Работа

Создание шаблонов групповой политики (.ADM)

Периодически в жизни администратора информационной системы наступает момент, когда нужно централизованно внести изменения в настройки компьютеров или пользователей с помощью групповой политики. Но что делать, когда изменения не входят в штатный набор групповых политик? Правильно, создать свой шаблон групповой политики.

Здесь я представлю описание компонентов, которые используются для создания шаблона групповой политики Active Directory и помогут создать свой “неповторимый” шаблон. Также публикую свой простой шаблон по управлению службой “Обозреватель компьютеров”.

На самом деле, создание шаблона групповой политики не такая страшная штука. Кто знаком с написанием командных файлов или сталкивался с написанием простых скриптов на VB, в этом ничего страшного не увидит.

И так. В шаблоне групповой политики используется всего несколько компонентов:

  • COMMENTS
  • STRINGS
  • CLASS
  • CATEGORY
  • POLICY
  • PART
  • ACTIONLISTCOMMENTS

    Это классические комментарии, которые нужны для администратора, создающего шаблон. Комментарии помечаются точкой с запятой (;) или (//). Комментарии можно размещать в конце любой допустимой строки.

    STRINGS

    Строковые параметры помечаются двумя восклицательными знаками (!!). В конце шаблона все строки помещаются в компонент [STRINGS] и выделяются кавычками. Пример:

    POLICY  !!MBControl

    [STRINGS]
    MBControl="Параметры службы Обозреватель компьютеров"

    CLASS

    Это самая первая запись в шаблоне. Компонент CLASS определяет, где будет отображаться шаблон в консоли групповой политики (Computer Configuration или User Configuration) и к какому разделу реестра CLASS будет применяться.

    CLASS MACHINE или USER

    CATEGORY

    После объявления компонента CLASS необходимо использовать компонент CATEGORY. Он будет отображаться под именем в Group Policy Object Editor, которое мы укажем. Компонент CATEGORY может содержать вложенные компоненты CATEGORY.

    CATEGORY "Browser"
    END CATEGORY

    Компонент CATEGORY содержит теги:

    SUPPORTED – информационный тег для администратора, содержащий данные о платформе и приложении, к которому применимы изменения.

    REQUIREMENTS – аналогично SUPPORTED

    Закрывается компонент командой END CATEGORY.

    На этом простые компоненты заканчиваются. Дальше идут компоненты, которые имеют набор дополнительных параметров.

    POLICY

    Компонент POLICY указывает на параметр политики, который требуется изменять.

    POLICY
    [KEYNAME]
    [EXPLAIN]
    [VALUENAME]
    [CLIENTEXT GUID]
    [PART]
    END POLICY

    KEYNAME -  указывает, какую ветвь реестра необходимо изменять.

    KEYNAME     "SYSTEM\CurrentControlSet\Services\Browser\Parameters"

    EXPLAIN – строка описания вносимых изменений.

    VALUENAME – параметр, которые изменяем в реестре.

    CLIENTEXT GUID – опциональный параметр, применяемый в случае, когда требуется привязать параметры к глобальному уникальному идентификатору.

    Закрывается командой END POLICY

    PART

    Компонент PART использует один из способов, с помощью которых вносятся изменения:

  • CHECKBOX – содержит параметр реестра типа REG_DWORD. Если включен, содержит “1”. Выключен – “0”
  • COMBOBOX – список изменений.
  • DROPDOWNLIST – раскрывающийся список, возможно выбрать только один параметр.
  • LISTBOX – отображение списка с кнопкой добавить или удалить. Это единственный параметр, с помощью которого можно управлять несколькими значениями.
  • EDITTEXT – содержит текст и вносит в реестр параметр типа REG_SZ или REG_EXPAND_SZ
  • TEXT – строка текста, которая не имеет ассоциаций с реестром
  • NUMERIC – параметр реестра типа REG_DWORDЗакрывается командой END PARTACTIONLIST

    Компонент используется для определения списка действий, которые внесут изменения в реестр. Компонент имеет два варианта

  • ACTIONLISTON – определяет список действий, который будет использоваться, если CHECKBOX активен.
  • ACTIONLISTOFF – то же самое, только CHECKBOX не помечен.Пример:

    POLICY "Deny connections requests"
    EXPLAIN "If enabled, TS will stop accepting connections"
    ACTIONLISTON
    VALUENAME "fDenyTSConnections" VALUE NUMERIC 1
    END ACTIONLISTON
    ACTIONLISTOFF
    VALUENAME "fDenyTSConnections" VALUE NUMERIC 0
    END ACTIONLISTOFF
    END POLICY

    В завершении, как писал выше, привожу шаблон групповой политики, с помощью которого ведется управление службой “Обозреватель компьютеров” на клиентских машинах:

    CLASS MACHINE
    CATEGORY "Custom Policy Settings"
    CATEGORY "Browser"

    POLICY  !!MBControl
    KEYNAME     "SYSTEM\CurrentControlSet\Services\Browser\Parameters"
    EXPLAIN !!MBControl_EXPLAIN
    PART !!MBControl_Levels DROPDOWNLIST NOSORT
    VALUENAME "MaintainServerList"
    ITEMLIST
    NAME !!MBControl_0  VALUE    Auto   DEFAULT
    NAME !!MBControl_1  VALUE    Yes
    NAME !!MBControl_2  VALUE    No
    END ITEMLIST
    END PART
    END POLICY

    End Category
    End Category

    [STRINGS]
    WinXP="Действительно для Windows XP Professional и Windows 2003 Server"
    MBControl="Параметры службы Обозреватель компьютеров"
    MBControl_EXPLAIN="Устанавливает правила работы службы Обозреватель компьютеров на локальном компьютере"
    MBControl_Levels="Параметры:"
    MBControl_0="Автоматически"
    MBControl_1="Включено"
    MBControl_2="Выключено"

    Что получилось:

    image86[2]

    Для получения дополнительной информации рекомендую посетить ресурсы:

  • Рекомендации по использованию административных шаблонов групповой политики (файлы ADM)
  • Создание пользовательских административных шаблонов в Windows 2000
  • Using Administrative Template Files with Registry-Based Group Policy