.png "Group Policy Preferences - cz. I"){kind=icon}
.png "Group Policy Preferences")
.png "Group Policy Preferences - cz. III"){kind=icon}
Group Policy Preferences - cz. II .png "Udostępnij na: Facebook")
Opublikowano: 8 maja 2008
Autor: Robert Stuczynski
Zawartość strony
.gif){kind=icon} |
Podkreślenia i kółka |
|
Zmienne środowiskowe |
|
Zakładka Wspólne |
|
Item-level targeting (Określanie wartości docelowej na poziomie elementu) |
|
Co będzie potrzebne? |
|
Przeczytaj pozostałe części tego artykułu |
Podkreślenia i kółka
Jak już wcześniej wspomniałem, elementy preferencji można wyłączać i włączać. Można także osobno wyłączać i włączać ustawienia w elemencie preferencji, ale tylko te, które są podkreślone lub poprzedzone znakiem kółka (rysunek 7. i 8.).
Ustawienia zmienia się w szybki i prosty sposób poprzez naciśnięcie klawiszy funkcyjnych:
F5 — włącza wszystkie ustawienia na bieżącej karcie,
F6 — włącza obecnie wybrane ustawienie,
F7 — wyłącza obecnie wybrane ustawienie,
F8 — wyłącza wszystkie ustawienia na bieżącej karcie.
.jpg)
Rys. 7. Podkreślenia.
.jpg)
Rys. 8. Kółka.
Stosowane oznaczenia to:
.jpg)
— oznacza, że wartość ustawienia będzie stosowana przez rozszerzenie preferencji do użytkownika i komputera,
.jpg)
— oznacza, że wartość ustawienia nie będzie stosowana przez rozszerzenie preferencji do użytkownika i komputera.
.gif){kind=icon}
Do początku strony
Zmienne środowiskowe
Rozszerzenia aplikacji współpracują ze zmiennymi środowiskowymi. Mogą one zostać użyte w czasie definiowania elementów preferencji oraz w czasie określania wartości docelowych. Zmienne środowiskowe można wprowadzić z klawiatury do pól tekstowych lub wybrać z listy dostępnej po naciśnięciu klawisza F3. Nazwa zimiennej jest zawsze ujęta w znaki procentu (np. %DomainName%). Poniżej znajduje się lista wszystkich zmiennych wraz z krótkim opisem:
%AppDataDir% — katalog danych aplikacji bieżącego użytkownika,
%BinaryComputerSid% — identyfikator SID komputera w formacie szesnastkowym,
%BinaryUserSid% — identyfikator SID bieżącego użytkownika w formacie szesnastkowym,
%CommonAppdataDir% — katalog danych aplikacji „wszystkich użytkowników”,
%CommonDesktopDir% — katalog pulpitu „wszystkich użytkowników”,
%CommonFavoritesDir% — katalog Ulubionych programu Internet Explorer „wszystkich użytkowników”,
%CommonProgramsDir% — katalog programów „wszystkich użytkowników”,
%CommonStartMenuDir% — katalog menu Start „wszystkich użytkowników”,
%CommonStartUpDir% — katalog autostartu „wszystkich użytkowników”,
%ComputerName% — nazwa NetBIOS komputera,
%CurrentProcessId% — identyfikator głównego procesu klienta,
%CurrentThreadId% — identyfikator głównego wątku klienta,
%DateTime% — bieżąca godzina (czas UTC),
%DateTimeEx% — bieżąca godzina (czas UTC) z milisekundami,
%DesktopDir% — katalog pulpitu bieżącego użytkownika,
%DomainName% — nazwa domeny lub grupa robocza komputera,
%FavoritesDir% — katalog Ulubionych programu Internet Explorer bieżącego użytkownika,
%LastError% — kod ostatniego błędu, który wystąpił podczas konfiguracji,
%LastErrorText% — opis tekstowy kodu ostatniego błędu,
%LdapComputerSid% — identyfikator SID komputera w wyjściowym formacie binarnym protokołu LDAP,
%LdapUserSid% — identyfikator SID bieżącego użytkownika w wyjściowym formacie binarnym protokołu LDAP,
%LocalTime% — bieżący czas lokalny,
%LocalTimeEx% — bieżący czas lokalny z milisekundami,
%LogonDomain% — domena bieżącego użytkownika,
%LogonServer% — kontroler domeny, który uwierzytelnił bieżącego użytkownika,
%LogonUser% — nazwa bieżącego użytkownika,
%LogonUserSid% — identyfikator SID bieżącego użytkownika,
%MacAddress% — pierwszy wykryty adres MAC na komputerze,
%NetPlacesDir% - katalog „moich miejsc sieciowych” bieżącego użytkownika,
%OsVersion% — system operacyjny: Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP lub Nieznany,
%ProgramFilesDir% — katalog plików programów systemu Windows,
%ProgramsDir% — katalog programów bieżącego użytkownika,
%RecentDocumentsDir% — katalog niedawno używanych dokumentów bieżącego użytkownika, %ResultCode% — kod zakończenia klienta,
%ResultText% — opis tekstowy kodu zakończenia klienta,
%ReversedComputerSid% — identyfikator SID komputera w formacie szesnastkowym z odwrotną kolejnością bajtów,
%ReversedUserSid% — identyfikator SID bieżącego użytkownika w formacie szesnastkowym z odwrotną kolejnością bajtów,
%SendToDir% — katalog „wysyłania do” bieżącego użytkownika,
%StartMenuDir% — katalog menu Start bieżącego użytkownika,
%StartUpDir% — katalog autostartu bieżącego użytkownika,
%SystemDir% — katalog systemowy systemu Windows,
%SystemDrive% — nazwa dysku, z którego jest uruchamiany system operacyjny,
%TempDir% — katalog tymczasowy bieżącego użytkownika określany przez interfejs API systemu Windows,
%TimeStamp% — sygnatura czasowa wykonywanych konfiguracji,
%TraceFile% — ścieżka/nazwa pliku śledzenia,
%WindowsDir% — katalog Windows.
Uwaga: Aby zapobiec rozpoznaniu zmiennej przed jej zastosowaniem, należy wprowadzić znaki < > pomiędzy % %, np.: %<AppDataDir>%.
Do początku strony
Zakładka Wspólne
Każde rozszerzenie preferencji posiada zakładkę Common (Wspólne). Jej zawartość (rysunek 9.) jest spójna we wszystkich rozszerzeniach preferencji i pozwala ona ustawić dodatkowe opcje:
- Description (Opis) – umożliwia wprowadzenie opisu dokumentującego zmianę lub nowe ustawienie. Jest to użyteczna opcja, której nie było w poprzedniej wersji. Jej wprowadzenie ucieszy na pewno osoby administrujące sieciami, w których obiektami GPO zarządza wieloosobowy personel. Pozwoli to w prosty i szybki sposób dokumentować wszelkie zmiany, jakie są wykonywane na obiektach.
.jpg)
Rys. 9. Zakładka Common.
- Stop processing item In this extension if an error occurs (Zatrzymaj przetwarzanie elementów w tym rozszerzeniu, jeśli wystąpi błąd) — każde rozszerzenie preferencji może zawierać jeden lub więcej elementów preferencji na swojej liście. Domyślne zachowanie jest takie, że wygenerowanie błędu przez element preferencji nie przerywa przetwarzania innych elementów. Gdy opcja zostanie zaznaczona, to wystąpienie błędu w jednym z elementów spowoduje przerwanie przetwarzania innych elementów preferencji w tym samym rozszerzeniu. Rozszerzenia preferencji rozpoczynają przetwarzanie elementów od końca listy i przechodzą do kolejnych elementów w kierunku początku. Elementy preferencji pomyślnie zastosowane przed przetworzeniem elementu, dla którego wystąpił błąd, są stosowane. Rozszerzenie preferencji zatrzymuje przetwarzanie tylko tych elementów preferencji, które występują po elemencie preferencji, dla którego wystąpił błąd.
- Run in logged-on user’s security context (user policy option) (Uruchom w kontekście zabezpieczeń zalogowanego użytkownika (opcja zasad użytkownika) ) — zmienia kontekst zabezpieczeń z konta SYSTEM na zalogowanego użytkownika. Jest to bardzo ważne ustawienie, ponieważ domyślne ustawienia przetwarzają preferencje użytkownika za pomocą kontekstu zabezpieczeń konta SYSTEM. Wartość wielu zmiennych środowiskowych zależy od tego, w jakim kontekście są sprawdzane. UWAGA: Elementy preferencji takie jak mapowanie dysków oraz drukarki będą działały zawsze w kontekście zabezpieczeń zalogowanego użytkownika.
- Remove this item when it is no longer applied (Usuń ten element, jeśli nie jest już stosowany) — domyślnie zachowanie jest takie że ustawienia skojarzone z elementem preferencji nie zostaną usunięte gdy obiekt użytkownika lub komputera znajdzie się poza zakresem działania GPO. Zaznaczenie tej opcji określa, że jeśli użytkownik lub komputer zostanie przeniesiony poza zakres działania preferencji (np. do innej jednostki organizacyjnej, domeny lub lokacji), to ustawienia skojarzone z tym elementem preferencji zostaną usunięte. Akcja zostaje zmieniona na Replace.
Elementy preferencji mogą znaleźć się poza zakresem działania GPO także wskutek określenia wartości docelowej na poziomie elementu lub użycia filtrów zasad grupy wyższego poziomu, takich jak WMI i filtry grupy zabezpieczeń. - Apply once and do not reapply (Zastosuj raz (bez powtarzania) ) — domyślnie preferencje są stosowane przy każdym odświeżeniu GPO. Włączenie tej opcji powoduje zmianę domyślnego zachowania na takie, że element preferencji zostanie zastosowany tylko raz, bez ponownego odświeżania. Znajdzie ona zastosowanie w sytuacji, gdy administratorowi zależy na daniu użytkownikowi swobody wyboru co do ustawień, które określił w elemencie preferencji.
- Item-level targeting (Określ wartość docelową na poziome elementu) — zaznaczenie tej opcji włączy dotąd nieaktywny przycisk Targeting (Określenie wartości docelowej…). Za pomocą określenia wartości docelowej będzie można bardzo dokładnie określić, dla jakich użytkowników i komputerów element preferencji ma być zastosowany.
Do początku strony
Item-level targeting (Określanie wartości docelowej na poziomie elementu)
Przed udostępnieniem GPP administrator mógł ograniczyć stosowanie GPO dla pewnej grupy użytkowników, komputerów lub konkretnych systemów. Miał do tego przygotowanych kilka technologii. Mógł utworzyć filtry Windows Management Instrumentation (WMI), zastosować filtrowanie grup zabezpieczeń lub przenieść obiekty, na przykład do innych jednostek organizacyjnych. Czasami było to łatwe, a czasami złożone, ale na pewno obiekt GPO musiał być stosowany w całości. Dzięki funkcjonalności określania wartości docelowej na poziomie elementu GPP, funkcjonalność ta staje się bardzo potężnym narzędziem. Za jego pomocą można w bardzo dokładny oraz intuicyjny sposób określić zbiór komputerów lub użytkowników, do jakich ma być stosowany pojedynczy element preferencji.
Z punktu widzenia wydajności określenie wartości docelowej na poziomie elementu jest rozwiązaniem lepszym. Korzysta ono bowiem z API, a nie WMI.
W edytorze elementów określania wartości docelowej (rysunek 11.) można zastosować wiele połączonych ze sobą elementów oraz kolekcji, które zawsze jako wynik zwracają „prawda” lub „fałsz”. Łączy się je za pomocą operacji logicznych And (I) oraz Or (LUB)i kolekcji, które pełnią rolę nawiasów (rysunek 10.). Domyślna wartość elementu ustawiona jest zawsze na wartość Is (Jest równe, F7), ale można ją zanegować, zmieniając opcję na Is Not (Nie jest równe, F8). Jeśli łączny wynik wszystkich elementów to „prawda”, wtedy ustawienia elementu preferencji zostaną zastosowane do użytkownika lub komputera.
.jpg)
Rys. 10. Wartości logiczne.
Bardzo istotna jest możliwość wykorzystania symboli wieloznacznych: pojedynczy znak (?) oraz wiele znaków (*).
Do każdego elementu można dodać etykietę (Ctrl+L), której nazwa będzie widoczna w nawiasach kwadratowych po prawej stronie elementu.
Rysunek 11. przedstawia przykład zastosowania Określanie wartości docelowej na poziomie elementu. Tak ustawiony element preferencji zostanie zastosowany, gdy co najmniej jeden z dwóch warunków zostanie spełniony:
- wolne miejsce na dysku systemowym będzie równe lub większe niż 80 GB i adres IP komputera należy do zakresu 10.5.1.10-10.5.1.78,
- nazwa komputera będzie równa PL-L123.
.jpg)
Rys. 11. Edytor elementów określania wartości docelowej.
Typy elementów, jakie można wykorzystać do określenia wartości docelowych, przedstawia rysunek 12. Ich znacznie jest oczywiste więc nie będą omawiane w tym artykule.
.jpg)
Rys. 12. Typy elementów określania wartości docelowej.
Do początku strony
Co będzie potrzebne?
Systemy, które mają wykorzystać funkcjonalność GPP, muszą posiadać zainstalowane Group Policy Preference Client Side Extensions (CSE). Windows Server 2008 jako jedyny posiada wbudowane CSE. Na pozostałych systemach muszą one zostać doinstalowane. Najprostszym sposobem, w jaki można wykonać instalację, jest oczywiście Windows Server Update Services. Systemy, do których zostało wydane CSE to:
- Windows Vista (KB943729),
- Windows Vista x64 Edition (KB943729),
- Windows Server 2003 (KB943729),
- Windows Server 2003 x64 Edition (KB943729),
- Windows XP (KB943729),
- Windows XP x64 Edition (KB943729).
Niestety, mimo tego, że PolicyMaker współpracował z Windows 2000, nie przewiduje się wydania CSE dla tego systemu.
Preferencje są zapisywane jako pliki XML w SYSVOL. Foldery, które je przechowują (rysunek 13.), znajdują się w {GUID}\domena\Policies\Machine\Preferences\NazwaRozszerzenia lub {GUID}\domena\Policies\User\Preferences\NazwaRozszerzenia. Jak można się domyśleć, jest to uzależnione od tego, czy GPP zdefiniowane są dla komputera czy dla użytkownika. To właśnie z tego miejsca zainstalowany na końcówce klient CSE pobiera odpowiednie pliki i na podstawie ich zawartości stosuje odpowiednie ustawienia preferencji dla komputera lub użytkownika.
.jpg)
Rys. 13. Miejsce przechowywania plików preferencji.
Poniżej została przedstawiona przykładowa zawartość pliku XML, którego zadaniem jest utworzenie użytkownika lokalnego:
<?xml version=”1.0” encoding=”utf-8”?>
<Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}">
<User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="testUser" image="0" changed="2008-03-15 18:35:32"
uid="{4538AB01-4BCD-4945-9BCF-E5E4C7A073A7}">
<Properties action="C" fullName="" description="" cpassword="bM9h4Szdjwf2KthYOrQRdQ"
changeLogon="1" noChange="0" neverExpires="0" acctDisabled="0" subAuthority="" userName="testUser"/>
</User>
</Groups>
Plik XML jest czytelny i pewnie część osób zauważyła, że zawiera hasło użytkownika. Jest ono oczywiście w zaszyfrowanej postaci (bM9h4Szdjwf2KthYOrQRdQ). Na chwilę obecną nie jest znany sposób na odczytanie tak zaszyfrowanego hasła.
Zastosowanie plików XML ma wiele zalet. Można je dowolnie eksportować i importować. Oczywiście do podobnych rozszerzeń. Działa technologia „kopiuj i wklej” oraz „przeciągnij i upuść”. Można zaznaczyć dowolny element preferencji i za pomocą „kopiuj/wklej” i powielić skomplikowany element, by później poddać go edycji. Takie powielanie elementów pozwoli zaoszczędzić wiele czasu, który byłby potrzebny na tworzenie skomplikowanych elementów od początku. Element można także zaznaczyć i przeciągnąć do folderu na dysku. Taki obiekt zostanie skopiowany jako plik XML, który będzie można na przykład wykorzystać jako backup.
Do początku strony
Przeczytaj pozostałe części tego artykułu
.jpg) |
Robert Stuczynski (Microsoft MVP, MCITP, MCTS, MCSE: Security, Messaging) Pracuje jako inżynier systemowy w międzynarodowej korporacji. Na co dzień zawodowo dręczy produkty firmy Microsoft, a szczególnie Active Directory oraz Exchange. Informatyki nie traktuje jedynie jako zawód, ale też wielkie hobby, któremu często poświęca zbyt wiele czasu. Hobby, pasji, ulubionych zajęć ma wiele. Ciągle nie wystarcza mu na wszystko czasu. Jednym z nich jest fotografia. Robert jest także opiekunem działu Windows Server na portalu społeczności WSS.pl. |
| Do początku strony |