Sdscompany.ru

Компьютерный журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Конфигурация пользователя административные шаблоны

Административные шаблоны групповой политики

Введение

Большинство доступных в операционных системах Windows параметров групповой политики, которые зависят от системного реестра, также называемых реестро-зависящими политиками можно найти в расширении административных шаблонов. Административными шаблонами называются параметры групповой политики, основанные на данных системного реестра, которые отображаются в узлах «Административные шаблоны» узлов конфигурации компьютера и конфигурации пользователя. К таким параметрам относятся настройки панели управления, панели задач, сетевых параметров, параметров рабочего стола и многое другое. Сами по себе административные шаблоны представляют собой текстовые файлы, указывающие на изменение определенных параметров реестра и генерирующие пользовательский интерфейс для настройки политики административного шаблона в оснастке «Редактор управления групповыми политиками», которая и позволяет изменять значение параметров реестра на целевых компьютерах. В большинстве случаев, административные шаблоны предназначены для простого способа настройки параметров пользователей и компьютеров и применения таких политик для изменения соответствующих настроек пользователей и компьютеров организации. Административные шаблоны предоставляют возможности динамического управления администраторам и разработчиками всевозможными настройками своих приложений. Политики административных шаблонов в узле конфигурации компьютера, модифицируют значения параметров в разделах HKLMSoftwarePolicies и HKLMSoftwareMicrosoftWindowsCurrentVersionPolicies, а административные шаблоны конфигурации пользователя — HKCUSoftwarePolicies и HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies.

Распространяются административные шаблоны групповых политик на клиентские компьютеры таким образом. Сразу после загрузки операционной системы и выполнения пользователем входа в свою учетную запись, загружаются все параметры системного реестра, установленные по умолчанию, а после этого в разделах реестра выполняется анализ некоторых дополнительных параметров и, в том случае, если разделы содержат дополнительные параметры, указаные в политиках административных шаблонов, то существующие записи в реестре будут перезаписываться. Если политики административных шаблонов изменяли параметры реестра в разделах Policies, то в случае удаления административного шаблона или перемещения пользователя в другое подразделение организации, где данный шаблон на него не будет распространяться, информация о существующих параметрах политики будет удалена и после следующей загрузки или выполнения входа, будут использоваться параметры, указанные операционной системой по умолчанию.

В операционных системах Windows, разработанных до Windows Vista и Windows Server 2008, для административных шаблонов использовались файлы, с расширением .adm. У таких административных шаблонов был ряд недостатков. Для создания ADM-файла, который будет использоваться при развертывании конфигурации в многоязыковой организации, вам придется создавать отдельные ADM-файлы для каждого языка. А чтобы отредактировать параметры реестра в таком шаблоне, вам нужно будет вносить изменения в каждый ADM-файл, что крайне неудобно. Ко второму недостатку можно отнести то, что файлы административных шаблонов .adm расположены как компонент объекта «Шаблон групповой политики» (Group Policy Template — GPT), которые представляют собой коллекцию файлов в каталоге SYSVOL каждого контроллера домена. И если такой шаблон используется сразу в нескольких объектах GPO, то в папке SYSVOL он будет сохранен несколько раз. Также, при редактировании объекта групповой политики, который содержит ADM-файл, редактор объектов групповой политики загружает этот шаблон из контейнера групповой политики (Group Policy Container — GPC), чтобы создать пользовательский интерфейс. Административные шаблоны ADM не поддерживали такие типы данных реестра, как мультистроковые значения и параметры QWORD.

С выходом операционных систем Windows Vista и Windows Server 2008, административные шаблоны существенно изменились. Теперь административные шаблоны представляют собой пару XML-файлов. А именно: не связанный с языком файл (ADMX), описывающий структуру категорий и параметров политики административных шаблонов, отображаемых в оснастке редактора управления групповыми политиками, а также набор зависящих от языка файлов (ADML), которые предоставляют локализованные фрагменты, отображаемые в оснастке редактора управления групповыми политиками. Каждый ADML-файл представляет один язык, для которого требуется поддержка. Изменения параметров реестра административных шаблонов вносятся в один ADMX-файл.

К дополнительным преимуществам ADMX/ADML файлов административных шаблонов можно отнести то, что если используются именно эти административные шаблоны, то объект групповой политики содержит только данные, необходимые клиентам обработки групповой политики, а при редактировании объектов GPO редактор управления групповой политикой извлекает файлы ADMX и ADML на локальной машине. В том случае, если компьютеры организации входят в состав домена Active Directory, административные шаблоны располагаются в таком центральном хранилище, как папка SYSVOL, откуда они и загружаются. На компьютерах, которые входят в состав рабочей группы, ADMX файлы располагаются в папке %SystemRoot%PolicyDefinitions, а языковые файлы ADML хранятся в папке %SystemRoot%PolicyDefinitions[MUIculture], где последняя папка должна соответствовать краткой форме языка определенной страны, указанной в ISO-формате. Например, файлы для русского языка локализованы в папке RU-RU. Список сокращений языков вы можете найти в следующей таблице:

Настройка Меню «Пуск» и Панель задач через Редактор локальной групповой политики

Содержание

Введение

Редактор локальной групповой политики является оснасткой консоли управления Microsoft (MMC) и используется для редактирования объектов локальной групповой политики (GPO). В Windows Server 2008 R2 и версиях Windows 7 Профессиональная, Максимальная и Корпоративная доступны редактор локальной групповой политики и оснастка «Результирующая политика».

Открытие редактора

Чтобы открыть редактор локальной групповой политики, нажмите кнопку Пуск, выберите Выполнить или нажмите клавиши Win + R , затем введите gpedit.msc

Откроется окно Редактор локальной групповой политики, состоящее из двух частей:

  1. Левая панель — содержит древовидную иерархическую структуру категорий политик. Политики состоят из двух категорий: Конфигурация компьютера и Конфигурация пользователя. Политики конфигурации компьютера применяются ко всем пользователям и выполняются перед входом в систему. Политики конфигурации пользователя применяются только к текущему пользователю и не применяются до тех пор, пока пользователь не войдет в систему.
  2. Правая панель — содержит политики той категории, которая выбрана в левой панели. Описание параметров и настройки.
Читать еще:  Администрация высоковского сельского поселения усть кубинского района

Примечание: Редактор локальной групповой политики не присутствует в следующих версиях Windows:

  • Windows 7 Home Basic
  • Windows 7 Home Premium

Настройка Меню «Пуск» и Панель задач

В окне редактора локальной групповой политики в разделе Конфигурация пользователя находим Административные шаблоны — Меню Пуск и Панель задач

Административные шаблоны — это параметры политики на основе данных реестра, которые появляются в редакторе локальной групповой политики в узле «Административные шаблоны» как в узле конфигурации пользователя, так и в узле конфигурации компьютера. Иерархия создается, когда редактор локальной групповой политики считывает XML-файлы административных шаблонов (ADMX).

Редактирование параметров

Для редактирования параметров политики необходимо:

    Для просмотра описания параметра политики щелкните его имя в столбце Параметр

  • Чтобы изменить текущее состояние параметра, дважды щелкните его имя.
  • Выберите один из следующих параметров в диалоговом окне параметров политики
    • Не задано: реестр не изменяется
    • Включено: в реестре отражается включение параметра политики.
    • Отключено: в реестре отражается отключение параметра политики

    Для завершения данной процедуры необходимо иметь право «Редактирование параметров» для редактирования объекта групповой политики. По умолчанию члены группы безопасности «Администраторы домена«, «Администраторы предприятия» или «Создатели-владельцы групповой политики» имеют право «Редактирование параметров» для редактирования объекта групповой политики.

    Рекомендации

    Рекомендуется использовать Редактор локальной групповой политики для внесения изменений в реестр Windows, так как он предоставляет более простой и понятный интерфейс, что позволит избежать ошибок, которые могут привести компьютер в неработоспособное состояние.

    Корпорация Майкрософт настоятельно рекомендует создать резервную копию системного реестра перед внесением в него какие-либо изменений, а также изменять только те параметры, назначение которых вам известно, или на которые вам указали

    Административные шаблоны для управления настройками MS Office с помощью GPO

    Для централизованного управления настройками программ пакета офисных программ Microsoft Office (Word, Excel. Outlook, Visio, PowerPoint и т.д.) с помощью групповых политик в домене существуют специальные административные ADMX шаблоны. Данные административные шаблоны позволяют задать одинаковые настройки программ MS Office сразу на множестве компьютеров домена.

    По умолчанию ADMX шаблоны для MS Office не устанавливаются в системе при развертывании домена Active Directory или установке программ пакета MS Office. Администраторы должны скачать и развернуть пакет административных шаблонов для Office вручную.

    Для каждой версии MS Office используется свой версия административных шаблонов. Ниже перечислены списки для загрузки административных шаблонов для разных версий Office.

    • Административные шаблоны групповых политик для Office 2010 — https://www.microsoft.com/en-us/download/details.aspx?id=18968;
    • Административные шаблоны групповых для политик Office 2013 — https://www.microsoft.com/en-us/download/details.aspx?id=35554;
    • Административные шаблоны групповых политик для Office 2016, Office 2019 и Office 365https://www.microsoft.com/en-us/download/details.aspx?id=49030.

    В этой статье мы покажем, как установить и использовать административные шаблоны групповых политик для управления программами из пакета Office 2016. Эти шаблоны политик можно использовать для настройки параметров Office 365 ProPlus, Office 2019 (см. отличия между Office 2016 и Office 365) и Office 2016 на Windows 10 , Windows 7, Windows 8.1, Windows Server 2012, Windows Server 2016.

    Установка административных шаблонов политик Office 2016, 2019 и Office 365

    Перейдите на страницу загрузки ADMX шаблонов GPO для Office 2016. Обратите внимание, что вам предлагается скачать 32 или 64 битную версию шаблонов. Это не означает, что если на компьютерах пользователей установлена 32 битная версия Office 2016, то вам нужно качать файл admintemplates_x86_4768-1000_en-us.exe, а если используется MS Office x64 — admintemplates_x64. В обоих архивах используются одинаковые версии ADMX и ADML файлов. Разрядность относится только к версии утилиты Office Customization Tool, которая используется для предварительной настройки программ MS Office перед развертыванием (в нашей статье этот функционал не затрагивается). Поэтому вы можете скачать любую версию файла.

    Распакуйте скачанный файл. Архив содержит:

    1. Каталог admin – в нем хранится набор OPAX/OPAL файлов для настройки дистрибутива Office 2016 перед развертыванием с помощью Office Customization Tool (OCT). В нашем случае этот каталог не используется;
    2. Каталог admx — набор admx и adml файлов для редактора групповых политики;
    3. Файл office2016grouppolicyandoctsettings.xlsx — Excel файл с описанием всех групповых политик и соответствия между настройками GPO и ключей реестра для продуктов Office).

    Обратите внимание на структуру файлов в каталоге admx. В каталогах с названием языка содержатся adml файлы с языковыми настройками для административных шаблонов GPO для разных языков. В каталоге ru-ru есть файлы с описанием политик на русском языке.

    В пакете содержатся отдельные ADMX файлы шаблонов для управления настройками следующих продуктов MS Office 2016:

    • access16.admx — Microsoft Access 2016;
    • excel16.admx — Microsoft Excel 2016;
    • lync16.admx — Microsoft Lync (Skype for Business) 2016;
    • office16.admx – общие настройки MS Office;
    • onent16.admx — OneNote 2016;
    • outlk16.admx – Outlook 2016;
    • ppt16.admx — PowerPoint 2016;
    • proj16.admx — Microsoft Project 2016;
    • pub16.admx — Microsoft Publisher 2016;
    • visio16.admx — Visio 2016;
    • word16.admx — Microsoft Word 2016.

    На отдельном компьютере вы можете подключить данные административные шаблоны в редактор локальных групповых политик gpedit.msc, скопировав содержимое каталога Admx в локальный каталог C:WindowsPolicyDefinitions.

    Если вы хотите использовать административные шаблоны политик Office для управления настройками на компьютерах домена, необходимо скопировать (с перезаписью) файлы политик в каталог \winitpro.ruSYSVOLwinitpro.rupoliciesPolicyDefinitions на контроллере домена (каталог PolicyDefinitions придется создать вручную, если его еще нет). Этот каталог является централизованным хранилищем административных шаблонов (Group Policy Central Store).

    Теперь, если открыть редактор локальной групповой политики (gpedit.msc) или редактор доменных политик Group Policy Management Console (gpmc.msc), вы увидите, что в консоли GPO в разделе административных шаблонов пользователя (User Configuration) и компьютера (Computer Configuration) появятся новые разделы для управления продуктами Office 2016.

    Читать еще:  Libreoffice задать область печати

    Аналогичным образом вы можете скопировать в центральное хранилище PolicyDefinitions на контроллере домене административные шаблоны для Office 2010 и Office 2013 (если они используются на ПК в вашем домене). На скриншоте ниже видно, что в консоли редактора GPO присутствуют административные шаблоны для Office 2007, 2010, 2013 и 2016. Все эти шаблоны хранятся на контролере домена (об этом свидетельствует надпись Policy definitions (ADMX files) retrieved from the central store).

    Управление настройками программ пакета Office 2016/2019 с помощью GPO

    Предположим, нам нужно на всех компьютерах домена изменить настройки некоторых программ из пакета Office. Если вы не знаете, в каком разделе дерева GPO настраивается конкретный параметр программы пакета Office, вы можете найти его в файле office2016grouppolicyandoctsettings.xlsx.

    1. Откройте консоль редактирования доменных политик GPMC.msc и создайте новый объект GPO;
    2. Перейдите в режим редактирования созданного объекта GPO;
    3. Включим следующие политики:
      • Включим режим кэширования Exchange для Outlook 2016 – политика Use Cached Exchange Mode for new and existing Outlook profiles в разделе User Configuration –> Policies –> Administrative Templates –> Microsoft Outlook 2016 –> Account Settings–> Exchange–> Cached Exchange Mode;
      • Запретим предварительный просмотр вложнений в Outlook политика Do not allow attachment previewing in Outlook (раздел User Configuration –> Policies –> Administrative Templates –> Microsoft Outlook 2016 –> Preferences –> E-Mail Options);
      • Отключим возможность запуска макросов в Word 2016 – политика VBA Macro Notification Settings со значением Disable All With Notification (раздел … Microsoft Word 2016 –> Word Options –> Security –> Trust Center).
    4. Осталось назначить данную политику на OU с пользователями (Link an Existing GPO) и после обновления политик на клиентах к Outlook 2016 и Word 2016 применятся новые настройки.

    Итак, мы рассмотрели, как управлять настройками программ Word, Access, Excel, Outlook и т.д. на компьютерах домена с помощью ADMX шаблонов групповых политик.

    Как открыть редактор локальной групповой политики в Windows 10.

    Групповая политика — это способ настройки параметров компьютера и пользователя для устройств, которые присоединены к доменным службам Active Directory (AD), а также к учетным записям локальных пользователей. Она контролирует широкий спектр параметров и может использоваться для принудительного применения и изменения настроек по умолчанию для соответствующих пользователей. Локальная групповая политика — это базовая версия групповой политики для компьютеров, не входящих в домен. Параметры локальной групповой политики хранятся в следующих папках:

    Когда в Windows 10 вам необходимо открыть редактор локальной групповой политики, для этого вы можете использовать командную строку, команду выполнить, поиск на панели задач, меню Пуск или с помощью консоли управления (MMC).

    Рассмотрим самые простые варианты:

    1. C помощью меню Пуск.
    2. C помощью команды Выполнить.
    3. C помощью Проводника Windows.
    4. С помощью командной строки или PowerShell
    5. Открыть редактор локальной групповой политики в качестве оснастки консоли управления.
    6. Открыть редактор локальной групповой политики в Windows 10 Home.

    Открыть редактор локальной групповой политики с помощью меню «Пуск».

    1. Откройте меню «Пуск» и введите gpedit.msc в верхней части меню появится значок, при клике, на котором, откроется редактор политики.

    Чтобы просмотреть все применяемые политики в разделе «Конфигурация компьютера», перейдите в раздел «Конфигурация компьютера Административные шаблоны Все параметры»

    Чтобы просмотреть все применяемые политики пользовательской настройки, перейдите в раздел «Конфигурация пользователя Административные шаблоны Все параметры».

    Примечание: вы можете использовать поиск на панели задач.

    Открыть редактор локальной групповой политики с помощью команды «Выполнить».

    1. Нажмите сочетание клавиш Win + X или кликните правой кнопкой мыши на меню «Пуск».
    1. В открывшемся меню выберите Выполнить.
    1. В строке «Открыть» введите — gpedit.msc и нажмите кнопку «ОК».

    Открыть редактор локальной групповой политики с помощью Проводника Windows.

    1. Откройте Проводник с помощью ярлыка на панели задач или просто нажав сочетание клавиш Win + E
    2. В адресную строку проводника введите или скопируйте и вставьте:
    1. Нажмите Enter

    Открыть редактор локальной групповой политики из командной строки или PowerShell

    Откройте Командную строку или вы можете открыть новый экземпляр PowerShell.

    Введите: gpedit.msc и нажмите клавишу Enter .

    Открыть редактор локальной групповой политики в качестве оснастки консоли управления.

    1. Откройте консоль управления MMC. (Нажмите кнопку «Пуск», введите mmc и нажмите клавишу Enter ).

    1. В меню Файл выберите пункт Добавить или удалить оснастку.

    1. В открывшимся диалоговом окне, дважды кликните «Редактор объектов групповой политики» и нажмите кнопку «Готово» и «ОК».

    Открыть редактор локальной групповой политики в Windows 10 Home.

    Как вы уже знаете, приложение Редактора локальной групповой политики доступно в Windows 10 Pro, Enterprise или Education. Пользователи Windows 10 Home не имеют доступа к gpedit.msc из-за ограничений ОС. Вот простое и элегантное решение, которое позволяет разблокировать его без установки сторонних приложений.

    Существует простой способ включить Редактор локальных групповых политик в Windows 10 Home запустив всего лишь один пакетный файл.

    Чтобы включить Gpedit.msc (групповая политика) в Windows 10 Home

    1. Загрузите следующий ZIP-архив: Скачать ZIP-архив.
    2. Распакуйте его содержимое в любую папку. Он содержит только один файл, gpedit_home.cmd
    3. Кликните правой кнопкой мыши по файлу.
    4. Выберите в контекстном меню «Запуск от имени администратора».

    Все!

    Пакетный файл вызовет DISM для активации редактора локальной групповой политики. Подождите, пока командный файл не завершит свою работу.

    Читать еще:  Office 2020 купить ключ

    Помните, что некоторые политики не будут работать в Windows Home. Некоторые политики жестко заданы для версий Windows Pro. Кроме того, если вы активируете gpedit.msc с помощью предоставленного пакетного файла, изменение политик для отдельных пользователей не вступит в силу. Они по-прежнему требуют настройки реестра.

    Вы можете самостоятельно создать пакетный файл. Прежде чем начать, рекомендуем создать точку восстановления системы, и вы могли в любой момент отменить произведенные изменения в системе.

    1. Откройте текстовый редактор, например «Блокнот».
    1. Скопируйте и вставьте следующие строки:

    1. В меню «Файл» текстового редактора выберите «Сохранить как» в диалоговом окне в строке «Имя файла» введите — gpedit.bat и нажмите кнопку «Сохранить».

    1. Запустите от имени Администратора полученный пакетный файл gpedit.bat
    1. При запросе фильтра Windows SmartScreen, нажмите «Подробнее», затем нажмите кнопку «Выполнить в любом случае».

    1. В окне Контроля учетных записей, нажмите кнопку «Да».
    1. Дождитесь пока утилита DISM внесет изменения и закройте окно.

    Все! Редактор локальных групповых политик (gpedit.msc) включен и теперь Вы можете его запустить любым из описанных выше способов.

    Policy Plus

    Существует хорошая альтернатива встроенному приложению gpedit.msc, которое называется Policy Plus. Это стороннее приложение с открытым исходным кодом: PolicyPlus

    Policy Plus предназначен для того, чтобы сделать параметры групповой политики доступными для всех.

    • Редактор работает на всех выпусках Windows, не только на Pro и Enterprise
    • Полностью соблюдает условия лицензирования
    • Просмотр и редактирование политик на основе реестра в локальных объектах групповой политики, объектах групповой политики для отдельных пользователей, отдельных файлах POL, автономных кустах пользователей реестра и действующем реестре
    • Переход к политикам по идентификатору, тексту или отдельным записям реестра.
    • Просмотр дополнительной технической информации об объектах (политики, категории, продукты)
    • Удобные способы изменить и импортировать настройки политики

    Административные шаблоны в Windows 7: основы

    Административные шаблоны” или “Административные политики” в Windows 7 – это специально созданный файл, в котором находятся настройки реестра. Операционная система считывает эти настройки как при запуске, так и при входе пользователя.

    Параметры “Административных шаблонов” находятся в Редакторе локальной групповой политики, и присутствую как в узле “Конфигурация компьютера“, так и в узле “Конфигурации пользователя“.

    Так что же такое политика и как ими пользоваться

    Рассмотри такое известное свойства рабочего стола Windows 7, как “Обои“. Вы можете поменять обои в любое время, так же и сменить заставку, тему. Все это пользовательские свойства. Политики, устанавливаемые администратором имеют более высокий приоритет, чем свойства пользователя. В системе приоритеты политик и свойств распределяются следующим образом:

    • Политика и свойства не установлены – применяются параметры по умолчанию
    • Политика не установлена, применено пользовательское свойство – система использует свойство пользователя.
    • Политика установлена, свойство не используется – система будет использовать политику.
    • Политика установлена и установлено пользовательское свойство – система будет использовать политику, а свойство нет

    Вывод прост: если применена политика, установлена администратором, то все попытки пользователя изменить свойства останутся без результата.

    Еще одно большое преимущество “Административных шаблонов” – это изменение параметров конфигурации без редактора реестра (regedit). Не надо искать в реестре раздел, имя ключа или параметра. Достаточно войти в “Редактор локальной групповой политики” и изменить состояние нужной политики, тем более, что политика управляет окружением всех пользователей. Администратору достаточно изменить состояние политики, чтобы изменения были применены для всех пользователей.

    Примечание: чтобы изменять параметры в “Редакторе локальной политики“, необходимо иметь права “Администратора“.

    Запуск “Редактора локальной политики”

    Чтобы открыть “Редактор локальной групповой политики” нажмите кнопку Пуск – Выполнить и введите команду gpedit.msc, и нажмите клавишу ОК. В открывшемся “Редакторе локальной групповой политики” видим “Административные шаблоны” присутствуют как в “Конфигурации компьютера“, так и в “Конфигурации пользователя“. Соответственно параметры “Конфигурации компьютера” находятся в разделе HKEY_LOCAL_MACHINESoftwarePolicies, а параметры “Конфигурации пользователя” в разделе HKEY_CURRENT_USERSoftwarePolicies.Так же параметры могут быть и в разделе SOFTWAREMicrosoftWindowsCurrentVersionPolicies. Доступ к этим параметрам имеют только администраторы.

    Практическое применение политик

    Вернемся к свойству экрана и посмотрим, как можно отключить этот параметр. Запускаем Редактор локальной групповой политики. В левой панели переходим в раздел Конфигурация пользователя – Административные шаблоны – Панель управления – Окно свойств экрана. В правой панели два раза кликаем мышкой на “Отключить окно свойств экрана в панели управления“. Как видим политика имеет три состояния:

    • Не задано – применяется свойство пользователя.
    • Включить – в этом состоянии в реестре значение параметра меняется на 1 (или 0), что соответствует активному состоянию
    • Выключить – соответствующий параметр в реестре имеет значение 0

    Если выбрать состояние Включить, то при попытке открыть окно свойств экрана, появится сообщение, что выполнение этого действия запрещено.

    Как видим “Административные шаблоны” достаточно мощный инструмент в управление компьютером, тем более, что в Windows 7 эти политики были значительно обновлены и расширены. Применение тех или иных политик требует определенной осторожности, достаточно посмотреть список политик, который находится в Административных шаблонах.

    В этой небольшой статье мы затронули лишь малую часть возможностей Административных шаблонов. Более подробно узнать о Редакторе локальной групповой политики можно из справки, которая вызывается из меню редактора. В этой справке есть большой раздел по настройке Internet Explorer.

  • Ссылка на основную публикацию
    Adblock
    detector