• Глава 10. Управление рабочими средами пользователей
  • Базовая информация о пользовательских профилях
  • Подробная информация о пользовательском профиле.
    • Параметры, хранящиеся в пользовательском профиле
    • Структура пользовательского профиля
    • Файл Ntuser.dat
    • Взаимозаменяемость пользовательских профилей в Windows NT 4.0 и Windows 2000
    • Работа с перемещаемыми пользовательскими профилями в Windows XP
      • Неперемещаемые папки и квоты на размер профиля
  • Сценарии
    • Использование WSH для написания регистрационных сценариев 
  • Общие сведения о системной политике
    • Административные шаблоны
    • Параметры безопасности
    • Инкрементные шаблоны безопасности
    • Как хранится групповая политика
      • Шаблон групповой политики
      • Файл Gpt.ini
      • Локальные объекты групповой политики 
      • Папки шаблона групповой политики
      • Файлы Registry.pol
  • Резюме

Глава 10

Управление рабочими средами пользователей

Рабочая среда пользователя включает в свой состав элементы рабочего стола и параметры его настройки, в том числе и такие, как цветовая схема, параметры настройки мыши, размеры и расположение окон, сетевые соединения и соединения с принтерами, переменные окружения, параметры реестра и доступные для запуска приложения. Для управления рабочими средами пользователей в сетях Windows NT/2000/XP традиционно применяются перечисленные ниже возможности.

•  Пользовательские профили.

Пользовательские профили содержат все параметры рабочей среды Windows NT/2000/XP, зависящие от конкретных пользователей, в том числе параметры настройки экрана и сетевые соединения.

•  Сценарии (скрипты).

Регистрационный сценарий (logon script) представляет собой командный (ВАТ) или исполняемый (ЕХЕ) файл, который запускается каждый раз, когда пользователь регистрируется в сети с любой из рабочих станций. Регистрационный сценарий может содержать команды операционной системы, например, команды, выполняющие установление сетевых соединений или осуществляющие запуск приложений. Регистрационные сценарии могут устанавливать переменные окружения (environment variables), например, пути (переменная PATH), указывать каталог для временных файлов (переменная TEMP) и т. д.

•  Системная политика.

Системная политика применяется для управления настройками рабочих столов пользователей, а также для определения их прав в сети. Системные администраторы могут использовать системную политику для управления рабочими станциями в локальных и глобальных сетях.

В данной главе рассматриваются пользовательские профили и системная политика, даны указания по их использованию для внесения изменений в реестр.

Базовая информация о пользовательских профилях

Каждый пользователь современных операционных систем из семейства Windows NT/2000/XP имеет в своем распоряжении множество настраиваемых параметров. В качестве примеров можно указать файлы фоновых рисунков (wallpaper), экранных заставок (screen savers), настройки рабочего стола (desktop) и параметры установленных в системе приложений. Перечисленные параметры представляют собой лишь незначительную часть из множества параметров, которые пользователи могут настраивать. Причин, по которым может потребоваться индивидуальная настройка, ничуть не меньше, чем пользователей, и все эти причины отличаются друг от друга настолько же, насколько различны вкусы и предпочтения разных людей. До введения концепции реестра основной проблемой с индивидуальной пользовательской настройкой всегда было то, что каждый раз, когда пользователь пересаживался за другой компьютер, ему приходилось выполнять ее заново.

На компьютерах, работающих под управлением Windows NT 4.0/2000/XP, пользовательские профили (user profiles) создаются автоматически всякий раз, когда пользователь впервые регистрируется в системе. По умолчанию они поддерживают параметры настройки рабочего стола для пользовательской среды на локальном компьютере.

 Примечание 

Необходимо отличать пользовательские профили (user profiles) от политик (policies). Профили не являются пользовательскими политиками, и у каждого пользователя есть профиль, даже если он не использует групповую политику (Group Policy).

Подробная информация о пользовательском профиле

Пользовательские профили предоставляют определенные преимущества.

•  После успешной регистрации на своих рабочих станциях пользователи начинают работать с настройкой рабочего стола, которая существовала на момент их последнего выхода из системы.
•  На одном компьютере могут работать многие пользователи, и каждый из них получает индивидуальную настройку рабочего стола.
•  Пользовательские профили могут храниться на сервере, что позволяет применять их независимо от локальной рабочей станции, с которой пользователь регистрируется в сети. Такие профили называются перемещаемыми пользовательскими1 (roaming user profiles). При помощи перемещаемых профилей пользователи могут восстанавливать все привычные параметры настройки (включая элементы пользовательских меню) независимо от того, с какой рабочей станции была произведена регистрация в сети.
•  В Windows 2000 в рамках инициативы нулевого администрирования (Zero Administration Initiative) был введен целый набор новых технологий — IntelliMirror, которые получили дальнейшее развитие в Windows XP. Технологии IntelliMirror упрощают процесс сетевого администрирования и повышают его эффективность. Этот набор функциональных возможностей позволяет системным администраторам и пользователям создавать на сетевом сервере зеркальную копию данных о пользовательском профиле, хранящемся на локальном компьютере, защищая таким образом данные, критически важные для работы пользователя. Суть технологий IntelliMirror заключается в том, что вся информация о профиле пользователя и параметрах настройки установленного программного обеспечения хранится на сервере в персональном кэше этого пользователя.

С помощью IntelliMirror администратор может устанавливать и поддерживать программное обеспечение на рабочих станциях пользователей, не вмешиваясь в их работу. Поскольку на сервере всегда существует зеркальное отображение рабочей среды пользователя, администратор может быстро заменить пользовательскую рабочую станцию и восстановить рабочую среду пользователя, включая данные, установленное программное обеспечение и административную политику, и все это — без вмешательства в работу пользователя, не подходя к его компьютеру. Более подробная информация о технологии IntelliMirror будет приведена ниже в данной главе.

С точки зрения администратора пользовательские профили предоставляют следующие преимущества:

•  возможность создания индивидуально настроенных пользовательских профилей;
•  возможность назначения общих параметров настройки для каждой группы пользователей;
•  возможность назначения обязательных пользовательских профилей, не допускающих произвольного изменения пользователями конфигурации системы.

Как отмечалось в главе 1, Windows XP обеспечивает перечисленные ниже типы пользовательских профилей.

•  Локальные пользовательские профили (Local User Profiles). Пользовательские профили этого типа хранятся на жестком диске локального компьютера. Любые изменения, вносимые в локальный пользовательский профиль, оказывают воздействие только на тот компьютер, на котором были внесены изменения.
•  Перемещаемый пользовательский профиль (Roaming User Profile). Перемещаемые пользовательские профили также хранятся на сервере, и становятся доступны, как только пользователь регистрируется в сети. Любые изменения, внесенные в пользовательский профиль, фиксируются на сервере.
• Обязательный пользовательский профиль (Mandatory User Profile). Профили этого типа могут создаваться или обновляться системными администраторами. Любые изменения, внесенные пользователем в профиль этого типа, теряются по выходу пользователя из системы.

Примечание 

Обязательные пользовательские профили используются в Windows XP лишь для обеспечения обратной совместимости с существующими доменами Windows NT 4.0. В доменах, где Windows 2000 работает в своем обычном режиме, при необходимости обеспечить управляемые конфигурации рабочего стола пользователей, рекомендуется вместо обязательных профилей применять групповую политику (Group Policy). Основы этой технологии будут рассмотрены позже в данной главе.

Параметры, хранящиеся в пользовательском профиле

Пользовательский профиль содержит конфигурационные параметры и опции, индивидуально настроенные для каждого пользователя. Фактически пользовательский профиль представляет собой "моментальный снимок" рабочей среды пользователя.

Параметры, хранящиеся в пользовательском профиле, перечислены в табл. 10.1.

Таблица 10.1. Параметры, хранящиеся в пользовательском профиле

Структура пользовательского профиля

Каждый пользовательский профиль состоит из улья реестра (файл NTUser.dat, который отображается на ключ реестра HKEY_CLASSES_ROOT при регистрации пользователя) и набора папок в файловой системе компьютера. С появлением Windows NT 4.0 исходное местоположение пользовательских профилей изменилось, для того чтобы предоставить возможность системным администраторам обеспечивать более эффективную безопасность папок операционной системы, не оказывая при этом влияния на пользовательские данные. Рассмотрим более подробно местоположение пользовательских профилей, заданное по умолчанию.

Все пользовательские профили Windows NT хранятся в папке %SystemRoot% \Profiles. Каждый новый пользовательский профиль создается в момент первой регистрации пользователя в системе на базе профиля Default User — стандартного пользовательского профиля, имеющегося на каждом компьютере Windows NT Workstation или Windows NT Server. Папка \Default User и папки профилей всех пользователей содержат файлы Ntuser.dat и Ntuser.dat.log, а также каталоги ссылок на элементы рабочего стола.

В Windows 2000/XP соглашения об именовании папок, в которых хранятся пользовательские профили, претерпели изменения. В общем случае расположение пользовательских профилей Windows 2000/XP зависит от того, как производилась установка этой операционной системы.

•  Если была установлена новая копия Windows 2000/XP или произведено обновление Windows 95/98 до Windows 2000/XP, то для хранения пользовательских профилей будет создана новая папка, расположенная в том же разделе, на который была установлена Windows 2000/XP: %SystemDrive%: \Documents and Settings (например, C:\Documents and Settings).
•  Если установка Windows 2000/XP выполнялась как обновление предыдущих версий Windows NT, то папки пользовательских профилей будут расположены точно так же, как и в Windows NT 4.0, т. е. в каталоге %SystemRoot%\Profiles.

 Примечание 

Здесь и далее в этой главе для обозначения пути к папке, содержащей пользовательские профили, будет использоваться запись вида %ProfllePath%.

Местоположение пользовательских профилей для каждого типа инсталляции Windows XP кратко представлено в табл. 10.2.

Таблица 10.2. Местоположение пользовательских профилей

В Windows XP, как и в Windows NT/2000, пользовательский профиль создается автоматически, когда пользователь впервые регистрируется в системе. Для хранения этого профиля система создает вложенную папку в составе папки %ProfilePath% с именем, совпадающим с входным именем этого пользователя. Путь к этой папке будет записан в реестре и ассоциирован с идентификатором безопасности (Security ID, SID) этого пользователя.

Рис. 10.1. Ключ реестра HKEY_USERS содержит список всех существующих в системе пользовательских профилей, каждый из которых идентифицируется при помощи SID

 Примечание

Как Windows NT, так и Windows 2000/XP для идентификации пользователей и групп используют так называемые идентификаторы безопасности (Security ID). Идентификаторы безопасности имеют довольно большую длину и уникальны для каждого пользователя даже на разных компьютерах. Даже в том случае, если учетная запись пользователя на компьютере или в домене была сначала удалена, а затем вновь создана новая учетная запись с тем же именем, идентификатор безопасности, с которым она ассоциирована, будет другим. SID записываются в виде S-1-XXXXX₁-YYYYY₂-...-RID, где S-1 — идентификатор безопасности, версия 1; ХХХХХ— номер ведомства (authority), YYYYY_n— номера подразделений (subauthority), a RID— относительный идентификатор (Relative ID), который уже не будет уникальным для каждого компьютера. Среди пользователей Windows NT/2000/XP очень широко распространено ошибочное мнение о том, что в системе пользователя идентифицируют регистрационные данные, т. е. входное имя (username или login name) и пароль (password). Это не так— каждый пользователь определяется в системе идентификатором безопасности (SID). Именно SID идентифицируют пользовательские профили (рис. 10.1).

Итак, когда пользователь регистрируется на локальном компьютере с использованием локальной учетной записи или учетной записи пользователя домена, если папка %ProfilePath% еще не содержит вложенной папки с именем, совпадающим с входным именем этого пользователя, такая папка будет создана, и путь к этой папке будет зарегистрирован в реестре и ассоциирован с SID этого пользователя. Например, если на компьютере Windows 2000/XP зарегистрируется пользователь Olga, то для хранения профиля этого пользователя будет создана папка с именем %SystemDrive% \Documents and Settings\Olga (рис. 10.2).

Рис. 10.2. Содержимое папки пользовательского профиля

Если впоследствии на этом компьютере зарегистрируется другой пользователь с таким же входным именем, но из другого домена, то будет создана еще одна папка пользовательского профиля, дополненная именем домена, в котором находится учетная запись зарегистрировавшегося в системе пользователя, например: %SystemDrive%:\Documents and Settings\Olga [DOMAIN_NAME\, где [DOMAIN_NAME\ — имя домена, к которому принадлежит учетная запись.

В том случае, если совпадают как пользовательское имя, так и имя домена, к которому принадлежит учетная запись, но при этом SID двух учетных записей различаются (это как раз та ситуация, когда учетная запись пользователя была удалена, а затем повторно создана с тем же самым пользовательским именем), будут созданы новые папки пользовательских профилей следующего вида: %SystemDrive%:\Documents and Settings\ Olga [DOMAIN_ NAME].000, %SystemDrive%-\Documents and Settings\Maggie [DOMAIN_ NAME].001 и т. д.

Рис. 10.3. Структура пользовательского профиля

 Примечание 

Как уже говорилось ранее, в Windows NT 4.0 все локально кэшированные пользовательские профили хранятся в папке %SystemRoot%\Profiles. Если установка Windows 2000/XP производилась как обновление предыдущей операционной системы, то эта папка по-прежнему будет использоваться для хранения пользовательских профилей. В случае, если при установке Windows 2000/XP была выбрана опция установки новой копии операционной системы, для хранения пользовательских профилей будет создана новая папка с именем Documents and Settings, расположенная на одном разделе с установленной операционной системой Windows 2000/XP.

Обратите внимание, что некоторые программы для поиска путей к локально кэшированным пользовательским профилям используют жестко закодированные пути. Таким образом, если пользователь попеременно работает на компьютерах под управлением Windows NT 4.0 и Windows 2000/XP, такие программы могут повести себя непредсказуемым образом, если попытка поиска локально кэшированного пользовательского профиля в каталоге %SystemRoof%\Profiles завершится неудачей. Например, если пользователь регистрируется в системе Windows NT 4.0, программа может вести себя так, как и ожидалось, поскольку путь к пользовательскому профилю правилен для этой версии ОС. Если этот же пользователь зарегистрируется в Windows 2000/XP, такая программа может не найти пользовательского профиля.

Теперь рассмотрим параметры, хранящиеся в каталогах профиля, более подробно. Экран, представленный на рис. 10.3, иллюстрирует типичную структуру пользовательского профиля, который в Windows XP содержит перечисленные ниже папки.

•  Application Data*. Данные, относящиеся к конкретному приложению, например собственный словарь для обработки текстов. Какие именно данные должны храниться в этом каталоге определяют разработчики приложений.
•  Cookies. Cookie-файлы Internet Explorer.
•  Desktop. Элементы рабочего стола, включая файлы и ярлыки.
•  Избранное (Favorites). Избранные страницы Internet Explorer.
•  Local Settings*. Установки приложения, которые не перемещаются вместе с профилем, поскольку они, как правило, относятся к конкретной машине, либо слишком велики.
  •  Application Data. Данные приложения, относящиеся к конкретному компьютеру.
  •  History. Предыстория работы Internet Explorer.
  •  Temp. Временные файлы.
  •  Temporary Internet Files. Автономный кэш Internet Explorer.
•  Мои документы (My Documents). Новое местоположение для любых документов, созданных пользователем, установленное по умолчанию. Каждое создаваемое приложение по умолчанию должно сохранять файлы в этом каталоге.
  •  Мои рисунки (My Pictures). Местоположение графических файлов пользователя, заданное по умолчанию.
  •  Моя музыка (My Music). Местоположение звуковых файлов пользователя, заданное по умолчанию.
•  NetHood*. Ярлыки на элементы Network Neighborhood. 
•  PrintHood*. Ярлыки, содержащиеся в папке принтера.
•  Недавние документы (Recent). Ярлыки на самые последние открываемые документы.
•  SendTo. Ярлыки, указывающие место сохранения копий документов и приложений.
•  Главное меню (Start Menu). Ярлыки, указываемые на программы. 
•  Templates*. Ярлыки, указывающие на шаблоны.

* Эти каталоги по умолчанию являются скрытыми. Для их просмотра необходимо изменить параметры просмотра.

 Примечание 

По умолчанию, папка Local Settings и ее подкаталоги не перемещается вместе с профилем. В ней содержатся данные приложений, которые нет необходимости постоянно хранить вместе с профилем конкретного пользователя, например, временные файлы, второстепенные параметры, а также файлы, которые ввиду их большого размера нецелесообразно перемещать вместе с пользовательским профилем.

Файл Ntuser.dat

Файл Ntuser.dat представляет собой часть реестра, поддерживающую пользовательский профиль. Этот файл представляет собой кэшированную копию поддерева локального реестра HKEY_CURRENT_USER. В составе этого ключа, структура которого показана на рис. 10.4, хранятся параметры, определяющие рабочую среду для пользователя, на текущий момент зарегистрированного в системе.

Взаимозаменяемость пользовательских профилей в Windows NT 4.0 и Windows 2000

Пользователи, имеющие так называемые перемещаемые профили (roaming user profiles) могут попеременно регистрироваться и на компьютерах Windows NT 4.0, и на компьютерах Windows 2000/XP. Обе операционные системы могут читать один и тот же пользовательский профиль, и данный раздел описывает процедуру, с помощью которой можно создать перемещаемый профиль для использования в обеих операционных системах.

Чтобы создать перемещаемый пользовательский профиль:

1. На компьютере Windows 2000 Server создайте учетную запись пользователя с правами администратора, а также разделяемый каталог для хранения профилей (учетную запись администратора профилей следует создавать в Active Directory Users and Computers).

2. Создайте учетную запись для пользователя с перемещаемым профилем, раскройте диалоговое окно User Properties, перейдите на вкладку Profiles и укажите путь к профилю пользователя в формате \\server name\share name\%user name%, где server name — имя сервера, share name — имя разделяемой папки, в которой хранятся пользовательские профили, a user пате — имя пользователя с перемещаемым профилем.

3. В меню Start выберите команды Settings | Control Panel и выполните двойной щелчок мышью на значке System.

4. Перейдите на вкладку User Profiles (рис. 10.5), выделите существующий локальный пользовательский профиль и нажмите кнопку Сору То.

Рис. 10.4. Параметры, определяющие рабочую среду для пользователя, зарегистрированного в системе на текущий момент, хранятся под ключом HKEY_CURRENT_USER

5. В раскрывшемся окне Сору То (рис. 10.6) укажите путь к разделяемой папке, в которой хранятся пользовательские профили. Указывать путь следует в формате UNC (Universal Naming Convention), например: \\server name\share name\user profile folder. Если папка с профилем этого пользователя еще не существует, она будет создана.

6. Выберите пользователя, которому разрешается работать с указанным профилем, нажмите кнопку ОК для копирования профиля. Вернувшись в окно System Properties, нажмите кнопку OK, чтобы подтвердить внесенные изменения.

7. Зарегистрируйтесь в сети с клиентского компьютера Windows 2000 Professional. Выполните команды Settings] Control Panel меню Start, вызовите утилиту System и перейдите на вкладку User Profiles. Пользователь с перемещаемым профилем должен иметь профиль типа Roaming.

Рис. 10.5. Вкладка User Profiles диалогового окна System Properties

Рис. 10.6. Диалоговое окно Сору То

 Примечание 

По сравнению с Windows NT 4.0, в Windows 2000 изменились стандартные права доступа к перемещаемым профилям. Так, администраторы больше не имеют прав доступа типа "Полный доступ" (Full Control) ко всем пользовательским профилям. Это означает, что если администратору требуется получить доступ к содержимому пользовательского профиля, он должен выполнить операцию присваивания прав владельца на объекты файловой системы (если пользовательские профили хранятся на разделе NTFS) и соответствующие ульи реестра. С точки зрения безопасности этот подход весьма логичен, поскольку операция присваивания прав владельца является событием, подлежащим аудиту.

Работа с перемещаемыми пользовательскими профилями в Windows XP

В Windows XP управление пользовательскими параметрами получило дальнейшее развитие. Роуминг параметров стал более надежным, усовершенствован алгоритм объединения пользовательских профилей, добавлено несколько новых параметров политики в группе. Рассмотрим эти усовершенствования подробнее.

Прежде всего, политики пользовательских профилей в Windows XP имеют свой узел в редакторе групповой политики (Group Policy) — рис. 10.7. Более того, появилось три новых политики. Для их просмотра необходимо выполнить следующие действия:

1. Щелкните кнопку Пуск (Start), затем выберите команду Выполнить (Run), введите значение mmc и нажмите кнопку ОК.

2. В меню Консоль (File) выберите команду Добавить/удалить оснастку (Add/Remove Snap-in), перейдите на вкладку Изолированная оснастка (Standalone) и нажмите кнопку Добавить (Add).

3. В списке Доступные изолированные оснастки (Available Standalone Snap-ins) выберите опцию Групповая политика (Group Policy), а затем нажмите кнопку Добавить (Add). Когда откроется окно Выбор объекта групповой политики (Select Group Policy Object), выберите опцию Локальный компьютер (Local Computer) для редактирования локального объекта групповой политики, или же нажмите кнопку Обзор (Browse), чтобы найти нужный вам объект.

4. Нажмите кнопку Готово (Finish), потом Закрыть (Close) и, наконец, ОК. При этом в окне оснастки Групповая политика (Group Policy) откроется объект для редактирования. Раскройте дерево консоли в левой панели этого окна: Конфигурация компьютера | Административные шаблоны | Система | Профили пользователей (Computer Configuration | Administrative Templates | System | User Profiles) — рис. 10.7.

Рис. 10.7. Для политики Профили пользователей в окне редактора групповой политики есть собственный узел

Три новых политики, которые появились в Windows XP, указаны последними в списке политик, отображенном в правой панели окна редактора групповой политики:

•  Запретить распространение изменений в перемещаемом профиле на сервер (Prevent Roaming Profile changes from propagating to the server). В соответствии со своим названием, эта политика указывает, должно ли выполняться объединение тех изменений, которые пользователи внесли в свои перемещаемые профили, с копиями их профилей, хранящимися на сервере. Если вы установите эту политику, то пользователи при регистрации получат копии своих перемещаемых профилей, однако, те изменения, которые они в них внесут, не будут включены в сами профили (хранящиеся на сервере).
•  Добавлять группу администраторов для перемещаемых профилей пользователя (Add the Administrator security group to the roaming user profile sha-re). Как отмечалось ранее, начиная с Windows 2000, права доступа, заданные по умолчанию для вновь созданных перемещаемых профилей, предоставляют пользователю полный доступ (Full Control), но не разрешают доступ группе Администраторы (Administrators). Если вы хотите добиться совместимости с Windows NT 4.0, где, как известно, группа Администраторы (Administrators) обладает полными правами доступа к каталогам пользовательских профилей, то вам следует установить эту политику.
•  Разрешать использование только локальных профилей (Do Not Allow users to change profile type). Позволяет администратору предоставлять или же запрещать пользователю изменять тип профиля — с перемещаемого (Roaming Profile) на локальный (Local profile).

 Примечание 

Кроме новых политик, в Windows XP есть другие усовершенствования в управлении перемещаемыми профилями. Например, в Windows 2000 могут возникать ситуации, когда приложения и сервисы во время завершения сеанса оставляют ключи реестра открытыми. Это препятствует системе Windows произвести выгрузку пользовательского улья реестра и сохранить изменения пользовательского профиля на сервере. В результате, такие "заблокированные" пользовательские профили не смогут быть выгружены, и на сервере, где имеется большое количество зарегистрированных пользователей, эти профили будут занимать большой объем памяти. Если даже они помечены, как требующие удаления по завершении сеанса, для освобождения дискового пространства на сервере они все равно не будут удалены. В Windows XP такой проблемы не существует. Теперь Windows сохраняет улей пользовательского профиля по окончании 60-секундной задержки и производит корректное перемещение профиля. В отличие от Windows 2000, когда приложение или служба закрывает ключ реестра, который блокирует пользовательский профиль, Windows XP выгружает улей и освобождает память, ранее занятую пользовательским профилем. В тех случаях, когда приложение или служба ни при каких условиях не освобождают ключ реестра, Windows XP удалит все профили, помеченные для удаления, при следующей перезагрузке системы.

Неперемещаемые папки и квоты на размер профиля

Способ получения пользователями своих профилей зависит от того, какой тип профиля установлен. Рассмотрим этот процесс подробнее. Для локальных профилей эта процедура включает в себя следующие шаги:

•  Пользователь регистрируется в системе. Операционная система проверяет список пользовательских профилей, расположенный под ключом HKEY_LOCAL_ MACHINE\ SOFTWARE\Microsoft \WindowsNT\CurrentVersion\ProfileList (рис. 10.8), для того чтобы определить, есть ли для данного пользователя локальный профиль. Если такой элемент существует, значит локальный профиль используется. Если локальный профиль не найден, и компьютер является участником домена, то операционная система проверяет, есть ли такой профиль по умолчанию в домене (он должен быть расположен в разделяемой папке с именем NETLOGON контроллера домена, которая в свою очередь находится в папке Default User). Если пользовательский профиль, заданный по умолчанию, в домене существует, то он будет скопирован в следующий подкаталог на локальном компьютере: %SystemDrive%\Documents and Settings\ Username. Если же этот профиль не существует, то будет скопирован профиль, содержащийся в папке %Systemdrive%\Documents and Settings\Default User — в подкаталог %SystemDrive%\Documents and Settings\Username локального компьютера.

Рис. 10.8. Список пользовательских профилей хранится в реестре под ключом HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\WindowsNT \CurrentVersion\Profilelist

•  Пользовательский улей реестра (NTUser.dat) отображается в часть реестра HKEY_CURRENT_USER.
•  Когда пользователь завершает сеанс, профиль сохраняется на локальном жестком диске компьютера.

Для перемещаемых профилей этот процесс заключается в следующем.

•  Пользователь регистрируется и Windows проверяет список пользовательских профилей, хранимых в реестре под ключом HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Profilelist, чтобы определить, существует ли копия профиля в кэше. Если локальная копия не найдена, а компьютер является частью домена, Windows проверяет, есть ли такой профиль, установленный по умолчанию, в домене (в NETLOGON контроллера домена, находящейся в папке Default User). Если этот профиль существует, то он будет скопирован в следующий подкаталог локального компьютера: %SystemDrive%\Documents and Set-tmgs\Username. Если пользовательский профиль в домене не существует, то из каталога %Systemdrive%\DocumQnts and Settings\Default User будет скопирован локальный профиль, заданный по умолчанию, — в подкаталог %SystemDrive%\DocumQnts and Settmgs\Username локального компьютера.
•  Пользовательский улей реестра (Ntuser.dat) копируется в локальную копию пользовательского профиля, хранящуюся в кэше, и отображается в часть реестра HKEY_CURRENT_USER. Локальный профиль, хранящийся в кэше, сравнивается с копией профиля на сервере, и оба файла объединяются.
•  Далее пользователь, как обычно, может запускать приложения и редактировать документы. Когда пользователь завершает сеанс, его локальный профиль копируется в местоположение, заданное администратором. Если профиль уже существует на сервере, то локальный профиль объединяется с копией, хранящейся на сервере.

Примечание 

В Windows NT 4.0 алгоритм соединения основывался на команде Хсору с поддержкой полной синхронизации. Это означает, что в любой момент времени существует лишь одна главная копия (master copy) профиля. При регистрации пользователя главный профиль расположен на локальном компьютере, а когда пользователь не регистрируется, главная копия его профиля находится на сервере. В большинстве случаев этот алгоритм работает хорошо, например, когда пользовать регистрируется только на одном компьютере. Однако, пользователь, одновременно зарегистрировавшийся на нескольких машинах, может столкнуться с непредсказуемым поведением.

В Windows XP эта проблема устранена путем слияния профилей на уровне файлов. При обновлении документа или файла, новый алгоритм сравнивает временную метку файла-приемника с временной меткой файла-источника. Если файл-приемник оказывается более новым, то он не перезаписывается.

Как упоминалось ранее, перемещаемый пользовательский профиль копируется с сервера на клиентский компьютер при регистрации пользователя, а когда пользователь завершает сеанс, производится копирование в обратном направлении. Однако в Windows 2000/XP для каждого пользователя в его профиле выделяется папка Local Settings, которая не копируется ни при регистрации, ни при завершении сеанса. В этой папке компоненты операционной системы и другие приложения могут сохранять те данные, которые не перемещаются вместе с перемещаемым пользовательским профилем. С другой стороны, технология IntelliMirror включает в себя функциональную возможность переадресации каталога — Folder Redirection, позволяющую администраторам осуществлять переадресацию определенных папок пользовательских профилей и размещать их в сети (с точки зрения пользователя, это почти то же самое перемещение (roaming), но в этом случае, пользовательские установки хранятся в совместно используемой сетевой папке). Переадресация каталогов может использоваться в отношении всех типов профилей, включая локальные (local), перемещаемый (roaming) или обязательные (mandatory) профили. Сочетание Folder Redirection с перемещаемыми профилями позволяет воспользоваться всеми преимуществами перемещаемых профилей и в то же самое время сократить сетевой трафик.

В табл. 10.3. перечислены папки, которые по умолчанию перемещаются вместе с профилем, и указано, могут ли они быть переадресованы с использованием групповой политики.

Таблица 10.3. Папки, перемещаемые вместе с профилем

Сценарии

Регистрационный сценарий (logon script) представляет собой командный (ВАТ) или исполняемый (ЕХЕ) файл, который запускается каждый раз, когда пользователь регистрируется в сети с любой из рабочих станций. Сценарий регистрации может содержать команды операционной системы, например, команды, выполняющие установление сетевых соединений или осуществляющие запуск приложений. Регистрационные сценарии могут устанавливать переменные окружения (environment variables), например, устанавливать пути (переменная PATH), указывать каталог для временных файлов (переменная TEMP) и т. д.

В Windows 2000 в этой области также появилось новое усовершенствование — Windows Script Host (WSH) 2.0. WSH 2.0 представляет собой средство, позволяющее системным администраторам создавать простые, мощные и гибкие скрипты, позволяющие автоматизировать администрирование сети. Поскольку WSH является средством, независимым от языка, для написания скриптов можно выбрать любой из языков, предпочитаемых администратором: Visual Basic Scripting Edition (VBScript), JScript, Perl. Помимо этого, WSH поддерживает COM, что позволяет при написании скриптов использовать преимущества таких технологий, как Windows Management Instrumentation (WMI) и Active Directory Services Interface (ADSI).

Использование WSH для написания регистрационных сценариев

Не углубляясь в детали, приведем небольшой пример фрагмента регистрационного сценария, который выполняет редактирование реестра. Поскольку многие пользователи просто боятся редактировать реестр, администратор может написать для них регистрационный сценарий, выполняющий настройку реестра. WSH предоставляет весьма удобный способ манипулирования реестром С помощью методов RegRead, RegWrite И RegDelete.

Приведенный ниже фрагмент регистрационного сценария изменяет параметры настройки прокси-сервера. Как известно, они хранятся в реестре по адресу HKCU\Software\Microsoft\Windows\CurrentVersion\InternetSettings \proxyServer, и сначала их следует прочитать с помощью метода RegRead. Затем, использовав метод Regwrite, можно переписать существующее значение, заменив его на другое, например, NEWPROXY:80. Наконец, следует убедиться в правильности внесенных изменений, еще раз прочитав значение, сохраненное в реестре, с помощью метода RegRead:

sub regProxy 

 prefix = _ 

 "HKCU\Software\Microsoft\Windows\ 
CurrentVersion\Internet      Settings\"

 WScript.Echo "Old      ProxyServer settings: 
" & WshShell.RegRead(prefix & _ "ProxyServer")      

 WshShell.RegWrite prefix &
 "ProxyServer", "MYPROXY:80"

 WScript.Echo "New ProxyServer settings: 
" & WshShell.RegRead(prefix & _ 

 "ProxyServer")  

  end sub 

Общие сведения о системной политике

Системная политика (System policy) представляет собой еще одно средство, которое системные администраторы могут использовать для централизованного управления доступом пользователей к сети и настройкой рабочих столов, в том числе разделением данных и конфигурированием параметров системы. Системная политика представляет собой настройки реестра, автоматически устанавливаемые при регистрации пользователя на ПК. Основное отличие между системной политикой и пользовательскими профилями заключается в том, что системная политика применима к пользователям, группам пользователей и конкретным компьютерам. Для каждого из этих компонентов системные администраторы могут задавать, изменять и поддерживать настройки реестра. Комбинируя системную политику, присвоенную конкретному пользователю, компьютеру, на котором он зарегистрировался, и любым группам, к которым они могут принадлежать, вы получаете полный контроль над типом пользовательской среды и правами пользователей. Для определения параметров каждой политики системные администраторы просто создают шаблоны системной политики.

В операционной системе Windows NT 4.0 впервые была введена утилита Редактор системной политики (System Policy Editor), которая позволяла задавать конфигурационные параметры для пользователей и компьютеров, хранящиеся в реестре Windows NT. С ее помощью администратор мог управлять рабочими средами пользователей и устанавливать конфигурационные параметры для всех компьютеров Windows NT 4.0 (Workstation или Server). В Windows 2000/XP для управления конфигурациями групп пользователей и компьютеров используется оснастка ММС Групповая политика (Group Policy), которая расширяет функциональные возможности Редактора системных правил (System Policy Editor) и предоставляет дополнительные возможности по управлению конфигурациями клиентских компьютеров, в том числе опции политики в отношении реестра (registry based policies), параметры безопасности (security settings), параметры установки программного обеспечения, сценарии и перенаправление папок (folder redirection). Параметры групповой политики, задаваемые администратором, содержатся в объекте групповой политики (Group Policy Object, GPO), который, в свою очередь, ассоциируется с одним из контейнерных объектов Active Directory — узлом, доменом или организационной единицей.

Групповая политика обладает рядом весьма существенных преимуществ перед системной политикой Windows NT 4.0, а также Windows 95/98.

•  Возможность ассоциирования с узлами (sites), доменами (domains) и организационными единицами (organizational units) Active Directory. Политика, ассоциированная с контейнером Active Directory, влияет на все компьютеры и всех пользователей в пределах этого контейнера (узла, домена или организационной единицы).
•  Дальнейшая конфигурируемость посредством включения компьютеров и пользователей в группы.
•  По сравнению с Windows NT 4.0 групповая политика стала более защищенной.
•  Наконец, системная политика Windows NT 4.0 устойчиво сохранялась в пользовательских профилях — это явление иногда называлось "татуировкой реестра" (tattooing the registry). Параметр реестра, установленный с помощью Редактора системных правил (System Policy Editor), сохранял свое значение до тех пор, пока администратор не менял это значение для указанной политики, или пока пользователь не начинал редактировать реестр вручную. Такая ситуация часто представляла проблему, когда изменялось членство пользователя в группах. В Windows 2000P/XP эта ситуация не возникает, поскольку параметры реестра, задаваемые с помощью групповой политики, записываются в защищенные ключи реестра (\Software\Policies и \Software\Microsoft\Windows\CurrentVersion\poiicies) и очищаются, когда объект групповой политики становится неприменимым.

Административные шаблоны

Утилита Редактор системных правил (System Policy Editor) из состава Windows NT 4.0 использует административные шаблоны (administrative templates) — эти файлы имеют расширение ADM. Эти шаблоны позволяют определить, какие из параметров реестра доступны для редактирования посредством утилиты Редактора системных правил (System Policy Editor). В Windows 2000/XP ADM-файлы также указывают, какие параметры реестра могут быть модифицированы с помощью пользовательского интерфейса оснастки ММС Групповая политика (Group Policy). Параметры политики, относящиеся к пользователю, регистрирующемуся на компьютере, записываются в реестр под ключом HKEY_CURRENT_USER (нкси). Параметры политики, относящиеся к компьютеру и установленному на нем программному обеспечению, заносятся в реестр в состав ключа HKEY_LOCAL_MACHINE (HKLM). ADM-файлы представляют собой текстовые файлы, содержащие иерархию категорий и вложенных категорий, определяющих параметры реестра, которые могут быть изменены с помощью интерфейса оснастки Групповая политика (Group Policy), а также пути к ключам реестра, в состав которых будут внесены изменения в случае выбора той или иной опции.

Параметры безопасности

С помощью оснастки ММС Групповая политика (Group Policy) можно задать конфигурацию безопасности, применимую к одной или большему количеству зон безопасности (security areas), поддерживаемых в Windows 2000/XP Professional или Windows 2000 Server. Заданная с помощью оснастки Групповая политика (Group Policy) конфигурация безопасности затем применяется ко всем компьютерам в пределах контейнера Active Directory как часть групповой политики.

Установка параметров безопасности с помощью оснастки Групповая политика (Group Policy) дополняет существующие функциональные возможности операционной системы. Так, в распоряжение администратора предоставляются описанные ниже возможности.

•  Account Policies. Параметры безопасности компьютера в отношении паролей, политика в отношении блокировки учетных записей, а также политики в отношении Kerberos (в доменах Windows 2000/XP).
•  Local Policies. Группа параметров, которые задают настройки в отношении политики аудита, назначенных пользователям прав доступа, а также другие параметры безопасности. Опции Local policies позволяют конфигурировать доступ к данному компьютеру локально и через сеть, а также задавать события, подлежащие аудиту.
•  Event Log. Параметры, управляющие безопасностью системных журналов (Application, Security и System), доступ к которым осуществляется при помощи утилиты Event Viewer.
•  Restricted Groups. Параметры позволяют указать пользователей, принадлежащих к группам, в отношении которых требуется жесткое соблюдение правил безопасности. Таким образом, администратор может принудительным образом устанавливать политику безопасности в отношении таких групп, как, например, Enterprise Administrators. Если к такой ограниченной группе будет добавлен еще один пользователь (например, чтобы в исключительной ситуации выполнить необходимую работу), то при следующем введении групповой политики в силу этот пользователь будет автоматически удален из ограниченной группы.
•  System Services. Опции управляют режимом запуска и дескрипторами безопасности для системных и сетевых сервисов.
•  Registry. Используется для конфигурирования параметров безопасности для ключей реестра, включая контроль доступа, аудит, а также права владельца. Параметры безопасности на ключи реестра устанавливаются в соответствии с той же моделью наследования, которая применяется во всех иерархических структурах Windows 2000/XP. Microsoft официально рекомендует использовать наследование прав доступа при определении параметров безопасности для объектов верхнего уровня, и переопределять параметры безопасности только для тех дочерних объектов, которые этого требуют.
•  File System. Используется для конфигурирования параметров безопасности в отношении объектов файловой системы, включая списки контроля доступа, аудит и права владельца.

Инкрементные шаблоны безопасности

Windows 2000/XP включает в свой состав так называемые инкрементные шаблоны безопасности (incremental security templates). По умолчанию эти шаблоны хранятся в каталоге %SystemRoot%\Security\Temp\ates. Эти предопределенные шаблоны могут быть настроены с помощью оснастки ММС Шаблоны безопасности (Security Templates), а затем импортированы в состав расширения Параметры безопасности (Security Settings) оснастки ММС Групповая политика (Group Policy).

Предопределенные шаблоны безопасности были разработаны с учетом предположения, что они будут применяться для последовательной модификации стандартных параметров безопасности Windows 2000/XP.

 Примечание 

Инкрементные шаблоны безопасности должны применяться только к новым копиям Windows 2000, установленным на раздел NTFS. Если Windows 2000/XP установлена на раздел NTFS как обновление Windows NT 4.0 или более ранней версии, следует применить базовый шаблон безопасности (Basic), с помощью которого система будет сконфигурирована с учетом стандартных требований к безопасности, применяемых по умолчанию. Систему Windows 2000/XP, которая установлена на разделе FAT, защитить нельзя.

Инкрементные шаблоны безопасности Windows 2000/XP кратко перечислены в табл. 10.4.

Таблица 10.4. Инкрементные шаблоны безопасности Windows 2000/XP

Как хранится групповая политика

Объекты групповой политики (Group Policy Objects, GPO) хранят информацию в контейнере групповой политики (Group Policy Container) и шаблоне групповой политики (Group Policy Template). Контейнер групповой политики (GPC) представляет собой контейнер Active Directory, в котором запоминаются свойства объекта групповой политики; он может содержать вложенные контейнеры для информации групповой политики в отношении пользователей и компьютеров.

Шаблон групповой политики

Объекты групповой политики хранят информацию о политике в структуре папок, которая называется шаблоном групповой политики (Group Policy Template, GPT) и располагается в папке \Policies, вложенной в папку \Sysvol на контроллерах домена.

При модификации GPO этому шаблону присваивается имя каталога, которое представляет собой глобальный уникальный идентификатор (GUID) объекта групповой политики, который был модифицирован. Пример того, как может выглядеть имя папки шаблона групповой политики (GPT), приведен ниже:

%SystemRoot%\sysvol\<SYSVOL>\
<Domain_Name>\Policies\
 {47636445-af79-lld0-91fe-080036644603)

Примечание 

Обратите внимание, что папка \<SYSVOL> становится разделяемым каталогом с именем SYSVOL.

Файл Gpt.ini

В корне каждой папки GPT располагается файл Gpt.ini, который содержит следующую информацию для легальных объектов групповой политики:

•  какие клиентские расширения оснастки Групповая политика (Group Policy) содержат данные о пользователе или компьютере в объекте групповой политики;
•  не блокированы ли параметры, задающие политику в отношении пользователей (User) или компьютеров (Computer);
•  номер версии расширения оснастки Групповая политика (Group Policy), с помощью которой был создан объект групповой политики.

Локальные объекты групповой политики

Локальные объекты групповой политики существуют на каждом компьютере, и по умолчанию они содержат только политику безопасности. Локальные объекты групповой политики хранятся в каталоге %SystemRoot% \System32\GroupPolicy, и пользователи имеют к ним доступ с правом чтения, а операционная система и администраторы — доступ типа "Полный доступ" (Full Control).

Папки шаблона групповой политики

Папка шаблона групповой политики содержит перечисленные ниже вложенные папки.

•  \Adm— все ADM-файлы, используемые этим шаблоном групповой политики.
•   \Scripts — все сценарии, используемые этим шаблоном (GPT).
•  \User — файл Registry.pol, содержащий все параметры реестра, которые должны действовать по отношению к пользователям. Когда пользователь регистрируется в системе, этот файл загружается и используется в ключе реестра HKEY_CURRENT_USER. В составе данной папки имеются следующие вложенные папки:

•  \Apps — все файлы, которые используются Windows Installer;
•  \Files — список всех файлов, которые должны быть установлены.

•  \Machine. Файл Registry.pol, содержащий все параметры реестра, которые должны действовать по отношению к компьютерам. При инициализации компьютера файл Registry.pol загружается в ключ реестра HKEY_LOCAL_MACHINE. Эта папка содержит следующие вложенные папки:

•  \Apps — файлы, используемые Windows Installer;
•  \Files — содержит список файлов, которые должны быть установлены;
•  \Microsoft\Windows NT\SecEdit — файл с установками безопасности (Gpttmpl.inf).

Вложенные папки \User и \Machine создаются автоматически во время установки, а остальные папки — в тот момент, когда устанавливается групповая политика.

Файлы Registry.pol

Расширение Административные шаблоны (Administrative Templates) оснастки ММС Групповая политика (Group Policy) сохраняет информацию шаблонов групповой политики в виде файлов формата ASCII, которые называются файлами Registry.pol. Эти файлы содержат индивидуальные настройки реестра, которые задает администратор с помощью оснастки Групповая политика (Group Policy) и которые должны быть загружены в состав ключей реестра HKLM и HKCU.

Для каждого шаблона групповой политики создается по два файла Registrypol — один для конфигурации компьютера (Computer Configuration) в папке \Machine, и второй — для конфигурации пользователя (User Configuration) в папке \User.

 Примечание 

Формат файлов Registry.pol в Windows 2000/XP отличается от формата файлов Registry.pol, созданных Windows NT 4.0 и Windows Эх. Файлы Registry.pol должны применяться только к той операционной системе, в которой они были созданы.

Если файлы Registry.pol, созданные в Windows NT 4.0 с помощью Редактора системной политики (System Policy Editor), представляли собой двоичные файлы, то файлы Registry.pol, создаваемые оснасткой Групповая политика (Group Policy) в Windows 2000/XP, представляют собой текстовые файлы, содержащие двоичные строки.

Файлы Registry.pol в Windows 2000/XP состоят из заголовка и параметров реестра. Заголовок содержит информацию о версии и данные сигнатуры в формате DWORD.

Параметры реестра заключены в квадратные скобки:

[key;value; type; size; data] 

где:

•  key — это путь к ключу реестра, причем корневые ключи (HKEY_LOCAL_ MACHINE или HKEY_CURRENT_USER) указывать не надо, поскольку само местоположение файла (в каталогах \User или \Machine) уже определяет корневой ключ;
•  value — разделенный точками с запятыми список ключей реестра, подлежащих удалению, Например: **DeleteKeys NoRun;NoFind;
•  type — тип данных, причем, хотя формат файла поддерживает практически все типы данных реестра, оснастка Административные шаблоны (Administrative Templates) различает только такие типы, как REG_DWORD,
• REG_EXPAND_SZ, REG_SZJ
•  size — размер поля данных (в байтах); 
•  data — собственно информация.

Резюме

В данной главе подробно рассмотрены файлы пользовательских профилей и системной политики, а также даны указания по их применению для внесения изменений в реестр.