ADM и ADMX
Еще со времен Windows NT® 4.o файлы ADM сообщали шаблонам определений о том, что является возможным в групповых политиках. Не все в групповых политиках контролируется файлами ADM, но эти файлы отвечают за все полезные шаблоны, содержащиеся в разделах User Configuration | Administrative Templates и Computer Configuration | Administrative Templates.
С функциональной точки зрения эти файлы ADM имеют ряд недостатков. В версиях Windows, предшествовавших Windows Vista, при каждом создании нового объекта GPO эти файлы ADM размером около 5 мегабайт требовалось копировать во все папки GPO (в SYSVOL). При большом количестве объектов GPO дублируется большое количество файлов системных шаблонов в SYSVOL, в результате чего репликация каждого блока файлов объемом 5 МБ происходит несколько раз.
Кроме того, файлы ADM требуют использования определенного языка. Они создаются на определенном языке, и все пользователи этих файлов должны использовать этот язык.
В службе групповых политик в Windows Vista эта проблема решена благодаря использованию нового формата XML для файлов определения политик ADMX. Файлы ADM сами по себе не требуют использования определенного языка. Однако их должны сопровождать требующие использования определенного языка файлы ADML. Вы можете легко добавить дополнительные языки посредством добавления дополнительных файлов ADML к файлу ADMX.
Формат ADMX поддерживает централизованное хранение. Это устраняет необходимость репликации дублирующейся информации и упрощает обновление файлов ADMX. Допустим, вы произвели обновление файла ADMX, например, установив пакет обновлений. После этого вам требуется только поместить обновленный файл в централизованное хранилище. Все администраторы групповых политик домена, использующие рабочие станции Windows Vista, получат доступ к обновленному файлу ADMX. Ранее требовалось обеспечить присутствие на компьютерах всех администраторов правильных копий всех файлов ADM, и это было непростой задачей.
Теперь же администратор домена должен вручную создавать центральное хранилище SYSVOL для каждого домена Active Directory. После создания центрального хранилища все администраторы, использующие компьютеры под управлением Windows Vista для создания объектов GPO и управления ими, автоматически будут использовать центральное хранилище. Обратите внимание, что данная функция является особенностью Windows Vista, и компьютеры под управлением Windows Vista проверяют наличие центрального хранилища при подключении к домену Active Directory. Вам не придется ждать выхода следующей версии Windows Server® под кодовым названием "Longhorn" или переносить все компьютеры пользователей на платформу Windows Vista. Это происходит вне зависимости от того, на базе какой платформы построен домен – Windows Server Longhorn, Windows Server 2003 или Windows 2000. Для использования преимуществ центрального хранилища достаточно просто создать центральное хранилище и использовать компьютеры под управлением Windows Vista для создания объектов GPO и управления ими.
Как уже говорилось, файлы ADMX и ADML построены на базе языка XML. Основное преимущество формата XML заключается в использовании стандартного языка. Однако необходимо отметить, что графического редактора файлов ADMX не существует (и корпорация Майкрософт не планирует выпускать такой редактор). Также не существует никаких инструментов для преобразования имеющихся файлов шаблонов из формата ADM в формат ADMX.
В комплект Windows Vista входит приблизительно 130 файлов ADMX, которые заменят 6 – 8 файлов ADM, которые входили в состав предыдущих версий Windows. Эти файлы располагаются в каталоге \Windows\PolicyDefinitions, как показано на Рисунке 2. Обратите внимание, что файлы ADML хранятся в отдельных вложенных каталогах для разных языков, например, в директории en-US для языка "Английский – США".
Рисунок 2 Файлы ADMX в разделе \Windows\PolicyDefinitions
Консоль управления групповыми политиками
Консоль управления групповыми политиками (GPMC) была доступна в Windows XP и Windows Server 2003, как отдельно загружаемый компонент. Консоль GPMC, поддерживающая сценарии MMC, являлась единственным административным инструментом для управления групповыми политиками.
Теперь консоль GPMC является встроенным компонентом Windows Vista. Это означает, что при необходимости создать или отредактировать объект GPO у вас всегда под рукой будет самый удобный инструмент для этой работы. Достаточно набрать в командной строке Windows Vista Пуск | Поиск название файла GPMC.MSC, и вы сможете начать работу.
Новые объекты контроля
В Windows Vista добавлено около 800 новых параметров политик. Эти параметры принадлежат к различным категориям, многие из которых вам уже известны и хорошо знакомы. Однако также в Windows Vista представлено несколько очень полезных новых категорий, которых раньше просто не было, или в которых не было элементов управления групповых политик.
В состав улучшенных областей групповых политик входят политики проводных и беспроводных сетей, брандмауэра Windows и IPsec, управления печатью, оболочки рабочего стола, удаленного помощника и планшетных ПК. Обратите внимание, что для обновленных политик проводных и беспроводных сетей может потребоваться обновление схемы на уровне группы деревьев (леса).
В состав новых областей групповых политик Windows Vista входят управление съемными устройствами хранения данных, управление питанием, управление учетными записями пользователей, отчеты об ошибках Windows, защита доступа к сети и программа Windows Defender.
Чтобы контролировать области, непосредственно влияющие на компьютеры под управлением Windows Vista, необходимо использовать компьютер под управлением Windows Vista (или Windows Server "Longhorn") при создании и редактировании объектов GPO. Это связано с тем, что старые операционные системы не распознают новые настройки, которые являются специфическими для Windows Vista.
Подробное описание каждой из этих областей может занять целую статью, поэтому места на такое обсуждение не хватает. Однако следует обратить особое внимание на функции управления съемными устройствами хранения данных и управления питанием (см. Рисунок 3). Я считаю, что эти функции будут очень полезны всем администраторам. Они позволяют контролировать, какие устройства можно подключать к компьютерам под управлением Windows Vista, а также какие настройки питания можно использовать на ноутбуках, настольных ПК и мониторах для экономии средств компании.
Рисунок 3 Управление питанием при помощи групповой политики
С дополнительными параметрами управления питанием в Windows Vista администратор может установить необходимость отключения неактивных мониторов или их перевод в режим сна. Опубликованные на веб-узле Energy Star Агентства по защите окружающей среды результаты исследований показывают, что управление электропитанием мониторов позволяет сэкономить от $10 до $30 долларов на каждый монитор в год. Если в компании используются сотни или тысячи мониторов, экономия может оказаться весьма существенной.
Приведем также пример из области управления съемными устройствами хранения данных: Администратор хочет, чтобы учащиеся использовали флэш-диски USB для работы с докладами, домашними заданиями и другими документами с любой общей рабочей станции университетского городка. Однако в связи с возможностью злоупотреблений и рисками безопасности учащиеся не должны иметь разрешение записи на диски USB на рабочих станциях университетского городка, если они не используют утвержденный учебным заведением диск USB. Такой вариант управления можно реализовать с помощью настройки групповых политик Windows Vista.
Выводы
Как видите, все эти улучшения системы управления Windows Vista незаметны. Администраторы обнаружат, что служба групповых политик в Windows Vista обеспечивает мощные и гибкие возможности управления конфигурацией благодаря значительному увеличению числа настраиваемых параметров и новых ресурсов, позволяющих повысить безопасность системы (и возможно сократить расходы).
Будущее групповых политик
Вы увидите описанные в этой статье возможности после выпуска Windows Vista. Однако рабочая группа по групповым политикам уже думает о будущем. Дополнительные возможности групповых политик скорее всего будут доступны с выпуском Windows Server "Longhorn". Хотя не все описанные возможности будут доступны сразу же после выпуска первоначальной версии Windows Vista, они будут включены в Windows Vista посредством выпуска пакета обновлений или другим подобным способом. Итак, хотя некоторые из новых возможностей могут быть изменены, на будущее уже намечено три основных области для улучшений. И для уточнения скажем, что для использования этих возможностей не требуется Windows Server "Longhorn".
Комментарии: Очень многие пользователи простили добавить возможность добавления комментариев относительно назначения объектов GPO и конкретных параметров групповых политик. В настоящее время единственный способ добавлять комментарии заключается в ведении электронных таблиц объектов GPO и их параметров и добавлении комментариев в этих таблицах. Сейчас, чтобы добавлять комментарии, нужно использовать какие-то другие программы, например, вести отдельную электронную таблицу с перечнем всех объектов GPO и параметров и сопутствующими комментариями. Так что возможность добавления комментариев будет очень полезной.
Шаблоны: Иногда администратор хочет дать другим администраторам базис для создания объектов GPO. Эта возможность обеспечивается шаблонами групповых политик. Администратор должен иметь возможность создавать собственные объекты GPO на основании шаблонов. Корпорация Майкрософт скорее всего добавит распространенные сценарии в первоначальный набор шаблонов, а также предложит рекомендации относительно управления разными типами компьютеров.
Поиск и фильтры: С используемыми подчас миллионами настроек политик иногда бывает сложно найти конкретную политику, которая вам нужна. К счастью, новые возможности поиска упрощают поиск в заголовке, тексте и комментариях параметров политик. Вы также сможете увидеть, какие параметры политик включены или отключены в объекте GPO, что позволит вам быстро вносить в них изменения в случае необходимости.
Комментарии (0)