Вы находитесь на странице: 1из 46

Создание подразделений в Active Directory. Рассмотреть.

Особенно
защиту от случайного удаления. Ст.69

РУКОВОДСТВО
Настройка Active Directory Windows Server 2008
(Configuring Windows Server 2008 Active Directory)
SettingupActiveDirectoryWindowsServer2008.djvu
Холмс Д., Рест Н., Рест Д.
Установка доменных служб Active Directory
ШАГ 1
Установка системы Windows Server 2008 (Ст.37)
В этом упражнении вы установите систему Windows Server 2008 на
компьютере либо виртуальной машине..
ШАГ 2
Выполнение послеустановочных задач настройки (Ст.40)
В этом упражнении вы осуществите послеустановочную настройку сервера и
укажете имя, а также параметры TCP/IP, необходимые для выполнения
упражнений данного руководства.
1. Дождитесь появления рабочего стола учетной записи Администратор
(Administrator). Откроется окно Задачи начальной настройки (Initial
Configuration Tasks), показанное на рис. 1-7. Этот инструмент
предназначен для выполнения рекомендуемых послеустановочных задач
настройки.

Рис.1-7. Задачи начальной настройки


2. В окне задач начальной настройки сконфигурируйте следующие
параметры:
 Часовой пояс (Time Zone): в соответствии с вашей средой;
 Имя компьютера (Computer Name): SERVER01. Не перезагружайте
систему, пока в руководстве не будут даны соответствующие указания.
3. В окне задач начальной настройки щелкните ссылку Настроить сеть
(Configure Networking) и проверьте соответствие конфигурации IP с
вашей средой.
4. Если сервер подключен к Интернету, то строго рекомендуется щелкнуть
ссылку Загрузить и установить обновления (Download and Install
Updates), чтобы установить на сервере последние обновления Microsoft.
5. После установки обновлений перезагрузите сервер. В остальных
упражнениях этого руководства будет создан домен с IP-адресами в
диапазоне l0.0.0.ll — 10.0.0.20 и маской подсети 255.255.255.0. Если
эти адреса используются в вашей производственной среде и сервер
подключен к корпоративной сети, то надо соответствующим образом
изменить IP-адреса, чтобы создаваемый домен contoso.com не
конфликтовал с вашей корпоративной сетью.
6. В окне Задачи начальной настройки (Initial Configuration Tasks)
щелкните ссылку Настроить сеть (Configure Networking). Откроется
диалоговое окно Сетевые подключения (Network Connections).
7. Выберите Подключение по локальной сети (Local Area Connection).
8. На панели инструментов щелкните команду Настройка параметров
подключения (Change Settings of This Connection).
9. Выберите пункт Протокол Интернета версии 4 (TCP/IPv4) (Internet
Protocol Version 4 (TCP/IPv4)) и щелкните кнопку Свойства Properties).
В системе Windows Server 2008 реализована также встроенная поддержка
протокола Интернета версии 6 (TCP/IPv6).
10. Щелкните пункт Использовать следующий IP-адрес (Use the Following
IP Address). Введите такие параметры конфигурации:
 IP-адрес (IP Address): 10.0.0.11;
 маска подсети (Subnet Mask): 255.255.255.0;
 основной шлюз (Default Gateway): 10.0.0.11;
 предпочитаемый DNS-сервер (Preferred DNS Server): 10.0.0.11.
11. Щелкните OK, а затем — кнопку Закрыть (Close).
12. Обратите внимание на ссылки Добавить роли (Add Roles) и Добавить
компоненты (Add Features) в окне задач начальной настройки. В
следующем упражнении вы будете использовать Диспетчер сервера (Server
Manager) для добавления ролей и компонентов на SERVER01. С помощью
этих ссылок можно выполнить те же задачи еще одним способом. Окно
задач начальной настройки открывается каждый раз при входе па сервер.
13. Установите флажок Не показывать это окно при входе в систему (Do
Not Show This Window at Logon), чтобы это окно больше не появлялось
при загрузке.
Чтобы в будущем открыть окно задач начальной настройки, используйте
команду Oobe.exe.
14. Щелкните кнопку Закрыть (Close) в нижней части окна задач
начальной настройки. Откроется Диспетчер сервера (Server Manager). С
его помощью можно конфигурировать и администрировать роли и компоненты
сервера Windows Server 2008. Вы будете применять этот диспетчер в
следующем упражнении.
ШАГ 3
Установка леса Windows Server 2008 с помощью интерфейса Windows
(Ст.42)
В этом упражнении вы добавите роль AD DS на сервер, установленный и
сконфигурированный в упражнениях 1 и 2.
1. В группе программ Администрирование (Administrative Tools) откройте
Диспетчер сервера (Server Manager).
2. В разделе Состояние роли (Roles Summary) домашней страницы щелкните
кнопку Добавить роли (Add Roles). Будет запущен Мастер добавления
ролей (Add Roles Wizard).
3. Щелкните кнопку Далее (Next).
4. На странице Выбор ролей сервера (Select Server Roles) установите
флажок Доменные службы Active Directory (Active Directory Domain
Services). Щелкните кнопку Далее (Next).
5. На странице Доменные службы Active Directory (Active Directory
Domain Services) щелкните кнопку Далее (Next).
6. На странице Подтвердите выбранные элементы (Confirm Installation
Selections) щелкните кнопку Установить (Install). Процесс выполнения
задач установки отображается на странице Ход выполнения установки
(Installation Progress).
7. На странице Результаты установки (Installation Results) просмотрите
результаты установки и щелкните кнопку Закрыть (Close). В разделе
Состояние роли (Roles Summary) домашней страницы Диспетчера сервера
(Server Manager) вы увидите сообщение об ошибке, помеченное красным
кружком с белым крестиком. В разделе Доменные службы Active Directory
(Active Directory Domain Services) также появится сообщение. Обе
ссылки открывают показанную на рис. 1-8 страницу роли доменных служб
Active Directory в диспетчере сервера. Сообщение напоминает о том, что
надо запустить команду Dcpromo.exe. Этим мы займемся в следующем
упражнении.

Рис. 1-8. Страница доменных служб Active Directory в диспетчере сервера

ШАГ 4
Установка леса Windows Server 2008 (Ст.43)
В этом упражнении вы воспользуетесь мастером установки доменных служб
Active Directory (Dcpromo.exe) для создания нового леса Windows Server
2008.
1. Щелкните кнопки Пуск (Start) и Выполнить (Run), введите команду
Dcpromо.ехе и нажмите клавишу Enter.
ПРИМЕЧАНИЕ Добавление роли AD DS посредством команды Dcpromo
В предыдущем упражнении вы добавили роль AD DS с помощью диспетчера сервера.
Однако если запустить команду Dcpromo.exe на сервере без установленной роли
AD DS, то мастер добавит эту роль автоматически.
Откроется Мастер установки доменных служб Active Directory (Active
Directory Domain Services Installation Wizard). Его расширенные режимы
описаны в главе 10.
2. Щелкните кнопку Далее (Next).
3. Нa странице Совместимость операционных систем (Operating System
Compatibility) ознакомьтесь с предупреждением о заданных по умолчанию
параметрах безопасности для контроллеров доменов системы Windows
Server 2008, а затем щелкните кнопку Далее (Next).
4. Нa странице Выберите конфигурацию развертывания (Choose a
Deployment Configuration) остановите свой выбор на конфигурации
Создать новый домен в новом лесу (Create a New Domain in a New Forest)
и щелкните кнопку Далее (Next).
5. На странице Укажите имя корневого домена леса (Name the Forest Root
Domain) введите в поле имя contoso.com и щелкните кнопку Далее (Next).
Система проверит уникальность имен DNS и NetBIOS в сети.
6. На странице Задание режима работы леса (Set Forest Functional
Level) выберите функциональный уровень Windows Server 2008 и щелкните
кнопку Далее (Next).
Все функциональные уровни описаны в окне Подробности (Details)
страницы. При выборе функционального уровня леса Windows Server 2008
все домены в лесу будут работать на уровне Windows Server 2008,
обеспечивающем несколько новых возможностей системы Windows Server
2008. Функциональные уровни подробно описаны в главе 12.
Откроется страница Параметры дополнительного контроллера домена
(Additional Domain Controller Options). По умолчанию будет выбран DNS-
сервер. Мастер установки доменных служб Active Directory создаст
инфраструктуру DNS в процессе установки AD DS. Первый контроллер
домена в лесу должен быть сервером глобального каталога GC (Global
Catalog) и не может быть контроллером домена только для чтения RODC
(Read-Only Domain Controller).
7. Щелкните кнопку Далее (Next). Появится предупреждение о назначении
статического IP-адреса. Поскольку конфигурация IPv6 не описана в
данном руководстве, в упражнении 2 для сервера не был назначен
статический 1Рv6-адрес. В упражнении 2 вы назначили статический IPv4-
aдpec, который будет использоваться в последующих упражнениях. В
контексте текущего упражнения данное предупреждение можно
проигнорировать.
8. Щелкните кнопку Да, компьютер будет использовать динамически
назначаемый IP-адрес (не рекомендуется) (Yes, the Computer Will Use a
Dynamically Assigned IP Address (Not Recommended)). Появится
предупреждение о том, что для этого DNS-сервера не будет
делегирования. В контексте данного упражнения вы можете
проигнорировать эту ошибку. Делегирование доменов DNS описано в главе
9.
9. Щелкните кнопку Да (Yes), чтобы закрыть окно предупреждения мастера
установки доменных служб Active Directory.
10. На странице Расположение для базы данных, файлов журнала и SYSVOL
(Location for Database, Log Files and SYSVOL) примите заданное по
умолчанию размещение для файла базы данных, файлов журнала службы
каталогов и SYSVOL, а затем щелкните кнопку Далее (Next). В
производственной среде эти файлы лучше всего хранить в трех отдельных
томах, где нет приложений и других файлов, которые не имеют отношения
к AD DS. Благодаря этому повысится производительность, а также
эффективность архивации и восстановления.
11. На странице Пароль администратора для режима восстановления служб
каталогов (Directory Services Restore Mode Administrator Password)
введите строгий пароль в поля Пароль (Password) и Подтверждение
(Confirmed Password). Щелкните кнопку Далее (Next).
12. На странице Сводка (Summary) просмотрите выбранные параметры. Если
какие-либо из них некорректны, то щелкните кнопку Назад (Back), чтобы
внести модификации.
13. Дважды щелкните кнопку Далее (Next). Начнется процесс настройки AD
DS. После его завершения потребуется перезагрузить сервер. При желании
вы можете установить флажок Перезагрузка по завершении (Reboot on
Completion).
Создание и настраивание рабочих инструментов
Создание настраиваемой консоли ММС и управление ею
На этом практическом занятии вы создадите настраиваемую консоль ММС.
Для этого вы добавите оснастки, удалите некоторые из них и измените их
порядок. Затем вы подготовите консоль для распространения среди других
администраторов.
Создание настраиваемой консоли ММС (Ст.64)
В этом упражнении вы создадите настраиваемую консоль ММС с оснастками
Active Directory — пользователи и компьютеры (Active Directory Users
and Computers), Схема Active Directory (Active Directory Schema) и
Управление компьютером (Computer Management). Эти инструменты удобны
для администрирования Active Directory и контроллеров доменов.
1. Войдите на машину SERVER01 как Администратор (Administrator).
2. Щелкните кнопку Пуск (Start), в поле Начать поиск (Start Search)
введите команду mmс.ехе и нажмите клавишу Enter.
Откроется пустая консоль ММС. По умолчанию новое окно консоли не
развернуто внутри ММС. Разверните его, чтобы использовать преимущества
полного размера окна приложения.
3. В меню Консоль (File) выберите команду Добавить или удалить
оснастку (Add/Remove Snap-in).
Откроется диалоговое окно Добавление и удаление оснастки (Add or
Remove Snap-in), показанное на рис. 2-3.

Рис. 2-3. Диалоговое окно добавления и удаления оснасток


Если оснастки не отображаются в списке справа, проверьте, установлен
ли на машине набор средств RSAT.
4. В диалоговом окне Добавление и удаление оснастки (Add or Remove
Snap-in) в списке Доступные оснастки (Available Snap-ins) выберите
Active Directory — пользователи и компьютеры (Active Directory Users
and Computers).
5. Щелкните кнопку Добавить (Add), чтобы добавить оснастку в список
Выбранные оснастки (Selected Snap-ins). Обратите внимание, что
оснастка Схема Active Directory (Active Directory Schema) недоступна.
Она устанавливается вместе с ролью Доменные службы Active Directory
(Active Directory Domain Services) с набором средств RSAT, но не
регистрируется и не отображается.
6. Щелкните ОК, чтобы закрыть диалоговое окно добавления и удаления
оснасток.
7. Щелкните кнопку Пуск (Start). В поле Начать поиск (Start Search)
введите команду cmd.exe.
8. В окно командной строки введите команду regsvr32.exe schmmgmt.dll.
Эта команда регистрирует динамически подключаемую библиотеку DLL
(Dynamic Link Library) оснастки Схема Active Directory (Active
Directory Schema). Данную операцию следует выполнить в системе один
раз перед добавлением этой оснастки в консоль.
9. Появится строка с информацией об успешной регистрации. Щелкните ОК.
10. Вернитесь к настраиваемой консоли ММС и повторите шаги 2-6, чтобы
добавить оснастку Схема Active Directory (Active Directory Schema).
11. В меню Консоль (File) выберите команду Добавить или удалить
оснастку (Add/Remove Snap-in).
12. В диалоговом окне Добавление и удаление оснастки (Add or Remove
Snap-in) выберите в списке доступных оснасток Управление компьютером
(Computer Management).
13. Щелкните кнопку Добавить (Add), чтобы добавить оснастку в список
Выбранные оснастки (Selected Snap-in).
Если оснастка поддерживает удаленное администрирование, вам будет
предложено выбрать компьютер, которым вы хотите управлять (рис. 2-4).

Рис. 2-4. Выбор компьютера, которым будет управлять оснастка


 Для управления компьютером, на котором запускается консоль,
выберите опцию Локальным компьютером (Local Computer). Этот не
означает, что управлять посредством консоли можно будет лишь тем
компьютером, на котором она была создана. Если запустить эту
консоль с другого компьютера, она будет управлять им.
 Чтобы указать другой конкретный компьютер, которым должна
управлять эта оснастка, выберите опцию Другим компьютером
(Another Computer). Затем введите имя компьютера или щелкните
кнопку Обзор (Browse), чтобы указать компьютер.
14. Выберите опцию управления другим компьютером и введите имя
компьютера - SERVER01.
15. Щелкните кнопку Готово (Finish).
16. Щелкните ОК, чтобы закрыть диалоговое окно добавления и удаления
оснасток.
17. В меню Консоль (File) выберите команду Сохранить (Save) и
сохраните консоль под именем MyConsole.msc на рабочем столе. Закройте
консоль.
Добавление оснастки в консоль ММС (Ст.66)
В этом упражнении вы добавите оснастку Просмотр событий (Event Viewer)
в консоль, созданную в упражнении 1. Эту оснастку удобно применять для
отслеживания операций на контроллерах домена.
1. Откройте консоль MyConsole.msc.
Если в упражнении 1 вы сохранили консоль не на рабочем столе, а
сохранили ее в папке по умолчанию, то можете найти ее в папке Главное
меню\Программы\Администрирование
(Start\All Programs\AdministrativeTools).
2. В меню Консоль (File) выберите команду Добавить или удалить
оснастку (Add/Remove Snap-in).
3. В диалоговом окне Добавление и удаление оснастки (Add or Remove
Snap-in) выберите оснастку Просмотр событий (Event Viewer).
4. Щелкните кнопку Добавить (Add), чтобы добавить оснастку в список
выбранных оснасток.
Вам будет предложено выбрать компьютер для управления.
5. Выберите опцию Другим компьютером (Another Computer) и введите имя
компьютера — SERVER01.
6. Щелкните ОК.
7. Щелкните ОК, чтобы закрыть диалоговое окно добавления и удаления
оснасток.
8. Сохраните и закройте консоль.
Управление оснастками в консоли ММС (Ст.66)
В этом упражнении вы поменяете порядок оснасток и удалите одну из них.
Вы также изучите расширения оснасток.
1. Откроите консоль MyConsole.msc.
2. В меню Консоль (File) выберите команду Добавить или удалить
оснастку (Add/Remove Snap-in).
3. В списке выбранных оснасток выберите Просмотр событий (Event
Viewer).
4. Щелкните кнопку Вверх (Move Up).
5. Выберите оснастку Схема Active Directory (Active Directory Schema).
6. Щелкните кнопку Удалить (Remove).
7. В списке Выбранные оснастки (Selected Snap-ins) выберите оснастку
Управление компьютером (Computer Management).
8. Щелкните кнопку Изменить расширения (Edit Extensions).
Расширения представляют собой оснастки в еще одной оснастке и
обеспечивают дополнительную функциональность. Оснастка Управление
компьютером (Computer Management) содержит в качестве расширений много
других оснасток, каждую из которых можно включать и отключать по
отдельности.
9. Выберите Включать только выбранные расширения (Enable Only Selected
Extensions).
10. Сбросьте флажок Просмотр событий (Event Viewer). Вы уже добавили
Просмотр событий в консоль в качестве независимой оснастки.
11. Щелкните ОК, чтобы закрыть диалоговое окно Управление компьютером
— расширения (Extensions For Computer Management).
12. Щелкните ОК, чтобы закрыть диалоговое окно Добавление и удаление
оснастки (Add or Remove Snap-in).
13. Сохраните и закройте консоль.
Подготовка консоли к распространению среди пользователей (Ст.67)
В этом упражнении вы сохраните консоль в пользовательском режиме,
чтобы пользователи не могли добавлять, удалять и модифицировать
оснастки. Не забывайте, что пользователями ММС, как правило,
становятся сами администраторы.
1. Откройте консоль MyConsole.msc.
2. В меню Консоль (File) выберите команду Параметры (Options).
3. В раскрывающемся списке Режим консоли (Console Mode) выберите режим
Пользовательский — полный доступ (User Mode — Full Access).
4. Щелкните ОК.
5. Сохраните и закройте консоль.
6. Откройте консоль, дважды щелкнув ее значок.
7. Щелкните меню Консоль (File). Как видите, в меню нет команды
Добавить или удалить оснастку (Add/Remove Snap-in).
8. Закройте консоль.
Создание и поиск объектов в Active Directory
В предложенных далее упражнениях вы создадите и отыщете объекты в
Active Directory. Вы создадите подразделения, пользователей, группы и
компьютеры. Затем вы создадите сохраненный запрос и настроите
представление этого сохраненного запроса. Объекты, созданные в этом
упражнении, будут использоваться на других практических занятиях
этого руководства.
ШАГ 5
Создание подразделений (Ст.85)
Контейнеры Users и Computers, создаваемые по умолчанию, упрощают
установку домена Active Directory и миграцию в него. Рекомендуется
создавать подразделения в соответствии с моделью управления компанией
и использовать эти подразделения для создания объектов в службе
каталогов и управления ими. В этом упражнении вы создадите
подразделения для домена contoso.com. Они будут использоваться на
последующих практических занятиях данного руководства.
1. Войдите на машину SERVER01 как администратор.
2. Откройте оснастку Active Directory — пользователи и компьютеры
(Active Directory Users And Computers).
3. Разверните узел домена.
А. Щелкните правой кнопкой мыши узел домена, выберите опцию Создать
(New) и примените команду Подразделение (Organizational Unit).
5. Введите для подразделения имя Кадры.
6. Установите флажок Защитить контейнер от случайного удаления
(Protect Container From Accidental Deletion).
7. Щелкните ОК.
8. Щелкните подразделение правой кнопкой мыши и примените команду
Свойства (Properties).
9. В поле Описание (Description) введите Неадминистративные
пользовательские объекты идентификации.
10. Щелкните ОК.
11. Повторите шаги 2-10, чтобы создать следующие подразделения.
Имя Описание
Кадры Неадминистративные
пользовательские объекты
идентификации
Клиенты Клиентские компьютеры
Группы Неадминистративные группы
Администраторы Административные объекты
идентификации и группы
Серверы Серверы

ШАГ 6
Создание пользователей (Ст.86)
Теперь созданные в домене contoso.com подразделения можно заполнить
объектами. В этом упражнении вы создадите несколько пользователей в
двух подразделениях, созданных в упражнении 1. Эти объекты
пользователей будут применяться на последующих практических занятиях
данного руководства.
1. Войдите на машину SERVER01 как администратор и откройте оснастку
Active Directory — пользователи и компьютеры (Active Directory Users
And Computers).
2. Следуйте инструкциям из подраздела «Создание объекта пользователя»
(см. ранее в этой главе) и создайте в подразделении Кадры указанных
ниже пользователей. Для каждого пользователя предусмотрите сложный
безопасный пароль. Запомните назначенные пароли, поскольку вы будете
входить в систему с помощью этих учетных записей на последующих
практических занятиях данного руководства.
3. В дереве консоли разверните узел домена contoso.com и выберите
подразделение Кадры.
4. Щелкните правой кнопкой мыши подразделение Кадры, выберите опцию
Создать (New) и примените команду Пользователь (User).
Откроется диалоговое окно Новый объект — пользователь (New Object —
User).

5. В поле Имя (First Name) введите для пользователя имя Дэн.


6. В поле Фамилия (Last Name) введите фамилию Холме.
7. В поле Имя входа пользователя (User Logon Name) введите имя dholme.
8. В поле Имя входа пользователя (пред-Windows 2000) (User Logon Name
(Pre-Windows 2000)) введите имя dholme.
9. Щелкните кнопку Далее (Next).
10. Введите начальный пароль пользователя в поля Пароль (Password) и
Подтверждение (Confirm Password). Политика паролей домена Active
Directory по умолчанию требует назначить пароль как минимум из семи
символов. Кроме того, пароль должен содержать три из четырех типов
символов: прописные буквы (A-Z), строчные буквы (а-z), цифры 0-9) и
особые символы (такие, как, например, !, @, #, S, %). Пароль не может
содержать атрибуты имени пользователя.
Запомните пароль, назначенный пользователю, поскольку эта учетная
запись понадобится вам на практических занятиях далее в этом
руководстве.
Во многих руководствах рекомендуется использовать групповой пароль,
например, P@ssword. Такой пароль можно использовать на практических
занятиях данного руководства, но рекомендуется создавать уникальные
пароли даже в упражнениях, чтобы следовать корректным методикам и в
лабораторной среде.
11. Установите флажок Требовать смену пароля при следующем входе в
систему (User Must Change Password At Next Logon).
12. Щелкните кнопку Далее (Next).
13. Просмотрите введенные параметры и щелкните кнопку Готово (Finish).
14. Щелкните правой кнопкой мыши созданный объект пользователя и
примените команду Свойства (Properties).
15. Просмотрите атрибуты, которые можно конфигурировать в диалоговом
окне свойств. Не изменяйте пока свойства пользователя.
16. Щелкните ОК.
17. Повторите шаги 3-12 и создайте следующих пользователей в
подразделении Кадры.
 Джеймс Файн
o Имя (First Name): Джеймс;
o Фамилия (Last Name): Файн;
o Полное имя (Full Name): Джеймс Файн;
o Имя входа пользователя (User Logon Name): jfine.
 Барбара Майер
o Имя: Барбара;
o Фамилия: Майер;
o Полное имя: Барбара Майер;
o Имя входа пользователя: bmayer;
o Имя входа пользователя пред-Windows 2000: bmayer.
 Барбара Морленд
o Имя: Барбара;
o Фамилия: Морленд;
o Полное имя: Барбара Морленд; Имя входа пользователя:
bmorelend;
o Имя входа пользователя пред-Windows 2000: bmorelend.
18. Еще раз повторите шаги 3-12: создайте в подразделении Кадры
учетную запись для себя. Создайте сложный безопасный пароль и
запомните его, поскольку эта учетная запись будет использоваться в
других упражнениях данного руководства.
19. Снова повторите шаги 3-12 и создайте для себя административную
учетную запись в подразделении Администраторы. Этой учетной записи
будут предоставлены административные привилегии. Создайте объект
пользователя в подразделении Администраторы, а не в подразделении
Кадры. В качестве имени входа пользователя для административной
учетной записи возьмите имя и фамилию с суффиксом _admin, например
dholme_admin. Создайте сложный безопасный пароль и запомните его,
поскольку эта учетная запись будет задействована в других упражнениях
данного руководства.
ШАГ 7
Создание компьютеров (Ст.88)
Учетные записи компьютеров нужно создать до присоединения машин к
домену. В этом упражнении вы создадите несколько компьютеров в двух
подразделениях, созданных в упражнении 1. Эти объекты компьютеров
будут использоваться в других упражнениях данного руководства.
1. Войдите на машину SERVER01 как администратор и откройте оснастку
Active Directory — пользователи и компьютеры (Active Directory Users
and Computers).
2. В дереве консоли разверните узел домена contoso.com и выберите
подразделение Серверы.
3. Щелкните правой кнопкой мыши подразделение Серверы, выберите опцию
Создать (New) и примените команду Компьютер (Computer).
Откроется диалоговое окно Новый объект — Компьютер (New Object —
Computer).
4. В поле Имя компьютера (Computer Name) введите для компьютера имя
FILESERVER01.

Данные автоматически будут введены в поле Имя компьютера (пред-Windows


2000) (Computer Name (Pre-Windows 2000)).
5. He меняйте имя в поле Имя компьютера (пред-Windows 2000).
6. Обратите внимание на учетную запись, указанную в текстовом поле Имя
пользователя или группы (User Or Group Field). He меняйте пока эту
учетную запись.
7. Не устанавливайте флажок Назначить учетной записи статус пред-
Windows 2000 (Assign This Computer Account As A Pre-Windows 2000
Computer).
8. Щелкните ОК.
9. Щелкните правой кнопкой мыши компьютер и примените команду Свойства
(Properties).
10. Просмотрите доступные свойства компьютера. Не меняйте пока данные
атрибуты.
11. Щелкните ОК.
12. Повторите шаги 3-8 и создайте два объекта компьютеров:
 SHAREPOINT02;
 EXCHANGE03.
13. Повторите шаги 3-8 и создайте еще три объекта компьютеров в
подразделении Клиенты:
 DESKTOP101;
 DESKTOP102;
 LAPTOP103.
ШАГ 8
Создание групп (Ст.89)
Объектами лучше всего управлять с помощью групп. В данном упражнении
вы создадите несколько групп в двух подразделениях, созданных в
упражнении 1. Эти группы будут использоваться на практических занятиях
далее в настоящем руководстве.
1. Войдите на машину SERVER01 как администратор и откройте оснастку
Active Directory — пользователи и компьютеры (Active Directory Users
And Computers).
2. В дереве консоли разверните узел домена contoso.com и выберите
подразделение Группы.
3. Щелкните подразделение Группы правой кнопкой мыши, выберите опцию
Создать (New) и примените команду Группа (Group).
Откроется диалоговое окно Новый объект — Группа (New Object — Group).
4. В текстовое поле Имя группы (Group Name) введите для группы имя
Финансы.

5. Не меняйте имя в поле Имя группы (пред-Windows 2000) (Group Name


(Pre-Windows 2000)).
6. Выберите для группы тип Группа безопасности (Security).
7. Выберите область действия Глобальная (Global).
8. Щелкните ОК.
Многие свойства объектов групп можно конфигурировать. Эти свойства
можно определить после создания объекта.
9. Щелкните группу правой кнопкой мыши и примените команду Свойства
(Properties).
10. Просмотрите доступные свойства группы. Не меняйте пока эти
атрибуты.
11. Щелкните ОК.
12. Повторите шаги 3-8 для создания следующих глобальных групп
безопасности в подразделении Группы:
 Финансовые менеджеры;
 Продажи;
 APP_Office 2007.
13. Повторите шаги 3-8 и создайте две глобальные группы безопасности в
подразделении Администраторы:
 Справка;
 Администраторы Windows.
ШАГ 9
Добавление пользователей и компьютеров в группы (Ст.90)
Теперь в созданные группы можно добавлять объекты в качестве членов. В
этом упражнении вы добавите в группы компьютеры и пользователей.
Заодно вы попрактикуетесь в поиске объектов Active Directory с помощью
диалогового окна выбора объектов.
1. Войдите на машину SERVER01 как администратор и откройте оснастку
Active Directory — пользователи и компьютеры (Active Directory Users
and Computers).
2. Откройте свойства своей административной учетной записи в
подразделении Администраторы.
3. Перейдите на вкладку Член групп (Member Of).
4. Щелкните кнопку Добавить (Add).
5. В диалоговое окно Выбор: "Группы" (Select Groups) введите имя
Администраторы домена (Domain Admins).
6. Щелкните ОК.
7. Вновь щелкните ОК, чтобы закрыть окно свойств учетной записи.
8. Откройте свойства группы Справка в подразделении Администраторы.
9. Перейдите на вкладку Члены группы (Members).
10. Щелкните кнопку Добавить (Add).
11. В диалоговое окно Выбор (Select) введите имя Барб.
12. Щелкните кнопку Проверить имена (Check Names).
Откроется диалоговое окно Найдено несколько имен (Multiple Names
Found).
13. Выберите имя Барбара Майер и щелкните ОК.
14. Щелкните ОК, чтобы закрыть диалоговое окно Выбор (Select).
15. Вновь щелкните ОК, чтобы закрыть окно свойств группы.
16. Откройте свойства группы APP_Office 2007 в подразделении Группы.
17. Перейдите на вкладку Члены группы (Members).
18. Щелкните кнопку Добавить (Add).
19. В диалоговое окно Выбор (Select) введите имя DESKTOP101.
20. Щелкните кнопку Проверить имена (Check Names).
Откроется диалоговое окно Имя не найдено (Name Not Found) с сообщением
о том, что указанный объект нельзя разрешить.
21. Щелкните кнопку Отмена (Cancel), чтобы закрыть диалоговое окно Имя
не найдено.
22. В окне Выбор (Select) щелкните кнопку Типы объектов (Object
Types).
23. Выберите тип объектов Компьютеры (Computers) и щелкните ОК.
24. Щелкните кнопку Проверить имена (Check Names). Теперь имя будет
разрешено в окне Выбор (Select).
25. Щелкните ОК.
Поиск объектов в Active Directory (Ст.91)
Чтобы отыскать объекты в службе каталогов домена, иногда эффективнее
использовать функции поиска, чем открывать структуру подразделении и
искать объект вручную. В этом упражнении вы задействуете три
интерфейса для поиска объектов в Active Directory.
1. Войдите на машину SERVER01 и откройте оснастку Active Directory —
пользователи и компьютеры (Active Directory Users and Computers).
2. Щелкните кнопку Поиск объектов в доменных службах Active Directory
(Find Objects In Active Directory Domain Services).
3. В раскрывающемся списке Где (In) выберите домен contoso.com.
4. В поле Имя (Name) введите Барб.

5. Щелкните кнопку Найти (Find Now).


6. В результатах поиска отобразятся два пользователя с именем Барбара.
7. Закройте окно поиска.
8. В главном меню откройте окно Сеть (Network).
9. Щелкните кнопку Поиск в Active Directory (Search Active Directory).
10. Повторите шаги 3-7.
11. В оснастке Active Directory — пользователи и компьютеры (Active
Directory Users and Computers) щелкните правой кнопкой мыши узел
Сохраненные поиски (Saved Queries), выберите опцию Создать (New) и
примените команду Запрос (Query).
Если узел сохраненных запросов не отображается, закройте консоль и
откройте оснастку Active Directory — пользователи и компьютеры в папке
Администрирование (Administrative Tools) панели управления.
12. В поле Имя (Name) введите Все пользователи.
13. В поле Описание (Description) введите описание Пользователи всего
домена.
14. Щелкните кнопку Запрос (Define Query).
15. На вкладке Пользователи (Users) выберите в поле Имя (Name)
параметр Имеет значение (Has A Value).
16. Дважды щелкните ОК, чтобы закрыть диалоговые окна.
Отобразятся результаты сохраненного запроса с данными пользователей
подразделений Кадры и Администраторы.
17. В меню Вид (View) примените команду Добавить или удалить столбцы
(Add/Remove Columns).
18. В списке Имеющиеся столбцы (Available Columns) выберите столбец
Фамилия (Last Name) и щелкните кнопку Добавить (Add).
19. В списке Отображаемые столбцы (Displayed Columns) выберите Тип
(Туре)и щелкните кнопку Удалить (Remove).
20. Щелкните ОК.
21. Перетащите заголовок столбца Фамилия (Last Name) и расположите его
между столбцами Имя (Name) и Описание (Description).
22. Щелкните заголовок столбца Фамилия (Last Name), чтобы
автоматически отсортировать пользователей по фамилии.
ШАГ 10
Присоединение компьютера к домену (Ст.222)
В этом упражнении вы присоедините компьютер к домену. Для этого
необходим еще один компьютер: сервер SERVER02 с системой Windows
Server 2008 или клиентская машина DESKTOP101 с системой Windows Vista.
Если компьютеру присвоено другое имя, нужно переименовать его или
создать объект для этого компьютера в подразделении Кадры в
соответствии с инструкциями упражнения 2.
1. Войдите на компьютер рабочей группы с учетными данными,
принадлежащими к локальной группе Администраторы (Administrators)
компьютера.
2. Откройте окно свойств системы, применив один из следующих методов:
 откройте апплет Система (System) в панели управления;
 в меню Пуск (Start) щелкните правой кнопкой мыши ссылку Компьютер
(Computer);
 нажмите клавишу Windows и клавишу Pause.
3. В секции Имя компьютера, имя домена и параметры рабочей группы
(Computer Name, Domain, and Workgroup Settings) щелкните ссылку
Изменить параметры (Change Settings).
4. Перейдите на вкладку Имя компьютера (Computer Name).
5. Щелкните кнопку Изменить (Change).
6. В секции Является членом (Member Of) выберите опцию Домен (Domain).
7. Введите имя домена contoso.com, к которому хотите присоединить
компьютер.
8. Щелкните ОК. Компьютер попытается связаться с доменом. Система
Windows предложит ввести учетные данные пользователя домена.
9. Введите учетные данные и щелкните ОК.
 Если вы присоединяете к домену машину SERVER02, введите учетные
данные пользователя Джеффа Форда, входящего в группу
Администраторы сервера.
 Если вы присоединяете к домену машину DESKTOP101, введите учетные
данные пользователя Линды Митчелл из группы Справка.
10. Вам будет предложено перезагрузить компьютер. Щелкните ОК, чтобы
закрыть это окно сообщения.
11. Щелкните кнопку Закрыть (Close), чтобы закрыть диалоговое окно
свойств системы.
12. Перезагрузите компьютер.
Реализация групповой политики
В предложенных далее упражнениях вы отконфигурируете домен contoso.com
с помощью групповой политики, создадите, отконфигурируете и определите
области действия для объектов групповой политики, а также примените
новые компоненты групповой политики в Windows Server 2008.
ШАГ 11
Создание, редактирование и определение области действия объекта
(Ст.271)
Создайте объект GPO, который реализует параметр обязательной политики
безопасности Contoso, Ltd с областью действия для всех пользователей и
компьютеров в домене.
1. Войдите на машину SERVER01 как администратор.
2. В группе Администрирование (Administrative Tools) откройте консоль
Управление групповой политикой (Group Policy Management).

3. Разверните лес и домен contoso.com и откройте контейнер Объекты


групповой политики (Group Policy Objects).
4. В дереве консоли щелкните правой кнопкой мыши контейнер Объекты
групповой политики и выполните команду Создать (New).
5. В поле Имя (Name) введите имя CONTOSO Стандарты. Щелкните ОК.
6. Щелкните правой кнопкой мыши объект CONTOSO Стандарты и выполните
команду Изменить (Edit). Откроется Редактор управления групповыми
политиками (Group Policy Management Editor).

7. В консоли щелкните правой кнопкой мыши корневой узел CONTOSO


Стандарты и выполните команду Свойства (Properties).
8. Перейдите на вкладку Комментарий (Comment) и введите комментарий
«Стандарты корпоративных политик Contoso. Параметры влияют па всех
пользователей и компьютеры в домене. Ответственное лицо за объект GPO:
ваше имя». Щелкните ОК.
В этом сценарии корпоративная политика безопасности Contoso указывает,
что компьютеры нельзя оставлять без присмотра и входить на них
после 10 мин. простоя. Для того чтобы выполнить это требование,
конфигурируется время ожидания экранной заставки и параметры политики
пароля защиты экранной заставки. Для локализации этих параметров
политики применяются новые поисковые возможности Windows Server 2008.
9. Разверните узел Конфигурация пользователя\Политики\Административные
шаблоны (User Configuration\Policies\Administrative Templates).
10. Просмотрите параметры в этом узле. Прочитайте описание
интересующих вас параметров политики. Не вносите изменения в
конфигурацию.
11. В узле Конфигурация пользователя (User Configuration) щелкните
правой кнопкой мыши узел Административные шаблоны (Administrative
Templates) и выполните команду Параметры фильтра (Filter Options).
12. Установите флажок Включить фильтры по ключевым словам (Enable
Keyword Filters).
13. В
текстовом
поле
Фильтры
по словам
(Filter
for
Word(s))
введите
слова
экранная
заставка.
14. В

раскрывающемся списке возле текстового поля выберите опцию Точное


(Exact). Щелкните ОК.
Параметры политики административных шаблонов будут отфильтрованы для
отображения параметров со словами экранная заставка.
15. Просмотрите найденные политики экранной заставки.
16. В узле Панель управления\Окно свойств экрана (Control
Panel\Display) щелкните параметр политики Таймаут экранной заставки
(Screen Saver Timeout). В левой части панели сведений консоли
отобразится описание параметра.
17. Дважды щелкните параметр политики Таймаут экранной заставки
(Screen Saver Timeout).
18. Просмотрите объяснение на вкладке Объяснение (Explain).
19. Перейдите на вкладку параметр (Setting) и выберите опцию Включен
(Enabled).
20. В поле Секунды (Seconds) введите значение 600.
21. На вкладке Комментарий (Comment) введите «Корпоративная политика
безопасности реализована с помощью этой политики в комбинации с
парольной защитой экранной заставки». Щелкните ОК.
22. Дважды щелкните параметр политики Использовать парольную защиту
для экранных заставок (Password Protect The Screen Saver).
23. Выберите опцию Включить (Enabled).
24. На вкладке Комментарий (Comment) введите «Корпоративная политика
безопасности реализована с помощью этой политики в комбинации с
политикой таймаута экранной заставки». Щелкните ОК.
25. Закройте редактор GPME. Изменения, внесенные в GPME, сохраняются в
реальном времени. Такая команда, как Сохранить (Save), отсутствует.
26. В консоли Управление групповой политикой (Group Policy Management)
щелкните правой кнопкой мыши домен contoso.com и выполните команду
Связать существующий объект GPO (Link An Existing GPO).
27. Выберите объект групповой политики CONTOSO Стандарты и щелкните
ОК.
Просмотр результатов применения групповой политики (Ст.273)
Проверьте результат применения параметра групповой политики,
отконфигурированного в упражнении 1, а также попрактикуйтесь в
обновлении политики вручную с помощью инструмента Gpupdate.exe.
1. На машине SERVER01 щелкните правой кнопкой мыши рабочий стол и
выполните команду Персоналнзация (Personalize).
2. Щелкните ссылку Экранная заставка (Screen Saver).
3. Вы можете изменить время ожидания экранной заставки и ее
отображение, начиная с экрана входа в систему. Закройте диалоговое
окно Параметры экранной заставки (Screen Saver Settings).
4. Откройте окно командной строки и введите команду gpupdate.exe
/force /boot /logoff.
Эти опции команды Gpudale.exe указывают на полное обновление групповой
политики. Подождите, пока закончится обновление политик компьютера и
пользователя.
5. Вновь откройте диалоговое окно Параметры экранной заставки (Screen
Saver Settings). Теперь вы не сможете изменить время ожидания и
отображение экранной заставки.
Обзор объекта групповой политики (Ст.273)
Просмотрев результаты применения GPO, проанализируйте сам объект GPO,
чтобы лучше понять принцип внутренней работы групповой политики.
1. В контейнере Объекты групповой политики (Group Policy Objects)
консоли Управление групповой политикой (Group Policy Management)
выберите объект CONTOSO Стандарты.
2. В секции Связи (Links) вкладки Область (Scope) показаны связи GPO.
3. Перейдите на вкладку Параметры (Settings), чтобы просмотреть отчет
о параметрах в объекте GPO.
Если включена конфигурация повышенной безопасности Internet Explorer
(Internet Explorer Enhanced Security Configuration, ESC), подтвердите
добавление содержимого веб-узла aboutisecurity_mmc.exe в зону надежных
узлов (Trusted Sites).
4. Щелкните ссылку Показать все (Show All) в верхней части отчета,
чтобы развернуть все секции отчета. Как видите, в отчет добавлены
комментарии к параметрам политики.
5. Наведите указатель мыши на имя политики Таймаут экранной заставки
(Screen Save Timeout). Как видите, оно представляет собой гиперссылку.
Щелкните ее, чтобы просмотреть объяснение данного параметра политики.
6 Перейдите на вкладку Таблица (Details), где отображаются ваши
комментарии к объекту GPO вместе с информацией о номерах версии GPO.
7. Запишите уникальный код (Unique ID), отображаемый на вкладке
Таблица (Details).
8. Откройте папку \\contoso.com\SYSVOL\contoso.com\Policies.
9. Дважды щелкните папку с именем, которое соответствует уникальному
коду объекта GPO.
Эта папка представляет шаблон GPT объекта GPO.
Анализ административных шаблонов (Ст.274)
Административные шаблоны содержат инструкции, с помощью которых
редактор GPME создает пользовательский интерфейс для настройки
параметров политики Административные шаблоны (Administrative
Templates) и указания изменений реестра, которые должны быть внесены
на основе параметров политики. Проанализируйте административный
шаблон.
1. Откройте папку %SystemRoot%\PolicyDefinitions.
2. Откройте папку ru-RU для русского региона и языка.
3. Дважды щелкните файл ControlPanelDisplay.adml. Щелкните опцию Выбор
программы из списка установленных программ (Select A Program From A
List Of Installed Programs), а затем ОК. Откройте файл с помощью
программы Блокнот (Notepad) и щелкните ОК.
4. В меню Формат (Format) выберите параметр Перенос по словам (Word
Wrap).
5. Выполните поиск текста ScreenSaverIsSecure.
6. Просмотрите метку параметров и текст объяснения в следующей строке.
7. Закройте файл и перейдите к папке PolicyDefinitions.
8. Дважды щелкните файл ControlPanelDisplay.admx. Щелкните опцию Выбор
программы из списка установленных программ (Select A Program From A
List Of Installed Programs) и ОК. Откройте файл с помощью программы
Блокнот (Notepad) и щелкните ОК.
9. Найдите в файле приведенный ниже текст:
<policy name="ScreenSaverIsSecure" class="User"
displayName="$(string.ScreenSaverlsSecure)"
explainText="$(string.ScreenSaverIsSecure_Help)"
key="Software\Policies\Microsoft\Windows\Control Panel\Desktop"
valueName="ScreenSaverIsSecure">
<parentCategory ref="Display" />
<supportedOn ref="windows:SUPP0RTED_Win2kSP1" />
<enabledValue>
<string>K/string>
</enabledValue>
<disabledValue>
<string>0</string>
</disabledValue>
</pplicy> .
10. Идентифицируйте следующие элементы в шаблоне:
 имя параметра политики, которое отображается в редакторе GPME;
 текст объяснения параметра политики;
 ключ реестра и значение, измененное параметром политики;
 данные, помещаемые в реестр в случае включения политики;
 данные, помещаемые в реестр в случае отключения политики.
Создание центрального хранилища (Ст.275)
Создайте центральное хранилище административных шаблонов для
централизации управления шаблонами.
1. В консоли Управление групповой политикой (Group Policy Management)
щелкните правой кнопкой мыши объект групповой политики CONTOSO
Стандарты и выполните команду Изменить (Edit).
2. Разверните узел Конфигурация иользователя\Политики\Административ-
ные шаблоны (User Configuration\Policies\Administrative Templates).
3. Отметьте: в имени узла указано, что Определения политик (ADMX-
файлы) получены с локального компьютера (Policy Definitions (ADMX
Files) Retrieved From The Local Machine).
4. Закройте Редактор GPME.
5. Откройте папку \\contoso.com\SYSVOL\contoso.com\Policies.
6. Создайте папку с именем PolicyDefinitions.
7. Скопируйте в созданную папку содержимое папки %SystemRoot
%\PolicyDefinitions.
8. В консоли Управление групповой политикой (Group Policy Management)
щелкните правой кнопкой мыши объект CONTOSO Стандарты и выполните
команду Изменить (Edit).
9. Разверните узел Конфигурация пользователя\Политики\Административ-
ные шаблоны (User Configuration\Policies\Administrative Templates).
10. Отметьте: в имени узла указано, что Определения политик (ADMX-фай-
лы) получены с локального компьютера (Policy Definitions (ADMX Files)
Retrieved From The Local Machine).
ШАГ 12
Настройка области действия групповой политики
В предложенных упражнениях вы продолжите сценарий, начатый с создания
и настройки GPO на занятии 1, и определите область действия групповой
политики. Но прежде необходимо выполнить упражнения занятия 1.
Создание объекта GPO с приоритетным параметром политики (Ст.296)
Представим, что вы являетесь администратором домена contoso.com.
Объект групповой политики CONTOSO Стандарты, связанный с доменом,
конфигурирует параметр политики, которому требуется десятиминутный
таймаут экранной заставки. Некое критически важное приложение,
выполняющее длинный процесс вычислений, вылетает при запуске экранной
заставки, поэтому инженер попросил отключить экранную заставку для
тех, кто ежедневно использует это приложение.
1. Войдите на машину SERVER01 как администратор.
2. Откройте оснастку Active Directory — пользователи и компьютеры
(Active Directory Users And Computers) и создайте подразделение
первого уровня Кадры с дочерним подразделением Инженеры.
3. Откроите консоль Управление групповой политикой (Group Policy
Management ).
4. Щелкните правой кнопкой мыши подразделение Инженеры (Engineers) и
выполните команду Создать объект GPO в этом домене и связать его
(Create A GPO In This Domain, And Link It Here).
5. Введите имя Параметры политики инженеров и щелкните ОК.
6. Разверните подразделение Инженеры (Engineers), щелкните правой
кнопкой мыши объект GPO и выполните команду Изменить (Edit).
7. Разверните папку Конфигурация
пользователя\Политики\Административные шаблоны\Панель управлепия\Окно
свойств экрана (User Contfiguration\Policies\Administrative
Templates\Control Panel\Display).
8. Дважды щелкните параметр политики Таймаут экранной заставки (Screen
Saver Timeout).
9. Щелкните опцию Отключен (Disabled), а затем ОК.
10. Закройте редактор GPME.
11. В консоли управления групповой политикой GPMC выберите
подразделение Инженеры (Engineers) и перейдите на вкладку Наследование
групповой политики (Group Policy Inheritance).
12. Объект GPO Параметры политики инженеров должен превалировать над
объектом групповой политики CONTOSO Стандарты.
Отконфигурированный параметр, явно отключающий экранную заставку,
заменит параметр в объекте групповой политики CONTOSO Стандарты.
Настройка принудительной связи (Ст.297)
Необходимо максимально ускорить процесс получения изменений групповой
политики всеми системами, и вы принимаете решение отконфигурировать
параметр Всегда ждать сеть при запуске и входе в систему (Always Wait
For Network At Startup And Logon), описанный на занятии 1.
Администраторы не должны изменять эту политику; политика должна
принудительно применяться ко всем системам.
1. В консоли управления групповой политикой GPMC щелкните правой
кнопкой мыши домен contoso.com и выполните команду Создать объект GPO
в этом домене и связать его (Create A GPO In This Domain And Link It
Here).
2. Введите имя Принудительные политики домена и щелкните ОК.
3. Щелкните правой кнопкой мыши объект GPO и выполните команду
Изменить (Edit).
4. Разверните папку Конфигурация
пользователя\Политики\Административные шаблоны\Система\Вход в систему
(User Configuration\Policies\Administrative Templates\Systera\Logon).
5. Дважды щелкните параметр политики Всегда ждать сеть при запуске и
входе в систему (Always Wait For Network At Startup And Logon).
6. Выберите опцию Включен (Enabled) и щелкните ОК.
7. Закройте редактор GPME.
8. Щелкните правой кнопкой мыши объект GPO Принудительные политики
домена и установите флажок Принудительный (Enforced).
9. Выберите подразделение Инженеры и перейдите на вкладку Наследование
групповой политики (Group Policy Inheritance).
Принудительно связанный объект GPO будет превалировать даже над
объектами GPO, непосредственно связанными с подразделением Инженеры
(Engineers). Параметры таких объектов GPO не заменят параметров
принудительно связанного объекта GPO.
Настройка фильтров безопасности (Ст.298)
Со временем вы обнаруживаете, что небольшое число пользователей нужно
освободить от политики таймаута экранной заставки, конфигурируемой
объектом CONTOSO Стандарты. Замена параметров непрактична, и вы
используете фильтры безопасности для управления областью действия GPO.
1. Откройте оснастку Active Directory — пользователи и компьютеры
(Active Directory Users And Computers), создайте подразделение Группы,
а в этом подразделении — глобальную группу безопасности с именем
Исключения_GPO_CONTOSO_Стандарты.
2. В консоли управления групповой политикой GPMC выберите контейнер
Объекты групповой политики (Group Policy Objects).
3. Щелкните правой кнопкой мыши объект GPO Параметры политики
инженеров и выполните команду Удалить (Delete). Подтвердить удаление,
щелкнув Да (Yes).
4. В контейнере Объекты групповой политики (Group Policy Objects)
выберите объект CONTOSO Стандарты.
5. Перейдите на вкладку Делегирование (Delegation).
6. Щелкните кнопку Дополнительно (Advanced).
7. В диалогом окне Параметры безопасности (Security Settings) щелкните
Добавить (Add).
8. Введите имя группы и щелкните ОК.
9. В списке разрешений найдите разрешение Применить групповую политику
(Apply Group Policy) и установите флажок Запретить (Deny). Затем
щелкните ОК.
10. Для того чтобы подтвердить изменение, щелкните кнопку Да (Yes).
11. Просмотрите запись на вкладке Делегирование (Delegation) в столбце
Разрешено (Allowed Permissions) группы
Исключения_GPO_CONTOSO_Стандарты.
I2 Перейдите на вкладку Область (Scope) и проанализируйте секцию
Фильтры безопасти (Security Filtering).
По умолчанию в фильтрах безопасности нового GPO группа Прошедшие
проверку (Authenticated Users) обладает разрешением Применить
групповую политику (Apply Group Policy), чтобы все пользователи и
компьютеры в области действия GРО могли применять параметры этого GPO.
Вы отконфигурировалн группу с запретом чтения групповой политики (Deny
Apply Group Policy), который заменяет разрешение (Allow). Чтобы
освободить пользователя от политики объекта CONTOSO Стандарты, можно
просто добавить его в группу.
Обработка замыкания политики (Ст.299)
Недавно одни из менеджеров по продажам Contoso, Ltd показал
презентацию важному клиенту на своем компьютере, на рабочем столе
которого была непристойная картинка. Руководство Contoso, Ltd
попросило вас сделать так, чтобы рабочие столы ноутбуков менеджеров по
продажам не содержали фоновых рисунков. Это необязательно делать для
рабочих столов менеджеров, когда они входят на настольные компьютеры в
офисе. Поскольку параметры политики, управляющие фоновым рисунком
рабочего стола, относятся к конфигурации пользователя, а вам нужно
применить параметры к ноутбукам менеджеров по продажам, требуется
использовать обработку политики замыкания. Кроме того, объекты
ноутбуков менеджеров по продажам распределены по нескольким
подразделениям, и вы используете фильтры безопасности, которые объект
GPO применит к группе, а не к подразделению ноутбуков менеджеров по
продажам.
1. Откройте оснастку Active Directory — пользователи и компьютеры
(Active Directory Users And Computers) и в подразделении Группы
создайте глобальную группу безопасности с именем Ноутбуки отдела
продаж. Кроме того, создайте подразделение Клиенты для объектов
компьютеров клиентов.
2. В консоли управления групповой политикой GPMC щелкните правой
кнопкой мыши контейнер Объекты групповой политики (Group Policy
Objects) И выполните команду Создать (New).
3. В поле Имя (Name) введите имя Конфигурация ноутбуков отдела продаж
и щелкните ОК.
4. Щелкните правой кнопкой мыши GPO и выполните команду Изменить
(Edit),
5. Разверните папку Конфигурация
пользователя\Полнтики\Лдмипистративные шаблоны\Рабочнй стол\Рабочий
стол (User Configiiration\Policies\Administrative
Templates\Desktop\Desktop).
6. Дважды щелкните параметр политики Фоновые рисунки рабочего стола
(Desktop Wallpaper).
7. Перейдите на вкладку Объяснение (Explain) и прочитайте текст
объяснения.
8. Перейдите иа вкладку Комментарий (Comment) и введите текст
Корпоративные стандарты фоновых рисунков ноутбуков отдела продаж.
9. Перейдите на вкладку Параметр (Setting).
10. Щелкните опцию Включен (Enabled).
11. В поле Имя фонового рисунка (Wallpaper Name) введите путь
c:\windows\web\Wallpaper\server.jpg. Щелкните ОК.
12. Разверните папку Конфигурация компьютера\Политики\Административные
шаблоны\Система\Групповая политика (Computer
Configuration\Policies\Administrative Templates\System\Group Policy).
13. Дважды щелкните параметр политики Режим обработки замыкания
пользовательской групповой политики (User Group Policy Loopback
Processing Mode).
14. Щелкните опцию Включен (Enabled) и в раскрывающемся списке Режим
(Mode) выберите режим Слияние (Merge).
15. Щелкните ОК и закройте редактор GPME.
16. В консоли управления групповой политикой GPMC выберите в
контейнере Объекты групповой политики (Group Policy Objects) объект
Конфигурация ноутбуков отдела продаж.
17. На вкладке Область (Scope) в секции Фильтры безопасности (Security
Filtering) выберите группу Прошедшие проверку (Authenticated Users) и
щелкните кнопку Удалить (Remove). Подтвердить удаление, щелкнув.
18. В секции Фильтры безопасности (Security Filtering) щелкните
Добавить (Add).
19. Введите имя группы Ноутбуки отдела продаж и щелкните ОК.
20. Щелкните правой кнопкой мыши подразделение Клиенты и выполните
команду Связать существующий объект GPO (Link An Existing GPO).
21. Выберите объект групповой политики Конфигурация ноутбуков отдела
продаж и щелкните ОК.
Вы получили объект GPO с фильтром, который применяется только к
объектам в группе Ноутбуки отдела продаж. Вы можете добавить в эту
группу объекты компьютеров для отдела продаж, чтобы эти ноутбуки
подпадали под область действия GPO. Объект GPO конфигурирует на
ноутбуке обработку замыкания политики в режиме слияния (Merge). Когда
пользователь входит на такой ноутбук, применяются пользовательские
параметры конфигурации, а затем к компьютеру применяются параметры
конфигурации пользователя в объектах GPO, под область действия
которого подпадает компьютер, включая объект Конфигурация ноутбуков
отдела продаж.
Изменение политики паролей в Windows Server 2008
Group Policy Management - Domain

- Work.net - Default Domain Policy


Tab - Settings
- Computer Configuration
- Policies - Windows Settings - Security Settings - Account Policies/Password Policies
Right key mous - Edit
Group Policy Management Editor
- Computer Configuration
- Policies - Windows Settings - Security Settings - Account Policies - Password Policies
"Minimum password length"
"Password must meet complexity requirements"

Ряд политик применяется только при старте (например Folder Redirection или установка
ПО через политики): то, что может быть применено без рестарта - его и не потребует.

п.с. gpupdate /force совершенно непричём в данном случае, но если вы использовали ключ
/force и в политиках существует хотя бы одна, которая применяется при запуске - попросит
перезапуск..

Вам нужно, чтобы только эти новые настройки ушли в применение- окей, версия шаблона
поменялась, машина скачает версии, увидит, что изменен один объект, а не тридцать, и
применит только этот один измененный объект. Делается это просто выполнением
gpupdate

Как автоматически включить NumLock, а так же CapsLock


(ScrollLock) при загрузки Windoows?
Большая часть пользователей любит когда NumLock включен. Зачастую это связано с
привычкой ввода цифр с дополнительной клавиатуры (цифровая часть клавиатуры с
правой стороны). А так как большинство паролей на вход пользователей имеют числовое
содержания, то зачастую случается следующая ситуация: пользователь зар за разом
пытается безуспешно ввести пароль, пока не понимает, что NumLock не включен и
дополнительная клавиатура отключена.

Настройка:
(все действия выполняются от имени пользователя с правами Администратора)
запустить редактор реестра
1. Нажмите кнопку "Пуск" и выберите пункт "Выполнить";
2. В поле "Открыть" напишите команду regedit и нажмите кнопку "ОК"

Открыть раздел реестра, отвечающий за данные параметры системы.


HKEY_USERS\.DEFAULT\Control Panel\Keyboard
Значение параметра InitialKeyboardIndicators отвечает за включение или отключение
требуемых режимов NumLock, CapsLock и ScrollLock.

Значения соответствуют следующим режимам (для Windows XP):


0 - Все три отключены
1 - Будет включена только CapsLock
2 - Будет включена только NumLock
3 - Будет включена только NumLock и CapsLock
4 - Будет включена только ScrollLock
5 - Включена только ScrollLock и CapsLock
6 - Включена только ScrollLock и NumLock
7 - Включены все три

Для Windows 7, Windows 8:

Исходное значение "InitialKeyboardIndicators"="2147483648" нужно заменить на


"2147483650" для включение NumLock при старте компьютера.

Для Windows 10:

Значение "InitialKeyboardIndicators" нужно задать "80000002" для включение NumLock


при старте компьютера.(если этого параметра нет - создайте его)

Русский MUI и Windows 2008


Файлы образов (iso, img) можно открыть в WinRAR, затем нужно извлечь русский lp.cab в папку
C:\USER (название и путь значения не имеют). Идете в Control Panel -> Regional and Language
Options, вкладка Keyboards and Languages, затем нужно нажать кнопку install/uninstall
languages... и выбрать путь к папке с lp.cab. У меня все получилось.
Проверьте, вы скачали *.img именно для вашей редакции Windows 2008 и попробуйте
установить его с жесткого диска, т.к. при записи на CD что-то может записаться с ошибками
(бывает редко, но бывает).

Поднимаем на Windows Server 2008 r2 сервер удалённых


рабочих столов
В моем случае это «Enterprise Agreement». Номер соглашения можно найти в поисковике по
запросу "Enrollment Number". Например, работают: 4965437
(3325596;6565792;4526017;5296992)

После проведения всех выше манипуляций, не забыть сделать еще


Администрирование -> Terminal Services Configuration -> Серверы Лицензирования рабочих
столов -> закладка лицензирование -> Добавить (нижняя кнопка)-> выбрать из окна"известные
серверы лицензирования" наш уже активированный сервер и -> добавить (верхняя) чтобы наш
сервер с копировался в окно "известные серверы лицензирования"
этим самым мы уйдем от 120 дневной пробной лицензии.
Это надо смотреть на варезе, про активацию Windows Server 2008, как вариант попробовать
прописать в hosts
217.0.0.1 mpa.one.microsoft.com - для desktop это проходит.

Источник <http://www.itword.net/page/rdp-windows-server-2008r2>

http://www.ammyy.com/ru/
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Reset Terminal license on Windows 2008, 2008 R2 and 2012


While Windows installed with Terminal Server role it does work without License for 120 Days on trail
license, where within 120 days if the License server is not Connected the server will stop accepting
connection with below error and event ID

EventID: 1128
Source: TerminalServices-RemoteConnectionManager

The RD Licensing grace period has expired and the service has not registered with a license server with
installed licenses. A RD Licensing server is required for continuous operation. A Remote Desktop
Session Host server can operate without a license server for 120 days after initial start up.

The official solution is to Activate the RDS/TS CAL License server and point the Server to License server
with User/Device License and will be resolve the problem

But if you want to reset the timer and again avail 120 days grace time here is the solution

The solution was to delete the REG_BINARY in


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\GracePeriod
Only leaving the default.
Note: you must take ownership and give admin users full control to be able to delete this key.

After a reboot the server should be working again for another 120 Days
Posted 28th May 2014 by aNil Prabhu
Labels: 120 days Reset terminal License trial Windows 2008 R2

Источник <http://anilgprabhu.blogspot.com/2014/05/reset-trial-terminal-license-on-windows.html>

How to crack the Windows Terminal Server 120 day trial


Posted onJanuary 22, 2013 by adrianchatto
http://www.ehow.com/how_7543547_reset-120day-terminal-server-
timeout.html
Instructions
 1
Restart the Windows Server 2008 computer, and log in to a Windows Server
2008 computer Administrator account. Click “Start,” and select the “Search”
box. Enter “%WINDIR%\system32\lserver” in the “Search” box, and press
“Enter.” The “Lserver” window will appear.
 2
Right-click on the “TSLIC.edb” file, and click “Rename” in the menu that appears.
Enter “tslic.prior” in the name box, press “Enter” and then reboot the computer.
Read more: How to Reset a 120-Day Terminal Server Timeout |
eHow.com http://www.ehow.com/how_7543547_reset-120day-terminal-server-
timeout.html#ixzz2Ihve2dXT
Источник <https://adrianchatto.wordpress.com/2013/01/22/how-to-crack-the-windows-terminal-server-120-day-trial/>

HOW TO RESET WINDOWS TERMINAL SERVICES 3 MONTH TRIAL


Warning: greyhat content.

Thanks to a Microsoft article, I've found out that it is very easy to extend your Windows Terminal
Services 3-month trial or experience time. It's so easy that I'm sure many administrators have done
this in their own systems, while waiting for their managers or financial staff to buy the definitive
licenses (not being hypocrite here).
Following these instructions, you don't have to crack any program. You won't mess with your
system. The magic is to only delete the licenses databases both in the server and the clients, and
let windows re-create them for you.

----

Make sure you've installed "Terminal Services Licensing". By the way, this method only makes
sense if you need to use Terminal Services in Application Mode, which is the one that requires
licensing.

The idea is quite simple.

First, disconnect all users from the terminal. If you need to do this remotely, you can also
disconnect yourself, and access the files remotely.

Go to %WINDIR%\system32\lserver

Notice the file TSLIC.edb. Rename it to tslic.old

In every client computer, remove the CAL TS registry keys, located at:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing

Restart your server.

Finally, if you need more information about how to crack terminal services, go check at
Microsoft's web site. See the "Cause 2" steps. :-)

Shouldn't MS improve the security for TS Licensing in the next versions of Windows (2003 with SP1
is also easy to "crack")?

PS> I am definitely against software piracy. I strongly believe that Microsoft should strength their
anti-piracy policy. Only then they could theoretically lower their licensing prices. The biggest
result, though, would be a huge increase of free software popularity. Only then we, FOSS
proponents, would have the opportunity to prove our paradigm is superior (now I'm being
hypocrite, I guess).

UPDATE: Since Windows 2003, instead of following the complex process above, you can just switch
to "Per User" mode. As long as you have a TS Licensing server up, it should work, even if you don't
have license. If that's not the case please leave a comment below.

Источник <https://i-admin.blogspot.com/2005/06/how-to-crack-windows-terminal-services.html>

Права доступа к файлам и папкам простым языком.

Источник <http://vasilisc.com/simple-permissions>

Настройка файлового сервера Samba


Источник <http://yakim.org.ua/articles/servers/125-samba.html>

SMB и NTFS-разрешения. Разбор полетов


Источник <https://habrahabr.ru/post/186240/>

Инструкция для подключения к удаленному рабочему столу

Windows 7

1. Нажимаем кнопку Пуск (круглый значок Windows в левом нижнем углу экрана), далее
выбираем Все программы , далее Стандартные . Далее находим пункт Подключение к
удаленному рабочему столу. Жмем правой клавишей мыши на этот пункт и
выбираем Отправить , далее Рабочий стол (создать ярлык). Тем самым мы создали постоянный
ярлык на рабочем столе, через который мы и будем работать в дальнейшем.

2. Находим ярлык на рабочем столе и кликаем на него 2 раза. Запуститься окно:

3. В строке Компьютер вводим IP-адрес, полученный ранее от технической поддержки


«Электронного облака». IP-адрес представляет из себя набор цифр, разделенных точками.
Например: 62.67.52.250 или 10.10.10.84.
4. Далее необходимо проверить установлены ли галочки в 2-х пунктах настроек. Для этого
необходимо кликнуть на пункт Показать параметры .

5. Далее выбираем закладку Локальные ресурсы и проверяем установлены ли галочки в


пунктах Принтеры и Буфер обмена . Галочки должны стоять.
6. Если галочки на местах, то жмем кнопку Подключить .

7. Если IP-адрес был введен верно, то далее система подключит вас к удаленному рабочему столу
и запросит у вас логин и пароль для входа на удаленный рабочий стол. Эти данные вы так же
должны были получить у технических специалистов «Электронного облака».
8. После корректно введенных данных жмем Ок. Если в процессе подключения будут выскакивать
окна, предупреждающие об ошибке сертификата , ставим галочку напротив пункта Больше
не выводить запрос о подключениях к этому компьютеру и жмем Да .

9. После всех манипуляций вы попадаете на удаленный рабочий стол. Приятной работы!

10. Для того, чтобы выйти\завершить работу с «удаленкой», необходимо в верхней части экрана
нажать на крестик (кнопка закрытия окна) и нажать кнопку Ок.

Windows XP
Из под Windows XP метод подключения точно такой же как и для Windows 7, за исключением
некоторым моментов.
1. Прежде всего необходимо обновить версию RDP-клинта. Для этого необходимо пройти
по ссылке . Страница предложит сохранить некий файл. Его необходимо сохранить или запустить
из папки загрузки, если система не спросит о месте сохранения файла. После запуска жмем Далее
или установить до полной установки.

Только после полной установки обновления переходим к пункту №2.

2. Для того чтобы запустить окно для подключения на удаленный рабочий стол необходимо
нажать Пуск , далее Все программы , далее Стандартные , далее Связь , далее находим
пункт Подключение к удаленному рабочему столу. Жмем правой клавишей мыши на этот пункт
и выбираем Отправить , далее Рабочий стол (создать ярлык). Тем самым мы создали
постоянный ярлык на рабочем столе, через который мы и будем работать в дальнейшем.
3. Дальнейшие действия аналогичны действиям для Windows 7, поэтому можете смело перейти к
пункту №2 данной инструкции для Windows 7.

Источник <https://office4me.org/pages/instruction.html>
на чистой системе эти службы отключены
- SSDP Discovery
- UPnP Device Host
после включения - всё работает!
проверено на 2008R2 и 2012R2
Источник <https://social.technet.microsoft.com/Forums/ru-RU/141ead8d-d4e1-4ba5-b727-1a2cb1d36e66/-?
forum=ws2008r2ru>

Как разрешить обычным пользователям RDP доступ к


контроллеру домена
27.02.2015

itpro

Active Directory

комментария 3
По умолчанию удаленный rdp-доступ к рабочему столу контроллеров домена есть только у членов
группыадминистраторов домена. В этой статье мы покажем, как предоставить rdp доступ к
контроллерам домена обычным пользователям.
Многие могут вполне обоснованно возразить, зачем, собственно, рядовым пользователям доступ к
рабочему столу DC. Действительно, в small и middle-size инфраструктурах, когда всю инфраструктуру
обслуживают несколько администраторов, обладающих правами администратора домена, такая
необходимость вряд ли понадобится. Однако в больших корпоративных сетях, обслуживаемых
большим количеством персонала, нередко возникает необходимость предоставления rdp доступа к DC
различным группам администрирования серверов, команде мониторинга, дежурным
администраторам и прочим техническим специалистам. Также бывают ситуации, когда на DC
разворачивают сторонние службы, управляемые не доменными администраторами, которое
необходимо обслуживать.
Совет. Одновременное сосуществование ролей Active Directory Domain Services и Remote Desktop
Service (терминальная роль) на одном сервере не поддерживается. Если имеется только один
физический сервер, на котором требуется развернуть и DC и терминальные службы, лучше прибегнуть
к виртуализации, тем более лицензионная политика Microsoft разрешает запуск сразу двух
виртуальных серверов на одной лицензии Windows Server 2012 Standard.

После повышения роли сервера до контроллера домена из оснасток управления компьютерами


пропадают инструменты управления локальными пользователями и группами. При попытке открыть
консоль Local Users and Groups (lusrmgr.msc). появляется ошибка:
The computer xxx is a domain controller. This snip-in cannot be used on a domain controller. Domain
accounts are managed with the Active Directory Users and Computers snap-in.
Т.е. возникает ощущение, что на контроллере домена отсутствуют локальные группы. На самом деле
локальные группы на DC никуда не пропадают, управлять ими можно из командной строки.
Выведем состав локальной группы Remote Desktop Users на контроллере домена:
net localgroup "Remote Desktop Users"
Как вы видите, она пустая. Добавим в нее доменного пользователя itpro (в нашем примере itpro—
обычный пользователь домена без административных привилегий).
net localgroup "Remote Desktop Users" /add corp\itpro
Убедимся, что пользователь был добавлен в группу
net localgroup "Remote Desktop Users"

Однако и после этого пользователь не может подключиться к DC через Remote Desktop.


Дело в том, что возможность подключение к RDP в системах Windows определяется
политикой Allow log on throughRemote Desktop Services (в Windows 2003 и ранее политика
называется Allow log on through terminal services) . После повышения роли сервера до DC в этой
политики остается только группа Administrators.
Чтобы дать возможность подключения членам группы Remote Desktop Users нужно:
1. Запустить редактор локальной политики (gpedit.msc)

2. Перейти в раздел Computer Configuration -> Windows settings -> Security Settings -> Local
policies -> User Rights Assignment

3. Найти политику с именем Allow log on through Remote Desktop Services

4. Отредактировать политику, добавив в нее локальную группу Remote Desktop Users (в


формате dc-name\Remote Desktop Users), либо непосредственно доменного пользователя или
группу (в формате domain\somegroupname)

5. Запустить обновление локальный политик


gpupdate /force

После данных изменений у указанных пользователей и групп появится возможность rdp подключения к
контроллеру домена.

Источник <http://winitpro.ru/index.php/2015/02/27/kak-razreshit-obychnym-polzovatelyam-rdp-dostup-k-kontrolleru-
domena/>

Не вдається ввімкнути пошук мережі, у мережі та обміну центр


Windows Server 2008, Windows Server 2008 R2
20 липня 2014 р.
23:34
Щоб вирішити цю проблему, виконайте такі дії.

1. Переконайтеся, що запущено залежність такі послуги:


o DNS-клієнт
o Function Discovery Resource Publication
o SSDP Discovery
o UPnP Device Host

Источник <http://support.microsoft.com/kb/2722035>
Не вдається ввімкнути пошук мережі, у мережі та обміну центр
Windows Server 2008, Windows Server 2008 R2
20 липня 2014 р.
18:11
http://social.technet.microsoft.com/Forums/windowsserver/en-US/2e1fea01-3f2b-4c46-a631-
a8db34ed4f84/cannot-enbale-network-discovery-and-change-network-location-on-windows-server-
2008-r2?forum=winservergen
To do this on your local server , follow these steps:
1. Start --> run --> MMC --> press enter
2. In MMC console , from menu file select Add/Remove Snap-in
3. Select Group Policy Object editor --> Press Add --> select Local computer --> press
OK -->press OK
4. Open Computer configration -->Windows Settings -->Security Settings -->select
Network list manager policies
on the right Side you will see options for :
double click -->Unidentified networks
Then you can select the option to consider the Unidentified networks as private and if
user can change the
location.

Источник <http://social.technet.microsoft.com/Forums/windowsserver/en-US/f30cb69d-7c32-4ed7-8c9c-3b75db7a06fd/how-to-
change-network-location-in-windows-server-2008-r2-or-windows-7-for-unidentified-network?forum=winserverPN>

You can do it thru the registry:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows


NT\CurrentVersion\NetworkList\Profiles\
open the network profile that you have to change and modify the "Category" value:
0 = public
1 = private
2 = domain

Источник <http://social.technet.microsoft.com/Forums/windowsserver/en-US/f30cb69d-7c32-4ed7-8c9c-3b75db7a06fd/how-to-
change-network-location-in-windows-server-2008-r2-or-windows-7-for-unidentified-network?forum=winserverPN>

I was able to get the network to connect to the Internet in this state by unchecking the Link-Layer
Topology Discovery Mapper I/O Driver in the NIC properties.

Источник <http://social.technet.microsoft.com/Forums/windowsserver/en-US/f30cb69d-7c32-4ed7-8c9c-3b75db7a06fd/how-to-
change-network-location-in-windows-server-2008-r2-or-windows-7-for-unidentified-network?forum=winserverPN>

http://serverfault.com/questions/69296/cannot-enable-network-discovery-on-windows-server-2008-r2
Установка і налаштування доменної мережі. 12 кроків.

1й крок.
6.7. Установка службы DNS
Службу DNS можно устанавливать только как компонент серверной
операционной системы. Ее установка осуществляется по следующему
сценарию:
1. Зарегистрируйтесь на сервере SRVR001 как Администратор.
2. Выполните команду Пуск -» Панель управления —> Установка и удаление
программ. Выберите действие Установка компонентов Windows.
3. В появившемся окне Мастер компонентов Windows выберите Сетевые
службы и нажмите на кнопку Состав.
4. В появившемся окне Сетевые службы установите флажок Domain Name
Server (DNS) и нажмите ОК (рис. 6.8).
5. Нажатием на кнопку Далее запустите установку службы DNS. Она не
требует перезагрузки системы.

2й крок.
6.8. Настройка службы DNS worknet.net
Теперь нужно настроить службу DNS. Пространство доменных имен (информация о
соответствии имен узлов IP-адресам) организовано иерархически в так называемые зоны.
Иногда вместо слова «зона» говорят «домен», но это не совсем точно: зона может
включать пространство нескольких доменов. Поскольку мы создаем зону исключительно для
обслуживания локальной сети, назовем ее study.local. Порядок действий по созданию зоны
таков:
1. Выполните команду Пуск -> Панель управления -» Администрирование и
выберите DNS. Откроется окно консоли с именем сервера SRVR001.
2. В левой части окна разверните объект сервера, щелкните правой
кнопкой мыши по пункту Зоны прямого просмотра и выберите из
контекстного меню Новая зона. Запустится Мастер создания зоны. На
первом шаге нажмите кнопку Далее.
3. В диалоговом окне Тип зоны установите флажок Основная зона и
нажмите Далее.
4. В поле Имя зоны введите study.local. Нажмите Далее.
5. В диалоговом окне Файл зоны установите флажок Создать новый файл и
введите имя файла: study.local.dns. Нажмите Далее.
6. В окне Динамическое обновление установите флажок Разрешить любые
динамические обновления и нажмите Далее.
7. Завершите установку нажатием кнопки Готово.
Примечание.
Пусть вас не смущает предупреждение о небезопасности обновлений данных зоны. Во
внутренней сети на него можно не обращать внимания. Более того, в дальнейших главах мы
примем дополнительные меры безопасности.

3й крок.
6.8.1. Настройка DNS на сервере SRVR001 IP: 192.168.1.2
Настройка DNS на сервере состоит из следующих шагов:
1. В главном меню выберите Панель управления —> Сетевые подключения, а
затем правой кнопкой мыши щелкните по пункту Подключение по локальной
сети.
2. Из контекстного меню выберите Свойства.
3. В окне свойств подключения к локальной сети выберите пункт Протокол
сети Интернет TCP/IP и нажмите на кнопку Свойства. Откроется окно
свойств протокола ТСРДР.
4. В поле Предпочитаемый сервер DNS введите IP-адрес сервера SRVR001 —
192.168.10.2. SRVR001 будет сам себе и сервером, и клиентом DNS.
5. Последовательным нажатием на кнопку ОК закройте все окна.
6. В меню Пуск нажмите правой кнопкой мыши на меню Мой компьютер и
выберите пункт Свойства.
7. В диалоговом окне Свойства системы откройте вкладку Имя компьютера
и нажмите кнопку Изменить.
8. В диалоговом окне смены имени компьютера нажмите кнопку
Дополнительно.
9. В диалоговом окне DNS-суффикс и NetBIOS-имя компьютера введите в
поле Предпочитаемый DNS-суффикс имя зоны study.local. Нажатием OK
закройте окно.
10. Вы увидите в диалоговом окне Смена имени компьютера в поле Полное
имя компьютера srvr00l.study.local — имя, состоящее из имени узла и
суффикса DNS. Это имя должно быть уникальным в пределах сети.
Диалоговое окно закройте нажатием ОК. После этого необходимо
перезагрузить компьютер.
11. После перезагрузки компьютера снова откройте консоль DNS и в левой
части окна выберите зону study.local . В правой части окна обратите
внимание на созданный объект А(хост) сервера SRVR001.

4й крок.
6.8.2. Настройка DNS на рабочей станции
Для настройки DNS на рабочей станции необходимо проделать следующие
действия:
1. Зарегистрируйтесь на компьютере РС001 как Администратор.
2. В главном меню выберите Панель управления -н> Сетевые подключения,
а затем правой кнопкой мыши щелкните по пункту Подключение по
локальной сети.
3. Из контекстного меню выберите Свойства.
4. В окне Подключение по локальной сети — свойства выберите Протокол
сети Интернет, нажмите на кнопку Свойства.
5. В поле Предпочитаемый DNS-сервер введите адрес сервера SRVR001 —
192.168.10.2. Затем нажмите ОК. Диалоговое окно свойств подключения
закройте нажатием кнопки Закрыть.
6. Далее действуйте так же, как на сервере (пункты с 6 по 10). Для
того, чтобы изменения вступили в силу, надо будет перезагрузить
компьютер. Закройте оба окна и перезагрузите компьютер. Перезагрузив
компьютер РС001, откройте на сервере SRVR001 окно консоли DNS и
отобразите содержание зоны, study.local . Как видите, здесь появился
еще один узел — РС001 с соответствующим ему IP-адресом. Если он пока
не отображен, хотя все сделали правильно, подождите еще минуту.
Очевидно, в компьютере еще не начали работать сетевые службы.
Контроль правильності установки
В консоли DNS щелкните по записи Start of Authority (Начало полномочий) и посмотрите
данные в поле Серийный номер. Сейчас там стоит 3. Это число, которое имеет
первоначальным значением 1 и увеличивается на 1 при каждом изменении. Пока прошло 2
изменения, и оно равно 3. Это число вы можете изменять, однако в нашей сети это не
будет иметь никакого эффекта: редактирование его имеет смысл в сетях с несколькими
серверами DNS.
С:\>ping pc00l
Обмен пакетам и с pc00l.local.study [192.168.10.17 ] по 32 байт :
Ответ от 192.168.10.2 : байты=32 время=2мс TTL=128
Ответ от 192.168.10.2 : байты=32 время=<1мс TTL=128
Ответ от 192.168.10.2 : байты=32 время<1мс TTL=128
Ответ от 192.168.10.2 : байты=32 время<1мс TTL=128
Статистика ping для 192.168.10.17 :
Пакетов : отправлено=4 , получено=4 , потеряно= 0 (0% потерь )
Приблизительное время приема-передач и в мс :
Минимальное = 0мсек, Максимальное = 0мсек , Среднее = 0мсек
Сравните этот результат с выводом команды ping pc00l из параграфа 6.5.1. Разница почти
незаметна, но очень важна: до настройки службы DNS первая строка вывода выглядела как
Обмен пакетами с pc00l [192.168.10.17 ] по 32 байт :
5й крок.
7.9.1. Последовательность действий при установке
Для установки домена Active Directory выполните следующую
последовательность действий:
1. Зарегистрируйтесь на сервере SRVR001 как Администратор. В командной
строке (Пуск -» Выполнить, в поле Открыть введя cmd) введите команду
dcpromo. Она запустит Мастер установки службы Active Directory.
Нажмите кнопку Далее.
2. Прочитайте сведения, приведенные в диалоговом окне Совместимость с
операционными системами, и нажмите кнопку Далее.
3. В диалоговом окне Тип контроллера домена оставьте переключатель в
положении Контроллер домена в новом домене и нажмите кнопку Далее.
4. В диалоговом окне Создать новый домен оставьте переключатель в
положении Новый домен в новом лесу и нажмите кнопку Далее.
5. В диалоговом окне Новое имя домена введите в поле Полное DNS-имя
нового домена study.local (worknet.net) и нажмите кнопку Далее.
6. В диалоговом окне NetBIOS-имя домена оставьте имя по умолчанию
STUDY и продолжите нажатием кнопки Далее.
7. В диалоговом окне Папки базы данных и журналов оставьте
предложенный путь C:\WINDOWS\NTDS для базы данных и C:\WINDOWS\NTDS
для журнала. Затем нажмите Далее.
Примечание.
С точки зрения оптимизации работы контроллера домена выгоднее было бы поместить
файлы базы данных и журнала на разные физические диски, но мы считаем, что у нас
всего один жесткий диск.

Рис. 7.5. Создание нового домена Рис. 7.6. Создание нового леса
Active Directory Active Directory

Рис. 7.7. Размещение базы данных домена


Active Directory и журнала транзакций
8. В диалоговом окне Общий доступ к системному тому оставьте предложенный путь
C:\WINDOWS\SYSVOL и нажмите Далее.
Примечание.
Папку SYSVOL нельзя переместить в
дальнейшем. Необходимо, однако,
обеспечить, чтобы на диске, на который
должна быть осуществлена установка, было
достаточно места. Как мы потом увидим, эта
папка содержит объекты групповых политик,
из-за которых она занимает много места, и
если на диске места недостаточно, то это
вызовет проблемы с функциональностью
домена.
Рис. 7.8. Размещение системного тома
SYSVOL
9. Теперь сервер произведет поиск зоны DNS по имени, соответствующему
заданному имени домена. Если зона будет найдена, отобразится
уведомление об успешно проведенной диагностике. Если нет — система
предложит ее автоматическую установку и конфигурирование. Прочитав
информацию, нажмите кнопку Далее.
10. В диалоговом окне Разрешения отметьте пункт Разрешения,
совместимые только с Windows 2000 или Server Windows Server 2003, а
затем нажмите кнопку Далее.
11. В диалоговом окне Пароль администратора для режима восстановления
задайте в поле Пароль режима восстановления и в поле Подтверждение
пароля пароль, который вы используете при восстановлении базы данных
Active Directory. Затем нажмите кнопку Далее.

Рис. 7.9. Результаты поиска зоны DNS study.local


Примечание.
Не используйте в качестве пароля восстановления обычный пароль администратора. Пароль
администратора домена должен периодически меняться, в то время как пароль для режима
восстановления всегда остается неизменным. На практике вы можете столкнуться с тем,
что после двух лет работы нужно будет восстановить домен Active Directory, но никто не
вспомнит пароль, предназначенный именно для этого случая. Поэтому хорошо было бы
записать этот пароль и поместить в какое-нибудь безопасное место.
Если вы будете устанавливать дополнительный контроллер домена, выберите для него
другой пароль восстановления и тоже где-нибудь запишите.
12. В диалоговом окне Итоговый результат проверьте исправность
настройки всех параметров домена Active Directory. В случае выявления
каких-либо ошибок нажатием на кнопку Назад вернитесь к диалоговому
окну и исправьте необходимые параметры. Потом нажатием кнопки Далее
запустите дальнейший процесс установки контроллера домена.
13. По окончании работы Мастера установки службы Active Directory
нужно перезагрузить компьютер.
Контроль правильності установки контроллера домена
Сервер SRVROOl сейчас также управляет и доменом Active Directory study , local . После
установки каждого контроллера домена следует провести контроль качества установки:
1. Зарегистрируйтесь на SRVR001 как Администратор (только администратор теперь
обладает всеми правами доступа в домене study.local) .
2. Запустите Проводник и убедитесь, что существует папка C:\WINDOWS\NTDS с файлами
NTDS.DIT (база данных Active Directory) и EDB.LOG (файл журнала транзакций). Далее
убедитесь в существовании папки C:\WINDOWS\SYSVOL.
3. В меню Пуск перейдите в раздел Администрирование и убедитесь, что там добавились
инструменты для управления доменом: консоли Active Directory — пользователи и
компьютеры, Active Directory — сети и сервисы и Active Directory — домены и доверие.
Затем откройте окно консоли Просмотр событий и убедитесь, что там добавились пункты
Служба каталогов и Служба репликации файлов. Выберите пункт Служба репликации файлов и
найдите событие 13516. Там сообщается, что контроллер домена выполняет свои функции
(см. рис. 7.10).
4. Откройте консоль DNS и убедитесь, что в зоне study.local были созданы поддомены
_msdcs, _sites , _tcp , _udp , Domain- DnsZones и ForestDnsZones . Первые четыре
поддомена очень важны для функционирования домена Active Directory. Они включают в
себя т.н. списки SRV (Размещение сервиса — Service location), на основании которых все
компьютеры с системами Windows 2000/ХР/2003 ориентируются в сети при поиске важных
сервисов.
Рис. 7.10. Событие 13516 в журнале службы репликации файлов
5. В командной строке введите команду net share. Отобразятся разделяемые папки
компьютера, в том числе и папка с сетевым именем NETLOGON, которое сопоставлено папке
C:\WINDOWS\SYSVOL\study.local\SCRIPTS.
Примечание.
Папка NETLOGON имеет большое значение для ОС версий предшествующих Windows 2000. Она
содержит, например, сценарии, запускаемые при регистрации пользователя. В системах
Windows 2000/XP/2003 сценарии входа используются несколько иным способом и размещены в
другой папке.

6й крок.
7.9.3. Настройка службы DNS на контроллере домена
Сервис DNS сейчас включает только зону study.local . Это
первичная зона, в которой разрешено динамическое обновление
(рис. 7.11). Разрешение динамического обновления — не
вполне безопасная с точки зрения защиты сети вещь.
Нужно обезопасить зону. До сих пор вы выполняли все
административные действия как локальный Администратор, но
здесь самое время сказать, что управлять сервером DNS может
и обычный пользователь, если он является членом группы
DnsAdmins. Возможность распределить
администраторскую нагрузку полезна в крупных
сетях с децентрализованным управлением.
1. Зарегистрируйтесь на SRVR001 и откройте
консоль DNS.
2. Разверните дерево Зоны прямого просмотра,
правой кнопкой мыши щелкните по зоне study.local
Рис. 7.11. Свойства зоны
и из контекстного меню выберите пункт Свойства. study.iocal
3. На вкладке Общие нажмите кнопку Изменить, а
затем установите флажок На все DNS-серверы в лесу study.local Active
Directory (он доступен только если сервер DNS также управляет
доменом). Нажмите кнопку ОК и в следующем диалоговом окне — кнопку Да.
4. Из списка Динамические обновления выберите Только безопасные и
нажмите ОК.
5. Запустите Проводник и убедитесь, что в папке
C:\WINDOWS\SYSTEM32YDNS не существует файла study.local.dns.
Информация файла study.local.dns после изменения типа зоны стала
составной частью базы данных домена Active Directory, а файл был
перемещен в папку BACKUP.

7й крок.
7.9.4. Настройка клиентских компьютеров
Последовательность настройки
Все рабочие станции нужно включить во вновь созданный домен.
Действуйте согласно следующим инструкциям:
1. Зарегистрируйтесь на РС001 как Администратор.
2. В меню Пуск правой кнопкой мыши щелкните по пункту Мой компьютер и
из контекстного меню выберите Свойства.
3. На вкладке Имя компьютера нажмите кнопку Изменить. Установите
переключатель Является членом в положение домена и введите имя
study.local. Затем нажмите кнопку ОК.
4. В диалоговом окне изменения имени компьютера задайте имя
Administrator (Администратор)и пароль(2341)и нажмите на кнопку ОК. В
домене будет создана учетная запись компьютера РС001, а на экране
отобразится окно с надписью Добро пожаловать в домен study.local.
5. Последовательным нажатием на все кнопки OK и Да проведите
перезагрузку компьютера.

8й крок.
7.9.5. Настройка регистрации пользователей. Вхід користувача
Операционные системы Windows XP и серверное семейство Windows Server 2003 запускаются
быстрее, чем их предшественники. Потому что по умолчанию система выводит окно
регистрации пользователя, не дожидаясь запуска сетевых служб. В домене передача
регистрационных данных пользователя из-за этого замедляется. Отключить этот режим (что
рекомендуется) можно следующим образом:
1. Зарегистрируйтесь на SRVR001 как Администратор.
2. В меню Пуск выберите Администрирование -» Active Directory —
пользователи и компьютеры.

Рис. 7.13. Настройка политики входа в домен


3. Правой кнопкой мыши щелкните по домену study.local и из
контекстного меню выберите Свойства. Отобразится диалоговое окно
свойств домена.
4. На вкладке Групповая политика нажмите Default Domain Policy.
Откроется окно консоли редактора групповых политик.
5. В левой части окна консоли разверните ветвь Конфигурация компьютера
—> Административные шаблоны —> Система и выберите пункт Logon (Вход).
6. В правой части окна включите режим Always wait for the network at
computer startup and logon (При включении компьютера и входе поль-
зователя всегда дожидаться ответа сети) и нажмите кнопку ОК.
1-ша зміна в Груповій політиці
9й крок.
9.2. Создание и настройка учетных записей
Сейчас мы создадим учетную запись, под которой и будем
регистрироваться для обычной работы, а Администратор оставим только
для некоторых административных задач, которые нельзя решить другим
способом.
1. Зарегистрируйтесь на сервере SRVR001 как Администратор.
2. Запустите консоль Active Directory — пользователи и компьютеры.
3. Щелкните правой кнопкой мыши по значку Пользователи (Users) и из
контекстного меню выберите Создать -» Пользователь.
4. В диалоговом окне Новый объект — Пользователь введите в качестве
имени и фамилии «Первый Пользователь» (рис. 9.1).
5. В поле Имя входа пользователя введите,
например, userl . Рекомендуется избегать
использования в регистрационном имени
символов кириллицы, поскольку не на каждом
компьютере можно переключиться на русскую
раскладку в ходе регистрации. Это же
регистрационное имя будет автоматически
введено и в поле Имя входа пользователя
(пред-Windows 2000). Данное значение можно
изменить вручную, но обычно это не
рекомендуется, так как пользователю
Рис. 9.1. Создание доменной придется запоминать лишнее имя. Нажмите
учетной записи
Далее.
6. В поле Пароль и Подтверждение введите пароль, который будет
применен при первой регистрации при помощи созданной записи. Настройка
безопасности по умолчанию в домене с системой Windows Server 2003
довольно строгая: длина пароля должна быть не менее 7 символов, а
пароль обязан быть сложным, то есть содержать символы не менее трех
разновидностей из следующих: заглавная буква, строчная буква, цифра,
специальный знак.
7. Оставьте установленным флажок Требовать смену пароля при следующем
входе в систему. Это приведет к тому,_ что пароль будет знать только
сам пользователь, а вы как администратор снимете с себя
ответственность за доступ к чужим секретам. Остальные переключатели
тоже оставьте в положении по умолчанию и нажмите Далее.
8. Отобразится общая информация о новом пользователе. После ее
проверки нажмите кнопку Готово. Только сейчас учетная запись будет
создана.
9. Вызовите окно свойств вновь созданной записи и просмотрите все
вкладки (особенно вкладки Адрес, Учетная запись, Профиль, Телефоны,
Организация), чтобы получить представление о других сведениях, которые
входят в учетную информацию пользователя. Эти сведения нужны для
поиска пользователя в системе, поэтому имеет смысл задавать их сразу
же и постоянно поддерживать их актуальность.

10й крок.
13.4.1 . Безопасность перемещаемых профилей
Чтобы при добавлении нового перемещаемого профиля администраторы
автоматически получали полный доступ к нему, выполните следующие
действия:
1. Зарегистрируйтесь на SRVR001 как администратор.
2. Запустите консоль Active Directory — Пользователи и компьютеры.
Откройте окно свойств домена study.local .
3. Перейдите на вкладку Групповая политика и откройте объект
Default Domain Policy (Групповая политика по умолчанию).
4. Разверните ветвь Конфигурация компьютера -» Административные
шаблоны —> Система —> Профили пользователей. В правой части
окна консоли выберите опцию Добавить группу Administrators в
перемещаемые профили пользователей (Add the Administrators security
group to roaming user profiles) и установите флажок Включено.
Диалоговое окно закройте, нажав на кнопку ОК.
5. Чтобы применить новую групповую политику, запустите утилиту
командной строки GPUPDATE. После этого разрешения NTFS всех
вновь создаваемых перемещаемых профилей будут включать полный
доступ для членов группы администраторов.
2-га зміна в Груповій політиці
11й крок.
17.3.2. Как настроить групповые политики, скрывающие команды меню
Настройка политики сокрытия
Сейчас мы настроим политику сокрытия, применяемую ко всему домену, а для отдельных
подразделений потом можно будет изменить некоторые параметры, применив политику на
уровне организационной единицы.
1. Зарегистрируйтесь на РС001 как администратор. Запустите консоль
Active Directory — пользователи и компьютеры.
2. Откройте окно свойств домена study.local и перейдите на вкладку
Групповые политики.
3. Нажмите кнопку Создать. Появится новый объект групповой политики.
Дайте ему имя «Hide unnecessary files» (сокрытие ненужных . файлов).
4. Щелкните по новому объекту. Запустится оснастка Групповая политика.
5. Перейдите в раздел Конфигурация пользователя\Административные
шаблоны\Панель задач и меню Пуск. Установите значения политик этого
раздела согласно таблице 17.1. Политики по отношению к главному меню
Таблица 17.1 Файл в папці D:\Projects\

12й крок.
17.7. Результирующая политика
Точно выяснить, какой объект групповой политики за какие настройки
отвечает, поможет оснастка Результирующая политика, присутствующая в
Windows XP Professional.
1. Зарегистрируйтесь на РС001 под именем пользователя, который
жалуется (пусть это будет Storel).
2. Выполните команду Пуск —> Выполнить и введите команду mmc.
3. В пустую консоль ММС добавьте изолированную оснастку Результирующая
политика. Запустится Мастер, в окнах которого согласитесь с
параметрами по умолчанию, пять раз нажав Далее, и после завершения
анализа компьютера нажмите Готово.
4. В добавленной оснастке разверните ветвь Конфигурация пользователя
\Административные шаблоны\Панель задач В правой части окна отобразятся
политики из разных объектов, которые вместе образуют конфигурацию для данного
пользователя. В последнем столбце указано имя объекта групповой политики, которому
принадлежит действующее значение политики.
Если вы сидите на своем рабочем месте, а жалуются с другого компьютера, то подходить к
нему необязательно: достаточно в окнах Мастера результирующей политики указать имя
другого компьютера и учетной записи пользователя.
Оснастку Результирующая политика можно запустить также, введя команду rsop.msc. По
этой команде будет проанализирована конфигурация для локального компьютера и
зарегистрированного сейчас пользователя.
и меню «Пуск».
Влияние объектов Default Domain Policy, «Сокрытие ненужных файлов» и
«Перенаправление папки» на Администратора. Ограничениями заведует
второй из них.
1. Запустите консоль Active Directory — пользователи и компьютеры.
2. Отобразите свойства домена study.local и перейдите на вкладку
Групповые политики.
3. Отобразите свойства объекта «Сокрытие ненужных файлов» и перейдите
на вкладку Безопасность. Вы видите, что группа «Прошедшие проверку»
(«Authenticated Users») имеет разрешения на чтение и применение
групповой политики. Это именно то разрешение, которое вас как
администратора не устраивает: объект групповой политики применяется ко
всем нижестоящим контейнерам только тогда, когда они имеют эти
разрешения.
4. Выберите в списке субъектов доступа группу Domain Admins и
запретите для нее применение групповой политики. Теперь ваша учетная
запись не будет подлежать ограничениям. Эта процедура называется
фильтрацией объектов групповой политики.
Фон рабочего стола через групповые политики
Все в курсе, что через ГП можно поставить валлпапер. Дошло до дела: поставить корпоративный
валлпапер. Поставили через ГП/юзер/административные шаблоны. Всё отлично, за исключением того
момента, что неделя административного эффорта ушла на то, чтобы понять, что с jpg валлпапером не будут
прозрачными подписи под иконками (кстати, полдня ушло на составление правильного запроса к гуглу, на
будущее горемыкам рекомендую искать transparent icon labels), что юзеров, включая директорат, бесит
нереально.

Поэтому отключили нахрен Active Desktop теми же политиками и распространили bmp. И тут, опа,
выяснилось, что новая картинка не применяется. Пикантность в том, что картинки выглядят одинаково и
понять невозможно по внешнему виду, новая стоит или старая. Поначалу я упирался рогом и пытался найти
работающий способ сделать прозрачными подписи под иконками. Существует три метода (все три должны
быть выполнены):

1) Wallpaper must be an image file, not html web page

2) Go to System Properties > Advanced > Performance Settings > VisualEffects and check
"use drop shadows for icon labels".

3) Right-click on Desktop ->Arrange Icons by>Lock Web items must be cleared.

4) If you have any web content on your desktop, transparency won't work. To check for web content: Display
Properties>Desktop>Customize
Desktop>Web - make sure all checkboxes are clear.

Все эти действия вносят изменения в реестр, (в ветку explorer где-то в куррентюзере\бла-бла\видовс и в
ветку controlpanel\desktop в куррентюзере) их можно отследить и всем поставить скриптами.

Но, блин, это не помогло! Тогда я потихоньку начал думать в сторону того, что валлпапер как был жпегом,
так и остался. И верно, выяснилось, что винда конвертирует жпг в бмп и складывает в профиль юзера
(почему тогда ограничение на недопустимость жпг для прозрачных подписей -- непонятно). Последующие
изменения валлпапера в политике у нас никакого эффекта не возымели -- все компы продолжали грузить
валлпапер из юзерского профиля. При этом в реестре в разделе policies стояло честное указание на новый
валлпапер, но все компы на него положили с пробором.

В конце концов я осатанел вконец и решил забить на ГП и скриптами прописать вот эти три параметра
реестра:

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="C:\\Windows\\Wallpaper.bmp"
"OriginalWallpaper"="C:\\Windows\\Wallpaper.bmp"
"ConvertedWallpaper"="C:\\Windows\\Wallpaper.bmp"

На всё это была убита НЕДЕЛЯ (без отрыва от прочего производства). Так что думайте сами про заявления
Майкрософта о том, что винда обходится дешевле никсов, т.к. меньше "administrative effort", бгг.

До кучи ссылки, в которых вроде бы валидные и вроде бы рабочие статьи, но в камментах стоит народный
стон по типу "у меня нихрена не работает!":

http://www.grouppolicy.biz/2011/03/best-practice-using-group-policy-to-configure-desktop-wallpaper-
background/
http://www.wikihow.com/Really-Make-Icon-Label-Background-Transparent-in-Windows-XP
http://www.monkeydoit.com/icons-background-color.php