Управление политикой групп в операционной системе Windows Vista (Часть 1)

Published on Февраль 2, 2009 by   ·   Комментариев нет

В операционную систему Windows Vista включены некоторые важные изменения по сравнению с предыдущими операционными системами Windows по отношению к политикам группы Group Policy (GP). В этой статье рассказывается о том, как файлы ADM связаны с многоязыковыми файлами с использованием XML (ADMX/ADML файлы), а также о центральном хранилище во всем его великолепии.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Добро пожаловать в постоянно расширяющуюся вселенную политик групп Microsoft Group Policy.

ADM против файлов ADMX/ADML

Файлы ADM впервые появились в операционной системе Windows NT4 и используются по сей день. Первое, что очень важно понять, заключается в том, что файлы ADM представляют собой лишь шаблоны – это значит, что когда загружается редактор объекта политики групп (GPOE) или консоль управления политикой групп (GPMC), то их содержимое всего лишь показывается пользователям консоли – ничего более (вы можете сказать административный опыт). Если политика изменяется или создается, то файл Registry.pol создается в контейнере Group Policy Object (GPO) – это действительная политика со всеми соответствующими и специальными настройками для реестра, описанными в файле шаблона. Итак, машина или пользователь, передающий политику в действительности вовсе не нуждается в файлах ADM.

Файлы ADM имеют запутанный синтаксис с самого начала и используют свой собственный язык разметки, который достаточно сложен даже для специалиста. Благодаря настраиваемым административным шаблонам появилось больше возможностей для создания своих собственных политик для реестра, и гарантировать, что ваши клиенты настроены точно также.

Новые файлы ADMX/ADML – это то, что осталось от файлов ADM. Они по-прежнему остались лишь шаблонами и необходимы администраторам для создания и изменения политик групп, как локальных, так и внутри доменных. Управляемые конечные пользователи и конечные компьютеры ничего не знают о том, откуда были настроены политики, с Vista (с помощью файлов ADMX/ADML) или с Windows 2000/2003 (с помощью файлов ADM) – мы по-прежнему лишь редактируем и заполняем файл Registry.pol. В этом заключается причина того, что файлы ADM и файлы ADMX/ADML могут сосуществовать вместе. Вы не заметите присутствие файлов ADMX в процессе выполнения ваших повседневных администраторских задач.

Вы можете спросить для чего у нас в настоящее время присутствуют и файлы шаблонов ADMX и ADML! Причин этого заключается в том, что файлы ADM поддерживают только один язык – но теперь у нас есть поддержка и других языков (multi-lingual support). Для французской операционной системы Windows XP в ее состав включены ADM файлы на французском языке, а для датской операционной системы Windows XP включены ADM файлы на датском языке – вам не обязательно иметь файлы на обоих языках. Файлы ADMX не зависят от языка и не содержат описания политик и т.п., что делают файлы ADM. Вместо этого они ссылаются на файлы ADML, которые зависят от языка, один файл ADML необходим для поддержки определенного языка, таким образом достигается поддержка многоязычности для файлов ADMX без особых усилий.

Файлы ADMX и ADML используют преимущества формата XML – такие файлы гораздо проще читать, создавать и понимать (однако, как мне кажется, по-прежнему достаточно сложно создавать файлы вручную). Может быть теперь проще создавать административные шаблоны для разработчиков и сторонних производителей средств для политик групп, но не для простых смертных. В действительности я не верю, что работа со старым добрым блокнотом по созданию формата XML стала проще. К несчастью, вы не найдете много информации на сегодняшний день относительно того, как создавать или настраивать ваши собственные шаблоны ADMX templates. Это будет секретом до тех пор, пока не воспользуетесь такой утилитой, как XML Notepad 2006 v1.0, с помощью которой можно просмотреть и отредактировать содержимое. Также Visual Studio поддерживает и понимает формат XML при использовании Intellisense (технология, которая помогает разработчику при программировании, показывая ему существующие классы, методы, свойства, синтаксис и т.д.). Вы также можете воспользоваться другими инструментами XML или программными библиотеками для создания или изменения файлов ADMX – лишь помните, что лучше всего оставить файлы ADMX без изменений, создавать ваши собственные настроенные версии. Вы можете увидеть схему ADMX Schema в сети.

Синтаксис adm файлов

Рисунок 1

В версии операционной системы Windows Vista RC 2 build 5744 у нас есть 132 ADMX файла (смотрите Рисунок 1) и 132 соответствующих файла в формате ADML, они занимают всего 3.74 MB для ADMX и 1.86 MB для ADML – не много по сравнению с функциональностью и возможностями, которые предоставляют эти файлы для администратора! В операционной системе Windows XP по умолчанию 7 файлов ADM, которые содержат все настройки политик Windows доступные у Microsoft. Операционная система Windows Vista будет использовать встроенные файлы ADMX для отображения всех настроек политик для операционных систем Windows XP/2000/2003 и самой Vista – файлы ADM больше включатся не будут. Это возможно благодаря тому, что файлы Vista ADMX являются супермножеством (SUPERSET) для старых файлов ADM и поэтому заменяют эти файлы; в них просто содержатся все необходимые настройки, а также добавлено большое количество новых (около 800), используемых только для операционных систем Vista/Longhorn.

Однако, если операционная система Vista находит ADM файл в GPO, то она также отражает настройки политик, которые описаны в этом ADM файле (только, конечно, без многоязыковых преимуществ файлов AMDX/ADML). Если вы изменили содержимое одного из файлов ADM по умолчанию (хотя такие действия не соответствуют рекомендациям), то вы должны также внести эти изменения в настраиваемый файл ADMX (а также создать соответствующий файл ADML).

У компании Microsoft нет планов по продвижению инструмента для конвертирования файлов ADM в файлы ADMX.

Мы по-прежнему можем использовать диалог «Add/Remove Templates» (добавить/удалить шаблон) для файлов ADM – это не настройка для файлов ADMX, т.к. новая версия GPOE позволяет читать и загружать все файлы ADMX из центрального хранилища или локальной директории, в GUI при загрузке полностью прозрачно для пользователя. Если нам нужно добавить настроенные файлы ADMX, то все, что нам надо сделать, это скопировать файлы в центральное хранилище или локальную директорию и перезапустить GPOE.

Доменная политика администрирования рабочих станций должна быть запущена на операционной системе Windows Vista (или Longhorn) для лучшего взаимодействия и административного опыта. Операционную систему Windows Vista можно использовать для управления всеми операционными системами, которые поддерживают политики групп (начиная с Windows 2000 и выше).

GPOE на компьютерах с операционными системами Windows 2000/XP/2003 не отражает новые настройки шаблонов политик Windows Vista Administrative Template, которые можно подключать или отключать с помощью GPO. Средство для создания отчетов GPMC на Windows XP/2003 (GPMC не работает на Windows 2000) позволяет увидеть новые настройки шаблонов Windows Vista Administrative Template как ‘Extra Registry Settings’ (дополнительные настройки реестра).

Инструменты для работы с политикой групп (Group Policy) как GPOE/GPMC настраивают свой языковой интерфейс в соответствии с настройками администратора на операционной системе (OS). Операционная система Windows Vista имеет свой специальный языковой механизм, который вступает в действие, если отсутствует языковой файл для пользователей операционной системы – по умолчанию включается английский язык, и поэтому используется языковой файл (language file) из папки US-EN (смотри ниже. Если файл ADML на английском языке также отсутствует, то настройки политики появятся в настройках ‘Extra Registry Settings’ (дополнительные настройки реестра) без какого-либо текста и пояснений.

Пожалуйста, запомните, что расположение административных шаблонов (Administrative Templates) в операционной системе Windows Vista изменилось. В более ранних версиях Windows файлы ADM располагались в директории %WINDIR%\inf, файлы ADMX располагаются в директории %WINDIR%\PolicyDefinitions, а соответствующие файлы ADML расположены в директории %WINDIR%\PolicyDefinitions\<LanguageFolder>. Папка <LanguageFolder> может называться \EN-US для английского языка, \FR для французского языка и т.п. – согласно принятым сокращениям ISO для языков ‘Culture Name’ (смотрите Locale Identifiers).

Центральное хранилище

Центральное хранилище Central Store (также называемое Центральным репозиторием Central Repository или репозиторием для домена Domain-Wide Repository) имеет смысл лишь в доменном окружении, но по умолчанию оно отключено или не активировано. Центральное хранилище (CS) – в действительности лишь новая директория, которая копируется между контроллерами домена в области SYSVOL (которая уже использовалась в Windows 2000/XP/2003 для хранения объектов политик групп Group Policy Objects). В этой папке нет ничего странного, но она помогает централизованно управлять файлами ADMX и ADML, используемых для создания и редактирования политик, а также снижает требования к хранению GPO в области SYSVOL.

Мы или используем одно центральное хранилище в домене или в локальной директории для каждого клиента для хранения файлов ADMX/ADML (последнее является более древним подходом). Оба этих метода взаимоисключающие, либо используются оперативные файлы ADMX, либо используются локальные файлы. После создания центрального хранилища локальные файлы ADMX/ADML больше не используются, до тех пор пока по некоторым причинам центральное хранилище становится недоступным – лишь в этом случает мы возвращаемся к локальным файлам.

Шаблоны ADM могут быть достаточно надоедливыми в тех случаях, когда доменные политики управляются из различных административных рабочих станций. Могут возникнуть не состыковки версий и языков между используемыми файлами ADM, поэтому, когда французский администратор редактирует доменную политику по умолчанию, то его версия языка и операционной системы (2000/XP/2003) может отразится на файле ADM, скопированном в SYSVOL, а также версия пакета обновления на компьютере.

Не существует пользовательского интерфейса для создания и заполнения центрального хранилища в операционной системе Windows Vista, но этот процесс очень простой и должен быть сделан лишь один раз для всего домена. Все что вам нужно сделать – это создать папку для центрального хранилища, предпочтительно на главном контроллере домена (Primary Domain Controller PDC Emulator), т.к. и GPMC и GPOE подключаются к PDC по умолчанию, скопировать все файлы ADMX в директорию, создать дочернюю папку для каждого языка, скопировать ADML файлы в эти директории позволить службе репликации файлов (File Replication Service FRS) выполнить ее работу по копированию содержимого на все контроллеры домена DC.

Так где именно я должен создать эту папку? Это достаточно очевидно… Вам необходима следующая структура директорий в SYSVOL: %logonserver%\SYSVOL\%userdnsdomain%\PolicyDefinitions\ с дочерними папками для всех необходимых языков – информацию по наименованию этих папок смотри выше. Пожалуйста обратите внимание, что локально на контроллере домена DC путь должен быть следующим %WINDIR%\SYSVOL\domain\Policies\PolicyDefinitions (размещение по умолчанию SYSVOL). Вы должны быть членом группы администраторов домена «Domain Administrators» для того, чтобы создать папку для центрального хранилища, и эта папка не должны быть доступна для изменения пользователям. Особые ADMX политики (а также связанные с ними языковые файлы) могут быть скопированы в центральное хранилище Central Store – все GPOE на компьютерах администраторов политик групп (group policy), затем будут использовать и отражать эти изменения… Для это вам необходимо открыть общий доступ к вашим шаблонам ADMX templates!

“SYSVOL bloat” – это феномен, который случается с областью SYSVOL в больших организациях. Для старой структуры политик файлы ADM копировались в каждую GPO в структуру директорий SYSVOL directory structure (%SYSVOL%\Policies\<Unique GPO GUID>\ADM\). Для каждой GPO это занимало минимум 4MB, поэтому с возрастанием количества политик, хранение и репликация становится проблемой. Файлы ADMX/ADML больше не будут несколько раз копироваться в область SYSVOL — такое поведение теперь стало историей.

Центральное хранилище CS снижает количество необходимых хранилищ и тем самым минимизирует избыточность файлов с данными в области SYSVOL. Функциональность центрального хранилища CS не требует операционной системы «Longhorn» Server – оно работает и в чистой среде домена Active Directory Windows 2000 или Windows 2003. Помните, что политика групп (Group Policy) имеет в большей степени клиентскую архитектуру и лишь использует структуру AD (сайты, домены, организационные единицы OU) для установки настроек, а также область SYSVOL для хранения данных.

Заключение

В этой первой части этой статьи мы рассказали о различиях между файлами ADM и ADMX/ADML, а также для чего необходимо центральное хранилище.

Во второй части будет рассказано о нескольких локальных объектах политики групп. В третьей части (последней) будет рассказано об устранении основных неисправностей, улучшении стабильности, а также о NLA.

Источник www.windowsecurity.com


Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]