы административных шаблонов доступны для Выпуск 2007 системы Office:
office12.adm: общие компоненты Office
access12.adm: Microsoft Office Access 2007
cpao12.adm: помощник по печати календарей для Microsoft Office Outlook 2007
excel12.adm: Microsoft Office Excel 2007
groove12.adm: Microsoft Office Groove 2007
ic12.adm: Microsoft Office InterConnect 2007
inf12.adm: Microsoft Office InfoPath 2007
onent12.adm: Microsoft Office OneNote 2007
outlk12.adm: Microsoft Office Outlook 2007
ppt12.adm: Microsoft Office PowerPoint 2007
proj12.adm: Microsoft Office Project 2007
pub12.adm: Microsoft Office Publisher 2007
spd12.adm: Microsoft Office SharePoint Designer 2007
visio12.adm: Microsoft Office Visio 2007
word12.adm: Microsoft Office Word 2007
Администраторы могут использовать параметры политики Выпуск 2007 системы Office для выполнения следующих задач:
Управление параметрами безопасности для приложений Выпуск 2007 системы Office
Блокирование подключения приложений Выпуск 2007 системы Office к Интернету
Скрытие или отключение параметров пользовательского интерфейса Выпуск 2007 системы Office, которые могут ввести пользователей в заблуждение или не нужны для выполнения работы
Создание жестко контролируемых или менее ограниченных стандартных конфигураций компьютеров пользователей
Установка параметров сохранения файлов по умолчанию для приложений Выпуск 2007 системы Office для подготовки к миграции с предыдущих версий Office
Например, администраторы могут использовать групповую политику для отключения, включения или настройки большинства параметров, управляющих пользовательских интерфейсом Office, таких как:
Команды меню
Клавиши быстрого доступа
Настройки диалогового окна "Параметры"
Большое число параметров групповой политики, доступных для Выпуск 2007 системы Office, обеспечивают высокую степень гибкости. Администраторы могут создавать сильно ограниченные или незначительно контролируемые конфигурации в зависимости от конкретных потребностей бизнеса и политики безопасности в организации.
Для загрузки файлов административных шаблонов Выпуск 2007 системы Office см. страницу Административные шаблоны системы Office выпуска 2007 (ADM) в центре загрузки Microsoft.
Можно также загрузить Файл административного шаблона конвертеров формата Open XML системы Microsoft Office выпуска 2007 (ADM) в центре загрузки Microsoft. Администраторы могут использовать этот шаблон для изменения режима работы по умолчанию конвертеров формата Open XML в Microsoft Office Word, Excel и PowerPoint 2007.
Администраторы могут изменить файлы административных шаблонов Microsoft Office 2003 и Microsoft Office XP для настройки параметров диалогового окна "Сохранить как..." меню "Файл" с целью включения новых форматов файлов OpenXML программ выпуска 2007 системы Microsoft Office. Дополнительные сведения см. в статье базы знаний 932127 Изменение существующего файла политики Office (ADM-файла) для Office 2003 и Office XP с целью включения форматов файлов OpenXML программ Microsoft Office 2007 в параметры по умолчанию для функции "Сохранить как" (на англ. языке) на веб-сайте базы знаний Майкрософт.
Дополнительные сведения об административных шаблонах см. в Технической справке по расширению административных шаблонов .
В Windows Vista и Windows Server 2008 представлен новый XML-формат для файлов административных шаблонов, описанный в следующем разделе.
Файлы административных шаблонов: изменения в Windows Vista и Windows Server 2008
Файлы административных шаблонов впервые появились в Windows NT 4.0, и для них использовался уникальный формат файлов — ADM. В операционных системах Windows Vista и Windows Server 2008 эти файлы заменены файлами ADMX, основанными на XML-формате для отображения параметров политики из реестра. Новые файлы административных шаблонов упрощают управление параметрами политики из реестра в Windows Vista и Windows Server 2008. Параметры политики в файлах ADM и ADMX для Office 2007 идентичны.
Новые файлы ADMX и ADML заменяют прежние файлы ADM и разделяются на независящие от языка (ADMX) и зависящие от языка (ADML) файлы ресурсов. Новые типы файлов позволяют средствам групповой политики настраивать пользовательский интерфейс в соответствии с языком, настроенным администратором.
Редактор объектов групповой политики и консоль управления групповой политикой по-прежнему распознают более ранние файлы ADM, которые могут существовать в текущей среде. Настраиваемые файлы ADM (то есть файлы, которые не поставляются с операционной системой по умолчанию) в объекте групповой политики используются редактором объектов групповой политики и консолью управления групповой политикой. Средства не распознают прежние файлы ADM, включенные по умолчанию в операционную систему, такие как System.adm и Inetres.adm.
Администраторы могут управлять параметрами групповой политики, влияющими на Windows Vista и прежние операционные системы, с рабочей станции под управлением Windows Vista. Файлы ADMX поддерживаются только операционной системой Windows Vista. Копирование файлов ADMX в прежнюю операционную результатов не дает.
| Примечание: |
|---|
| Для преобразования файлов ADM в формат ADMX можно воспользоваться средством миграции ADMX. Средство миграции ADMX содержит редактор ADMX с графическим пользовательским интерфейсом для создания и изменения административных шаблонов. Дополнительные сведения см. в документе Средство миграции ADMX. |
Хранение файлов ADMX и ADML в Windows Vista
Центральное хранилище — это папка, созданная в папке Sysvol на контроллере домена Active Directory. Эта папка обеспечивает единое, централизованное хранение файлов ADMX и ADML для домена. Центральное хранилище можно создать на контроллере домена под управлением Windows Server 2003 R2, Windows Server 2003 SP1 или Windows 2000 Server. Windows Server 2008 для создания центрального хранилища не требуется.
Дополнительные сведения об использовании файлов ADMX в Windows Vista см. в документах Пошаговое руководство по управлению файлами групповой политики ADMX, Требования к редактированию объектов групповой политики при помощи файлов ADMX (на английском языке) и Сценарий 2: редактирование доменных объектов групповой политики при помощи файлов ADMX на веб-сайте Microsoft TechNet.
Пользовательские настройки и истинные политики
Параметры групповой политики, которыми в полной мере могут управлять администраторы, называются истинными политиками. Параметры, настраиваемые пользователями или отражающие состояние по умолчанию операционной системы в момент установки, называются пользовательскими настройками. Как истинные политики, так и пользовательские настройки содержат сведения для изменения реестра на компьютерах пользователей. Истинные политики и пользовательские настройки имеют важные различия. Параметры истинной политики имеют приоритет над пользовательскими настройками.
Значения системного реестра для истинных политик хранятся в утвержденных разделах реестра для групповой политики. Пользователи не могут изменять или отключать следующие параметры.
Параметры политики компьютера:
HKEY_LOCAL_MACHINE\Software\Policies (предпочтительное местоположение)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Параметры политики пользователей:
HKEY_CURRENT_USER\Software\Policies (предпочтительное местоположение)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Пользовательские настройки задаются пользователями или операционной системой в момент установки. Значения реестра, где хранятся пользовательские настройки) расположены вне утвержденных разделов групповой политики, указанных в таблице выше. Пользователи могут менять свои настройки.
Администраторы могут создать файл ADM, устанавливающий значения реестра за пределами утвержденных деревьев реестра для групповой политики. В таком случае этот метод только обеспечивает, что раздела или значения реестра заданы определенным образом. В рамках такого подхода администратор изменяет пользовательские настройки вместо параметров истинной политики и отмечает эти настройки в системном реестре. Это означает, что настройки остаются в реестре, даже если пользовательская настройка отключена или удалена.
При настройке пользовательских настроек при помощи объекта групповой политики таким способом, создаваемые объекты групповой политики не имеют ограничений списка управления доступом. Следовательно, пользователи могут иметь возможность изменения этих значений в реестре. Если объект групповой политики выходит за область действия (при удалении связи объекта групповой политики, его отключении или удалении), эти значения из системного реестра не удаляются.
Напротив, на параметры истинной политики в реестре накладываются ограничения списка управления доступом, препятствующие изменению параметров пользователем. Значения политики удаляются при выходе объекта групповой политики, устанавливающего значения, за пределы области действия. По этой причине истинные политики рассматриваются как параметры политики, допускающие полноценное управление. По умолчанию в редакторе объектов групповой политики отображаются только полностью управляемые параметры политики.
Для просмотра пользовательских настроек в редакторе объектов групповой политики щелкните узел Административные шаблоны, в меню Вид выберите пункт Фильтрация... и снимите флажок Показывать только управляемые параметры политики.
Параметры истинной политики имеют приоритет над пользовательскими настройками. Однако они не переопределяют и не изменяют разделы реестра, используемые пользовательскими настройками. При развертывании параметра политики, конфликтующего с пользовательской настройкой, параметр политики становится приоритетным по отношению к настройке. При наличии политики и пользовательской настройки приоритет успешно восстанавливается в случае удаления или отключения политики. Пользовательские настройки сохраняются в системном реестре, пока они не будут отменены параметром политики с обратным действием или удалены при изменении реестра.
В следующей таблице описаны действия параметров политики и пользовательских настроек.
| Групповая политика | Пользовательская настройка | Поведение |
|---|---|---|
Нет |
Нет |
Default (По умолчанию) |
Нет |
Да |
Поведение определяется пользовательской настройкой. |
Да |
Нет |
Поведение определяется параметром политики. |
Да |
Да |
Поведение определяется параметром политики. Пользовательская настройка игнорируется. |
Для выпуска 2007 системы Office все пользовательские параметры политики хранятся в подразделе HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0. Политики компьютера хранятся в подразделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\12.0. По умолчанию оба подраздела заблокированы, и пользователи не могут изменять их.
Средства управления групповой политикой
Для администрирования групповой политики администраторам доступны следующие средства: оснастки консоли управления Windows (MMC) для консоли управления групповой политикой (GPMC) и редактора объектов групповой политики. Консоль управления групповой политикой используется для выполнения большинства задач управления групповой политикой. Редактор объектов групповой политики служит для настройки параметров политики в объектах групповой политики.
Консоль управления групповой политикой
Консоль управления групповой политикой упрощает управление групповой политикой, обеспечивая единый инструмент для управления основными параметрами групповой политики, такими как определение области действия, передача, фильтрация и управление наследованием объектов групповой политики. Консоль управления групповой политикой также можно использовать для резервного копирования (экспорта), восстановления, импорта и копирования объектов групповой политики. Эта консоль позволяет администраторам оценить влияние объектов групповой политики на сеть и определить изменения параметров компьютера или пользователя, вносимые объектами групповой политики. Консоль управления групповой политикой является предпочтительным средством управления большинством задач групповой политики в доменной среде.
Консоль управления групповой политикой позволяет получить обзор объектов групповой политики, сайтов, доменов и подразделений в масштабе предприятия, и ее можно использовать для управления доменами Windows Server 2003 или Windows 2000. Консоль управления групповой политикой помогает администраторам выполнять все задачи управления групповой политикой, за исключением настройки отдельных параметров политики в объектах групповой политики — для этого служит редактор объектов групповой политики. Редактор объектов групповой политики вызывается из консоли управления групповой политикой и используется с этой консоли.
Администраторы используют консоль управления групповой политикой для создания объекта групповой политики без исходных параметров. Администратор может также создать объект групповой политики, одновременно связав его с контейнером Active Directory. Для настройки отдельных параметров в объекте групповой политики администратор редактирует объект групповой политики из консоли управления групповой политикой. Редактор объектов групповой политики отображается при загрузке объекта групповой политики.
Консоль управления групповой политикой можно использовать для связывания объектов групповой политики с сайтами, доменами или подразделениями в службе каталогов Active Directory. Для применения параметров к пользователям и компьютерам в контейнерах Active Directory объекты групповой политики необходимо связать.
Консоль управления групповой политикой содержит следующие возможности результирующего набора политик (RSoP), обеспечиваемые Windows.
Моделирование групповой политики. Моделирование параметров политики, применяемых при определенных администратором условиях. Моделирование групповой политики позволяет администраторам моделировать данные RSoP, которые будут применены к существующей конфигурации, или проанализировать результаты смоделированных, гипотетических изменений в среде каталога. Для моделирования групповой политики требуется по меньшей мере один контроллер домена под управлением Windows Server 2003, поскольку моделирование выполняется службой, запускаемой на контроллере домена под управлением Windows Server 2003. Дополнительные сведения см. в документе Моделирование групповой политики на веб-сайте Microsoft TechNet.
Результаты групповой политики. Представление фактических данных политики, применяемых к компьютеру и пользователю. Данные получаются в результате запроса на целевой компьютер и извлечения данных RSoP, примененных к компьютеру. Возможность просмотра результатов групповой политики обеспечивается клиентской операционной системой и требует использования Windows XP, Windows Server 2003 или операционной системы более поздних версий. Дополнительные сведения см. в документе Результаты групповой политики на веб-сайте Microsoft TechNet.
Раньше консоль управления групповой политикой можно было отдельно загрузить в качестве компонента Microsoft Windows Server 2003 и Windows XP. Для загрузки консоли управления групповой политикой перейдите на страницу Загрузка консоли управления групповой политикой на веб-сайте центра загрузки Microsoft.
В операционных системах Windows Vista и Windows Server 2008 консоль управления групповой политикой интегрирована непосредственно в операционную систему и является стандартным средством управления задачами групповой политики наряду с редактором объектов групповой политики.
Дополнительные сведения о консоли управления групповой политикой см. в Пошаговом руководстве по работе с консолью управления групповой политикой на веб-сайте Microsoft TechNet.
Редактор объектов групповой политики
Редактор объектов групповой политики — это оснастка MMC, используемая для настройки параметров политики в объектах групповой политики. Редактор групповой политики содержится в файле gpedit.dll и устанавливается в операционных системах Windows 2000, Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008.
На компьютерах под управлением Windows 2000, Windows XP с установленным пакетом средств администрирования Windows Server 2003, а также Windows Server 2003 доступ к редактору объектов групповой политики можно получить из оснасток "Пользователи и компьютеры Active Directory" и "Сайты и службы Active Directory".
Для настройки параметров групповой политики для локального компьютера, не являющегося членом домена, используйте редактор групповой политики для управления локальным объектом групповой политики (или несколькими объектами групповой политики на компьютерах под управлением Windows Vista или Windows Server 2008). Для настройки параметров групповой политики в среде домена консоль управления групповой политикой, вызывающая редактор групповой политики, является предпочтительным инструментом для выполнения задач управления групповой политикой.
Редактор групповой политики предоставляет в распоряжение администраторов иерархическую древовидную структуру для настройки параметров групповой политики в объектах групповой политики. Эти объекты групповой политики затем можно связать с сайтами, доменами и подразделениями, содержащими объекты компьютера или пользователя.
Редактор групповой политики состоит из двух основных узлов: Конфигурация пользователя с параметрами, применяемыми к пользователям при входе в систему и при регулярном фоновом обновлении, и Конфигурация компьютера с параметрами, применяемыми к компьютерах при запуске и при регулярном фоновом обновлении. Основные узлы далее разделяются на папки с различными типами настраиваемых параметров политики. В число папок входят следующие:
Конфигурация программ, содержащая параметры установки приложений
Конфигурация Windows, содержащая параметры безопасности и политики сценариев
Административные шаблоны, содержащая параметры политики на основе реестра
Дополнительные сведения о редакторе объектов групповой политики см. в разделе Групповая политика (до консоли управления групповой политикой) на веб-сайте Microsoft TechNet Windows Server 2003.
Центр развертывания Office и групповая политика
Для настройки пользовательских конфигураций для приложений Выпуск 2007 системы Office администраторам доступны два инструмента: центр развертывания Office и групповая политика. Хотя оба инструмента служат для настройки пользовательских параметров, между ними есть существенные различия.
Центр развертывания Office используется для создания файла параметров настройки установки (файла MSP). Администраторы могут использовать центр развертывания Office для настройки функций и пользовательских параметров. После установки пользователи смогут изменять большую часть параметров. Это обусловлено тем, что центр развертывания Office настраивает параметры в открытых для доступа разделах реестра, например, HKEY_CURRENT_USER/Software/Microsoft/Office/12.0. Это средство, как правило, используется в организациях без централизованного управления ПК. Дополнительные сведения см. в разделе Центр развертывания Office в выпуске 2007 системы Microsoft Office.
Групповая политика используется для настройки параметров политики Выпуск 2007 системы Office, содержащихся в административных шаблонах, а операционная система применяет эти параметры политики принудительно. В среде Active Directory администраторы могут применять параметры политики к группам пользователей и компьютерам на сайте, домене или подразделении, с которым связан объект групповой политики. Параметры истинной политики записываются в утвержденные разделы реестра для политики, и эти параметры имеют ограничения списка управления доступом, и изменять их могут только администраторы. Администраторы могут использовать групповую политику для создания управляемых конфигураций ПК. Они также могут создавать нежестко управляемые конфигурации для удовлетворения требований бизнеса и безопасности в организациях.
Загрузить данную книгу
Эта тема представлена в следующих доступных для загрузки книгах, формат которых более удобен для чтения и печати:
Обзор групповой политики для выпуска 2007 системы Microsoft Office
Планирование и архитектура для выпуска 2007 системы Microsoft Office
Полный список доступных книг см. в разделе Набор ресурсов для системы Microsoft Office.
См. также
Понятия
Обеспечение параметров с помощью групповой политики в версии 2007 системы Office
Отключение элементов пользовательского интерфейса и сочетаний клавиш
Планирование системы безопасности для выпуска 2007 системы Microsoft Office
Планирование настройки параметров безопасности в Outlook 2007
Использование групповой политики для установки параметров сохранения файлов по умолчанию