Матвеев М.Д. и Др. - Администрирование Windows 7. Практическое Руководство и Справочник Администратора 2013

серия — САМОУЧИТЕЛЬ — серия
Наука и Техника
Санкт-Петербург
2013
Матвеев М.Д., Прокди Р.Г. и др.
Администрирование
Windows 7
ПРАКТИЧЕСКОЕ РУКОВОДСТВО
И СПРАВОЧНИК
АДМИНИСТРАТОРА
Наука и Техника
Санкт-Петербург
2013
Матвеев М. Д., Прокди Р. Г. и др.
АДМИНИСТРИРОВАНИЕ WINDOWS 7. ПРАКТИЧЕСКОЕ РУКОВОДСТВО И СПРАВОЧНИК

АДМИНИСТРАТОРА. — СПб.: Наука и Техника, 2013. — 400 с.: ил.
Под редакцией Финкова М.В.
Серия “Самоучитель“
Данная книга посвящена администрированию Windows 7 на основе использо-
вания групповых политик. Групповые политики представляют собой набор
правил, обеспечивающий инфраструктуру, в которой администраторы локальных
компьютеров могут централизованно управлять настройками операционной
системы. Используя групповые политики, вы можете ограничить доступ к различным
элементам системы, настроить параметры безопасности, сконфигурировать
пользовательский интерфейс, а также решить огромное множество других задач.
Например, используя групповые политики, администратор системы способен с
легкостью установить в организации на компьютеры определенные тематические
неизменяемые фоновые рисунки рабочего стола, запретить изменение
визуализации системы, заблокировать доступ к реестру, командной строке,
панели управления. По сути, практически все элементы операционной системы
Windows доступны для настройки посредством локальных групповых политик.
К тому же, после того, как операционная система будет настроена при помощи
локальных групповых политик, вы сможете сохранить эти настройки в отдельный
файл и перенести их на другой компьютер или другого пользователя операционной
системы. Это удобно, если администратору необходимо единообразно настроить
все компьютеры, которые он обслуживает.
Книга написана простым и доступным языком опытными авторами. Много
наглядных и полезных примеров, пошаговых инструкций. По ходу изложения
поясняются все необходимые термины и понятия.
Контактные телефоны издательства:

(812) 412 70 25, (812) 412 70 26, (044) 516 38 66
Официальный сайт: www.nit.com.ru
© Прокди Р. Г., 2013

© Наука и техника (оригинал-макет), 2013
Ñîäåðæàíèå
ВВЕДЕНИЕ. О ЧЕМ И ДЛЯ КОГО ЭТА КНИГА ............................................................ 17
Ãëàâà 1. КОНСОЛЬ УПРАВЛЕНИЯ MMC ...................................................20

ОСНОВНЫЕ ПРИЕМЫ РАБОТЫ В КОНСОЛИ УПРАВЛЕНИЯ MMC ................................. 21
Рабочее окно Консоли Управления ММС .................................... 22
Добавление и удаление оснасток ............................................... 24
Сохранение файла консоли управления ..................................... 26
Работа с «Избранным» ............................................................... 28
НАСТРОЙКА ИНТЕРФЕЙСА ПРОГРАММЫ ............................................................... 30

Работа с несколькими окнами .................................................... 34
ОБЗОР СТАНДАРТНЫХ ОСНАСТОК ........................................................................ 36
ЗАКЛЮЧЕНИЕ .............................................................................................. 40
Ãëàâà 2. ИСПОЛЬЗОВАНИЕ ОСНАСТКИ “ГРУППОВАЯ ПОЛИТИКА” ...............41

СПОСОБЫ ОТКРЫТИЯ РЕДАКТОРА ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ ...................... 43
НАЧАЛО РАБОТЫ В РЕДАКТОРЕ ЛОКАЛЬНОЙ ГРУППОВОЙ ПОЛИТИКИ ........................ 46
ФИЛЬТРАЦИЯ ПАРАМЕТРОВ ПОЛИТИК.................................................................. 52

Фильтры на основе свойств параметров политик ....................... 54
Фильтры на основе ключевых слов ............................................. 56
Фильтры на основе требований к приложениям
и платформам ............................................................................ 57
ЗАКЛЮЧЕНИЕ .............................................................................................. 58
Ãëàâà 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7:

МЕНЮ ПУСК И ПАНЕЛИ ЗАДАЧ ..................................................59
УПРАВЛЕНИЕ ПАРАМЕТРАМИ ПАНЕЛИ ЗАДАЧ WINDOWS И МЕНЮ ПУСК ...................... 60

Блокировка перемещения панели задач .................................... 60
Сокрытие панелей инструментов в панели задач ....................... 61
55
5
СОДЕРЖАНИЕ
Сокрытие значков в области уведомлений ................................. 62

Удаление часов из области уведомлений ................................... 64
Запрет скрытия значков ............................................................. 64
Запрет группировки элементов на панели задач ........................ 65
Запрет закрепления ярлыков в списках переходов .................... 65
Запрет отображения и отслеживания элементов в списках
переходов удаленных расположений ......................................... 66
Отключение всплывающих уведомлений.................................... 67
Запрет управления панелями инструментов .............................. 67
Запрет на вызов контекстного меню панели задач ..................... 69
Запрет закрепления программ в панели задач ........................... 70
Запрет изменения размера панели задач .................................. 71
Запрет перемещения панелей инструментов ............................. 71
Блокировка всех параметров панели задач ................................ 72
Запрет изменения параметров панели задач и меню Пуск ........ 73
Управление командой Выполнить в меню «Пуск»........................ 73
Добавление ссылки «Поиск в Интернете» в меню Пуск ............... 74
Изменение параметров поиска в окне Проводник ................................ 75
Запрет поиска файлов и соединений ......................................... 76
Запрет поиска программ и элементов панели управления ......... 77
Настройка поиска файлов для пустых ярлыков ........................... 77
Затенение пунктов для не полностью установленных
программ ................................................................................... 78
Удаление и блокировка команд Завершение работы,
Сон и Гибернация ...................................................................... 79
Запуск команды «Выполнить» в отдельной
области памяти .......................................................................... 80
Определение действия кнопки питания в меню Пуск .................. 80
Запрет сохранения сведений о недавно открывавшихся
документах ................................................................................ 81
Запрет обновления операционной системы ............................... 82
Сокрытие ярлыков папок в меню Настройка ............................... 82
Удаление персональных элементов............................................ 84
Отключение слежения операционной системы
за пользователем ...................................................................... 87
Блокировка выполнения операций над ярлыками
в меню Пуск ............................................................................... 89
Сокрытие общих групп программ в меню Пуск ........................... 89
Удаление списка закрепленных программ ................................. 90
6 6
6
НАСТРОЙКИ РАБОЧЕГО СТОЛА ............................................................................ 91

Запрет сворачивания окна Aero Shake ....................................... 91
Запрет на сохранение настроек ................................................. 92
Ограничение доступа к свойствам элементов рабочего стола .... 93
Удаление системных значков с рабочего стола .......................... 95
Перемещение пользовательских
папок ......................................................................................... 97
Настройка поиска в сетевом пространстве Active Directory ........ 98
Изменение параметров изображений рабочего стола ............... 99
УПРАВЛЕНИЕ МИНИ-ПРИЛОЖЕНИЯМИ НА РАБОЧЕМ СТОЛЕ ....................................100

Предопределение ссылки на дополнительные
мини-приложения .................................................................... 101
Запрет на использование мини-приложений без цифровой
подписи ................................................................................... 101
Отключение установленных пользователем
мини-приложений .................................................................... 102
Отключение мини-приложений рабочего стола ........................ 103
ЗАКЛЮЧЕНИЕ .............................................................................................104
Ãëàâà 4. ТОНКАЯ НАСТРОЙКА ПАНЕЛИ УПРАВЛЕНИЯ .............................. 105

НАСТРОЙКА ДОСТУПА К ПАНЕЛИ УПРАВЛЕНИЯ И ЕЕ ЭЛЕМЕНТАМ ............................106
Сокрытие определенных элементов панели управления .......... 106
Отображение только заданных элементов
панели управления .................................................................. 108
Блокировка настроек экрана .................................................... 109
Отображение всех элементов панели управления .................... 109
Запрещение доступа к панели управления ............................... 110
ПЕРСОНАЛИЗАЦИЯ ..........................................................................................111
Запрещение изменения оформления ...................................... 111
Применение выбранной темы .................................................. 113
Управление параметрами заставки компьютера ...................... 114
УПРАВЛЕНИЕ ЭЛЕМЕНТОМ «ПРОГРАММЫ И КОМПОНЕНТЫ» ...................................117
Сокрытие компоненты Программы и компоненты .............................. 117

Сокрытие отдельных элементов панели управления ................ 118
77
7
РАБОТА С ПРИНТЕРАМИ ....................................................................................120

Управление разрешениями на добавление
и удаление принтеров .............................................................. 120
Разрешение обзора сети для поиска принтеров ...................... 121
Установка пути поиска принтеров Active Directory
по умолчанию .......................................................................... 122
НАСТРОЙКА ЯЗЫКОВЫХ И РЕГИОНАЛЬНЫХ СТАНДАРТОВ .......................................122

Скрытие параметров................................................................ 123
Ограничение выбора языка меню
и диалоговых окон Windows ...................................................... 124
Установка языка интерфейса Windows ..................................... 125
ЗАКЛЮЧЕНИЕ .............................................................................................126
Ãëàâà 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7 ... 127

БАЗОВЫЕ НАСТРОЙКИ СИСТЕМЫ .......................................................................128
Загрузка отсутствующих COM-компонентов ............................ 128
Запрет запуска приложений из справки перечисленных
программ ................................................................................. 129
Использование альтернативного интерфейса пользователя .... 130
Запрет использования командной строки ................................ 130
Ограничение доступа к средствам редактирования реестра .... 132
Ограничение запуска приложений Windows.............................. 132
Запрет автоматического шифрования файлов,
перемещаемых в зашифрованные папки ................................. 134
Управление постоянной временной меткой ............................. 134
Вывод диалогового окна слежения за завершением работы .... 135
Отображение сообщений о подробном состоянии системы ..... 138
Изменение локации установочных файлов ............................... 138
НАСТРОЙКА ОКНА БЕЗОПАСНОСТЬ WINDOWS .......................................................139

Запрет изменения пароля ........................................................ 139
Запрет блокировки компьютера ............................................... 140
Удаление Диспетчера задач ..................................................... 140
Запрет завершения сеанса ...................................................... 141
ДЕЙСТВИЯ ПРИ ВХОДЕ В СИСТЕМУ .....................................................................141

Создание списка программ, запускаемых
при входе в систему ................................................................. 142
8 8
8
Установка домена для входа .................................................... 144

Исключение поставщиков учетных данных ............................... 144
Ожидание сети при запуске и входе в систему ......................... 145
Детальная настройка входа в систему ...................................... 145
ГРУППОВЫЕ ПОЛИТИКИ ....................................................................................147

Выбор контроллера домена групповой политики ..................... 147
Обнаружение медленных подключений
для групповой политики ........................................................... 148
Интервал обновления групповой политики .............................. 149
Задание имен для новых объектов групповой политики ........... 150
Обработка политик .................................................................. 150
Установка времени ожидания
при обработке политики загрузки ............................................ 153
Настройка режима обработки замыкания
пользовательской групповой политики .................................... 154
УПРАВЛЕНИЕ ЗАПОМИНАЮЩИМИ УСТРОЙСТВАМИ ...............................................155

Запрет доступа к любому классу съемных устройств ............... 156
УПРАВЛЕНИЕ ПРОФИЛЯМИ ПОЛЬЗОВАТЕЛЕЙ ......................................................158

Изменение синхронизации сетевых папок ............................... 158
Исключение папки из перемещаемого профиля ...................... 159
Ограничение размера профиля пользователя.......................... 159
Добавление группы «Администраторы» в перемещаемые
профили .................................................................................. 160
Удаление неиспользуемых профилей....................................... 161
Отключение проверки разрешения на папку ............................ 162
Удаление кэшированных копий перемещаемых профилей ....... 162
Принудительная выгрузка реестра при выходе из системы ...... 163
Отключение определения медленного подключения................ 164
Вывод запроса при обнаружении медленного
подключения ............................................................................ 164
Управление данными установщика Windows............................. 165
Использование только локальных профилей ............................ 166
Установка пути к перемещаемым профилям ............................ 166
Запрет регистрации временных профилей .............................. 167
Запрет передачи изменений перемещаемого профиля ........... 168
Ожидание загрузки перемещаемого профиля ......................... 168
Установка таймаута медленного сетевого подключения .......... 169
Фоновая передача файла реестра профиля ............................. 170
99
9
Изменение максимального времени

ожидания подключения к сети.................................................. 172
ЯЗЫКОВЫЕ СТАНДАРТЫ ...................................................................................173

Запрет выбора пользовательских языковых стандартов .......... 173
Ограничение языковых стандартов .......................................... 173
Запрет изменения географического положения ...................... 174
Запрет переопределения параметров языкового стандарта .... 175
РАБОТА СО СЦЕНАРИЯМИ ..................................................................................175

Выполнение сценариев входа .................................................. 176
Выполнение сценариев выхода ................................................ 177
Выполнение сценариев загрузки ............................................. 178
Выполнение сценариев завершения работы ............................ 179
Выполнение сценариев Windows PowerShell ............................. 179
Установка максимального времени выполнения сценариев ..... 180
УСТАНОВКА ДРАЙВЕРОВ ...................................................................................181

Разрешение на установку драйверов пользователями ............. 181
УСТАНОВКА УСТРОЙСТВ ....................................................................................182

Порядок поиска драйверов устройств ...................................... 183
Настройка времени ожидания установки устройства ............... 183
Отключение напоминания о новом оборудовании .................... 184
Запрет отправки отчета об ошибках Windows ........................... 185
Запрет создания точек восстановления ................................... 185
Настройка удаленного доступа Plug and Play ............................ 186
Запрет получения метаданных устройств................................. 186
Ограничения на установку устройств ....................................... 187
ПАРАМЕТРЫ СВЯЗИ ЧЕРЕЗ ИНТЕРНЕТ .................................................................190

Справка и поддержка ............................................................... 191
Печать по протоколу HTTP........................................................ 192
Сопоставление файлов ............................................................ 193
Веб-публикации ....................................................................... 194
Отключение автоматического обновления
корневых сертификатов ........................................................... 195
Отключение ссылок просмотра событий «Events.asp» .............. 195
Запрет обновления справочной системы через Интернет ........ 196
Отключение поиска в базе знаний Microsoft ............................. 197
Отключение отчетов об ошибках Windows ................................ 197
Блокировка доступа к возможностям
1010
10
Центра обновления Windows .................................................... 198

Отключение Помощника по поиску........................................... 199
НАСТРОЙКА ФУНКЦИЙ ДИАГНОСТИКИ .................................................................199

Параметры обработки сценариев ............................................ 199
Параметры инструмента PerfTrack ........................................... 201
Параметры восстановления поврежденных файлов ................. 202
Параметры восстановления поврежденного файла MSI ........... 203
Параметры диагностики быстродействия
системы Windows ..................................................................... 204
Параметры диагностики со сценариями .................................. 206
Параметры диагностики совместимости приложений .............. 208
Параметры диагностики утечки памяти Windows ...................... 211
Управление запланированным обслуживанием........................ 211
Управление механизмом отказоустойчивой кучи ..................... 212
Управление средством диагностики службы технической
поддержки ............................................................................... 213
УПРАВЛЕНИЕ ЭЛЕКТРОПИТАНИЕМ ......................................................................215

Выбор схемы управления питанием ......................................... 215
Управление параметрами жесткого диска................................ 216
Конфигурирование кнопок питания .......................................... 217
Управление параметрами режимов сна ................................... 218
Изменение времени ожидания перехода
в режимы энергосбережения ................................................... 219
Включение режима запроса пароля при выходе
из спящего режима .................................................................. 220
Выбор режима сна при простое компьютера ............................ 220
Настройки перехода компьютера в спящий режим................... 220
Управление параметрами уведомления ................................... 221
Управление параметрами экрана и видео ................................ 222
ЗАКЛЮЧЕНИЕ .............................................................................................223
Ãëàâà 6. КОНФИГУРИРОВАНИЕ WINDOWS 7 ........................................... 224

СОПОСТАВЛЕНИЕ СЦЕНАРИЕВ СОБЫТИЯМ В РАБОТЕ СИСТЕМЫ ..............................225
КОМПОНЕНТ ЛОКАЛЬНОЙ ГРУППОВОЙ ПОЛИТИКИ ПОЛИТИКА РАЗРЕШЕНИЯ ИМЕН ...229
КОМПОНЕНТ ЛОКАЛЬНОЙ ГРУППОВОЙ ПОЛИТИКИ НАСТРОЙКА

INTERNET EXPLORER ..............................................................................231
11
11
11
Общая характеристика компонента Настройка Internet Explorer 232

Сравнение компонента Настройка Internet Explorer
и административных шаблонов ................................................ 235
Настройка пользовательского интерфейса обозревателя ........ 236
Параметры подключения Internet Explorer ................................ 237
Автоматическая настройка обозревателя ................................ 239
Настройка параметров прокси-сервера ................................... 240
Настройка строки обозревателя .............................................. 242
Настройка URL-адресов: Избранного, Ссылок, домашней
страницы ................................................................................. 243
Настройка безопасности Internet Explorer ................................ 246
Настройка программ для работы с Интернетом ....................... 249
Дополнительные настройки Internet Explorer ............................ 250
Экспорт параметров Internet Explorer для автоматической
настройки других компьютеров ................................................ 253
Ãëàâà 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ

БЕЗОПАСНОСТИ WINDOWS 7 .................................................. 255
ПОЛИТИКИ ОТКРЫТОГО КЛЮЧА .........................................................................256
ПОЛИТИКИ ПАРОЛЕЙ УЧЕТНЫХ ЗАПИСЕЙ ............................................................262

Ведение журнала паролей ....................................................... 262
Максимальный срок действия пароля ...................................... 264
Минимальный срок действия пароля ....................................... 264
Минимальная длина пароля ..................................................... 265
Требования сложности пароля ................................................. 265
Хранение паролей с использованием обратимого
шифрования ............................................................................ 266
ПОЛИТИКА БЛОКИРОВКИ УЧЕТНЫХ ЗАПИСЕЙ ......................................................267

Пороговое значение блокировки.............................................. 267
Продолжительность блокировки учетной записи...................... 267
Время до сброса счетчика блокировки..................................... 268
ПОЛИТИКИ АУДИТА ..........................................................................................268
НАЗНАЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЯ....................................................................270
ПАРАМЕТРЫ БЕЗОПАСНОСТИ ............................................................................276
ФУНКЦИЯ УПРАВЛЕНИЯ ПРИЛОЖЕНИЯМИ APPLOCKER ..........................................290
1212
12
БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ .......................297
КОНФИГУРАЦИЯ РАСШИРЕННОЙ ПОЛИТИКИ АУДИТА .............................................304

Вход учетной записи ................................................................ 304
Управление учетными записями .............................................. 304
Подробное отслеживание ........................................................ 305
Доступ к службе каталогов (DS) ............................................... 306
Вход/выход .............................................................................. 306
Доступ к объектам ................................................................... 307
Изменение политики ................................................................ 309
Использование прав ................................................................ 309
Система ................................................................................... 310
Аудит доступа к глобальным объектам ..................................... 311
ЗАКЛЮЧЕНИЕ .............................................................................................311
Ãëàâà 8. УПРАВЛЕНИЕ КОНФИГУРАЦИЯМИ INTERNET EXPLORER .............. 312

НАСТРОЙКА МЕНЮ И ПАНЕЛЕЙ ИНСТРУМЕНТОВ БРАУЗЕРА .....................................314
Настройка меню....................................................................... 314
Настройка панелей инструментов ............................................ 317
ПАРАМЕТРЫ ЖУРНАЛА БРАУЗЕРА .......................................................................318
СРЕДСТВА БЕЗОПАСНОСТИ ...............................................................................319
ДОСТУП К ЭЛЕМЕНТАМ УПРАВЛЕНИЯ ACTIVEX ......................................................322
ПАНЕЛЬ УПРАВЛЕНИЯ БРАУЗЕРОМ .....................................................................325

Вкладка «Дополнительно» ........................................................ 325
Настройка зон безопасности ................................................... 327
Отключение вкладок диалогового окна
Свойства обозревателя ........................................................... 331
ЗАКЛЮЧЕНИЕ .............................................................................................332
Ãëàâà 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7

(ПРОВОДНИК И Т.Д.) ............................................................. 333
НАСТРОЙКИ ОТОБРАЖЕНИЯ ПРОВОДНИКА WINDOWS ............................................334

Настройка интерфейса Проводника Windows ........................... 335
Настройка диалоговых окон открытия
и сохранения файлов .............................................................. 343
Прочие настройки интерфейса ................................................ 344
13
13
13
ПОЛЕЗНЫЕ ФУНКЦИИ .......................................................................................345

Вопросы обеспечения безопасности системы ......................... 346
Отключение функции отслеживания ярлыков оболочки при
перемещении .......................................................................... 350
НАСТРОЙКИ ФУНКЦИИ ПОИСКА .........................................................................351

Специфические настройки функции поиска
Проводника Windows ................................................................ 351
Отключение функции отображения прошлых запросов
поиска ..................................................................................... 355
РАБОТА С «КОРЗИНОЙ» WINDOWS .......................................................................356
ЗАКЛЮЧЕНИЕ .............................................................................................357
Ãëàâà 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ ........................................... 359

ЦИФРОВЫЕ СЕРТИФИКАТЫ ...............................................................................360
ОСНАСТКА СЕРТИФИКАТЫ .................................................................................363
ОТКРЫТИЕ ОСНАСТКИ СЕРТИФИКАТЫ .................................................................364
ПОЛУЧЕНИЕ СЕРТИФИКАТОВ .............................................................................368

Автоматическая регистрация сертификатов ............................ 369
Запрос сертификатов при помощи мастера
запроса сертификатов ............................................................. 370
Создание пользовательского запроса сертификата ................. 371
Регистрация сертификатов от лица других пользователей ...... 373
ОБНОВЛЕНИЕ СЕРТИФИКАТОВ ...........................................................................374

Обновление сертификата с использованием
старого ключа .......................................................................... 375
Обновление сертификата с использованием
нового ключа............................................................................ 376
ПРОСМОТР СЕРТИФИКАТОВ ..............................................................................377

Просмотр сведений сертификатов........................................... 381
ИЗМЕНЕНИЕ СВОЙСТВ СЕРТИФИКАТОВ ...............................................................383
УДАЛЕНИЕ СЕРТИФИКАТОВ ...............................................................................386
ПОИСК СЕРТИФИКАТОВ ....................................................................................387
РЕЗЕРВНОЕ КОПИРОВАНИЕ И ИМПОРТ СЕРТИФИКАТОВ .........................................389
1414
14
ПЕРЕМЕЩЕНИЕ СЕРТИФИКАТОВ ........................................................................390
ЗАКЛЮЧЕНИЕ .............................................................................................392
ПРИЛОЖЕНИЕ 1. КАНОНИЧЕСКИЕ ИМЕНА ЭЛЕМЕНТОВ ПАНЕЛИ УПРАВЛЕНИЯ

В WINDOWS 7 .................................................................. 393
15
15
15
Ââåäåíèå. Î ÷åì è äëÿ êîãî ýòà êíèãà
Операционные системы семейства Microsoft Windows на сегодняшний день
являются самыми популярными в мире. И это неудивительно: разработчики
системы сделали все возможное, чтобы сделать компьютер как можно бли-
же и доступнее любому человеку. Операционная система Windows обладает
интуитивно понятным и приятным глазу интерфейсом. На освоение работы
с ней у пользователя уходит гораздо меньше времени, чем на освоение рабо-
ты в других операционных системах. Однако, несмотря на свою очевидную
простоту для пользователя, операционные системы семейства Windows име-
ют действительно внушительные возможности для настройки.
Рядовой пользователь операционной системы нередко работает с простей-
шими ее настройками, такими как изменение разрешения экрана, располо-
жения элементов управления, параметров визуализации — стилей, фоново-
го рисунка рабочего стола, хранителя экрана. Некоторые пользователи ра-
ботают с Панелью управления Windows, которая обеспечивает доступ к раз-
личным системным настройкам. Как правило, дальше этого дело не захо-
дит, а ведь это лишь самая вершина айсберга настроек операционной систе-
мы Windows. Многие инструменты конфигурации операционной системы
скрыты и недоступны рядовому пользователю. В руках неумелого пользова-
теля ввиду своей мощности они способны серьезно навредить системе. По-
этому целесообразно, чтобы только опытный пользователь имел к ним до-
ступ.
Именно о таком средстве и пойдет речь в этой книге — о локальных груп-
повых политиках Windows. Использование опытным специалистом данно-
го инструмента позволяет творить с системой чудеса: одним единственным
средством вы можете контролировать практически все элементы операци-
онной системы. В руках же неопытного пользователя использование данно-
го инструмента может представлять серьезную опасность для операционной
системы. Поэтому заранее предупредим читателя: во избежание нежелатель-
ных последствий не производите никаких действий, окончательный резуль-
тат которых вам не известен. Прежде чем произвести то или иное действие,
17
17
17
АДМИНИСТРИРОВАНИЕ WINDOWS 7
сначала четко представьте, что после этого произойдет с системой, ведь не-
гативные последствия некоторых ваших действий могут быть необратимы.
Так или иначе, если вы не знаете, для чего нужен тот или иной элемент
управления, лучше его не трогать — в противном случае вы делаете это на
ваш страх и риск. В процессе обучения вы наверняка будете много экспе-
риментировать с применением локальных групповых политик, прежде чем
примените полученные знания в реальных условиях. Поэтому в период об-
учения целесообразно будет воспользоваться виртуальной машиной — спе-
циальной программой, позволяющей эмулировать работу другого реального
компьютера. Так, вы можете установить на виртуальную машину вашу опе-
рационную систему Windows 7 или Windows Server 2008: можно будет про-
изводить над ней эксперименты с локальными групповыми политиками и
не бояться при этом навредить вашей основной системе. Существует мно-
жество виртуальных машин различных разработчиков. Бесплатным реше-
нием от разработчика Sun Microsystems является программа VirtualBox, вы
можете ознакомиться с ней по адресу www.virtualbox.org. Также эффектив-
ным может оказаться создание точек восстановления операционной систе-
мы каждый раз прежде, чем в систему будут внесены серьезные изменения.
В случае если система будет повреждена, вы сможете восстановить ее рабо-
тоспособность, воспользовавшись сохраненной точкой восстановления.
Групповые политики представляют собой набор правил, обеспечивающий
инфраструктуру, в которой администраторы локальных компьютеров мо-
гут централизованно управлять настройками операционной системы. Ис-
пользуя групповые политики, вы можете ограничить доступ к различным
элементам системы, настроить параметры безопасности, сконфигурировать
пользовательский интерфейс, а также решить огромное множество других
задач. Например, используя групповые политики, администратор систе-
мы способен с легкостью установить в организации на компьютеры опреде-
ленные тематические неизменяемые фоновые рисунки рабочего стола, за-
претить изменение визуализации системы, заблокировать доступ к реестру,
командной строке, панели управления. По сути, практически все элементы
операционной системы Windows доступны для настройки посредством ло-
кальных групповых политик.
К тому же, после того, как операционная система будет настроена при помо-
щи локальных групповых политик, вы сможете сохранить эти настройки в
отдельный файл и перенести их на другой компьютер или другого пользова-
теля операционной системы. Это удобно, если администратору необходимо
единообразно настроить все компьютеры, которые он обслуживает.
Предполагается, что доступ к групповым политикам должен предоставлять-
ся только опытным пользователям, имеющим представление о том, что это и
1818
18
ВВЕДЕНИЕ
для чего нужно. Доступ новичкам должен быть затруднен, ведь неумелое об-
ращение с групповыми политиками может представлять опасность для ра-
ботоспособности системы. Поэтому разработчики операционной системы
Windows 7 исключили возможность работы с групповыми политиками для
некоторых редакций этой операционной системы. Это редакции Windows 7
Домашняя базовая и Windows 7 Домашняя расширенная. Предполагается,
что ими пользуются только начинающие пользователи, которым данный ин-
струмент не требуется. Если вы хотите работать с групповыми политиками,
необходимо приобрести более серьезную редакцию Windows 7.
Большое количество групповых политик соответствует настройкам реестра
Windows. Первоначально, в ранних версиях операционной системы Win-
dows, предшественники групповых политик — системные политики — от-
ражали только параметры реестра. В дальнейшем функционал этого ин-
струмента рос, и на сегодняшний день в операционных системах Windows
7 и Windows Server 2008/2012 посредством групповых политик можно по-
лучить доступ к огромному числу различных настроек системы. Конечно,
для работы с этими настройками можно пользоваться различными средства-
ми, такими как, например, Редактор реестра Windows. Однако при работе с
групповыми политиками вы имеете удобный редактор с графическим ин-
терфейсом. К тому же при помощи одного единственного инструмента мож-
но работать практически со всеми настройками системы — ни один другой
инструмент не может предложить этого. Даже редактор реестра Windows не
может предложить такой широты охвата функций. К тому же работа в Ре-
дакторе реестра Windows сложна даже для опытного пользователя: огром-
ное количество плохо структурированных записей могут запутать каждого.
Материал, предложенный читателю в данной книге, может быть полезен в
первую очередь системным администраторам, желающим навести порядок
на компьютерах в обслуживаемой ими сети. Конечно же, навыки работы с
групповыми политиками окажутся полезны любому пользователю, который
хочет сделать работу со своим компьютером более удобной и познать воз-
можности своей операционной системы.
19
19
19
Ãëàâà 1.
Êîíñîëü óïðàâëåíèÿ
MMC
Доступ к средствам администрирования операционных систем Windows 7,
таким как групповые политики Windows, можно получить через Консоль
управления MMC. Консоль управления MMC группирует все средства ад-
министрирования, используемые для управления сетями, компьютерами,
службами и другими системными компонентами. При этом администра-
тор работает в единой удобной графической среде, поэтому освоить работу с
консолью управления MMC особенно важно, ведь в этом случае работа с лю-
бым системным компонентом будет для вас привычна и комфортна.
Оснастка является основным компонентом консоли и предоставляет до-
ступ к определенным средствам администрирования. Например, получить
доступ к локальным групповым политикам можно при помощи оснастки Ре-
дактор объектов групповой политики. При этом работа с оснасткой возмож-
на только из консоли управления, запуск оснастки без запуска консоли не
представляется возможным. Вы можете создавать свои собственные оснаст-
ки консоли управления, как на базе уже существующей оснастки, так и пол-
ностью самостоятельно.
Îñíîâíûå ïðèåìû ðàáîòû â Êîíñîëè

óïðàâëåíèÿ MMC
В то время как Консоль управления MMC доступна любому пользовате-
лю системы, многие оснастки могут быть запущены только под учетной за-
писью администратора. В частности, интересующая нас оснастка Редактор
объектов групповой политики не может быть запущена пользователем с не-
привилегированной учетной записью операционной системы. Если вы соз-
даете оснастку консоли управления самостоятельно, вы можете выбрать для
нее необходимый уровень режима доступа.
Для того чтобы запустить Консоль управления MMC:
1. Нажмите сочетание клавиш Windows+R. Откроется диалоговое
окно Выполнить (Run).
2. В поле ввода Открыть (Open) введите «mmc».
21
21
21
3. Нажмите кнопку ОК, чтобы подтвердить запуск программы. Откро-

ется окно пустой Консоли управления MMC.
Запустить Консоль управления MMC можно иначе:
1. Нажмите клавишу Windows для вызова меню «Пуск».
2. В поле ввода Найти программы и файлы (Search programs and files)
введите «mmc».
3. Нажмите клавишу Enter.
ÐÀÁÎ÷ÅÅ ÎÊÍÎ ÊÎÍÑÎËÈ ÓÏÐÀÂËÅÍÈÿ ÌÌÑ

Рассмотрим рабочее окно программы Консоль управления MMC (рис. 1.1).
Рис. 1.1. Рабочее окно программы Консоль управления MMC
В самой верхней части экрана программы располагается строка меню, в ней

вы можете увидеть пункты:
• Файл (File). Здесь находятся команды создания, открытия и сохра-
нения консоли, загрузки и удаления оснасток. Также здесь вы найде-
те команду Параметры (Options), отвечающие за основные настрой-
ки программы.
• Действие (Action). Здесь находятся команды, позволяющие созда-
вать правила, осуществлять фильтрацию в дереве консоли, экспор-
2222
ГЛАВА 1. КОНСОЛЬ УПРАВЛЕНИЯ MMC
тировать список и некоторые другие действия. Состав может замет-

но отличаться от оснастки к оснастке.
• Вид (View) включает команды, позволяющие настроить интерфейс
программы.
• Избранное (Favorites) предоставляет доступ к избранному.
• Окно (Window). Команды данной группы определяют расположе-
ние окон программы, позволяют создавать новые окна консоли и
осуществлять переключения между ними.
• Справка (Help) предоставляет доступ к справочной системе про-
граммы, а также общей информации о Консоли управления MMC и
текущим открытым оснасткам.
Также в верхней части экрана вы можете увидеть панель инструментов. Со-
держание панели инструментов может существенно изменяться в зависимо-
сти от открытой в текущий момент оснастки. Тем не менее, шесть кнопок
остаются неизменными для любой оснастки:
• Кнопки и позволяют перейти на один шаг среди совершен-

ных действий назад и вперед соответственно. Первая кнопка отме-
нит последнее, совершенное в Консоли управления действие, вто-
рая кнопка позволит принять отмененное изменение снова. Подоб-
ные функции являются стандартными для программ операционных
систем семейства Windows, их применение не должно вызвать у вас
проблем.
• Кнопка отвечает за отображение области Дерево консоли (Con-

sole tree), находящейся в левой части экрана программы.
• Кнопка отвечает за отображение области Действия (Actions), на-

ходящейся в правой части экрана программы. Большинство пользо-
вателей Консоли Управления MMC считают область Действия (Ac-
tions) бесполезной. Отключение отображения этой области для мно-
гих является первым действием при начале работы с программой.
Для удобства кнопка вынесена на панель инструментов.
• Нажатие кнопки вызовет справочную систему программы, в ко-

торой вы можете получить необходимую информацию о Консоли
Управления MMC и приемах работы в программе.
• Кнопка позволяет быстро экспортировать список в текстовый

файл.
23
23
После того, как некоторая оснастка будет открыта, на панели управления

станут доступны еще несколько кнопок. Например, кнопка предназна-
чена для более удобной навигации по дереву консоли, она позволяет быстро
подняться на один уровень дерева вверх.
В левой части экрана программы Консоль управления MMC располагает-
ся область Дерево консоли (Console tree). Она содержит различные сред-
ства администрирования, такие как правила, политики. Эти средства адми-
нистрирования в Консоли управления сгруппированы по папкам и отобра-
жены в формате дерева, что довольно удобно; в дальнейшем условимся на-
зывать различные средства администрирования элементами. Работа с дере-
вом консоли подобна работе с Проводником Windows, только вместо при-
вычных файлов здесь находятся некоторые элементы консоли. Например,
для оснастки Редактор объектов групповой политики это будут политики и
их параметры.
В центральной части экрана программы располагается Область сведений
(Taskpad). По умолчанию она занимает основную долю экрана программы.
В ней отображаются развернутые сведения о средствах администрирования,
для каждой оснастки эти сведения будут индивидуальны. Например, для
оснастки Редактор объектов групповой политики в этой области отобража-
ются имена параметров и политик, их текущие состояния, пользовательские
комментарии и некоторые другие сведения.
Область Действия (Actions) в правой части экрана предоставляет быстрый
доступ к некоторым дополнительным действиям, специфичным для данной
оснастки. Содержание данной области совпадает с пунктом меню Действия
(Actions) панели инструментов. Большинство пользователей предпочитают
скрывать эту область, чтобы предоставить больше пространства для других
областей.
ÄÎÁÀÂËÅÍÈÅ È ÓÄÀËÅÍÈÅ ÎÑÍÀÑÒÎÊ

Пустая Консоль управления MMC не имеет никакого практического приме-
нения, для того, чтобы начать работу, необходимо добавить оснастку. Вы мо-
жете создать собственную оснастку, а можете загрузить ранее созданную. В
рамках этой книги мы будем пользоваться только стандартными оснастка-
ми консоли управления, такими как Редактор объектов групповой полити-
ки или Сертификаты.
Чтобы добавить или удалить оснастку консоли управления:
1. Выберите команду меню Файл ⇒ Добавить или удалить оснаст-
ку (File ⇒ Add/Remove Snap-In). Появится диалоговое окно До-
2424
Рис. 1.2. Диалоговое окно Добавление и удаление оснасток
бавление и удаление оснасток (Add or Remove Snap-Ins) (рис. 1.2).

Данное диалоговое окно можно вызвать также одновременным на-
жатием клавиш Ctrl+M.
2. В списке Доступные оснастки (Available snap-ins) в левой части по-
явившегося диалогового окна найдите интересующую вас оснастку.
Получить краткую информацию по каждой оснастке можно в тек-
стовом поле в нижней части диалогового окна. Для некоторых осна-
сток описание может отсутствовать.
3. Нажмите кнопку Добавить (Add). Выбранная оснастка добавится в
список Выбранные оснастки (Selected snap-ins), который находит-
ся в левой части диалогового окна. Для некоторых оснасток пред-
варительно необходимо выбрать объект администрирования в серии
диалоговых окон. Например, для оснастки Редактор объектов груп-
повой политики необходимо указать объект применения групповых
политик.
4. Если вы хотите удалить оснастку, выделите ее мышью в списке Вы-
бранные оснастки (Selected snap-ins) и нажмите кнопку Удалить
(Remove).
25
25
5. Если вы хотите открыть несколько оснасток одновременно, пе-

ред вами встанет проблема последовательности их расположения в
Консоли управления MMC. Для изменения порядка расположения
оснасток в окне Консоли управления MMC воспользуйтесь кнопка-
ми Вверх (Move Up) и Вниз (Move Down) диалогового окна Добав-
ление и удаление оснасток (Add or Remove Snap-Ins).
6. Для завершения добавления или удаления оснасток щелкните ОК.
Подобным образом в одном окне консоли вы можете открыть несколько
оснасток, настроить их под свой вкус. После чего вам, возможно, захочет-
ся сохранить все настройки консоли — в противном случае вам придется пе-
ред каждым началом работы с консолью производить все действия заново.
ÑÎÕÐÀÍÅÍÈÅ ÔÀÉËÀ ÊÎÍÑÎËÈ ÓÏÐÀÂËÅÍÈÿ

После того, как вы определенным образом настроили Консоль управления
MMС, загрузили необходимые оснастки, вы можете сохранить вашу кон-
соль управления. Файл консоли управления имеет расширение .msc. Этот
файл вы можете, например, сохранить на рабочий стол для быстрого запу-
ска или передать коллеге.
Для того чтобы сохранить файл консоли управления:
1. Выберите команду меню Файл ⇒ Параметры (File ⇒ Options). От-
кроется диалоговое окно Параметры (Options).
2. На вкладке Консоль (Console) появившегося диалогового окна в
поле ввода в верхней части экрана наберите имя файла консоли.
3. Нажмите кнопку Сменить значок (Change Icon). Откроется диало-
говое окно Смена значка (Change Icon).
4. Выберите понравившееся изображение из предложенных в списке
Текущий значок (Current Icon) или загрузите собственное. Для это-
го нажмите кнопку Обзор (Browse).
5. Подтвердите выбор нажатием кнопки ОК.
В диалоговом окне Параметры (Options) в раскрывающемся списке Режим
консоли (Console mode) выберите:
• Авторский (Author mode), если хотите предоставить пользовате-
лю файла полный доступ к Консоли управления MMC. При помо-
щи данного файла пользователь сможет добавлять и удалять оснаст-
ки, просматривать все участки дерева, создавать новые окна, а также
создавать виды панели задач и задачи.
2626
• Пользовательский — полный доступ (User mode — full access), если

необходимо ограничить пользователя лишь в возможности измене-
ния свойств консоли, а также добавления и удаления оснасток. В
остальном пользователь имеет полный доступ к дереву консоли.
• Пользовательский — огр. доступ, много окон (User mode — limited
access, multiple window). Данный режим ограничит доступ пользова-
телей к участкам дерева, невидимым в окне консоли. То есть пользо-
ватель получит доступ только к участкам дерева, которые были рас-
крыты к моменту сохранения файла консоли. При этом в данном ре-
жиме сохраняются все ограничения, которые были установлены для
режима Пользовательский — полный доступ (User mode — full ac-
cess).
• Пользовательский — огр. доступ, одно окно (User mode — limited
access, single window). Этот режим ко всем ограничениям преды-
дущего прибавляет еще возможность работы только в одном окне.
Пользователь при этом не имеет доступа к элементам управления,
разрешающим работу со множественными окнами.
Если режимом консоли вы выбрали не Авторский (Author mode), то флаж-
ки Не сохранять изменения для этой консоли (Do not save changes to this
console) и Разрешить пользователю настраивать вид консоли (Allow the
user to customize views) станут активными. Установка первого флажка запре-
тит пользователям вносить изменения в консоль, что немаловажно с точки
зрения безопасности. Второй флажок разрешит пользователям доступ к ди-
алоговому окну Настройка вида (Customize View), позволяющему на-
строить интерфейс программы.
6. Нажмите кнопку ОК, чтобы подтвердить изменение параме-
тров.
7. Выберите команду меню Файл ⇒ Сохранить как (File ⇒ Save As).
Откроется диалоговое окно Сохранить как (Save As).
8. В появившемся диалоговом окне определите пункт сохранения фай-
ла консоли, подтвердите сохранение нажатием кнопки Сохранить
(Save).
Полученным файлом можете пользоваться как вы, так и другие пользова-
тели. Грамотно настроенный файл консоли позволит сэкономить вам нема-
ло времени. При предоставлении прав другим лицам пользуйтесь правилом
«наименьших привилегий»: оставляйте пользователям только необходимый
минимум возможностей, это сделает систему более безопасной.
27
27
ÐÀÁÎÒÀ Ñ «ÈÇÁÐÀÍÍÛÌ»
Как правило, все оснастки консоли управления содержат огромное множе-
ство элементов. Так, например, оснастка Редактор объектов групповой по-
литики содержит сотни узлов и тысячи параметров политик. Когда адми-
нистратору системы при постоянной работе приходится каждый раз искать
одни и те же параметры политик для редактирования, это занимает немало
времени. В данной ситуации будет полезна функция создания и использова-
ния «Избранного»: она позволяет отсеять от огромного множества элемен-
тов наиболее интересные, вы можете сгруппировать их по папкам и всегда
иметь к ним быстрый доступ.
Для того чтобы добавить элемент в «Избранное»:
1. Выделите интересующий вас элемент в дереве консоли при помощи
мыши.
2. Выберите команду меню Избранное ⇒ Добавить в избранное
(Favorites ⇒ Add to Favorites). Откроется диалоговое окно Добав-
ление в папку «Избранное» (Add to Favorites).
3. В поле ввода Имя (Name) введите название, которое будет отобра-
жаться вместо того имени элемента, которое отображается в дереве
консоли — зачастую имена элементов довольно громоздкие, вы же
можете заменить их удобными и короткими на свой вкус.
4. Возможно, со временем ваш список «Избранного» приобретет до-
вольно большие размеры. Чтобы в нем не потеряться, можно разбить
его на смысловые узлы, иными словами, создать папки для «Избран-
ного». Для этого нажмите кнопку Создать папку (New Folder). В по-
явившемся диалоговом окне введите название для узла и нажмите
кнопку ОК.
Теперь в панели инструментов программы Консоль управления MMC при
выборе пункта Избранное (Favorites) вы увидите ваш список элементов,
разбитый на узлы в соответствии с вашим планом. Выбрать любой из них вы
можете простым щелчком мыши.
Если в свое время вы пренебрегли созданием удобной структуры для ваших
«Избранных» элементов или просто решите изменить состав списка, то в
любой момент вы можете все привести в порядок. Для этого:
1. Выберите команду меню Избранное ⇒ Упорядочить избранное
(Favorites ⇒ Organize Favorites). Откроется диалоговое окно Упо-
рядочить избранное (Organize Favorites) (рис. 1.3).
2. В центральной части окна вы увидите список «Избранных» элемен-
2828
Рис. 1.3. Диалоговое окно Упорядочить избранное
тов, оформленный в виде дерева. Выберите в дереве интересующий

элемент или папку.
3. Если вы хотите:
• Переместить элемент или папку в другое место, то нажми-
те кнопку Переместить (Move to Folder). Откроется диалого-
вое окно Папка для избранного (Select Favorites Folder), в цен-
тральной части которого находится древовидный список «Из-
бранного». Выберите папку, в которую необходимо перенести
исходный элемент или папку, и нажмите кнопку ОК.
• Переименовать элемент или папку, то нажмите кнопку Переи-
меновать (Rename). Введите новое имя, затем нажмите клави-
шу Enter.
• Удалить элемент или папку, то нажмите кнопку Удалить (De-
lete). Будьте внимательны: программа удалит выделенный объ-
ект без предупреждения. Если вы удаляете папку, то автома-
тически будет удалено все ее содержимое: другие папки и эле-
менты. При этом вы также не получите от программы никако-
го предупреждения.
29
29
• Создать новую папку, то нажмите кнопку Создать папку (Cre-

ate Folder). В появившемся диалоговом окне укажите имя объ-
екта и нажмите кнопку ОК. Новая папка будет создана внутри
объекта, который был выделен до нажатия кнопки. В случае
ошибки, вы всегда можете исправить расположение элемента
или папки при помощи кнопки Переместить (Move to Folder).
4. Когда вы закончите работу по настройке структуры «Избранного»,
нажмите кнопку Закрыть (Close).
Правильно составленный и структурированный список «Избранного» мо-
жет сэкономить вам большое количество времени. Впрочем, если поми-
мо элементов «Избранного» вы не используете прочих элементов оснастки
даже изредка, имеет смысл создания новой оснастки только на основе эле-
ментов «Избранного». Данный ход отнимет у вас не так много времени, но
позволит сделать работу еще удобнее.
Íàñòðîéêà èíòåðôåéñà ïðîãðàììû

Все люди разные, все мы привыкли работать в различных условиях. Поня-
тие удобства интерфейса для каждого человека сугубо индивидуально, к
тому же часто изменяется от случая к случаю. А ведь удобно настроенный
интерфейс может значительно упростить работу с программой, сократить
временные и трудовые затраты.
Первое, что мы будем настраивать в программе Консоль управления MMC,
это отображение различных ее элементов: панелей, областей и т. п. Для это-
го выберите команду меню Вид ⇒ Настроить (View ⇒ Customize). Откро-
ется диалоговое окно Настройка вида (Customize View) (рис. 1.4), в ко-
тором можно увидеть две группы элементов управления: первая содержит
семь флажков и отвечает за отображение элементов непосредственно Кон-
соли управления MMC, вторая содержит всего два флажка и отвечает за ото-
бражение элементов оснасток.
Для того чтобы отключить отображение некоторого элемента, сбросьте соот-
ветствующий ему флажок.
Для Консоли управления MMC доступны:
• Дерево консоли (Console tree). Отображение области Дерево кон-
соли (Console tree), которая находится в левой части экрана. Данная
область обычно активно используется в работе, однако, если вы ис-
пользуете только элементы из списка «Избранное», то область мож-
но и отключить. Это позволит освободить пространство экрана для
отображения других элементов в большем масштабе.
3030
Рис. 1.4. Диалоговое окно Настройка вида
• Стандартные меню «Действие» и «Вид» (Standard menus (Action

and View)). Несмотря на название, данный флажок отвечает не толь-
ко за отображение пунктов Действие (Actions) и Вид (View), но так-
же и за отображение пункта Избранное (Favorites) на командной па-
нели программы.
• Панель инструментов «Стандартная» (Standard toolbar). Отобра-
жение всех стандартных кнопок панели инструментов. При этом
нестандартные кнопки, присущие только некоторым оснасткам,
при сброшенном флажке все равно будут отображаться. Например,
кнопка оснастки Редактор объектов групповой политики, отве-
чающая за фильтрацию политик, отображается на панели инстру-
ментов вне зависимости от состояния данного флажка.
• Строка состояния (Status bar). Отображение строки состояния в
нижней части окна программы Консоль управления MMC. Данный
элемент окна практически не имеет применения в программе, поэ-
тому его можно смело отключить, чтобы сэкономить пространство
окна в пользу других областей. По умолчанию этот флажок сброшен.
• Область описания (Description bar). Отображение области описа-
ния, в которой содержится название и состав выбранного узла.
31
31
• Вкладки панели задач (Taskpad navigation tabs). Сбросив этот фла-

жок, можно скрыть отображение вкладок панели задач, позволяю-
щих осуществлять переключение между расширенным и стандарт-
ным режимами отображения Области сведений (Taskpad).
• Панель действия (Action pane). Отображение области Действия
(Actions), что располагается в правой части окна программы. Эле-
менты данной области предоставляют доступ к некоторым дополни-
тельным действиям, специфичным для выбранной оснастки.
Для оснастки доступны:
• Меню (Menus). В случае если флажок сброшен, стандартное меню
оснастки не будет отображаться.
• Панели инструментов (Toolbars). Отображение на панели инстру-
ментов специфичных кнопок оснастки. Состояние данного флаж-
ка не влияет на отображение на панели инструментов стандартных
кнопок. К сожалению, нельзя настроить параметры отображения
для каждой оснастки индивидуально — данные настройки являют-
ся общими для всех оснасток. То есть вы можете либо включить ото-
бражение кнопок для всех оснасток одновременно, либо полностью
скрыть кнопки всех оснасток.
В области сведений для многих оснасток возможно отображение огромного
количества различных сведений о ее элементах. Зачастую пользователь ви-
дит там совсем не то, что бы он хотел видеть.
Первое, что можно сделать для обеспечения вашего удобства, — это изме-
нить размеры отображаемых столбцов параметров элементов. Это делается
очень просто:
1. Раскройте дерево консоли оснастки и выделите любой элемент при
помощи мыши.
2. В области сведений установите указатель мыши на границе разделе-
ния нескольких столбцов. Указатель мыши примет вид . Нажми-
те и удерживайте левую кнопку мыши.
3. Не отпуская левую кнопку мыши, перемещайте мышь до тех пор,
пока размеры столбцов параметров не станут удовлетворять вашим
потребностям. Обратите внимание: ширина каждого столбца незави-
сима от ширины столбцов-соседей. То есть, увеличивая размер одно-
го столбца, вы не уменьшаете при этом размеры столбцов-соседей.
4. Отпустите левую кнопку мыши. Столбцы сохранят указанные вами
размеры.
3232
Если же вам необходимо изменить отображаемый состав области сведений:

1. Раскройте дерево консоли оснастки и выделите любой элемент при
помощи мыши.
2. Выберите команду меню Вид ⇒ Добавить или удалить столбцы
(View ⇒ Add/Remove Columns). Откроется диалоговое окно До-
бавление или удаление столбцов (Add/Remove Columns), в ко-
тором вы можете увидеть два списка: Отображаемые столбцы
(Displayed columns) и Имеющиеся столбцы (Available columns). В
первом списке содержатся названия параметров элементов, которые
будут отображены в области сведений в отдельных столбцах. Во вто-
ром списке содержатся названия параметров элементов, которые мо-
гут быть отображены в области сведений, но в данный момент они
скрыты от пользователя.
3. Чтобы скрыть отображение некоторого параметра элементов из об-
ласти сведений, выделите его при помощи мыши в списке Отобра-
жаемые столбцы (Displayed columns), затем нажмите кнопку Уда-
лить (Remove). Обратите внимание, не все параметры элементов
можно скрыть: отображение некоторых параметров обязательно.
4. Для того, чтобы отобразить некоторый параметр элементов из обла-
сти сведений, выделите его при помощи мыши в списке Имеющиеся
столбцы (Available columns), затем нажмите кнопку Добавить (Add).
5. Чтобы определить порядок отображения параметров элементов в об-
ласти сведений, воспользуйтесь кнопками Вверх (Move Up) и Вниз
(Move Down). Порядок отображения в области сведений будет про-
исходить в соответствии с порядком расположения элементов в спи-
ске Отображаемые столбцы (Displayed columns). Чтобы вернуть все
настройки отображения к стандартным значениям, нажмите кнопку
По умолчанию (Restore Defaults).
6. Для принятия изменений нажмите кнопку ОК.
После внесения изменений попробуйте поработать в консоли управления с
данной оснасткой, чтобы убедиться, что работа действительно стала удоб-
нее. Иногда необходимо потратить немало времени, чтобы настроить про-
грамму под свой вкус так, чтобы это не мешало ее функциональности.
Для многих оснасток доступны дополнительные параметры настройки ин-
терфейса. Во многих оснастках, в том числе и в Редакторе объектов группо-
вой политики, вы можете изменять способ и размер отображения значков
элементов подобно тому, как это делается в Проводнике Windows. Доступ
к этим настройкам осуществляется через пункт меню Вид (View). Обычно
33
33
вам доступны:
• Крупные (Large Icons). Значки имеют крупный размер, элементы
распределены максимально плотно по всему пространству области
сведений.
• Мелкие (Small Icons). Значки имеют мелкий размер, элементы рас-
пределены максимально плотно по всему пространству области све-
дений.
• Список (List). Значки имеют мелкий размер, каждый элемент ото-
бражен в области сведений на отдельной строке.
• Таблица (Detail). Данный способ отображения схож с предыдущим,
но дополнительно отображаются также параметры элементов, кото-
рые можно настроить через команду меню Вид ⇒ Добавить или уда-
лить столбцы (View ⇒ Add/Remove Columns). Подробный меха-
низм был описан выше. Этот способ отображения установлен по
умолчанию.
Некоторые оснастки предоставляют пользователю дополнительные инстру-
менты настройки отображения. Надеемся, при необходимости разобраться с
ними не составит для вас особого труда.
ÐÀÁÎÒÀ Ñ ÍÅÑÊÎËÜÊÈÌÈ ÎÊÍÀÌÈ

Программа Консоль управления MMC также поддерживает работу с не-
сколькими окнами консолей одновременно. В определенных ситуациях это
поможет сэкономить вам немало времени, а если вы разрабатываете файл
консоли для использования другими пользователями и используете различ-
ные режимы консоли, то использование многооконного режима станет при-
ятным подспорьем в вопросах безопасности.
Для того чтобы открыть новое окно консоли, выберите команду меню Окно
⇒ Новое (Window ⇒ New Window). Новое окно будет развернуто на пол-
ный размер окна Консоли управления MMC и будет копией предыдущего
окна консоли за тем лишь исключением, что все узлы дерева консоли бу-
дут свернуты. Открыть новое окно консоли можно также сочетанием кла-
виш Ctrl+W.
Со всеми окнами внутри программы вы можете работать абсолютно так же,
как и со всеми остальными окнами своей операционной системы: сворачи-
вать, разворачивать, изменять размеры, перемещать, раскрывать на полный
размер окна программы, закрывать. И если уж вы предпочли работу в мно-
гооконном режиме, значит вам необходимо, чтобы все окна можно было обо-
3434
зревать одновременно. Конечно, вы можете вручную, перетаскивая каждое

по очереди, расположить все окна удобным образом, но гораздо удобнее при-
менить специальную функцию программы: все окна можно упорядочить на
экране автоматически.
Для этого в Консоли управления MMC существуют три команды, доступ-
ные через пункт меню Окно (Window):
• Каскадом (Cascade). Окна будут расположены, словно в стопку:
полностью отображено только верхнее окно, от каждого нижнего
окна будет виден только заголовок. Используя этот заголовок, удоб-
но осуществлять переключение между окнами. К тому же, данную
функцию удобно использовать, чтобы предварительно упорядочить
все окна, а затем уже расположить их на экране вручную.
• Сверху вниз (Tile Horizontally). Каждое открытое окно консоли в
ширину займет все доступное пространство, вертикальное же про-
странство окна программы будет поделено между всеми окнами кон-
соли поровну (рис. 1.5). При этом обеспечивается отличная види-
мость всех открытых окон консоли.
Рис. 1.5. Использование автоматического расположения окон в окне

Консоли управления MMC
35
35
• Упорядочить значки (Arrange Icons). Размещает все значки вдоль

нижнего края главного экрана.
Кроме того, все открытые в текущий момент окна консоли будут доступны
через пункт меню Окно (Window). Чтобы переключиться на нужное окно,
нужно всего лишь выбрать его в меню при помощи мыши.
Îáçîð ñòàíäàðòíûõ îñíàñòîê

В Консоли управления MMC вы имеете возможность работать с огромным
количеством стандартных оснасток, модифицировать их и создавать свои
собственные. Практически все стандартные оснастки могут быть запущены
более быстрым путем — напрямую через командную строку операционной
системы, минуя запуск пользователем Консоли управления MMC.
Хотя в этой книге речь пойдет в основном об оснастке Редактор объектов
групповой политики, бегло рассмотрим некоторые другие стандартные
оснастки. В Консоли управления MMC вы можете добавить следующие
стандартные оснастки:
• Анализ и настройка безопасности (Security Configuration and Anal-
ysis). Оснастка позволяет настраивать параметры безопасности на
компьютерах под управлением операционной системы Windows с
помощью файлов шаблонов безопасности, а также производить ана-
лиз безопасности операционной системы.
• Брандмауэр Windows с дополнительной безопасностью на локаль-
ном компьютере (Windows Firewall with Advanced Security). Данная
оснастка позволяет производить настройку встроенного в операци-
онную систему Windows брандмауэра. Также вы можете работать с
этой оснасткой через консоль wf.msc или запустив ее через Панель
управления Windows.
• Диспетчер авторизации (Authorization Manager). Диспетчер авто-
ризации позволяет задавать ролевые разрешения для приложений,
использующих диспетчер авторизации. Приложения диспетчера ав-
торизации хранят политику авторизации в виде хранилищ автори-
зации, сохраненных в Active Directory или файлах XML. Полити-
ка вызывается диспетчером авторизации во время выполнения при-
ложения. Также вы можете работать с этой оснасткой через консоль
azman.msc.
• Диспетчер устройств (Device Manager). Диспетчер устройств пре-
доставляет доступ к списку установленного на компьютере обору-
3636
дования и соответствующих этому оборудованию драйверов. Здесь

пользователь может совершить полноценную настройку оборудо-
вания. Также вы можете работать с этой оснасткой через консоль
devmgmt.msc.
• Конфигурация клиента защиты доступа к сети (NAP Client Con-
figuration). Оснастка позволяет настроить параметры конфигурации
клиента защиты доступа к сети, а также осуществлять дальнейшее
их управление. Вообще, речь идет о параметрах работы компонен-
та NAP, суть работы которого заключается в блокировании доступа
к системе компьютеров, не удовлетворяющих определенным вами
требованиям. Также вы можете работать с этой оснасткой через кон-
соль napclcfg.msc.
• Локальные пользователи и группы (Local Users and Groups). Оснаст-
ка позволяет добавлять, удалять и редактировать содержимое учет-
ных записей и групп учетных записей пользователей операционной
системы. Также вы можете работать с этой оснасткой через консоль
lusrmgr.msc.
• Монитор IP-безопасности (IP-security Monitor). Оснастка исполь-
зуется для наблюдения за состоянием IP-безопасности и политикой
IPsec, применяемой на текущем и других компьютерах. Данная ин-
формация может оказаться полезной при устранения неполадок в
IPsec, а также при тестировании создаваемых политик.
• Общие папки (Shared Folders). Оснастка позволяет просматривать
списки общих папок компьютера, созданных сетевых сессий, а так-
же открытых по сети файлов. При помощи этой оснастки пользова-
тель может создавать, редактировать и удалять различные параме-
тры общих папок. Также вы можете работать с этой оснасткой через
консоль fsmgmt.msc.
• Папка (Folder). Данная стандартная оснастка, по сути, не являет-
ся самостоятельной: она служит скорее для упорядочивания гото-
вой консоли. Все, что она делает, — осуществляет добавление пустой
папки к дереву консоли.
• Планировщик заданий (Task Scheduler). Оснастка предоставляет
доступ к списку автоматически запускаемых задач операционной
системы. Здесь же вы можете добавлять различные типы задач или
импортировать их из сторонних источников, просматривать журна-
лы заданий, создавать различные простые и сложные структуры за-
дач и многое другое. Также вы можете работать с этой оснасткой че-
рез консоль taskschd.msc.
37
37
• Просмотр событий (Event Viewer). Используя эту оснастку, вы по-

лучите удобный инструмент просмотра журнала событий операци-
онной системы. В этих журналах содержится множество сведений о
работе компонентов операционной системы, а также различных сто-
ронних программ. Журналы событий — мощнейший инструмент в
руках умелого системного администратора. Вы также можете рабо-
тать с этой оснасткой через консоль eventvwr.msc.
• Редактор объектов групповой политики (Group Policy Object Edi-
tor). Именно об этой оснастке будет идти речь в основной части кни-
ги. Оснастка предоставляет доступ к работе групповых политик опе-
рационной системы. Также вы можете работать с этой оснасткой че-
рез консоль gpedit.msc.
• Результирующая политика (Resultant Set of Policy). Данная оснаст-
ка несколько упрощает процесс настройки групповых политик, дей-
ствующих на конкретного пользователя. Оснастка используется как
для уже применяемой политики, так и для определения, какая поли-
тика будет применена к пользователю компьютера. Также вы можете
работать с этой оснасткой через консоль rsop.msc.
• Сертификаты (Certificates). Данная оснастка позволяет управлять
пользовательскими сертификатами, сертификатами локального или
удаленного компьютера, сертификатами удаленной или локальной
службы. Консоль с этой оснасткой также может быть запущена че-
рез командную строку операционной системы — ее имя certmgr.msc.
• Системный монитор (Performance Monitor). Монитор производи-
тельности позволяет просматривать данные о производительности
системы, такие как аппаратные сведения и системные ресурсы, ис-
пользуемые операционной системой, службами и работающими при-
ложениями. Данные могут быть получены либо в режиме реального
времени, либо в файле журнала. Также вы можете работать с этой
оснасткой для остановки различных процессов, запуска и остановки
системных служб, просмотра цепочки ожидания потока и идентифи-
кации файлов, ответственных за блокировку процессов, анализа вза-
имоблокировки процессов. Работа с оснасткой возможна через кон-
соль perfmon.exe.
• Службы (Services). Оснастка позволяет запускать, останавливать и
производить настройку служб операционной системы. Также вы мо-
жете работать с этой оснасткой через консоль services.msc или запу-
стив ее через Панель управления Windows.
• Службы компонентов (Component Services). Оснастка позволяет
3838
получить доступ к ActiveX-объектам как локального, так и удален-

ного компьютера. Главным образом оснастка полезна для работы с
настройками приложений COM+. Приложения COM+ представля-
ют собой набор компонентов COM, взаимодействующих друг с дру-
гом и выполняющих управление очередями или реализующих воз-
можность настройки параметров безопасности на основе ролей. Так-
же вы можете работать с этой оснасткой через консоль comexp.msc.
• Ссылка на веб-ресурс (Link to Web Address). Данная стандартная
оснастка, по сути, не является самостоятельной: при ее помощи вы
можете добавить узел дерева консоли, в области сведений которого
будет отображаться определенная пользователем веб-страница.
• Управление TPM (TPM Management). С помощью данной оснаст-
ки пользователь может управлять работой доверенного платформен-
ного модуля TPM, который позволяет хранить конфиденциальные
данные пользователя, параметры конфигурации компьютера и опе-
рационной системы. Также вы можете работать с этой оснасткой че-
рез консоль tpm.msc.
• Управление компьютером (Computer Management). Оснастка пре-
доставляет множество средств управления операционной системой.
Вы можете управлять настройками служебных программ, запоми-
нающих устройств, служб и приложений из одной оснастки. В чис-
ле служебных программ числятся такие приложения, как Планиров-
щик заданий, Просмотр событий, Общие папки, Локальные поль-
зователи и группы, Производительность, Диспетчер устройств. На-
стройки многих из этих приложений доступны через отдельные спе-
циализированные оснастки. Также вы можете работать с оснасткой
Управление компьютером (Computer Management) через консоль
CompMgmtLauncher.exe.
• Управление дисками (Disk Management). Оснастка предоставляет
широкие возможности по работе с разделами жестких дисков ком-
пьютера: вы можете форматировать разделы, работать с виртуальны-
ми дисками, изменять буквы дисков, создавать зеркальные образы
разделов и выполнять многие другие действия. Работа с этой оснаст-
кой возможна также через консоль diskmgmt.msc.
• Управление печатью (Print Management). Оснастка представля-
ет собой удобное средство управления работой серверов печати ло-
кального или удаленного компьютера, а также развернутыми прин-
терами. Также вы можете работать с этой оснасткой через консоль
printmanagement.msc.
39
39
• Управление политикой IP-безопасности (IP-security Policy Man-

agement). Оснастка предоставляет средства для работы с политика-
ми IPSec, ответственными за безопасное соединение с другими ком-
пьютерами. Также вы можете работать с этой оснасткой через кон-
соль secpol.msc.
• Управляющий элемент WMI (WMI Control). Оснастка предна-
значена для настройки параметров работы службы Инструмента-
рий управления Windows (WMI) на локальном или удаленном ком-
пьютере. Также вы можете работать с этой оснасткой через консоль
wmimgmt.msc.
• Шаблоны безопасности (Security Templates). Оснастка помогает
при работе с шаблонами безопасности Windows: создание, измене-
ние, настройка шаблонов безопасности и многие другие возможно-
сти.
• Элементы управления ActiveX (ActiveX Control). Данная стандарт-
ная оснастка, по сути, не является самостоятельной: при ее помощи
вы можете добавить узел дерева консоли, в области сведений которо-
го будет содержаться Active-X элемент.
Çàêëþ÷åíèå
В этой главе были рассмотрены приемы работы в Консоли управления
MMC. Теперь вы умеете открывать Консоль управления, добавлять и уда-
лять стандартные оснастки, создавать и сохранять собственные оснастки,
производить настройку отображения программы. Полученные знания будут
крайне полезны в дальнейшем при работе с групповыми политиками и сер-
тификатами Windows.
Навыки работы в Консоли управления MMC делают администратора систе-
мы на голову выше своих коллег. По сути это все, что нужно для гибкого и
всестороннего управления операционной системой.
4040
Ãëàâà 2.
Èñïîëüçîâàíèå îñíàñòêè
“Ãðóïïîâàÿ ïîëèòèêà”
Из всего множества оснасток Консоли управления MMC особого внима-
ния заслуживает Редактор объектов групповой политики. В этой главе бу-
дут приведены основные сведения о групповых политиках Windows, также
вы познакомитесь с методами работы с оснасткой Редактор объектов груп-
повой политики.
Групповые политики Windows являются мощнейшим инструментом, по-
зволяющим производить всестороннюю настройку операционной системы,
а также некоторых программ. Помимо своей силы действия и охвата груп-
повые политики отличаются также высокой гибкостью применения: вы мо-
жете определять индивидуальные политики, как для отдельных пользовате-
лей, так и для групп пользователей. При этом полученные в результате еди-
ножды системы политик удобно переносить на другие компьютеры.
Напоминаем, что оснастка Редактор объектов групповой политики не до-
ступна в младших редакциях операционной системы Windows 7 — Домаш-
няя базовая и Домашняя расширенная. Предполагается, что в конечном сче-
те таким решением разработчики операционной системы позаботились о
пользователях, лишив их возможности навредить системе. Позаботьтесь,
чтобы в вашей редакции Windows 7 проблем с оснасткой Редактор объектов
групповой политики не возникало, в противном случае вы не сможете опро-
бовать полученные из книги знания на практике.
Из предыдущей главы книги вы должны были отметить для себя, что Кон-
соль управления MMC предоставляет пользователю большое количество
стандартных оснасток. Причем некоторые из оснасток частично или полно-
стью перекрывают друг друга — то есть включают в себя функционал дру-
гой оснастки. Оснастка Редактор объектов групповой политики в этом пла-
не сильно отличилась: освоив навыки работы в ней, запомнив расположение
важных узлов, вы сможете полностью отказаться от использования боль-
шинства других оснасток, даже если вам приходится реализовывать слож-
нейшие административные задачи на компьютере.
4242
42
ГЛАВА 2. ИСПОЛЬЗОВАНИЕ ОСНАСТКИ “ГРУППОВАЯ ПОЛИТИКА”
Ñïîñîáû îòêðûòèÿ ðåäàêòîðà îáúåêòîâ

ãðóïïîâîé ïîëèòèêè
Существует несколько способов открытия редактора для работы с объекта-
ми групповой политики. Скорее всего, вы будете пользоваться каким-то од-
ним способом, однако для решения определенных задач могут потребовать-
ся другие. Поэтому рассмотрим несколько путей открытия Редактора объек-
тов групповой политики.
Примечание. Редактор объектов групповой политики может быть запущен только
под учетной записью администратора системы.
Первый способ вы могли бы предугадать на основании сведений, получен-

ных из предыдущей главы книги — необходимо всего лишь добавить оснаст-
ку Редактор объектов групповой политики в Консоли управления MMC:
1. Откройте программу Консоль управления MMC.
2. Выберите команду меню Файл ⇒ Добавить или удавить оснастку
(File ⇒ Add/Remove Snap-In). Появится диалоговое окно Добав-
ление и удаление оснасток (Add or Remove Snap-Ins). Данное ди-
алоговое окно можно вызвать также одновременным нажатием кла-
виш Ctrl+M.
явившегося диалогового окна найдите оснастку Редактор объектов
групповой политики (Group Policy Object Editor).
4. В списке в левой части появившегося диалогового окна найдите
пункт Редактор объектов групповой политики (Group Policy
Object Editor). Нажмите кнопку Добавить (Add) или дважды
щелкните мышью по этому пункту. Откроется диалоговое окно
Выбор объекта групповой политики (Select Group Policy Ob-
ject).
5. В появившемся диалоговом окне нажмите кнопку Обзор (Browse).
Откроется диалоговое окно Поиск объекта групповой политики
(Browse for a Group Policy Object).
6. Откройте вкладку Пользователи (Users) диалогового окна Поиск
объекта групповой политики (Browse for a Group Policy Object) (рис.
2.1). На этой вкладке находится список доступных учетных записей
операционной системы. Вы можете заметить, что кроме непосред-
ственных учетных записей в списке есть еще два пункта: Админи-
страторы (Administrators) и Не администраторы (Non-Administra-
43
43
43
Рис. 2.1. Диалоговое окно Поиск объекта групповой политики
tors). Первый пункт определяет применение групповой политики ко

всем учетным записям администраторов системы, второй — ко всем
учетным записям системы без администраторских привилегий.
7. Щелчком мыши выделите необходимый объект применения группо-
вой политики. Нажмите кнопку ОК.
8. В диалоговом окне Выбор объекта групповой политики (Se-
lect Group Policy Object) нажмите кнопку Готово (Finish).
9. В диалоговом окне Добавление и удаление оснасток (Add or Re-
move Snap-Ins) нажмите кнопку ОК. В Консоли управления MMC
откроется оснастка Редактор объектов групповой политики
(Group Policy Object Editor).
Довольно долгий путь, особенно если вы обращаетесь к данной оснастке по-
стоянно. Поэтому для ускорения доступа вы можете сохранить файл консо-
ли — тогда доступ к уже настроенному Редактору объектов групповой поли-
тики можно будет получить в два щелчка мыши.
В несколько урезанном варианте Редактор объектов групповой политики
может быть запущен, минуя открытие Консоли управления MMC. Однако в
этом случае вы сможете работать только с локальными групповыми полити-
ками. Впрочем, в данной книге в основном рассматривается работа именно
4444
с локальными групповыми политиками, поэтому для работы данной версии

редактора будет достаточно.
Для запуска Редактора локальной групповой политики:
1. Нажмите сочетание клавиш Windows+R. Откроется диалоговое
окно Выполнить (Run).
2. В поле ввода Открыть (Open) введите «gpedit.msc».
3. Нажмите кнопку ОК, чтобы подтвердить запуск программы. Откро-
ется окно Редактор локальной групповой политики (Local Group
Policy Editor) (рис. 2.2).
Рис. 2.2. Окно оснастки Редактор локальной групповой политики
Интерфейс программы Редактора локальной групповой политики практи-

чески полностью совпадает с интерфейсом соответствующей оснастки.
Существует еще несколько способов открытия Редактора объектов группо-
вой политики, применимых для реализации политик к специфичным объек-
там, таким как сайт, домен или подразделение. Эта задача реализуется с ис-
пользованием Active Directory. Ввиду редкого применения, данный способ
рассмотрен в книге не будет.
45
45
45
При рассмотрении политик и их параметров мы в основном будем пользо-

ваться Редактором локальной групповой политики, поэтому все примеры
ориентированы на использование именно этой оснастки.
Íà÷àëî ðàáîòû â Ðåäàêòîðå ëîêàëüíîé

ãðóïïîâîé ïîëèòèêè
Как вы можете заметить, интерфейс Редактора локальной групповой по-
литики практически идентичен интерфейсу оснастки Консоли управления
MMC. В левой части окна, в области Дерево консоли (Console tree) разме-
щен список всех доступных узлов оснастки групповых политик операцион-
ной системы: политик и их параметров. В правой части окна отображаются
доступные для редактирования политики и параметры политик выбранно-
го узла. По умолчанию область Действия (Actions) скрыта, но вы всегда мо-
жете включить ее отображение. При работе с групповыми политиками при-
менение ей найти непросто, она лишь будет занимать ценное пространство
окна программы, поэтому для большинства пользователей возможность
включить ее отображение не представит интереса.
Для настройки параметра необходимой политики необходимо найти его в
огромном дереве групповых политик Windows, затем дважды щелкнуть по
нему мышью. Появится диалоговое окно настройки параметра групповой
политики. Вид отображаемого диалогового окна может отличаться для раз-
личных политик. Все диалоговые окна настройки параметров политик узла
Административные шаблоны (Administrative Templates) выглядят единоо-
бразно, для других же узлов их вид значительно отличается от параметра к
параметру.
Зачастую найти необходимую политику или ее параметр оказывается не так-
то просто, поэтому в книге будут рассмотрены способы фильтрации политик
для ускорения процесса поисков. Для начала рассмотрим способы ускорен-
ного передвижения по окну консоли — вы можете сэкономить немало вре-
мени, выполняя некоторые действия при помощи клавиатуры. Вот некото-
рые из них:
• Клавиша Tab позволяет быстро переключаться между областями ак-
тивного окна консоли. При этом переключение областей осущест-
вляется по замкнутому кругу. Использование сочетания клавиш
Shift+Tab позволяет осуществлять переключение в обратном на-
правлении.
• Клавиша — на цифровой клавиатуре позволяет осуществить свер-
тывание содержимого выбранного узла дерева консоли. Клавиша +
4646
цифровой клавиатуры, наоборот, производит развертывание содер-

жимого выбранного узла.
• Клавиша * на цифровой клавиатуре позволяет осуществить полное
развертывание содержимого всех узлов дерева консоли, располо-
женных под выбранным узлом. Данная возможность полезна, когда
вы производите поиск необходимой политики, постепенно закрывая
ненужные, уже просмотренные, узлы дерева.
• При помощи клавиш с изображением стрелок удобно перемещаться
по дереву консоли: клавиши ↑ и ↓ позволяют перемещать выделение
узла в вертикальной плоскости, клавиши ← и → позволяют сверты-
вать и развертывать содержимое узла. Если использовать клавиши
← и → на пустом узле, их действие идентично нажатию клавиш ↑ и
↓ соответственно.
• Клавиша Page Up перемещает выделение на самый верхний види-
мый элемент области. Клавиша Page Down соответственно переме-
щает выделение на самый нижний видимый элемент области. Кла-
виши Home и End позволяют быстро выбрать первый или послед-
ний элемент области.
• Сочетание клавиш Alt+← установит выделение на предыдущий вы-
деленный объект, после чего станет возможно применение сочетания
клавиш Alt+→ — установление выделения на следующий выделен-
ный объект.
Все перечисленные выше приемы использования клавиатуры при работе с
оснасткой Редактор локальной групповой политики могут быть использова-
ны с любой другой оснасткой Консоли управления MMC. В конечном сче-
те использование клавиатуры может сэкономить значительное количество
времени: попробуйте на практике сами.
При первом просмотре дерева консоли вы можете заметить два основных
узла: Конфигурация компьютера (Computer Configuration) и Конфигура-
ция пользователя (User Configuration). Политики первого узла применя-
ются к компьютеру независимо от пользователя, работающего в данный мо-
мент с системой.
Политики второго узла применяются к пользователю независимо от ком-
пьютера, с которого был осуществлен вход в систему. На деле достаточно
усвоить: политики узла Конфигурация пользователя (User Configuration)
применяются к конкретному пользователю, в то время как политики узла
Конфигурация компьютера (Computer Configuration) применяются ко всем
пользователям операционной системы одновременно. Вы можете заметить,
47
47
47
что основная масса политик обоих узлов совпадает, однако сходство это не
абсолютное: некоторые политики существуют для применения только на
пользователя или только на компьютер.
Все используемые вами политики применяются каждый раз при загрузке
операционной системы, внесении изменений в оснастке, а также обновляют-
ся каждые полтора-два часа в фоновом режиме.
В каждом из основных узлов оснастки находится по три дочерних: Конфи-
гурация Windows (Windows Settings), Конфигурация программ (Software
Settings), Административные шаблоны (Administrative Templates). Данные
узлы будут подробно рассмотрены в книге, но для начала приведем их крат-
кую характеристику.
В узле Конфигурация Windows (Windows Settings) содержатся средства
настройки учетной записи и безопасности компьютера. В составе данного
узла вы можете увидеть пять дочерних:
• Политика разрешения имен (Name Resolution Policy). Этот узел мо-
жет быть найден только в составе основного узла Конфигурация
компьютера (Computer Configuration), в основном узле Конфигура-
ция пользователя (User Configuration) он отсутствует. Узел Полити-
ка разрешения имен (Name Resolution Policy) позволяет управлять
расширением таблицы политик разрешения имен, содержащей пара-
метры конфигурации для безопасности DNS.
• Сценарии (Scripts). Настройка сценариев автозапуска и заверше-
ния работы операционной системы. Операционная система Windows
предоставляет широкие возможности работы со сценариями: вы мо-
жете использовать сценарии ActiveX, пакетные файлы и сценарии
PowerShell (рис. 2.3).
• Развернутые принтеры (Deployed Printers). Политики данного узла
помогают настроить совместное использование принтеров.
• Параметры безопасности (Security Settings). Политики узла пред-
назначены для обеспечения безопасности системы.
• QoS на основе политики (Policy-based QoS). Политики данного
узла определяют настройки проводных сетей: приоритеты трафика,
управление скоростью передачи данных и другие.
• Настройки Internet Explorer (Internet Explorer Maintenance). Управ-
ление различными параметрами стандартного браузера операцион-
ной системы Windows, а также некоторыми настройками сетей. Дан-
ный узел доступен только в основном узле Конфигурация пользова-
теля (User Configuration).
4848
Рис. 2.3. Диалоговое окно настройки сценариев PowerShell
Узел Конфигурация программ (Software Settings) относительно невелик,

насчитывает всего лишь одно расширение клиентской стороны и позволяет
определить процесс установки программного обеспечения. Создание объек-
тов для развертывания программного обеспечения возможно только в опе-
рационной системе Windows Server 2008, поэтому, возможно, у вас интереса
данный узел не вызовет.
Узел Административные шаблоны (Administrative Templates) является са-
мым большим: в нем содержатся тысячи параметров приложений и компо-
нентов операционной системы. Политики данного узла основываются на за-
писях Реестра Windows: каждому параметру политики узла Административ-
ные шаблоны (Administrative Templates) соответствует определенный пара-
метр системного реестра Windows. Однако работа с Реестром Windows труд-
на и неудобна, в то время как работа с оснасткой Редактор объектов группо-
вой политики проста и позволяет решить поставленные задачи в кратчай-
шие сроки.
Все диалоговые окна настройки параметров политик узла Административ-
ные шаблоны (Administrative Templates) в отличие от диалоговых окон дру-
гих узлов выглядят единообразно (рис. 2.4).
В правом нижнем углу диалогового окна располагается область Справка
(Help), содержащая справочные данные по параметру политики. Как прави-
49
49
49
Рис. 2.4. Диалоговое окно настроек параметра политики узла

Административные шаблоны
ло, здесь содержится полезная информация в объеме, достаточном для пони-

мания действия и принципов работы параметра. Впрочем, прежде чем про-
изводить любые действия, рекомендуем ознакомиться с материалом по теме
в полном объеме, чтобы результат применения политик не стал для вас не-
приятным сюрпризом.
В левом нижнем углу диалогового окна вы можете увидеть область Параме-
тры (Options). Для большинства параметров политик область будет пуста,
однако некоторые параметры все же можно настраивать. Именно здесь на-
ходится инструмент настройки параметров: это могут быть различные поля
ввода, раскрывающиеся списки, флажки и переключатели.
В средней части диалогового окна располагается область Поддерживается
(Supported on). Здесь вы можете получить информацию о программной со-
вместимости используемой политики.
В поле ввода Комментарий (Comment), что располагается в верхней части
диалогового окна, вы можете оставлять собственные пометки о параметрах
5050
политик. Рекомендуется не пренебрегать этой возможностью, особенно в

рамках создания обширной групповой политики — вы не можете гаранти-
ровать, что через некоторое время вспомните, зачем использовали тот или
иной параметр политики. К тому же дальнейшим администрированием си-
стемы может заниматься другой человек — в таком случае без ваших ком-
ментариев ему не обойтись.
Все параметры политик узла Административные шаблоны (Administrative
Templates) могут находиться в одном из трех состояний: Не задано (Not con-
figured), Включить (Enabled) или Отключить (Disabled). Состояние Не за-
дано (Not configured) является установленным по умолчанию для всех груп-
повых политик данного узла, в этом состоянии параметры политики не опре-
делены и не влияют на работу системы — параметр политики не активен. В
состоянии Включить (Enabled) параметр политики находится в активном
состоянии и оказывает свое действие на систему. В состоянии Отключить
(Disabled) параметр политики является определенным, но при этом в дан-
ный момент он неактивен, то есть не оказывает влияния на работу операци-
онной системы.
При помощи кнопок Предыдущий параметр (Previous Setting) и Следу-
ющий параметр (Next Setting) диалогового окна настройки параметра по-
литики вы можете переключаться между параметрами политики в рамках
одного узла.
После того, как вы закончите настройку групповых политик, можно сохра-
нить произведенные в консоли изменения в текстовый файл. Это можно сде-
лать двумя способами. На панели инструментов консоли находится кнопка
, позволяющая вызвать диалоговое окно экспортирования списка. Это же
диалоговое окно можно вызвать, выбрав пункт меню Действие ⇒ Экспор-
тировать список (Action ⇒ Export List).
В появившемся диалоговом окне Экспортировать список (Export List) вы
можете выбрать место сохранения текстового файла, его имя и расширение.
Вам предложено четыре расширения на выбор:
• Текстовый файл с расширением «.txt». При этом в роли разделителя
выступает символ табуляции.
• Текстовый файл с расширением «.csv». При этом в роли разделителя
выступает символ запятой.
• Текстовый Юникод файл с расширением «.txt». При этом в роли раз-
делителя выступает символ табуляции.
• Текстовый Юникод файл с расширением «.csv». При этом в роли
разделителя выступает символ запятой.
51
51
51
Выбор расширения может зависеть от программы, в которой вы планируете

в дальнейшем осуществлять обработку файла. Нажмите кнопку Сохранить
(Save), чтобы закончить экспортирование списка. Полученный файл можно
теперь открывать и редактировать во внешних программах.
Ôèëüòðàöèÿ ïàðàìåòðîâ ïîëèòèê

Надеемся, что вы уже попробовали самостоятельно поработать с Редакто-
ром локальной групповой политики, перемещались по дереву консоли, изу-
чали политики и их параметры. Вы должны были заметить, что дерево кон-
соли действительно огромно и самый огромный его узел — Административ-
ные шаблоны (Administrative Templates). Порой, даже зная, какую политику
необходимо применить для достижения определенной цели, найти ее в де-
реве консоли оснастки оказывается не так-то просто. Невозможно, да и, на-
верное, абсолютно не нужно, помнить наизусть расположение и содержание
всех групповых политик операционной системы.
Поиск нужного параметра путем полного перебора всех узлов дерева консо-
ли может отнять немало времени и сил. В определенных ситуациях это име-
ет смысл, но в большинстве случаев уместнее будет воспользоваться функ-
цией поиска. В оснастке Редактор локальной групповой политики эта функ-
ция реализована в системе фильтров, т.е. вы попросту отсеиваете всю огром-
ную массу параметров политик, не удовлетворяющих определенным усло-
виям.
Однако стоит отметить, что система фильтрации доступна только для узла
Административные шаблоны (Administrative Templates), в остальных узлах
дерева консоли функций упрощения поиска не предусмотрено. Впрочем, это
даже необязательно, учитывая их относительно небольшие размеры.
Все доступные фильтры разделены на три группы:
• На основе свойств параметров политик. В этой группе находится
три фильтра. Они позволяют отсеивать политики на основе того, яв-
ляются ли они настроенными, управляемыми и оставлен ли к ним
пользовательский комментарий.
• На основе ключевых слов. Фильтр на основе классического поиска:
введенное ключевое слово ищется в заголовках параметров политик,
справочной информации к параметру, в тексте комментариев.
• На основе требований к приложениям и платформам. Фильтры ори-
ентируются на приложения или платформы, соответствующие пара-
метрам политик.
5252
В Редакторе локальной групповой политики процесс фильтрации политик

разделен на два этапа: сначала в отдельном диалоговом окне определяются
настройки фильтра, затем, имея уже настроенный фильтр, можно включать
и отключать его при необходимости.
Приступим к настройке фильтра. Дня начала откройте диалоговое окно на-
стройки параметров фильтра:
1. Запустите Редактор локальной групповой политики или другую
оснастку, обеспечивающую работу с групповыми политиками.
2. При помощи мыши в дереве политик раскройте узел Администра-
тивные шаблоны (Administrative Templates).
3. Открыть диалоговое окно Параметры фильтра (Filter Options)
(рис. 2.5) можно двумя способами:
• Щелкните правой кнопки мыши по узлу Административные
шаблоны (Administrative Templates). В появившемся контекст-
ном меню выберите команду Параметры фильтра (Filter Op-
tions).
• Выберите команду меню Действие ⇒ Параметры фильтра
(Action ⇒ Filter Options).
Рис. 2.5. Диалоговое окно Параметры фильтра
53
53
53
В появившемся диалоговом окне Параметры фильтра (Filter Options) вы

имеете доступ ко всем группам фильтров. Все группы фильтров будут рас-
смотрены по отдельности ниже.
После того, как определитесь с необходимыми фильтрами и настроите их па-
раметры, необходимо запустить выполнение фильтрации:
1. В дереве политик оснастки разверните узел Административные ша-
блоны (Administrative Templates).
2. Щелчком правой кнопки мыши по узлу Административные шабло-
ны (Administrative Templates) вызовите контекстное меню.
3. В появившемся контекстном меню выберите пункт Фильтр (Filter
On). Определенные вами параметры фильтрации вступят в силу,
в результате вы получите усеченное в соответствии с настройками
фильтра дерево консоли.
Запустить фильтр можно также, выбрав пункт Действие ⇒ Фильтр (Action
⇒ Filter On) основного меню программы.
Для того чтобы отменить действие фильтра, произведите все указанные дей-
ствия снова.
ÔÈËÜÒÐÛ ÍÀ ÎÑÍÎÂÅ ÑÂÎÉÑÒÂ ÏÀÐÀÌÅÒÐÎÂ ÏÎËÈÒÈÊ

Данные фильтры вы можете увидеть в верхней части диалогового окна Па-
раметры фильтра (Filter Options): они представлены группой элементов
управления, состоящей из трех раскрывающихся списков. Рассмотрим эти
элементы подробнее:
• Раскрывающийся список Управляемый (Managed). Фильтр основы-
вается на том факте, что параметры политик административных ша-
блонов делятся на управляемые и неуправляемые. Управляемые па-
раметры политик оказывают влияние на тип изменения конфигу-
рации при применении параметра объектов групповой политики, и
когда пользователь оказывается вне области действия групповой по-
литики, конфигурация в автоматическом режиме принимает состо-
яние по умолчанию. Неуправляемые параметры политики не вносят
постоянные изменения в реестр и останутся при этом неизменными.
Раскрывающийся список Управляемый (Managed) позволяет вы-
брать одно из трех положений фильтра:
o Да (Yes). При этом фильтр отсечет все неуправляемые пара-
метры политик, отображаться будут только управляемые па-
раметры.
5454
o Нет (No). При этом фильтр отсечет все управляемые параме-

тры политик, отображаться будут только неуправляемые па-
раметры.
o Любой (Any). Фильтр неактивен: отображаются как неу-
правляемые, так и управляемые параметры политик. Данное
состояние установлено по умолчанию.
• Раскрывающийся список Настроенный (Configured). Все админи-
стративные шаблоны могут находиться только в одном из трех воз-
можных состояний: Не задано (Not Configured), Включить (En-
abled) или Отключить (Disabled). Фильтр позволяет осуществить
выбор на основе этих состояний. Раскрывающийся список Настро-
енный (Configured) можно установить в одно из трех положений:
o Да (Yes). В окне оснастки будут отображаться только настро-
енные параметры.
o Нет (No). В окне оснастки будут отображаться только нена-
строенные параметры.
o Любой (Any). Фильтр неактивен. Данное состояние установ-
лено по умолчанию.
• Раскрывающийся список С комментарием (Commented). Если вы
оставляли комментарии к параметрам политик, то должны по досто-
инству оценить данный фильтр: он основывается именно на факте
присутствия или отсутствия комментариев. Если вы оставляли ком-
ментарии ко всем используемым параметрам политик, то данный
фильтр позволит быстро отыскать все действующие на компьюте-
ре групповые политики. Раскрывающийся список С комментарием
(Commented) позволяет выбрать одно из трех положений фильтра:
o Да (Yes). В Редакторе локальной групповой политики будут
отображены только параметры политик, снабженные поль-
зовательским комментарием.
o Нет (No). В Редакторе локальной групповой политики бу-
дут отображены только параметры политик, не снабженные
пользовательским комментарием. Как правило, таких поли-
тик большинство, и результат может получиться довольно
громоздким, впрочем, в сочетании с другими фильтрами, та-
кая фильтрация может быть довольно полезна.
o Любой (Any). Фильтр неактивен. Данное состояние установ-
лено по умолчанию.
55
55
55
Фильтры данной группы, как правило, используются в сочетании с други-

ми фильтрами, что позволяет настроить параметры поиска более гибко. Для
того чтобы определить действие данного фильтра, необходимо всего лишь
выбрать необходимые пункты, отличные от Любой (Any), в раскрывающих-
ся списках. Выбор пункта Любой (Any), наоборот, сделает фильтр неактив-
ным. После того, как вы определите параметры фильтра, для получения ре-
зультатов необходимо его включить.
ÔÈËÜÒÐÛ ÍÀ ÎÑÍÎÂÅ ÊËÞ÷ÅÂÛÕ ÑËÎÂ

Фильтр на основе ключевых слов представляет собой, по сути, функцию по-
иска в чистом виде: вы вводите список ключевых слов, области оснастки, где
будет осуществляться поиск, и в результате получаете все параметры поли-
тик, где было найдено сочетание ключевых слов.
Поиск ключевых слов может осуществляться в заголовках параметров поли-
тик административных шаблонов, в тексте справочной информации к этим
параметрам, а также в оставленных пользовательских комментариях.
Группа элементов управления для фильтров этой группы находится в цен-
тральной части диалогового окна Параметры фильтра (Filter Options).
Чтобы настроить фильтр параметров политик на основе ключевых слов:
1. В диалоговом окне Параметры фильтра (Filter Options) установите
флажок Включить фильтры по ключевым словам (Enable Keyword
Filters). Теперь группа элементов управления данного фильтра ста-
нет активной — можно определять его настройки.
2. В поле ввода Фильтры по словам (Filter for word(s)) введите через
запятую ключевые слова. Слова, разделенные пробелом, распозна-
ются как одно ключевое слово с пробелом.
3. В раскрывающемся списке, что находится справа от поля ввода, вы-
берите:
• Любой (Any). В этом случае будут выбраны все параметры по-
литик, в которых любое из введенных ключевых слов встретит-
ся хотя бы один раз. Данное положение фильтра установлено
по умолчанию.
• Все (All). В этом случае будут выбраны все параметры поли-
тик, в которых встретятся одновременно все введенные ключе-
вые слова. При этом не учитывается порядок ключевых слов.
• Точное (Exact). В этом случае будут выбраны все параметры
5656
политик, в которых встретятся одновременно все введенные

ключевые слова в четко указанном порядке.
4. Определите, в каких областях параметров политик будет осущест-
вляться поиск ключевых слов. Для этого установите необходимые
флажки:
• Заголовок параметра политики (Policy Setting Title). Поиск
ключевых слов в заголовках параметров политик.
• Текст справки (Help Text). Поиск ключевых слов в тексте
справки диалогового окна параметров политик.
• Комментарий (Comment). Поиск ключевых слов в пользова-
тельских комментариях к параметрам политик. Если вы раз-
рабатываете несколько сложных систем групповых политик на
одном компьютере, то при этом можно каждую политику вну-
три системы маркировать особой меткой в поле комментария.
В этом случае при помощи данного фильтра вы всегда сможете
быстро найти все политики необходимой системы.
5. Чтобы подтвердить настроенные параметры фильтрации, нажмите
кнопку ОК.
Для того, чтобы быстро отключить влияние данного фильтра, просто сбрось-
те флажок Включить фильтры по ключевым словам (Enable Keyword Fil-
ters) — вся группа элементов управления снова станет неактивной. После
того, как вы определите параметры фильтра, для получения результатов не-
обходимо его включить.
Неприятной особенностью данного фильтра является отсутствие возможно-
сти автоматического поиска слов, состоящих в другом роде, числе или паде-
же по отношению к ключевому слову. Обратите на это внимание.
ÔÈËÜÒÐÛ ÍÀ ÎÑÍÎÂÅ ÒÐÅÁÎÂÀÍÈÉ Ê ÏÐÈËÎÆÅÍÈÿÌ

È ÏËÀÒÔÎÐÌÀÌ
Данный фильтр представляет особый интерес: он позволяет осуществлять

поиск параметров политик на основе требований к приложениям или плат-
формам. Группа элементов управления для фильтров этой группы находит-
ся в нижней части диалогового окна Параметры фильтра (Filter Options).
Все доступные для поиска приложения и платформы отображены в списке,
сформированном в виде дерева.
Установите флажок Включить фильтры по требованиям (Enable Require-
ments Filters) для того, чтобы сделать фильтр активным. Затем процедура
57
57
57
настройки фильтра сводится к установке флажков напротив всех приложе-

ний или платформ, для которых необходимо отыскать соответствующие им
параметры политик. При этом могут быть полезными кнопки Выделить все
(Select All) и Очистить все (Clear All). Кнопка Выделить все (Select All) ав-
томатически установит флажки напротив всех приложений или платформ в
списке. Кнопка Очистить все (Clear All), напротив, сбросит все установлен-
ные флажки в списке.
Когда определение необходимых приложений и платформ будет закончено,
наступит очередь определить способ фильтрации в раскрывающемся списке.
Выбор Включить параметры, соответствующие всем платформам (Include
settings that match all of the selected platforms) определит, что фильтрацию
должны пройти только параметры политик, соответствующие одновремен-
но всем настроенным платформам. Выбор Включить параметры, соответ-
ствующие любым из выбранных платформ (Include settings that match any
of the selected platforms) определит, что фильтрацию пройдут все параметры
политик, имеющие отношение хотя бы к одному приложению или платфор-
ме, выбранным в списке.
Из этой короткой главы вы должны были получить все необходимые знания
о приемах работы с оснасткой Редактор локальной групповой политики: те-
перь вы знаете несколько различных способов запуска оснастки, ориентиру-
етесь в интерфейсе программы и дереве политик, знаете, как отфильтровать
из огромного числа политик необходимые именно вам. Наверное, вы заме-
тили, что работа с оснасткой не представляет трудностей и вообще лишена
особых премудростей.
В следующих главах мы детально разберем различные групповые политики
операционной системе Windows 7. Если что-то из только что прочитанного
осталось вам непонятным или вы не уверены, что все запомнили, — рекомен-
дуем перечитать главу, ведь без этих знаний вы не сможете продолжить чте-
ние книги, это необходимый теоретический и практический базис.
Использование локальных политик для настройки пользовательского окру-
жения в операционной системе Windows 7 открывает широкие возможно-
сти как перед системным администратором, так и перед простым пользова-
телем операционной системы. В следующей главе мы с вами познакомимся
с основными параметрами, помогающими настроить интерфейс операцион-
ной системы — панель задач, меню Пуск (Start), пространство рабочего сто-
ла и слой дополнительных гаджетов.
5858
Ãëàâà 3.
Àäìèíèñòðèðîâàíèå íàñòðîåê
èíòåðôåéñà Windows 7:
ìåíþ Ïóñê è Ïàíåëè çàäà÷
Использование локальных политик для настройки пользовательского окру-
жения в операционной системе Windows 7 открывает широкие возможности
как перед системным администратором, так и перед простым пользователем
операционной системы. В этой главе мы с вами познакомимся с основны-
ми параметрами, помогающими настроить интерфейс операционной систе-
мы — панель задач, меню Пуск (Start), пространство рабочего стола и мини-
приложения.
Óïðàâëåíèå ïàðàìåòðàìè ïàíåëè çàäà÷

Windows è ìåíþ Ïóñê
Данная часть главы будет достаточно объемной, так как использование груп-
повых политик для настройки меню Пуск (Start) и панели задач предлагает
очень большое количество различных параметров. Первое, с чем мы позна-
комимся в данной части главы, — запрет на изменение любых параметров
панели задач.
ÁËÎÊÈÐÎÂÊÀ ÏÅÐÅÌÅÙÅÍÈÿ ÏÀÍÅËÈ ÇÀÄÀ÷

Если вам требуется заблокировать перемещение панели задач по сторонам
рабочего стола, вы можете переместить ее в нужное положение, после чего
заблокировать эту возможность. Для этого нужно активировать соответ-
ствующую политику:
1. Перейдите в узел Конфигурация пользователя ⇒ Административ-
ные шаблоны ⇒ Меню «Пуск» и панель задач (User Configuration
Administrative Templates ⇒ Menu and Taskbar).
2. Дважды щелкните мышью по параметру Запретить перемещение пане-
ли задач в другое положение на экране (Prevent users moving taskbar to
another screen dock location). Откроется одноименное окно для редакти-
рования данной политики.
3. Установите переключатель в положение Включить (Enabled). Если вы
документируете все свои действия в отношении групповых политик,
оставьте примечания в поле ввода Комментарий (Comments).
6060
60
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
4. Нажмите кнопку ОК в правой нижней части окна для сохранения ре-

зультатов настройки.
Следующий параметр запрещает изменение размера и перемещение панели
задач, но при этом автоматическое скрытие и другие возможности панели за-
дач можно по-прежнему настраивать:
ные шаблоны ⇒ Меню «Пуск» и панель задач (User Configuration ⇒
2. Дважды щелкните мышью по параметру Закрепить панель задач (Lock
the Taskbar). Откроется одноименное окно для редактирования данной
политики.
3. Установите переключатель в положение Включить (Enabled).
Примечание. Если этот параметр включен, то панель быстрого запуска и все
остальные панели инструментов на панели задач пользователя также закрепля-
ются. Пользователь не может изменять положение панели инструментов, а также
скрывать и отображать ее с помощью контекстного меню панели задач.
После этого, при попытке изменения положения панели задач при помощи
контекстного меню, пользователь увидит, что в контекстном меню, вызывае-
мом при щелчке правой кнопки мыши по панели задач, пункт Закрепить па-
нель задач (Lock the Taskbar) не только активирован, но и недоступен для
редактирования.
ÑÎÊÐÛÒÈÅ ÏÀÍÅËÅÉ ÈÍÑÒÐÓÌÅÍÒÎÂ Â ÏÀÍÅËÈ ÇÀÄÀ÷

Редактор групповых политик также позволяет полностью скрыть все допол-
нительные панели инструментов на панели задач. Активируется это другим
параметром групповых политик:
2. Дважды щелкните мышью по параметру Не отображать панели инстру-
ментов в панели задач (Do not display any custom toolbars in the taskbar).
Откроется одноименное окно для редактирования данной политики.
61
61
61

После активации данного параметра из контекстного меню, вызываемо-
го щелчком правой кнопки мыши по панели задач, исчезнет пункт Панели
(Toolbars), а после перезагрузки операционной системы с панели задач бу-
дут скрыты все дополнительные панели инструментов.
ÑÎÊÐÛÒÈÅ ÇÍÀ÷ÊÎÂ Â ÎÁËÀÑÒÈ ÓÂÅÄÎÌËÅÍÈÉ

Помимо запрета отображения часов в области уведомлений, с помощью ре-
дактора групповых политик в операционных системах Windows 7 и Windows
Server 2008/2012 можно также скрыть большинство прочих значков.
Примечание. Обратите внимание на то, что изменения отображения значков в об-
ласти уведомления вступят в силу лишь после перезагрузки операционной систе-
мы.
Начнем со значка регулятора громкости:

2. Дважды щелкните мышью по параметру Скрыть значок регулятора
громкости (Remove the volume control icon). Откроется одноименное
окно для редактирования данной политики.
Для того, чтобы скрыть индикатор батареи, нужно изменить другой пара-
метр:
2. Дважды щелкните мышью по параметру Скрыть индикатор батареи
(Remove the battery meter). Откроется одноименное окно для редакти-
6262
62
Если вы хотите скрыть индикатор сети, выполните следующие шаги:

2. Дважды щелкните мышью по параметру Скрыть значок сети (Remove
Network icon from Start Menu). Откроется одноименное окно для редак-
тирования данной политики.
Если же вы хотите скрыть всю область уведомлений панели задач, активи-
руйте параметр Скрыть область уведомлений (Hide the notification area):
2. Дважды щелкните мышью по параметру Скрыть область уведомлений
(Hide the notification area). Откроется одноименное окно для редакти-
Аналогичным образом можно скрыть значок, отвечающий за программу
центра поддержки пользователей Windows:
2. Дважды щелкните мышью по параметру Удалить значок центра под-
держки (Remove Action Center icon). Откроется одноименное окно для
редактирования данной политики.
Если вы хотите запретить отображение вновь добавленных значков в обла-
сти уведомления и при этом разрешить пользователям настраивать и скры-
вать их, активируйте следующий параметр:
63
63
63

2. Дважды щелкните мышью по параметру Отключение автоматического
отображение значков уведомлений в панели задач (Turn off automatic
promotion of notification icons to the taskbar). Откроется одноименное
ÓÄÀËÅÍÈÅ ÷ÀÑÎÂ ÈÇ ÎÁËÀÑÒÈ ÓÂÅÄÎÌËÅÍÈÉ

В том случае, если вы хотите скрыть часы в области уведомлений, вам нужно
будет внести следующие изменения в редакторе групповых политик:
2. Дважды щелкните мышью по параметру Удалить часы из системной об-
ласти уведомлений (Remove Clock from the system notifications area).
После этого для удаления часов из области уведомления необходимо пере-
загрузить компьютер. Вновь загрузив операционную систему Windows 7, вы
уже не увидите часы на привычном месте.
ÇÀÏÐÅÒ ÑÊÐÛÒÈÿ ÇÍÀ÷ÊÎÂ

Для экономии места на панели задач разработчики семейства операционных
систем Windows предусмотрели возможность частичного скрытия значков
из области уведомлений. Если вы как системный администратор хотите за-
претить пользователям скрывать значки, можно сделать это с помощью ре-
дактора групповых политик:
6464
64
2. Дважды щелкните мышью по параметру Отключить очистку области

уведомлений (Turn off notification area cleanup). Откроется одноимен-
ное окно для редактирования данной политики.
Теперь осталось только перезагрузить компьютер для того, чтобы увидеть
эффект изменения настройки. Теперь все значки без исключения будут ото-
бражаться на панели задач.
ÇÀÏÐÅÒ ÃÐÓÏÏÈÐÎÂÊÈ ÝËÅÌÅÍÒÎÂ ÍÀ ÏÀÍÅËÈ ÇÀÄÀ÷

По умолчанию в операционных системах Windows, начиная с версий Win-
dows XP Professional и Windows Server 2003, на панели задач предусмотрена
группировка схожих элементов панели задач. Если вы хотите заблокировать
эту функцию, активируйте следующий параметр:
2. Дважды щелкните мышью по параметру Запретить группировку эле-
ментов панели задач (Prevent grouping of taskbar items). Откроется од-
ноименное окно для редактирования данной политики.
После активации данного параметра схожие элементы на панели задач не
будут группироваться друг с другом.
ÇÀÏÐÅÒ ÇÀÊÐÅÏËÅÍÈÿ ÿÐËÛÊÎÂ Â ÑÏÈÑÊÀÕ ÏÅÐÅÕÎÄÎÂ

В операционной системе Windows 7 появилось дополнительное подспорье
при работе с уже открывавшимися папками, веб-сайтами и файлами. К каж-
дому ярлыку программы предусмотрен список переходов, отображающий
последние посещенные (а также закрепленные пользователем) каталоги и
документы, открывавшиеся в этой программе.
Если вы хотите запретить пользователям закрепление элементов в списках
переходов в меню Пуск (Start) и панели задач, это можно легко сделать при
65
65
65
помощи редактора групповых политик:

2. Дважды щелкните мышью по параметру Запретить закрепление эле-
ментов в списках переходов (Do not allow pinning items in Jump Lists).
После активации данного параметра пользователи не смогут закреплять
файлы, папки, веб-сайты и прочие элементы в списках переходов меню Пуск
(Start) и панели задач. Кроме того, пользователи не смогут удалить закре-
пленные ранее элементы.
ÇÀÏÐÅÒ ÎÒÎÁÐÀÆÅÍÈÿ È ÎÒÑËÅÆÈÂÀÍÈÿ ÝËÅÌÅÍÒÎÂ Â ÑÏÈÑÊÀÕ

ÏÅÐÅÕÎÄÎÂ ÓÄÀËÅÍÍÛÕ ÐÀÑÏÎËÎÆÅÍÈÉ
В меню Пуск (Start) и на панели задач отображаются списки переходов из

программ. Они дают возможность более оперативно открыть определенное
расположение или файл. Если вы хотите, чтобы в этих списках фигуриро-
вали только локальные файлы, а файлы, расположенные на других компью-
терах, игнорировались, активируйте соответствующий параметр с помощью
редактора групповых политик:
ные шаблоны ⇒ Меню «Пуск» и панель задач (User Configuration
⇒ Administrative Templates ⇒ Menu and Taskbar).
2. Дважды щелкните мышью по параметру Не отображать и не отсле-
живать элементы в списках переходов из удаленных расположе-
ний (Do not display or track items in Jump Lists from remote locations).
4. Нажмите кнопку ОК в правой нижней части окна для сохранения
результатов настройки.
После активации данного параметра из списков переходов исчезнут все уда-
ленные файлы, за исключением тех, которые пользователь самостоятельно
закрепил в списках переходов.
6666
66
ÎÒÊËÞ÷ÅÍÈÅ ÂÑÏËÛÂÀÞÙÈÕ ÓÂÅÄÎÌËÅÍÈÉ

Если вы хотите избавить себя или других пользователей от всплывающих в
области панели задач уведомлений, вы можете легко сделать это с помощью
редактора групповых политик:
2. Дважды щелкните мышью по параметру Отключить всплывающие на-
поминания (Turn off all balloon notifications). Откроется одноименное
После этого операционная система перестанет уведомлять вас о различных
событиях за счет использования всплывающих уведомлений.
Однако если вы хотите отключить только всплывающие уведомления, вы-
зываемые компонентами операционной системы (а не сторонними програм-
мами), вы можете изменить другой параметр в редакторе групповых поли-
тик:
2. Дважды щелкните мышью по параметру Отключить всплывающие уве-
домления объявлений компонентов (Turn off feature advertisement bal-
loon notifications). Откроется одноименное окно для редактирования
данной политики.
При изменении этого параметра все всплывающие уведомления, кроме уве-
домлений компонентов операционной системы, будут отображаться.
ÇÀÏÐÅÒ ÓÏÐÀÂËÅÍÈÿ ÏÀÍÅËÿÌÈ ÈÍÑÒÐÓÌÅÍÒÎÂ

Панель задач предлагает пользователю значительное расширение возмож-
ностей за счет использования дополнительных панелей инструментов. По
67
67
67
умолчанию в операционной системе Windows 7 включена только одна до-

полнительная панель — языковая, с помощью которой можно изменять язы-
ки ввода.
Пользователь может с легкостью добавить новые панели инструментов с по-
мощью контекстного меню, вызываемого щелчком правой кнопки мыши по
панели задач.
Однако, в том случае, если требуется запретить добавление и удаление па-
нелей инструментов, это можно сделать с помощью соответствующей поли-
тики:
2. Дважды щелкните мышью по параметру Запретить добавление и удале-
ние панелей инструментов (Prevent users from adding or removing tool-
bars). Откроется одноименное окно для редактирования данной поли-
тики.
После включения данного параметра содержимое пункта Панели (Toolbars)
контекстного меню, вызываемого щелчком правой кнопки мыши по панели
задач, невозможно будет изменить.
Если вы не хотите устанавливать запрет на добавление и удаление дополни-
тельных панелей, а лишь планируете заблокировать настройку данных эле-
ментов пользовательского интерфейса — активируйте другой параметр в ре-
дакторе групповых политик:
ные шаблоны ⇒ Рабочий стол (User Configuration ⇒ Administrative
Templates ⇒ Desktop).
2. Дважды щелкните мышью по параметру Запретить настройку панелей
инструментов рабочего стола (Prevent users from setting toolbars). От-
кроется одноименное окно для редактирования данной политики.
Схожие функции выполняет политика Запретить добавление, перетаски-
6868
68
вание и закрытие панелей инструментов панели задач (Prevent users from

adding, setting or closing toolbars).
2. Дважды щелкните мышью по параметру Запретить добавление, перета-
скивание и закрытие панелей инструментов панели задач (Prevent us-
ers from adding, setting or closing toolbars). Откроется одноименное окно
для редактирования данной политики.
После этого любое изменение свойств и настроек панелей будет заблокиро-
вано.
ÇÀÏÐÅÒ ÍÀ ÂÛÇÎÂ ÊÎÍÒÅÊÑÒÍÎÃÎ ÌÅÍÞ ÏÀÍÅËÈ ÇÀÄÀ÷

Если же вы не хотите ограничивать пользовательские настройки панели за-
дач и меню Пуск (Start) частично, а запретить всякое изменение настроек
этих элементов, вы можете просто запретить запуск контекстного меню, по-
являющегося при щелчке правой кнопки мыши по панели задач и кнопке
Пуск (Start). Для этого достаточно выполнить четыре простых шага:
2. Дважды щелкните мышью по параметру Запретить доступ к контекст-
ному меню для панели задач (Remove access to the context menus for the
taskbar). Откроется одноименное окно для редактирования данной по-
литики.
После этого, при попытке вызова контекстного меню ничего происходить не
будет. При этом контекстное меню для задач и ярлыков будет продолжать
работать.
69
69
69
ÇÀÏÐÅÒ ÇÀÊÐÅÏËÅÍÈÿ ÏÐÎÃÐÀÌÌ Â ÏÀÍÅËÈ ÇÀÄÀ÷

В новой панели задач, появившейся в операционной системе Windows 7, по-
явилась возможность прикрепить приложения к панели задач. Это решение
позволяет убить одним выстрелом сразу двух зайцев: совместить панель бы-
строго запуска с панелью задач.
Экономия места и удобная работа с приложениями в одном флаконе. Одна-
ко если вы хотите отключить возможность добавления пользователями но-
вых прикрепленных приложений, можно использовать для этого соответ-
ствующий параметр групповых политик:
Administrative Templates ⇒ Menu and Taskbar)
2. Дважды щелкните мышью по параметру Запретить закрепление про-
грамм в панели задач (Do not allow pinning programs to the Taskbar).
После включения данного параметра пункт Закрепить программу в панели
задач (Do not allow pinning programs to the Taskbar) пропадет из контекстно-
го меню, вызываемого щелчком правой кнопки мыши по приложению в па-
нели задач. При этом возможность откреплять ранее прикрепленные к пане-
ли задач приложения сохраняется.
Так же с помощью редактора групповых политик в операционной системе
Windows 7 (Windows Server 2008) можно с помощью изменения одного из
параметров удалить все закрепленные в панели задач программы:
2. Дважды щелкните мышью по параметру Удалить закрепленные про-
граммы из панели задач (Remove pinned programs from the Taskbar). От-
Если вы включите оба параметра, при следующем входе в систему пользо-
7070
70
ватель увидит пустую панель задач и не сможет разместить на ней ярлыки

приложений.
ÇÀÏÐÅÒ ÈÇÌÅÍÅÍÈÿ ÐÀÇÌÅÐÀ ÏÀÍÅËÈ ÇÀÄÀ÷

С помощью изменения параметров групповых политик можно также запре-
тить изменение размера панели задач. Делается это очень просто:
2. Дважды щелкните мышью по параметру Запретить изменение размера
панели задач (Prevent users from resizing the taskbar) Откроется однои-
менное окно для редактирования данной политики.
После активации данного параметра пользователь не сможет изменить раз-
мер панели задач.
ÇÀÏÐÅÒ ÏÅÐÅÌÅÙÅÍÈÿ ÏÀÍÅËÅÉ ÈÍÑÒÐÓÌÅÍÒÎÂ

Точно так же, с помощью изменения параметров групповых политик, мож-
но запретить перемещение панелей инструментов пользователем операци-
онной системы Windows. Для активации данного ограничения необходимо
изменить соответствующий параметр:
2. Дважды щелкните мышью по параметру Запретить перемещение пане-
лей инструментов (Prevent users from rearranging toolbars). Откроется
одноименное окно для редактирования данной политики.
Теперь при попытке изменения размеров или перемещения дополнитель-
ных панелей инструментов, несмотря на соответствующие изменения указа-
теля мыши, размер и положение панелей инструментов изменяться не будет.
71
71
71
ÁËÎÊÈÐÎÂÊÀ ÂÑÅÕ ÏÀÐÀÌÅÒÐÎÂ ÏÀÍÅËÈ ÇÀÄÀ÷

Блокировка всех параметров панели задач запрещает пользователю вносить
какие-либо изменения в настройки панели задач. Чтобы активировать дан-
ный параметр, нужно:
2. Дважды щелкните мышью по параметру Блокировать все параметры
панели задач (Lock all taskbar settings). Откроется одноименное окно
После этого при попытке редактирования свойств панели задач в диалого-
вом окне с настройками не будут отображаться вкладки Панели задач (Task-
bar) и Панели инструментов (Toolbars) (рис 3.1).
Рис 3.1. Диалоговое окно Свойства панели задач и меню «Пуск» при запрете
изменения настроек панели задач
7272
72
ÇÀÏÐÅÒ ÈÇÌÅÍÅÍÈÿ ÏÀÐÀÌÅÒÐÎÂ ÏÀÍÅËÈ ÇÀÄÀ÷ È ÌÅÍÞ ÏÓÑÊ

Если вы хотите полностью запретить изменение любых параметров панели
задач и меню Пуск (Start), вы можете воспользоваться следующим параме-
тром:
2. Дважды щелкните мышью по параметру Запретить изменение параме-
тров панели задач и меню «Пуск» (Prevent changes to Taskbar and Start
Menu Settings). Откроется одноименное окно для редактирования дан-
ной политики.
После этого из меню Настройка (Settings) в меню Пуск (Start) исчезнет
пункт Панель задач и меню Пуск (Taskbar and Start Menu), а также будет
запрещен вызов диалогового окна с настройками данных элементов с помо-
щью щелчка правой кнопки мыши по кнопке Пуск (Start) или панели задач.
ÓÏÐÀÂËÅÍÈÅ ÊÎÌÀÍÄÎÉ ÂÛÏÎËÍÈÒÜ Â ÌÅÍÞ «ÏÓÑÊ»

Несмотря на то, что в Windows можно вызвать команду Выполнить (Run)
с помощью сочетания клавиш Win+R или найти в списке программ меню
Пуск (Start), часто удобнее добавить ее в список основных команд меню
Пуск (Start), как это было в предыдущих версиях операционных систем Mi-
crosoft.
Делается это следующим образом:
2. Дважды щелкните мышью по параметру Добавить команду «Выпол-
нить» в меню «Пуск» (Add the run command to the Start Menu). Откро-
ется одноименное окно для редактирования данной политики.
73
73
73
После этого в правой нижней части меню «Пуск», между кнопкой заверше-
ния работы и пунктом Справка и поддержка (Help and Support) появится
пункт Выполнить (Run).
Стоит помнить, что в том случае, если активирована политика Удалить ко-
манду «Выполнить» из меню «Пуск» (Remove Run link from Start Menu),
включение политики Добавить команду «Выполнить» в меню «Пуск»
(Add the run command to the Start Menu) будет игнорироваться операцион-
ной системой.
Для того, чтобы включить запрет на использование команды Выполнить
(Run), следуйте инструкции:
2. Дважды щелкните мышью по параметру Удалить команду «Выпол-
нить» из меню «Пуск» (Add the run command to the Start Menu). От-
После этого, помимо запрета добавления команды Выполнить (Run) в меню
Пуск (Start), для операционной системы Windows будет выполняться еще
ряд функциональных ограничений:
• При попытке вызова диалогового окна Выполнить (Run) с помо-
щью сочетания клавиш Win+R пользователь будет видеть диалого-
вое окно с информацией о запрете использования данной функции;
• Станет неактивной кнопка Новая задача (New Task), расположен-
ная в правой нижней части окна Диспетчер задач (Windows Task
Manager);
• В адресной строке браузера Internet Explorer система запретит вво-
дить путь к локальным дискам, папкам и сетевым ресурсам, исполь-
зующим UNC-путь.
Однако вы можете запускать программы любым другим способом. Данный
параметр не влияет на сам запуск программ.
ÄÎÁÀÂËÅÍÈÅ ÑÑÛËÊÈ «ÏÎÈÑÊ Â ÈÍÒÅÐÍÅÒÅ» Â ÌÅÍÞ ÏÓÑÊ

В операционной системе Windows 7 меню Пуск (Start) позволяет значитель-
7474
74
но упростить не только запуск различных компонентов системы, программ

и открытие пользовательских файлов, но и выполнять ряд других пользова-
тельских задач. Например, с помощью меню Пуск (Start) вы можете искать
нужную нам информацию в Интернете.
Чтобы активировать данную возможность, выполните следующие шаги:
2. Дважды щелкните мышью по параметру Добавить ссылку Поиск в Ин-
тернете в меню Пуск (Add search Internet link to Start Menu). Откроет-
ся одноименное окно для редактирования данной политики.
После этого при вводе информации в поле ввода Найти программы и фай-
лы (Search programs and files) в поле, содержащем результаты поиска, в ниж-
ней левой части, появится ссылка Поиск в Интернете (Search the Internet).
Если вы щелкните по нему мышью, то откроется установленный по умолча-
нию браузер, отобразив страницу поисковой системы с результатами поиска
информации по введенному запросу.
ИЗМЕНЕНИЕ ПАРАМЕТРОВ ПОИСКА В ОКНЕ ПРОВОДНИК

Вероятно, вы заметили, что по умолчанию в поле с результатами поиска ото-
бражается еще ссылка Ознакомиться с другими результатами поиска (See
more results). Эта ссылка открывает окно программы Проводник, который
отображает все найденные файлы, папки, ярлыки и документы, подходя-
щие под данный поисковый запрос. В том случае, если вы хотите удалить
эту ссылку, вам нужно воспользоваться соответствующим параметром в ре-
дакторе групповых политик:
2. Дважды щелкните мышью по параметру Удалить ссылку «Ознакомить-
ся с другими результатами» или «Поиск везде» (Remove See More Re-
sults/ Search Everywhere Link). Откроется одноименное окно для редак-
тирования данной политики.
75
75
75

После этого вы не увидите ссылки, открывающей проводник Windows в ре-
зультатах поиска.
ÇÀÏÐÅÒ ÏÎÈÑÊÀ ÔÀÉËÎÂ È ÑÎÅÄÈÍÅÍÈÉ

Если вы хотите запретить отображение файлов и папок в результатах поиска
меню Пуск (Start), вам нужно изменить следующий параметр:
2. Дважды щелкните мышью по параметру Запретить поиск файлов (Do
not search files). Откроется одноименное окно для редактирования дан-
После активации данного параметра при вводе запросов в поле ввода Найти
программы и файлы (Search programs and files) в результатах не будут ото-
бражаться папки и файлы.
Если же вы хотите, чтобы в результатах поиска в меню Пуск (Start) не ото-
бражались соединения, измените другой параметр:
2. Дважды щелкните мышью по параметру Запретить поиск соединений
(Do not search communications). Откроется одноименное окно для ре-
дактирования данной политики.
программы и файлы (Search programs and files) в результатах поиска не бу-
дут отображены соединения, созданные в операционной системе.
7676
76
ÇÀÏÐÅÒ ÏÎÈÑÊÀ ÏÐÎÃÐÀÌÌ È ÝËÅÌÅÍÒÎÂ ÏÀÍÅËÈ ÓÏÐÀÂËÅÍÈÿ

Если вы хотите запретить пользователям компьютера с операционной си-
стемой Windows 7 видеть в результатах поиска программы и элементы пане-
ли управления, активируйте следующую политику:
2. Дважды щелкните мышью по параметру Запретить поиск программ и
элементов панели управления (Do not search programs and Control Pan-
el items). Откроется одноименное окно для редактирования данной по-
литики.
программы и файлы (Search programs and files) в результатах не будут ото-
бражаться ярлыки программ и компонентов панели управления.
ÍÀÑÒÐÎÉÊÀ ÏÎÈÑÊÀ ÔÀÉËÎÂ ÄËÿ ÏÓÑÒÛÕ ÿÐËÛÊÎÂ

В семействе операционных систем Windows, начиная с версии Windows
2000, при отсутствии файла, на который ссылает ярлык (файл с расшире-
нием .lnk), операционная система самостоятельно пытается найти путь к ко-
нечному файлу сначала в папках, сопоставленных с данным ярлыком, а за-
тем и на всем жестком диске. Если вы хотите отключить функцию поиска на
всем диске, активируйте следующий параметр:
2. Дважды щелкните мышью по параметру Не использовать сопоставле-
ние ярлыков оболочки на основе поиска (Do not use search-based meth-
od when resolving shell shortcuts). Откроется одноименное окно для ре-
77
77
77
После активации данного параметра, если ярлык будет ссылаться на отсут-

ствующий объект, операционная система выдаст сообщение о том, что ко-
нечный файл не найдет, и не предпримет попыток к его поиску.
Примечание. Данный метод поиска файлов работает только в файловой
системе NTFS.
Если же вы, напротив, хотите, чтобы операционная система Windows сразу

начинала искать потерянные файлы на диске, минуя поиск по сопоставлен-
ным с ярлыком каталогам, активируйте другой параметр:
2. Дважды щелкните мышью по параметру Не использовать метод на
основе отслеживания для сопоставления ярлыков (Do not use tracing-
based method when resolving shell shortcuts). Откроется одноименное
ÇÀÒÅÍÅÍÈÅ ÏÓÍÊÒÎÂ ÄËÿ ÍÅ ÏÎËÍÎÑÒÜÞ ÓÑÒÀÍÎÂËÅÍÍÛÕ

ÏÐÎÃÐÀÌÌ
В семействе операционных систем Windows существует понятие «не полно-

стью установленные программы». К ним относятся те программы, которые
были установлены администратором с помощью установщика Windows, и
требуют первого запуска для настройки и завершения установки. В опера-
ционной системе Windows 7 есть возможность выделения таких программ
серым цветом в списке Все программы (All programs) в меню Пуск (Start).
Это позволит пользователям точно определять, установлена программа пол-
ностью на их компьютере или нет.
Для того чтобы активировать выделение не полностью установленных про-
грамм, нужно изменить соответствующий параметр групповой политики:
2. Дважды щелкните мышью по параметру Затенить ярлыки меню Пуск
на не полностью установленные программы (Gray unavailable Windows
7878
78
Installer programs Start Menu shortcuts). Откроется одноименное окно

После активации данного параметра в меню Пуск (Start) пользователь с лег-
костью сможет отличить готовые к работе программы от не полностью уста-
новленных, за счет выделения последних серым цветом.
ÓÄÀËÅÍÈÅ È ÁËÎÊÈÐÎÂÊÀ ÊÎÌÀÍÄ ÇÀÂÅÐØÅÍÈÅ ÐÀÁÎÒÛ,

ÑÎÍ È ÃÈÁÅÐÍÀÖÈÿ
Запрет завершения работы, перевода компьютера в режим сна или гибер-
нации позволяет не только скрыть соответствующие пункты из меню Пуск
(Start), но и установить запрет на выполнение данных команд для всех про-
грамм. Таким образом, при запрете использования данных команд никаким
образом нельзя завершить работу операционной системы или перевести ее в
спящий или ждущий режим.
Чтобы активировать данную политику, необходимо:
1. Перейти в узел Конфигурация пользователя ⇒ Административные
шаблоны ⇒ Меню «Пуск» и панель задач (User Configuration ⇒
2. Дважды щелкнуть мышью по параметру Удаление команд «Заверше-
ние работы», «Перезагрузка», «Сон» и «Гибернация» (move and pre-
vent access to the Shut Down, Sleep, And Hibernate commands). Откроет-
После этого в контекстном меню кнопки питания, в правой нижней части
меню Пуск (Start), останется только два варианта — Блокировать (Lock) и
Завершить сеанс (Log off). При попытке выключения компьютера другими
способами система выдаст диалоговое окно с предупреждением о невозмож-
ности выполнения данной команды.
79
79
79
ÇÀÏÓÑÊ ÊÎÌÀÍÄÛ «ÂÛÏÎËÍÈÒÜ» Â ÎÒÄÅËÜÍÎÉ

ÎÁËÀÑÒÈ ÏÀÌÿÒÈ
В операционной системе Windows 7 предусмотрена возможность запуска

файла в отдельном (выделенном) 16-разрядном режиме виртуализации си-
стемы DOS, что позволяет обеспечить более корректную работу 16-разряд-
ных приложений.
Если вы используете 16-разрядные приложения в своей работе, вы можете
активировать возможность их запуска в области выделенной памяти:
2. Дважды щелкните мышью по параметру Добавить флажок «Запустить
в отдельной области памяти» в окно команды «Выполнить» (Add
«Run in Separate Memory Space» check box to Run dialog box). Откроет-
После этого, при открытии диалогового окна Выполнить (Run), вы сможе-
те увидеть флажок Запустить в отдельной области памяти (Run in Separate
Memory Space) в нижней части диалогового окна.
ÎÏÐÅÄÅËÅÍÈÅ ÄÅÉÑÒÂÈÿ ÊÍÎÏÊÈ ÏÈÒÀÍÈÿ Â ÌÅÍÞ ÏÓÑÊ

С помощью групповых политик можно изменить установленный по умол-
чанию вариант содержания кнопки питания меню Пуск (Start). Для этого
нужно изменить параметр Изменить действие кнопки питания меню Пуск
(Change Start Menu power button):
2. Дважды щелкните мышью по параметру Изменить действие кнопки пи-
тания меню Пуск (Change Start Menu power button). Откроется однои-
4. В раскрывающемся списке Параметры (Options) выберите одно из тре-
8080
80
буемых действий, которое будет совершаться при нажатии пользовате-

ля кнопки питания в меню Пуск (Start).
После этого выбранный в раскрывающемся списке поля Параметры (Op-
tions) вариант будет отображаться непосредственно в кнопке питания меню
Пуск (Start), а все остальные пункты будут доступны в дополнительном
контекстном меню.
ÇÀÏÐÅÒ ÑÎÕÐÀÍÅÍÈÿ ÑÂÅÄÅÍÈÉ Î ÍÅÄÀÂÍÎ ÎÒÊÐÛÂÀÂØÈÕÑÿ

ÄÎÊÓÌÅÍÒÀÕ
Для того чтобы не следить за открывавшимися пользователем документа-

ми (как минимум в целях экономии ресурсов компьютера), можно отклю-
чить данную возможность. Добиться такого запрета можно с помощью груп-
повых политик:
2. Дважды щелкните мышью по параметру Не хранить сведения о недав-
но открывавшихся документах (Do not keep history of recently opened
documents). Откроется одноименное окно для редактирования данной
политики.
После включения данного параметра операционная система и установлен-
ные в ней программы не будут создавать список из ярлыков на последние от-
крывавшиеся документы.
Примечание. Обратите внимание на то, что операционная система Windows лишь
не отображает ярлыки для списка недавно открывавшихся документов, но не пе-
рестает следить за пользователем. Так что данный параметр не сделает конфи-
денциальным такую информацию. Все ярлыки будут сохранятся в папке Систем-
ный_диск\Documents and Settings\Имя_пользователя\Recent.
Если вы активировали пункт Недавние документы (Recent items) в меню

Пуск (Start), он будет по-прежнему отображаться, однако с пустым содер-
жимым.
81
81
81
ÇÀÏÐÅÒ ÎÁÍÎÂËÅÍÈÿ ÎÏÅÐÀÖÈÎÍÍÎÉ ÑÈÑÒÅÌÛ

В операционной системе Windows существует встроенный инструмент, по-
зволяющий ограничить компьютеру доступ к сайту обновлений компании
Microsoft (windowsupdate.microsoft.com). С помощью групповых политик
можно настроить данный параметр в считанные секунды:
2. Дважды щелкните мышью по параметру Удаляет ссылки на веб-сайт
Центра обновления Windows и запрещает доступ к нему (Remove
links and access to Windows Update). Откроется одноименное окно для
После этого для данного компьютера будет закрыт доступ к серверу обнов-
лений.
Примечание. Помимо блокировки сайта Центра обновлений Windows данный па-
раметр групповой политики удаляет ссылку на данный сайт из браузера Internet
Explorer.
ÑÎÊÐÛÒÈÅ ÿÐËÛÊÎÂ ÏÀÏÎÊ Â ÌÅÍÞ ÍÀÑÒÐÎÉÊÀ

Для ограничения доступа пользователей к администраторским функци-
ям операционной системы Windows в редакторе групповых политик преду-
смотрен параметр, запрещающий пользователям обращаться к группе папок
Настройки (Settings), расположенной в меню Пуск (Start).
Для того чтобы скрыть ярлыки папок Панель управления (Control Panel),
Устройства и принтеры (Devices and Printers) и Сетевые подключения
(Network Settings), нужно выполнить следующие изменения в настройках
системы:
шаблоны ⇒ Меню «Пуск» и панель задач (User Configuration ⇒
2. Дважды щелкните мышью по параметру Отключить папки программ в
меню «Настройка» (Remove programs on Settings menu). Откроется од-
8282
82

После этого пользователь, открыв меню Пуск (Start), попросту не обнару-
жит этих элементов меню Настройки (Settings) (рис 3.2).
Рис 3.2. Меню Пуск при активированной политике Отключить папки программ
в меню «Настройка»
Тем не менее стоит обратить внимание на то, что активация политики От-
ключить папки программ в меню «Настройка» (Remove programs on Set-
tings menu) лишь скрывает ярлыки в меню Пуск (Start), а не блокирует до-
ступ к соответствующим папкам. Используя другие пути, пользователь смо-
жет добраться до содержимого элементов меню Настройка (Settings).
Если же вы хотите удалить не все элементы из меню Настройка (Settings), а
лишь некоторые из них, вам нужно будет изменить соответствующие пара-
метры в редакторе групповых политик.
Примечание. Включенный параметр, запрещающий отображение всех элементов
меню Настройка (Settings), является более приоритетным, чем параметры, скры-
вающие отдельные пункты.
83
83
83
Для удаления пункта Программы по умолчанию (Default Programs) выпол-

ните следующие шаги:
2. Дважды щелкните мышью по параметру Удалить ссылку Программы по
умолчанию из меню Пуск (Remove Default Programs link from the Start
menu). Откроется одноименное окно для редактирования данной поли-
тики.
Для удаления пункта Справка и поддержка (Help and Support) выполните
следующие действия:
2. Дважды щелкните мышью по параметру Удалить справку из главного
меню (Remove Help menu from the Start Menu). Откроется одноимен-
ное окно для редактирования данной политики.
ÓÄÀËÅÍÈÅ ÏÅÐÑÎÍÀËÜÍÛÕ ÝËÅÌÅÍÒÎÂ

Как и для меню Настройка (Settings), для элементов личного меню можно
скрыть те или иные элементы.
Примечание. Часть элементов, описанных ниже, не отображается в
главном меню по умолчанию. Однако изменения в редакторе груп-
повых политик не только блокируют отображение элементов, но и
запрещают пользователям добавление данных элементов.
Для начала вы можете удалить ссылку на папку текущего пользователя:
8484
84
2. Дважды щелкните мышью по параметру Удалить ссылку на папку поль-

зователя из меню «Пуск» (Remove User Folder link from the Start menu)
Точно так же можно удалить элемент Документы (Documents):
2. Дважды щелкните мышью по параметру Удалить значок «Документы»
из меню «Пуск» (Remove Documents icon from Start Menu). Откроется
Для этой политики перезагрузка не требуется — после активации параме-
тра откройте меню Пуск (Start) и убедитесь в отсутствии данного элемента.
Аналогичным образом можно изменить режим отображения других элемен-
тов: значка Изображения (Pictures), элемента Музыка (Music), пункта Ви-
део (Video), ссылки ТВ-записи (Recorded TV), элемента Сеть (Network) ,
элемента Загрузки (Download).
Если хотите отключить элемент Домашняя Группа (Homegroup), выполни-
те:
2. Дважды щелкните мышью по параметру Удалить ссылку «Домашняя
группа» из меню «Пуск» (Remove Homegroup icon from Start Menu).
Нажмите кнопку ОК в правой нижней части окна для сохранения результа-
тов настройки.
Для удаления раскрывающегося списка Избранное (Favorites menu) выпол-
ните:
85
85
85

2. Дважды щелкните мышью по параметру Удалить меню «Избранное» из
главного меню (Remove Favorites menu from Start Menu). Откроется од-
Для удаления меню Недавние документы (Recent Items) выполните следу-
ющие действия:
2. Дважды щелкните мышью по параметру Удалить меню «Недавние до-
кументы» из главного меню (Remove Recent Items menu from Start
Menu). Откроется одноименное окно для редактирования данной по-
литики.
Чтобы удалить ссылку Игры (Games), выполните следующие действия:
2. Дважды щелкните мышью по параметру Удалить ссылку «Игры» из
меню «Пуск» (Remove Games link from Start Menu). Откроется однои-
И наконец, если вы хотите удалить все описанные выше пользовательские
папки из меню Пуск (Start), активируйте следующий параметр в редакторе
групповых политик:
8686
86

2. Дважды щелкните мышью по параметру Удалить папки пользователя
из главного меню (Remove user folders link from Start Menu). Откроется
После этого все пользовательские папки перестанут отображаться в меню
Пуск (Start). Этот параметр можно использовать при наличии перенаправ-
ленных папок. Перенаправленные папки отображаются в основном (ниж-
нем) разделе меню Пуск (Start). Однако при этом исходная пользователь-
ская версия папки отображается в верхнем разделе меню Пуск (Start). По-
скольку наличие двух папок с одним и тем же именем может смутить поль-
зователей, можно включить этот параметр и скрыть пользовательские пап-
ки. Даже если пользователь создаст новый каталог в своей папке, он будет
отображаться в проводнике, однако в меню Пуск (Start) фигурировать не
будет.
ÎÒÊËÞ÷ÅÍÈÅ ÑËÅÆÅÍÈÿ ÎÏÅÐÀÖÈÎÍÍÎÉ ÑÈÑÒÅÌÛ

ÇÀ ÏÎËÜÇÎÂÀÒÅËÅÌ
В целях более гибкой работы операционной системы, семейство систем Win-

dows с версии Windows 2000 использует систему слежения за действиями
пользователя. Это позволяет изменять содержание меню Пуск (Start), рас-
крывающихся меню и многих других компонентов системы для более бы-
строго доступа к наиболее используемым функциям. Если вы хотите отклю-
чить функцию слежения системы за пользователем, измените следующий
параметр (эта политика не действует в Windows 7):
2. Дважды щелкните мышью по параметру Отключить слежение за дей-
ствиями пользователя (Turn off user tracking). Откроется одноименное
зультатов настройки
87
87
87
После включения данного параметра в меню Пуск (Start) будет очищен спи-
сок ранее запускавшихся программ, который формировался в зависимости
от частоты их использования. Теперь для размещения ярлыка приложения
в области с недавно использовавшимися программами вам придется доба-
вить его вручную.
В операционной системе Windows 7 (как и в Windows Server 2008) вы може-
те использовать несколько иные политики. Так, если вы хотите, чтобы для
каждого нового пользователя операционной системы Windows список не-
давно использованных программ очищался, используйте параметр Очист-
ка списка недавно использовавшихся программ для новых пользователей
(Clear the recent programs list for new users):
2. Дважды щелкните мышью по параметру Очистка списка недавно ис-
пользовавшихся программ для новых пользователей (Clear the recent
programs list for new users). Откроется одноименное окно для редакти-
Также доступна возможность отключения функции слежения операцион-
ной системы за открываемыми пользователем файлами. Если вы хотите,
чтобы операционная система по окончании каждого сеанса работы очищала
список недавно открытых документов, вы можете активировать данную воз-
можность с помощью редактора групповых политик:
2. Дважды щелкните мышью по параметру Очищать журнал недавно от-
крывавшихся документов при выходе (Clear history of recently opened
documents on exit). Откроется одноименное окно для редактирования
После активации данного параметра у вас в меню Пуск (Start) содержимое
8888
88
пункта Недавние документы (Recent Items) будет очищаться после каждо-

го завершения сеанса.
Примечание. Данный параметр работает только в том случае, если не активиро-
ваны параметры Удалить меню Недавние документы из главного меню (Re-
move Recent Items menu from Start Menu) и Не хранить сведения о недавно от-
крывавшихся документах (Do not keep history of recently opened documents).
Данная функция очищает только содержимое пункта Недавние документы

(Recent Items) в меню Пуск (Start) и никак не влияет на список недавно от-
крытых документов в меню Файл (File) различных программ.
ÁËÎÊÈÐÎÂÊÀ ÂÛÏÎËÍÅÍÈÿ ÎÏÅÐÀÖÈÉ ÍÀÄ ÿÐËÛÊÀÌÈ

Â ÌÅÍÞ ÏÓÑÊ
Если вы хотите запретить пользователю вносить изменения в порядок ото-

бражения элементов в меню Пуск (Start), а также использовать контекстные
меню для данных ярлыков, измените следующий параметр в редакторе груп-
повых политик:
2. Дважды щелкните мышью по параметру Удалить контекстные меню и
меню перетаскивания для элементов меню Пуск (Remove drag-and-
drop and context menus on the Start Menu). Откроется одноименное
После активации данного параметра пользователь не сможет изменить по-
рядок отображения программ в меню Пуск (Start), а при щелчке правой
кнопкой мыши по элементам меню Пуск (Start) контекстное меню отобра-
жаться не будет.
ÑÎÊÐÛÒÈÅ ÎÁÙÈÕ ÃÐÓÏÏ ÏÐÎÃÐÀÌÌ Â ÌÅÍÞ ÏÓÑÊ

В меню Пуск (Start) во всех операционных системах Windows, начиная с
версии Windows 2000, отображаются две группы программ: программы,
установленные только для текущего пользователя, и программы, установ-
ленные для всех пользователей операционной системы.
89
89
89
С помощью редактора групповых политик можно ограничить доступ теку-

щего пользователя к общей группе программ. Для этого нужно изменить со-
ответствующий параметр:
2. Дважды щелкните мышью по параметру Скрыть общие группы про-
грамм в меню Пуск (Remove common programs group from Start Menu).
После этого пользователь будет видеть только программы, установленные
для него. Если же вам нужны более радикальные меры и вы хотите скрыть
список всех программ из меню Пуск (Start), воспользуйтесь соответствую-
щим параметром редактора групповых политик:
2. Дважды щелкните мышью по параметру Удалить список всех программ
в меню «Пуск» (Remove All Programs list from the Start Menu). Откро-
После этого, открыв меню Пуск (Start), вы не обнаружите раскрывающийся
список Все программы (All programs).
ÓÄÀËÅÍÈÅ ÑÏÈÑÊÀ ÇÀÊÐÅÏËÅÍÍÛÕ ÏÐÎÃÐÀÌÌ

В том случае, если вам понадобится удалить список закрепленных в меню
Пуск программ — активируйте соответствующий параметр в редакторе
групповых политик:
9090
90
2. Дважды щелкните мышью по параметру Удалить список программ, за-

крепленных в меню «Пуск» (Remove pinned programs list from the Start
Menu). Откроется одноименное окно для редактирования данной по-
литики.
После этого ярлыки, закрепленные пользователем в верхней части поля с
программами в меню Пуск (Start), будут скрыты, и станет невозможным
прикрепление новых ярлыков.
Если же вам требуется отключить список часто используемых программ,
расположенный под списком прикрепленных пользователем приложений,
нужно активировать другой параметр:
2. Дважды щелкните мышью по параметру Удалить список часто исполь-
зуемых программ в меню «Пуск» (Remove Favorites menu programs list
from Start Menu). Откроется одноименное окно для редактирования
Íàñòðîéêè ðàáî÷åãî ñòîëà

Теперь перейдем ко второй части главы, которая будет посвящена настрой-
кам рабочего стола при помощи редактора групповых политик.
ÇÀÏÐÅÒ ÑÂÎÐÀ÷ÈÂÀÍÈÿ ÎÊÍÀ AERO SHAKE

Многие пользователи операционной системы Windows 7 положительно от-
неслись к новой графической системе Aero, появившейся в операционной
системе Windows Vista. Операционная версия Windows 7 добавила в графи-
ческую систему Aero ряд новшеств, одним из которых можно назвать функ-
цию Aero Shake. Ее суть проста: для того, чтобы оставить на рабочем сто-
ле только активное окно, достаточно установить указатель мыши на заголо-
91
91
91
вок нужного окна, а затем, зажав и не отпуская левую кнопку мыши, потря-
сти окно. Кому-то функция Aero Shake пришлась по нраву, а кому-то меша-
ет работать. Для второй группы пользователей разработчики операционной
системы Windows 7 предусмотрели отключение функции Aero Shake при по-
мощи редактора групповых политик. Сделать это можно следующим обра-
зом:
2. Дважды щелкните мышью по параметру Отключить сворачивание окна
Aero Shake жестом мышью (Turn off Aero Shake window minimizing
mouse gesture). Откроется одноименное окно для редактирования дан-
4. Если вы документируете все свои действия в отношении групповых по-
литик, оставьте примечания в поле ввода Комментарий (Comments).
После изменения параметра ни случайно, ни намеренно, жестом свернуть
окна не удастся.
ÇÀÏÐÅÒ ÍÀ ÑÎÕÐÀÍÅÍÈÅ ÍÀÑÒÐÎÅÊ

Ну и наконец, мы хотим рассказать о достаточно удобном и практичном па-
раметре редактора групповых политик. Этот параметр называется Не со-
хранять параметры при выходе (Don’t save settings at exit).
Если этот параметр включен, пользователь имеет рад ограничений по из-
менению рабочего стола своего сеанса. Если говорить точнее, пользователь
может изменять все параметры рабочего стола, однако после перезагрузки
большая часть настроек вернется к установкам, заданным администратором.
Безусловно, эти настройки не коснутся ярлыков на рабочем столе, но по-
ложение и размер панели, расположение и размер окон и другие настройки
вернутся в состояние по умолчанию. Рассмотрим, как можно активировать
данный параметр:
9292
92
2. Дважды щелкните мышью по параметру Не сохранять параметры при

выходе (Don’t save settings at exit). Откроется одноименное окно для
После следующей перезагрузки параметр станет активным.
ÎÃÐÀÍÈ÷ÅÍÈÅ ÄÎÑÒÓÏÀ Ê ÑÂÎÉÑÒÂÀÌ ÝËÅÌÅÍÒÎÂ ÐÀÁÎ÷ÅÃÎ

ÑÒÎËÀ
В операционных системах семейства Windows ярлыки основных элементов

не только позволяют запускать нужные функции, но и изменять ряд параме-
тров для каждого из элементов. Для того чтобы сделать это, нужно щелкнуть
правой кнопкой мыши по нужному ярлыку и в появившемся контекстном
меню выбрать пункт свойства.
Для определенного ряда системных ярлыков, таких как Корзина (Recycle
Bin) и Компьютер (Computer), изменение свойств ярлыка несет за собой
ряд серьезных корректив системных параметров. Администратор может с
легкостью запретить вызов данного пункта меню, активировав соответству-
ющую политику в редакторе групповых политик. Безусловно, это лишь за-
блокирует один, наиболее простой, путь к изменению свойств системных
элементов, однако этого вполне достаточно для создания должного уровня
безопасности работы за компьютером, если при этом использовать другие
элементы групповых политик.
Вызов окна Свойства (Properties) для значка Компьютер (Computer) позво-
лит пользователю получить доступ к основным настройкам операционной
системы. Однако без должного багажа знаний пользователь запросто может
изменить настройки операционной системы не лучшим для полноценной
работы образом.
Именно поэтому ограничение доступа к параметру свойства для значка
Компьютер (Computer) позволит быть уверенным в отсутствии временных
издержек при работе с компьютером. Заблокировать пункт Свойства кон-
текстного меню для значка Компьютер очень просто:
93
93
93
2. Дважды щелкните мышью по параметру Удалить пункт «Свойства»

из контекстного меню значка «Компьютер» (Remove Properties
from the Computer icon context menu). Откроется одноименное окно
Ограничение изменения настроек элемента Корзина (Recycle Bin), располо-
женного на рабочем столе, обеспечивает сохранность файлов пользователя,
так как при удалении файлов и папок операционная система запрашивает
подтверждение на данное действие, а затем перемещает файл в папку Кор-
зина (Recycle Bin). Изменив свойства значка Корзина (Recycle Bin), мож-
но отменить эти условия, обеспечивающие безопасность данных пользова-
теля. Запретив доступ к свойствам элемента Корзина (Recycle Bin), можно
уберечь пользователя операционной системы от возможных неприятных по-
следствий.
Рассмотрим, как скрыть пункт Свойства (Properties) в контекстном меню
для элемента Корзина (Recycle Bin).
Чтобы отключить пункт Свойства (Properties) контекстного меню значка
Корзина (Recycle Bin), нужно:
шаблоны ⇒ Рабочий стол (User Configuration ⇒ Administrative
2. Дважды щелкнуть мышью по параметру Удалить пункт «Свойства»
из контекстного меню компонента «Корзина» (Remove Properties
from the Recycle Bin icon context menu). Откроется одноименное
3. Установить переключатель в положение Включить (Enabled).
4. Нажать кнопку ОК в правой нижней части окна для сохранения ре-
После этого при щелчке правой кнопки мыши по значку Корзина (Recycle
Bin) пункт свойства не перестанет отображаться, однако при попытке вызо-
ва диалогового окна со свойствами элемента Корзина (Recycle Bin) пользо-
ватель операционной системы увидит диалоговое окно, предупреждающее
об ограничении доступа.
9494
94
ÓÄÀËÅÍÈÅ ÑÈÑÒÅÌÍÛÕ ÇÍÀ÷ÊÎÂ Ñ ÐÀÁÎ÷ÅÃÎ ÑÒÎËÀ

Указанный в предыдущей части главы способ блокировки изменения на-
строек для ряда системных значков позволяет ограничить способы измене-
ния системных параметров. Однако можно также ограничить доступ к опре-
деленным элементам операционной системы еще более радикальными ме-
тодами. К одному из таких методов относится удаление ярлыков и систем-
ных значков с рабочего стола. К тому же, помимо соображений безопасности
и ограничения доступа, может быть ряд других причин, которые потребуют
удалить ярлыки с рабочего стола. Сюда можно отнести даже желание ото-
бражения только фонового изображения на рабочем столе.
Если ярлыки, которые на рабочий стол автоматически добавляют програм-
мы после установки и пользователи вручную, удалить достаточно просто, то
с сокрытием системных значков у пользователей нередко возникает ряд во-
просов.
С помощью редактора групповых политик можно в несколько щелчков
мыши скрыть один или несколько ненужных ярлыков с рабочего стола. Пе-
речислим все возможные варианты.
Скрытие значков с рабочего стола начнем с ярлыка браузера Internet Ex-
plorer:
2. Дважды щелкните мышью по параметру Скрыть значок Internet Ex-
plorer с рабочего стола (Hide Internet Explorer icon on the desktop).
А теперь скроем значок Компьютер (Computer):
2. Дважды щелкните мышью по параметру Удалить значок «Компью-
тер» с рабочего стола (Remove Computer icon on the desktop). От-
95
95
95

После этого можно удалить значок Сеть (Network), который предоставляет
доступ к сетевым ресурсам:
2. Дважды щелкните мышью по параметру Скрыть значок «Сеть» на
рабочем столе (Hide Network locations on desktop). Откроется одно-
именное окно для редактирования данной политики.
Если другие ярлыки еще можно было удалить при помощи пункта Персо-
нализация (Personalization) контекстного меню, то для значка Корзина (Re-
cycle Bin) не существует аналогичного пути сокрытия с рабочего стола. Что-
бы удалить значок Корзина (Recycle Bin) с помощью групповых политик,
нужно:
шаблоны ⇒ Рабочий стол (User Configuration ⇒ Administrative
2. Дважды щелкнуть мышью по параметру Удалить значок Корзина с
рабочего стола (Remove Recycle Bin icon from desktop). Откроется
3. Установить переключатель в положение Включить (Enabled).
4. Нажать кнопку ОК в правой нижней части окна для сохранения ре-
После перезагрузки вы не увидите ярлыки, которые скрыли при помощи
групповых политик. Однако если вы не хотите удалять ярлыки по одному,
вы можете воспользоваться параметром, который заблокирует отображение
всех ярлыков на рабочем столе:
2. Дважды щелкните мышью по параметру Скрыть и отключить все
элементы рабочего стола (Hide and Disable all items on the desktop).
9696
96

После этого на рабочем столе не останется ни одного элемента. Однако все
описанные выше операции по сокрытию ярлыков и значков с рабочего сто-
ла никак не отражаются на работоспособности самих программ, запущенные
другим способом, программы будут работать без каких-либо ограничений.
ÏÅÐÅÌÅÙÅÍÈÅ ÏÎËÜÇÎÂÀÒÅËÜÑÊÈÕ
ÏÀÏÎÊ
Операционные системы Windows, начиная с версии Windows 2000, хранят

пользовательские данные в специализированных папках, которые предлага-
ют упрощенный доступ к файлам различного типа. При желании пользова-
тель может с легкостью изменить месторасположение файлов, изменив путь
к папке в диалоговом окне со свойствами той или иной пользовательской
папки.
Если вы хотите запретить пользователям операционной системы Windows
хранить файлы в каталоге, отличном от установленного по умолчанию, вы
можете активировать параметр групповой политики, запрещающий переме-
щение пользовательских папок:
2. Дважды щелкните мышью по параметру Запретить пользователям
вручную перенаправлять папки пользователей (Prohibit User from
manually redirecting Profile Folders). Откроется одноименное окно
Теперь после вызова вкладки Расположение (Location) диалогового окна
Свойства (Properties) для папок пользователя вы не увидите управляющих
элементов (рис. 3.3) для изменения пути к папке.
97
97
97
Рис. 3.3. Вкладка Расположение диалогового окна Свойства при активированном

параметре Запретить пользователям вручную перенаправлять папки пользователей
ÍÀÑÒÐÎÉÊÀ ÏÎÈÑÊÀ Â ÑÅÒÅÂÎÌ ÏÐÎÑÒÐÀÍÑÒÂÅ ACTIVE DIRECTORY

Если в вашем сетевом пространстве используется служба каталогов Active
Directory, то для поиска в ней также существуют параметры, управляемые в
редакторе групповых политик.
Первый параметр, который мы рассмотрим в этой части главы, отвечает за
количество отображаемых результатов при поиске в каталогах Active Direc-
tory. Причем установленное в данном параметре ограничение регламентиру-
ет совершенно все результаты поиска, связанные с каталогами службы Ac-
tive Directory.
При отключенной политике в поиске может отображаться до 10 000 (при-
мерно 2 МБ дискового пространства или памяти) различных результатов
поиска. Если вы хотите увеличить или уменьшить данное значение, активи-
руйте и настройте соответствующий параметр в редакторе групповых поли-
тик:
1. Перейдите в узел Конфигурация пользователя ⇒ Администра-
тивные шаблоны ⇒ Рабочий стол ⇒ Active Directory (User
9898
98
Configuration ⇒ Administrative Templates ⇒ Desktop ⇒ Active

Directory).
2. Дважды щелкните мышью по параметру Максимальный объем ре-
зультатов поиска в Active Directory (Maximum size of Active Direc-
tory searches). Откроется одноименное окно для редактирования
4. Установите требуемое значение в поле со счетчиком Число возвра-
щаемых объектов (Number of objects returned) в поле Параметры
(Options).
После этого вы сможете ограничить контроллер домена от перегрузки за
счет ресурсоемких поисковых запросов.
Кроме того, вы можете активировать дополнительные фильтры для диало-
гового окна Найти (Find). Дополнительные параметры помогут пользовате-
лям формировать более конкретные поисковые запросы для поиска в про-
странстве Active Directory. Для активации дополнительных фильтров нужно
просто включить определенный параметр в редакторе групповых политик:
Directory).
2. Дважды щелкните мышью по параметру Включите фильтр в диало-
говом окне «Найти» (Enable filter in Find dialog box). Откроется од-
После этого пользователи операционной системы могут использовать рас-
ширенные фильтры для поиска.
ÈÇÌÅÍÅÍÈÅ ÏÀÐÀÌÅÒÐÎÂ ÈÇÎÁÐÀÆÅÍÈÉ ÐÀÁÎ÷ÅÃÎ ÑÒÎËÀ

С помощью редактора групповых политик можно с легкостью привести к
единому оформлению фоновые изображения на рабочих столах пользовате-
99
99
99
лей операционных систем Windows 7 и Windows Server 2008. Кроме того, су-
ществует возможность для ограничения загружаемых на рабочий стол изо-
бражений по определенным критериям.
Для того чтобы установить на рабочий стол изображение, а также запретить
его смену пользователями самостоятельно, нужно изменить настройки па-
раметра Фоновые рисунки рабочего стола (Desktop Wallpaper):
Directory).
2. Дважды щелкните мышью по параметру Фоновые рисунки рабоче-
го стола (Desktop Wallpaper). Откроется одноименное окно для ре-
3. Установите переключатель в положение Включить (Enabled) и в
поле ввода Имя фонового рисунка (Wallpaper Name) укажите путь к
фоновому изображению с расширением .bmp или .jpg, которое вы хо-
тите разместить на рабочем столе.
Можно ввести локальный путь, такой как C:\Windows\web\wallpaper\home.
jpg, или UNC-путь, такой как \\Server\Share\Corp.jpg. Если при входе в си-
стему указанный файл недоступен, то никакой фоновый рисунок не отобра-
жается.
4. Укажите параметры отображения рисунка, выбрав из раскрывающе-
гося списка Стиль фонового рисунка (Wallpaper style) подходящий
вариант.
После этого изображение рабочего стола для всех пользователей изменится
на указанное в настройках политики.
Óïðàâëåíèå ìèíè-ïðèëîæåíèÿìè íà
Ðàáî÷åì ñòîëå
Вместе с боковой панелью, появившейся в Windows Vista, в семействе опе-
рационных систем Windows появились и мини-приложения, которые по-
зволяют сделать рабочий стол более информативным, стереть грань между
локальной и удаленной информацией. В операционной системе Windows 7
100
100
100
мини-приложения рабочего стола окончательно перестали быть привязаны

к боковой панели и могут располагаться в любом месте рабочего стола.
Редактор групповых политик предлагает ряд параметров, которые могут
быть полезны как системному администратору, так и простому пользовате-
лю.
ÏÐÅÄÎÏÐÅÄÅËÅÍÈÅ ÑÑÛËÊÈ ÍÀ ÄÎÏÎËÍÈÒÅËÜÍÛÅ

ÌÈÍÈ-ÏÐÈËÎÆÅÍÈÿ
По умолчанию боковая панель Windows использует сайт компании Micro-

soft для загрузки новых мини-приложений. Однако вы можете изменить
адрес для того, чтобы загружать новые мини-приложения с других источ-
ников.
тивные шаблоны ⇒ Компоненты Windows ⇒ Гаджеты рабочего
стола (User Configuration ⇒ Administrative Templates ⇒ Windows
Components ⇒ Desktop Gadgets).
2. Дважды щелкните мышью по параметру Предопределить ссылку на
дополнительные гаджеты (Override the More Gadget link). Откроет-
3. Установите переключатель в положение Включить (Enabled) и в
поле Параметры (Options) укажите ссылку на альтернативный сайт
с мини-приложениями боковой панели.
4. Если вы документируете все свои действия в отношении групповых
политик, оставьте примечания в поле ввода Комментарий (Com-
ments).
После этого боковая панель Windows будет загружать список доступных для
установки мини-приложений с указанного вами сайта. В том случае, если пе-
реключатель в параметре Предопределить ссылку на дополнительные гад-
жеты (Override the More Gadget link) будет установлен в положения Не за-
дано (Not Configured) или Отключить (Disable), загрузка мини-приложений
будет производиться с веб-сайта корпорации Microsoft.
ÇÀÏÐÅÒ ÍÀ ÈÑÏÎËÜÇÎÂÀÍÈÅ ÌÈÍÈ-ÏÐÈËÎÆÅÍÈÉ ÁÅÇ ÖÈÔÐÎÂÎÉ

ÏÎÄÏÈÑÈ
На сегодняшний день для операционной системы Windows существует
101
101
101
огромное количество мини-приложений. В то же время злоумышленники

могут использовать их для выполнения вредоносного кода на вашем ком-
пьютере. Оптимальный способ обезопасить себя от таких случаев — исполь-
зовать только мини-приложения, имеющие цифровую подпись.
Редактор групповых политик Windows позволяет активировать такую воз-
можность несколькими щелчками мыши:
2. Дважды щелкните мышью по параметру Ограничить распаковку и
установку гаджетов, не имеющих цифровой подписи (Restrict un-
packing and installation of gadgets that are not digitally signed). Откро-
результатов настройки и закрытия окна редактирования политики.
В том случае, если переключатель в параметре Ограничить распаковку и
установку гаджетов, не имеющих цифровой подписи (Restrict unpacking
and installation of gadgets that are not digitally signed) будет установлен в по-
ложение Не задано (Not Configured) или Отключить (Disable), блокировка
мини-приложений без цифровой подписи осуществляться не будет.
После этого, при попытке установки мини-приложения, не имеющего циф-
ровой подписи, пользователь компьютера получит диалоговое окно с соот-
ветствующим предупреждением.
ÎÒÊËÞ÷ÅÍÈÅ ÓÑÒÀÍÎÂËÅÍÍÛÕ ÏÎËÜÇÎÂÀÒÅËÅÌ

ÌÈÍÈ-ÏÐÈËÎÆÅÍÈÉ
С помощью групповых политик можно отключить все пользовательские

мини-приложения рабочего стола. Нередко такое требуется для быстрого
приведения внешнего вида операционной системы компьютера в соответ-
ствие с корпоративным стандартом предприятия или чтобы дать возмож-
ность использования только корпоративных мини-приложений. Чтобы ис-
пользовать эту функцию:
102
102
102

2. Дважды щелкните мышью по параметру Отключить установлен-
ные пользователем гаджеты рабочего стола (Turn Off user-installed
desktop gadgets). Откроется одноименное окно для редактирования
В том случае, если переключатель в параметре Отключить установленные
пользователем гаджеты рабочего стола (Turn Off user-installed desktop gad-
gets) будет установлен в положения Не задано (Not Configured) или Отклю-
чить (Disable), ограничение работать не будет.
ÎÒÊËÞ÷ÅÍÈÅ ÌÈÍÈ-ÏÐÈËÎÆÅÍÈÉ ÐÀÁÎ÷ÅÃÎ ÑÒÎËÀ

Если вы не хотите, чтобы вы или любой другой локальный пользователь ва-
шего компьютера мог использовать мини-приложения рабочего стола опе-
рационной системы Windows, вы можете легко установить это ограничение
с помощью редактора политик. Для этого:
2. Дважды щелкните по параметру Отключить гаджеты рабочего сто-
ла (Turn off desktop gadgets). Откроется одноименное окно для ре-
В том случае, если переключатель в параметре Отключить гаджеты рабоче-
го стола (Turn off desktop gadgets) будет установлен в положение Не задано
(Not Configured) или Отключить (Disable), отключение мини-приложений
рабочего стола не будет активизировано.
После внесения данного изменения в конфигурацию групповых политик,
при попытке добавления какого-либо мини-приложения на рабочий стол
пользователь увидит диалоговое окно с предупреждением о невозможности
использования мини-приложений на данном компьютере.
103
103
103
На этом знакомство с возможностями настройки меню Пуск (Start), пане-
ли задач и Рабочего стола заканчивается. Как вы смогли убедится, редактор
групповых политик предлагает очень гибкие возможности по настройке ра-
бочего пространства пользователя.
В следующей главе мы перейдем к детальной настройке панели управления.
104
104
104
Ãëàâà 4.
Òîíêàÿ íàñòðîéêà ïàíåëè

óïðàâëåíèÿ
Если компьютер используется несколькими пользователями, то имеет
смысл защитить компьютер от их пронырливых рук. В этой главе вы узна-
ете, как сделать так, чтобы пользователь либо не смог воспользоваться па-
нелью управления, либо смог, но ее определенными элементами, о том, как
ограничить функциональность некоторых элементов, как ограничить доступ
к языковым настройкам системы. Кроме того, мы расскажем, как ограничить
возможности настройки принтеров, а также установку и удаление программ
и компонентов системы в Панели управления.
Íàñòðîéêà äîñòóïà ê ïàíåëè óïðàâëåíèÿ

è åå ýëåìåíòàì
В этом разделе вы узнаете, как ограничить доступ пользователей к элемен-
там в панели управления. При настройке ограничения элемента скрывает-
ся значок соответствующего элемента в панели управления, но если пользо-
ватель попробует открыть элемент другими возможными способами (не из
панели управления), то появится уведомление о том, что администратор от-
ключил возможность использования элемента. Также будет рассматривать-
ся параметр, полностью запрещающий доступ к панели управления.
ÑÎÊÐÛÒÈÅ ÎÏÐÅÄÅËÅÍÍÛÕ ÝËÅÌÅÍÒÎÂ ÏÀÍÅËÈ ÓÏÐÀÂËÅÍÈÿ

Эта политика удаляет выбранные элементы из окна Панель управления
(Control Panel) и меню Пуск (Start), а также запрещает доступ к этим эле-
ментам из контекстных меню. У каждого элемента панели управления есть
свое каноническое имя. И если эти имена перечислить в рассматриваемом
параметре политики, то элементы, чьи имена были указаны, больше не будут
отображаться ни в панели управления, ни в меню Пуск (Start), и, как уже го-
ворилось, доступ из контекстного меню также будет заблокирован.
1. Откройте узел Конфигурация пользователя ⇒ Административные
шаблоны ⇒ Панель управления (User configuration ⇒ Administrative
Templates ⇒ Control Panel).
106
106
106
ГЛАВА 4. ТОНКАЯ НАСТРОЙКА ПАНЕЛИ УПРАВЛЕНИЯ
2. Дважды щелкните мышью по параметру Скрыть указанные элементы

панели управления (Hide specified Control Panel items). Откроется диа-
логовое окно редактирования параметра политики.
3. Установите переключатель в положение Включить (Enable).
5. В области Параметры (Options) нажмите кнопку Показать (Show). По-
явится диалоговое окно Вывод содержания (Show Contents).
6. В появившемся диалоговом окне щелкните два раза по пустому полю и
введите с клавиатуры каноническое имя элемента, например «Microsoft.
Mouse», «Microsoft.System» или «Microsoft.Personalization». Чтобы ука-
зать имя следующего элемента, нажмите клавишу Enter и введите новое
каноническое имя.
7. Нажмите кнопку ОК, чтобы закрыть диалоговые окна.
После этого значки указанных элементов не будут отображаться в окне Па-
нель управления (Control Panel), а доступ к элементу из контекстного меню
приведет к появлению уведомления (рис. 4.1). Если параметр отключен или
не задан, то ограничений в отображении элементов и любого доступа к ним
установлено не будет. Исключение будет только в том случае, если включен
и настроен параметр Показать только заданные элементы панели управле-
ния (Show only specified Control Panel items).
Рис. 4.1. Диалоговое окно ошибки доступа к элементу
Примечание. Элемент «Экран» панели управления нельзя скрыть в контекстном

меню рабочего стола с помощью данного параметра. Для скрытия этого элемен-
та и предотвращения изменения пользователями соответствующих параметров
используйте параметр Отключить окно свойств экрана в панели управления
(Disable the Display Control Panel).
Полный список канонических имен элементов перечислен на официальном

сайте Microsoft: go.microsoft.com/fwlink/?LinkId=122973 или в приложе-
нии 1 в конце книги.
107
107
107
ÎÒÎÁÐÀÆÅÍÈÅ ÒÎËÜÊÎ ÇÀÄÀÍÍÛÕ ÝËÅÌÅÍÒÎÂ

ÏÀÍÅËÈ ÓÏÐÀÂËÅÍÈÿ
Этот параметр удаляет все элементы из окна Панель управления (Control

Panel), кроме тех элементов, канонические имена которых перечислены в па-
раметре политики. Для того чтобы указать канонические имена элементов:
2. Дважды щелкните мышью по параметру Показать только заданные
элементы панели управления (Show only specified Control Panel items).
Откроется диалоговое окно редактирования параметра политики.
4. В области Параметры (Options) нажмите кнопку Показать (Show). По-
явится диалоговое окно Вывод содержания (Show Contents).
5. В появившемся диалоговом окне щелкните два раза по пустому полю и
введите с клавиатуры каноническое имя элемента. Чтобы указать еще
одно, нажмите клавишу Enter и введите новое каноническое имя.
Примечание. Элемент «Экран» панели управления нельзя скрыть в контекстном
меню рабочего стола с помощью данного параметра. Для скрытия этого элемен-
та и предотвращения изменения пользователями соответствующих параметров
используйте параметр Отключить окно свойств экрана в панели управления
(Disable the Display Control Panel).
После этого в Панели управления (Control Panel) будут отображаться

значки только тех элементов, канонические имена которых вы перечисли-
ли. Если параметр Скрыть указанные элементы панели управления (Hide
specified Control Panel items) будет включен, то параметр Показать только
заданные элементы панели управления (Show only specified Control Panel)
будет проигнорирован. Также все элементы, которые не были указаны в па-
раметре политики, будут недоступны не только из окна Панель управления
(Control Panel), но и с помощью других способов доступа, например кон-
текстного меню.
Если параметр отключен или не настроен, то никаких ограничений в ото-
бражении и доступе к элементам панели управления установлено не будет.
Исключение будет только в том случае, если включен и настроен параметр
Скрыть указанные элементы панели управления (Hide specified Control
Panel items).
108
108
108
ÁËÎÊÈÐÎÂÊÀ ÍÀÑÒÐÎÅÊ ÝÊÐÀÍÀ

Редактор групповых политик позволяет заблокировать изменение параме-
тров экрана с помощью панели управления. Для этого следует активировать
следующий параметр:
тивные шаблоны ⇒ Панель управления ⇒ Окно свойств экрана
(User configuration ⇒ Administrative Templates ⇒ Control Panel ⇒
Display)/
2. Дважды щелкните мышью по параметру Отключить окно свойств
экрана в панели управления (Disable the Display Control Panel). От-
После активации данного параметра в окне Панель управления (Control
Panel) ⇒ Все элементы панели управления (All Control Panel Items)⇒
Экран (Display) в верхней части будет отображаться сообщение о том, что
часть настроек заблокирована системным администратором, а все кнопки,
переключатели и поля ввода в окне Экран (Display) будут неактивны. При
включенном параметре Отключить окно свойств экрана в панели управле-
ния (Disable the Display Control Panel) пользователи не смогут изменить
любые настройки, связанные с экраном, кроме изменения параметров сгла-
живания шрифтов Clear Type.
ÎÒÎÁÐÀÆÅÍÈÅ ÂÑÅÕ ÝËÅÌÅÍÒÎÂ ÏÀÍÅËÈ ÓÏÐÀÂËÅÍÈÿ

По умолчанию при открытии окна Панель управления (Control Panel) знач-
ки элементов отображаются по категориям. При следующем открытии знач-
ки элементов будут отображаться так, как выбрал пользователь при послед-
нем открытии окна Панель управления (Control Panel). Для того чтобы все
значки элементов всегда отображались в окне Панель управления (Control
Panel), выполните следующие действия:
2. Дважды щелкните мышью по параметру Всегда открывать все элемен-
ты панели управления при ее открытии (Always open All Control Panel
109
109
109
items when opening Control Panel). Откроется диалоговое окно редакти-

рования параметра политики.
4. Нажмите кнопку ОК.
Теперь если в последний раз использовалось отображение значков по кате-
гориям, при следующем открытии окна Панель управления (Control Panel)
будут отображаться мелкие значки. Если в последний раз было выбрано ото-
бражение крупных значков, то оно останется при следующем открытии.
ÇÀÏÐÅÙÅÍÈÅ ÄÎÑÒÓÏÀ Ê ÏÀÍÅËÈ ÓÏÐÀÂËÅÍÈÿ

Для того чтобы запретить доступ ко всем элементам панели управления,
следует выполнить данные шаги:
2. Дважды щелкните мышью по параметру Запретить доступ к панели
управления (Prohibit access to the Control Panel). Откроется диалоговое
окно редактирования параметра политики.
После этого программа Control.exe, которая отвечает за работу панели управ-
ления, будет заблокирована, что приведет к невозможности открыть окно
Панель управления (Control Panel). Также будет удалена кнопка Панель
управления (Control Panel) из меню Пуск (Start) и папка Панель управле-
ния (Control Panel) из окна проводника Windows. Будут заблокированы лю-
бые попытки доступа к элементам из контекстного меню (рис. 4.2).
Рис. 4.2. Диалоговое окно с уведомлением об ограничении доступа
Если параметр отключен или не настроен, то доступ к панели управления

будет открыт.
110
110
110
Ïåðñîíàëèçàöèÿ
В этом разделе вы узнаете о том, как ограничить доступ к настройкам интер-
фейса операционной системы Windows.
ÇÀÏÐÅÙÅÍÈÅ ÈÇÌÅÍÅÍÈÿ ÎÔÎÐÌËÅÍÈÿ

По умолчанию абсолютно любой пользователь может изменить тему в окне
Персонализация (Personalization). Вы можете запретить пользователю из-
менять тему, выполнив следующие шаги:
1. Откройте узел Конфигурация пользователя ⇒ Административные ша-
блоны ⇒ Панель управления ⇒ Персонализация (User configuration
⇒ Administrative Templates ⇒ Control Panel ⇒ Personalization).
2. Дважды щелкните мышью по параметру Запретить изменение темы
(Prevent changing theme). Откроется диалоговое окно редактирования
параметра политики.
Теперь выбор тем в окне Персонализация (Personalization) будет невозмож-
ным, однако это не будет мешать пользователю выбрать фон рабочего стола,
цвет окна, установить новые звуки интерфейса и изменить заставку. Если
параметр отключен или не задан, то ограничения возможности изменения
тем установлены не будут.
Аналогичная ситуация и с запретом изменения стилей оформления и кно-
пок. Для того чтобы запретить вносить изменения пользователями в стили
оформления диалоговых окон и кнопок, отображаемых на экране компью-
тера:
2. Дважды щелкните мышью по параметру Запретить изменение стилей
оформления окон и кнопок (Prevent changing visual style for windows
and buttons). Откроется диалоговое окно редактирования параметра по-
литики.
111
111
111

Теперь изменение стилей оформления будет невозможным. Если пара-
метр отключен или не задан, то любой пользователь сможет изменить стиль
оформления окон и кнопок.
Для того чтобы сделать неактивными некоторые кнопки и ссылки в окне
Персонализация (Personalization), достаточно всего лишь активировать
определенные параметры политики.
Чтобы запретить возможность изменения цвета темы Aero, системных цве-
тов и цветовых схем для рабочего стола и окон, включите параметр Запре-
тить изменение цвета и оформления окон (Prevent changing windows color
and appearance). После этого кнопка Цвет окна (Windows Color) в окне Пер-
сонализация (Personalization) будет недоступна. Если этот параметр отклю-
чен или не задан, то возможность изменения цвета оформления окон будет
доступной.
Чтобы исключить возможность изменения или добавления фона рабочего
стола, включите параметр Запретить изменение фона рабочего стола (Pre-
vent changing desktop background). После этого кнопка Фон рабочего стола
(Desktop Background) в окне Персонализация (Personalization) будет недо-
ступна. Если этот параметр отключен или не задан, то любой пользователь
компьютера сможет воспользоваться возможностью изменения фона рабо-
чего стола.
Чтобы запретить изменять значки рабочего стола, включите параметр Изме-
нение значков рабочего стола (Prevent changing desktop icons). После этого
ссылка Параметры значков рабочего стола (Change desktop icons), распо-
ложенная в левой части окна Персонализация (Personalization), будет скры-
та. Если параметр отключен или не задан, то пользователи могут свободно
изменять вид значков рабочего стола, отображать и скрывать значки. Пара-
метр влияет только на следующие значки: Компьютер (Computer), Файлы
пользователя (User’s files), Сеть (Network), Панель управления (Network) и
Корзина (Recycle Bin).
Для того чтобы исключить возможность изменения указателей мыши, вклю-
чите параметр Запретить изменение указателей мыши (Prevent changing
mouse pointers). После этого ссылка Изменение указателей мыши (Change
mouse pointers), расположенная в левой части окна Персонализация (Per-
sonalization), будет скрыта. Если параметр отключен или не задан, то огра-
ничение на использование настроек в окне Свойства: Мышь (Mouse Proper-
ties) установлено не будет.
112
112
112
Для того чтобы исключить возможность добавления, настройки или измене-

ния заставки на компьютере, включите параметр Запретить изменение за-
ставки (Prevent changing screen saver). После этого кнопка Заставка (Screen
Saver) в окне Персонализация (Personalization) будет недоступна. Запуск
заставок при этом не запрещается. Если же параметр отключен или не на-
строен, то ограничений в настройках заставки компьютера установлено не
будет.
Чтобы заблокировать возможность добавления, изменения и удаления
звуковых схем, включите параметр Запретить изменение звуков (Prevent
changing sounds). После этого кнопка Звуки (Sounds) в окне Персонализа-
ция (Personalization) будет недоступна. Если параметр отключен или не за-
дан, то запрет в настройках системных звуков не применяется.
Следующий параметр неработоспособен в Windows 7 и позволяет заблоки-
ровать возможность изменения цветовой схемы текущей темы рабочего сто-
ла. Для этого следует включить параметр Запретить изменение цветовой
темы (Prevent changing color scheme). Если параметр отключен или не за-
дан, то любой пользователь может изменить цветовую схему темы рабоче-
го стола.
ÏÐÈÌÅÍÅÍÈÅ ÂÛÁÐÀÍÍÎÉ ÒÅÌÛ

Этот параметр позволяет установить файл темы, который будет применять-
ся при первом входе пользователя в систему. Для того чтобы включить пара-
метр, выполните следующие шаги:
1. Откройте узел Конфигурация пользователя ⇒ Административ-
ные шаблоны ⇒ Панель управления ⇒ Персонализация (User
configuration ⇒ Administrative Templates ⇒ Control Panel ⇒
Personalization).
2. Дважды щелкните мышью по параметру Применить указанную
тему (Load a specific theme). Откроется диалоговое окно редактиро-
вания параметра политики.
4. В области Параметры (Options) в поле ввода Путь к файлу темы
(Path to theme file) укажите полный путь к файлу темы.
После этого при первом входе пользователя в систему вместо стандартной
темы Windows 7 будет использована указанная тема. Параметр не запреща-
ет дальнейшее изменение темы пользователем, а также любых других эле-
113
113
113
ментов темы, таких как фон рабочего стола, заставка, цвет окон и систем-
ные звуки.
Параметр Применить конкретный файл стиля оформления или классиче-
ский стиль (Force a specific visual style file or force Windows Classic) позволя-
ет применить файл стиля оформления, указанный в параметре. После выбо-
ра стиля оформления пользователи, изменяя тему, не смогут применять дру-
гие стили оформления. Для того чтобы включить параметр, выполните сле-
дующие шаги:
ные шаблоны ⇒ Панель управления ⇒ Персонализация (User
configuration ⇒ Administrative Templates ⇒ Control Panel ⇒
Personalization).
2. Дважды щелкните мышью по параметру Применить конкретный
файл стиля оформления или классический стиль (Force a specific
visual style file or force Windows Classic). Откроется диалоговое окно
редактирования параметра политики.
4. В области Параметры (Options) в поле ввода Путь к файлу сти-
ля оформления (Path to Visual Style) укажите путь к файлу стиля
оформления. Файл может быть расположен как на локальном ком-
пьютере (aero.msstyles), так и на удаленном сервере. Если файл рас-
положен на удаленном сервере, то указывается UNC-путь в форма-
те \\сервер\общий_ресурс\aero.msstyles. Чтобы выбрать классиче-
ский стиль Windows — оставьте поле пустым.
После включения параметра пользователи смогут менять темы оформления
Windows, но стиль оформления применяться не будет.
ÓÏÐÀÂËÅÍÈÅ ÏÀÐÀÌÅÒÐÀÌÈ ÇÀÑÒÀÂÊÈ ÊÎÌÏÜÞÒÅÐÀ

Для того чтобы включить или отключить использование заставки компью-
тера, выполните следующие действия:
2. Дважды щелкните мышью по параметру Включить заставку (Enable
screen saver). Откроется диалоговое окно редактирования параметра по-
литики.
114
114
114
3. Установите переключатель в положение Включить (Enabled) для того,

чтобы заставки на компьютере использовались, или в положение От-
ключить (Disabled), чтобы заставки были отключены.
Если переключатель был установлен в положение Включить (Enabled), то
заставки будут использоваться на компьютере так, как и по умолчанию.
Если было выбрано положение Отключить (Disabled), то заставка исполь-
зоваться не будет, а настройки в диалоговом окне Параметры экранной за-
ставки (Screen Saver Settings) станут неактивными (рис. 4.3).
Рис. 4.3. Диалоговое окно Параметры экранной заставки
Для того чтобы указать время бездействия пользователя, по истечении кото-

рого будет запускаться заставка, выполните следующие действия:
2. Дважды щелкните мышью по параметру Таймаут заставки (Screen saver
timeout). Откроется диалоговое окно редактирования параметра поли-
тики.
115
115
115

4. В области Параметры (Options) в поле ввода со счетчиком Секунды
(Seconds) укажите количество секунд бездействия.
Если время ожидания рано нулю, заставка не запускается, так же как если
отключен параметр Включить заставку. Время ожидания можно указывать
в интервале от 1 секунды до 86400 секунд (24 часа). По умолчанию исполь-
зуется значение 900 секунд (15 минут). Если параметр не задан, то исполь-
зуется значение по умолчанию. Если параметр отключен, то он не применя-
ется.
Для того чтобы включить парольную защиту заставок на компьютере, вы-
полните следующие действия:
2. Дважды щелкните мышью по параметру Парольная защита заставки
(Password protect the screen saver). Откроется диалоговое окно редакти-
После этого все заставки будут защищены паролем. А чтобы пользовате-
ли не смогли изменить пароль, флажок Начинать с экрана входа в систему
(On resume, display logon screen) в диалоговом окне Параметры экранной
заставки (Screen Saver Settings) будет недоступен. Если же параметр отклю-
чен или не задан, то пользователи могут пользоваться возможностью уста-
новки парольной защиты заставки без ограничений.
Параметр Применить указанную заставку (Force specific screen saver) по-
зволяет запретить изменение заставки рабочего стола и использовать только
ту заставку, исполняемый файл которой будет указан в параметре. Для того
чтобы включить параметр, выполните следующие шаги:
2. Дважды щелкните мышью по параметру Применить указанную застав-
ку (Force specific screen saver). Откроется диалоговое окно редактирова-
ния параметра политики.
116
116
116

4. В области Параметры (Options) в поле ввода Имя исполняемого фай-
ла заставки (Screen saver executable name) укажите исполняемый файл
заставки. Если файл расположен в каталоге %Systemroot%\System32,
то введите название файла и расширение .scr. Если исполняемый файл
заставки расположен в другом каталоге, то необходимо ввести полный
путь к файлу.
После включения параметра будет использоваться только указанная застав-
ка. Раскрывающийся список выбора заставок станет недоступным, и поль-
зователи не смогут ее изменить. Параметр пропускается в том случае, если
указанная заставка не будет установлена на компьютере.
Óïðàâëåíèå ýëåìåíòîì
«Ïðîãðàììû è êîìïîíåíòû»
В этом разделе вы узнаете, как ограничить для пользователя возможности
использования элемента Программы и компоненты (Programs and Features)
панели управления.
СОКРЫТИЕ КОМПОНЕНТЫ ПРОГРАММЫ И КОМПОНЕНТЫ

Для того чтобы полностью запретить использование компонента Програм-
мы и компоненты (Programs and Features), выполните следующие шаги:
шаблоны ⇒Панель управления ⇒ Программы (User configuration ⇒
Administrative Templates ⇒ Control Panel ⇒ Programs).
2. Дважды щелкните мышью по параметру Скрыть панель управления
«Программы» (Hide the Programs Control Panel). Откроется диалоговое
Теперь компонентом Программы и компоненты (Programs and Features)
воспользоваться нельзя. Само окно компонента откроется, но все его воз-
117
117
117
можности будут неактивными, а при попытке открыть диалоговое окно

Компоненты Windows (Windows Features) появится уведомление о том, что
этот компонент отключен системным администратором. Этот параметр име-
ет наибольший приоритет перед остальными параметрами политики в груп-
пе Программы (Programs).
Несмотря на полный запрет использования компонента панели управления
Программы и компоненты (Programs and Features), другие способы уста-
новки и удаления программ заблокированы не будут (можно, как и раньше,
устанавливать и удалять программы посредством их собственных инсталля-
торов).
Если параметр отключен или не задан, то панель управления Программы
(Programs) будет доступна всем пользователям компьютера.
ÑÎÊÐÛÒÈÅ ÎÒÄÅËÜÍÛÕ ÝËÅÌÅÍÒÎÂ ÏÀÍÅËÈ ÓÏÐÀÂËÅÍÈÿ

Для того чтобы скрыть отдельный элемент панели управления, связанный с
настройкой программ, достаточно просто включить соответствующий эле-
менту параметр политики.
Чтобы отключить страницу Настройка доступа программ и умолчаний (Set
program access and computer defaults) из компонента панели управления
Программы по умолчанию (Default Programs), выполните следующие шаги:
шаблоны ⇒Панель управления ⇒ Программы (User configuration ⇒
Administrative Templates ⇒ Control Panel ⇒ Programs).
2. Дважды щелкните мышью по параметру Скрытие страницы доступа к
программам и параметров по умолчанию (Hide «Set Program Access and
Computer Defaults» page). Откроется диалоговое окно редактирования
После этого пользователи не смогут воспользоваться страницей Настройка
доступа программ и умолчаний (Set program access and computer defaults).
Эта страница позволяет назначать программы по умолчанию для выполне-
ния определенных действий (например, использование браузера Internet
Explorer как программы по умолчанию для работы с веб-страницами). Если
параметр отключен или не задан, то любой пользователь сможет воспользо-
ваться страницей Настройка доступа программ и умолчаний (Set program
access and computer defaults) для изменения соответствующих настроек.
118
118
118
Следующие параметры включаются аналогично и доступны в группе Про-

граммы (Programs).
Чтобы скрыть страницу Программы и компоненты (Programs and Features),
которая содержит список установленных на компьютере программ, вклю-
чите параметр Скрыть страницу «Программы и компоненты» (Hide «Pro-
grams and Features» page). После этого список установленных программ ото-
бражаться не будет.
Чтобы скрыть страницу Установленные обновления (Installed Updates), ко-
торая вызывается при переходе по ссылке Просмотр установленных обнов-
лений (View installed updates), включите параметр Скрыть страницу «Уста-
новленные обновления» (Hide «Installed Updates» page). После этого спи-
сок установленных обновлений, загруженных с сайта Windows Update или с
сайтов программ сторонних производителей, отображаться не будет.
Чтобы скрыть окно Компоненты Windows (Windows Features), которое
отображается при нажатии ссылки Включение или отключение компонен-
тов Windows (Turn Windows features on or off), включите параметр Скрыть
«Компоненты Windows» (Hide «Windows Features»). После этого, при по-
пытке вызвать окно Компоненты Windows (Windows Features), появится
уведомление о том, что системный администратор отключил компоненты
Windows (рис. 4.4).
Рис. 4.4. Диалоговое окно, уведомляющее о блокировке элемента
Страница Получение программ (Get Programs) отображает список про-

грамм, опубликованных системным администратором. Список предназна-
чается для того, чтобы уведомить пользователя об их доступности, реко-
мендовать программу к использованию или просто упростить ее установку.
Для того чтобы скрыть эту страницу, включите параметр Скрыть страницу
«Получение программ» (Hide «Get Programs» page). После этого пользова-
тели не смогут просматривать программы, опубликованные системным ад-
министратором, и использовать страницу Получение программ (Hide «Get
Programs) для их установки. Однако параметр не запрещает другие способы
установки этих программ.
Для того чтобы скрыть страницу Windows Marketplace, которая позволя-
119
119
119
ет пользователям приобретать и загружать программы на компьютер, вклю-

чите параметр Скрыть «Windows Marketplace» (Hide «Windows Market-
place»). После этого пользователь не сможет воспользоваться компонен-
том Получить новые программы с Windows Marketplace (Get new programs
from Windows Marketplace) панели управления Программы и компоненты
(Programs and Features). Однако это не помешает пользователю воспользо-
ваться услугами Windows Marketplace другими способами.
Ðàáîòà ñ ïðèíòåðàìè
В этом разделе мы расскажем о том, как ограничить возможности установ-
ки и удаления принтеров, а также изменить адрес в службе Active Directory,
с которого начинается поиск принтеров.
ÓÏÐÀÂËÅÍÈÅ ÐÀÇÐÅØÅÍÈÿÌÈ ÍÀ ÄÎÁÀÂËÅÍÈÅ

È ÓÄÀËÅÍÈÅ ÏÐÈÍÒÅÐÎÂ
Для того чтобы запретить всевозможные способы установки локальных и

сетевых принтеров, а также установки новых принтеров путем перетаскива-
ния значка принтера в папку Принтеры (Printers):
шаблоны ⇒ Панель управления ⇒ Принтеры (User configuration ⇒
Administrative Templates ⇒ Control Panel ⇒ Printers).
2. Дважды щелкните мышью по параметру Запретить добавление принте-
ров (Prevent addition of printers). Откроется диалоговое окно редактиро-
После этого будет удален значок Установка принтера (Add Printer) из меню
Пуск (Start) и из папки Принтеры (Printers) в панели управления. При по-
пытке перетащить значок принтера в папку Принтеры (Printers) появится
уведомление о запрете выполнения операции. Тем не менее этот параметр не
запрещает установку принтера при помощи мастера установки оборудова-
ния и с помощью других программ.
Если параметр отключен или не задан, то пользователи могут установить но-
120
120
120
вый принтер любым способом, в том числе и методом перетаскивания знач-

ка принтера в папку Принтеры (Printers).
Для того чтобы запретить удаление принтеров командой Удалить (Delete) в
папке Printers, выполните следующие шаги, активируйте следующий пара-
метр:
2. Дважды щелкните мышью по параметру Запретить удаление принтеров
(Prevent deletion of printers). Откроется диалоговое окно редактирова-
После этого при попытке удалить принтер появится сообщение о том, что
выполнение данной операции запрещено. Тем не менее параметр не запре-
щает использование сторонних программ для удаления принтеров. Если па-
раметр отключен или не задан, то пользователи могут удалить установлен-
ный принтер любым способом, в том числе и командой Удалить (Delete) в
папке Принтеры (Printers).
ÐÀÇÐÅØÅÍÈÅ ÎÁÇÎÐÀ ÑÅÒÈ ÄËÿ ÏÎÈÑÊÀ ÏÐÈÍÒÅÐÎÂ

По умолчанию при установке сетевого принтера без указания его имени ма-
стер установки принтеров выводит весь список общих принтеров в сети и
предлагает выбрать из этого списка модель. Для того чтобы страница обзо-
ра сетевых принтеров в окне мастера установки принтеров не отображалась,
выполните следующие действия:
2. Дважды щелкните мышью по параметру Разрешить обзор сети для по-
иска принтеров (Browse the network to find printers). Откроется диало-
говое окно редактирования параметра политики.
3. Установите переключатель в положение Отключить (Disabled).
После этого поиск принтеров в сети будет невозможен, и для установки
принтера потребуется ввести его имя вручную. Этот параметр влияет толь-
121
121
121
ко на работу мастера установки принтера, поиск сетевых принтеров и воз-

можность подключения к ним в других программах не блокируется.
ÓÑÒÀÍÎÂÊÀ ÏÓÒÈ ÏÎÈÑÊÀ ÏÐÈÍÒÅÐÎÂ ACTIVE DIRECTORY

ÏÎ ÓÌÎË÷ÀÍÈÞ
Этот параметр позволяет указать путь в службе Active Directory, с которого

начинается поиск принтеров. Для того чтобы указать место в службе Active
Directory, настройте следующий параметр:
2. Дважды щелкните мышью по параметру Путь поиска принтеров Active
Directory по умолчанию (Default Active Directory path when searching
for printers). Откроется диалоговое окно редактирования параметра по-
литики.
4. В области Параметры (Options) в поле Путь Active Directory по умол-
чанию (Default Active Directory path) введите путь Active Directory,
с которого будет начинаться поиск принтеров. Например, LDAP://
DC=Domain1,DC=MyCompany,DC=com.
После этого мастер установки принтеров будет начинать поиск общего
принтера в службе Active Directory с указанного пути. Обратите внимание,
что параметр не ограничивает поиск, а лишь задает исходную позицию для
поиска принтеров в службе Active Directory.
Если параметр отключен или не задан, то поиск будет начинаться с корнево-
го каталога службы Active Directory.
Íàñòðîéêà ÿçûêîâûõ è ðåãèîíàëüíûõ

ñòàíäàðòîâ
В этом разделе вы узнаете, как скрыть определенные параметры, связанные
с настройкой языка системы, а также как установить ограничения выбора и
использования языков Windows.
122
122
122
ÑÊÐÛÒÈÅ ÏÀÐÀÌÅÒÐÎÂ
Для того чтобы из панели управления Язык и региональные стандарты (Re-
gion and Language Options) скрыть вкладку Дополнительно (Administrative),
в которую входят интерфейсы для задания системных языковых стандартов
и копирования параметров для пользователя по умолчанию, включите пара-
метр Скрыть параметры управления в панели «Язык и региональные стан-
дарты» (Hide Regional and Language Options administrative options), распо-
ложенный в папке Язык и региональные стандарты (Region and Language
Options). Для этого активируйте следующий параметр:
блоны ⇒ Панель управления ⇒ Язык и региональные стандарты (User
Configuration Administrative ⇒ Templates ⇒ Control Panel ⇒ Regional
and Language Options).
2. Дважды щелкните мышью по параметру Скрыть параметры управления
в панели «Язык и региональные стандарты» (Hide Regional and Lan-
guage Options administrative options). Откроется диалоговое окно редак-
тирования параметра политики.
После этого вкладка Дополнительно (Administrative) будет скрыта. Если
параметр отключен или не задан, то вкладка будет отображаться, однако не-
которые включенные параметры могут помешать изменению параметров,
расположенных в этой вкладке.
Аналогичным способом скрываются нижеперечисленные параметры.
Чтобы скрыть вкладку Расположение (Location) в панели управления
Язык и региональные стандарты (Region and Language), включите пара-
метр Скрыть параметр географического положения (Hide the geographic
location option). Вкладка Расположение (Location) позволяет указать теку-
щее расположение пользователя, исходя из которого некоторые программы
будут предлагать дополнительную местную информацию (например, ново-
сти или прогноз погоды). Если параметр отключен или не задан, то вкладка
будет отображаться, однако некоторые включенные параметры могут поме-
шать изменению параметров, расположенных в этой вкладке.
Чтобы скрыть кнопку Установить или удалить язык (Install/uninstall lan-
guages), расположенную во вкладке Языки и клавиатуры (Keyboard and
123
123
123
Languages) панели управления Язык и региональные стандарты (Region

and Languages), включите параметр Скрыть параметры выбора языковой
группы (Hide the select language group options). При нажатии этой кнопки
открывается диалоговое окно, в котором можно добавить или удалить язы-
ки, которые могут использоваться для отображения текста, распознавания
речи и рукописного ввода. Если параметр отключен или не задан, то пользо-
ватель может воспользоваться возможностью изменения языка интерфей-
са операционной системы, установки новых языков и удаления установлен-
ных, однако некоторые включенные параметры могут помешать изменению
настроек языка интерфейса.
Чтобы скрыть вкладку Форматы (Formats) панели управления Язык и ре-
гиональные стандарты (Region and Languages), включите параметр Скрыть
параметры выбора и настройки языкового стандарта (Hide user locale selec-
tion and customization options). Вкладка Форматы (Formats) позволяет ука-
зать языковой формат, формат краткой и полной даты, кратного и полного
времени, первый день недели, а также числовые форматы и форматы денеж-
ных единиц. Если параметр отключен или не задан, то вкладка будет отобра-
жаться, однако некоторые включенные параметры могут помешать измене-
нию параметров, расположенных в этой вкладке.
ÎÃÐÀÍÈ÷ÅÍÈÅ ÂÛÁÎÐÀ ÿÇÛÊÀ ÌÅÍÞ

È ÄÈÀËÎÃÎÂÛÕ ÎÊÎÍ WINDOWS
Чтобы ограничить пользователей каким-либо одним из языков, отключая

меню и элементы управления диалогового окна в панели управления Язык и
региональные стандарты (Region and Language), настройте следующий па-
раметр:
2. Дважды щелкните мышью по параметру Ограничить выбор языка меню
и диалогов Windows (Restrict selection of Windows menus and dialogs lan-
guage). Откроется диалоговое окно редактирования параметра полити-
ки.
4. В области Параметры (Options) в раскрывающемся списке Ограничить
пользователей следующими языками (Restrict users to the following lan-
guage) выберите необходимый язык (например, Русский (Russian)).
124
124
124

Если выбранный язык не установлен на целевом компьютере, то автомати-
чески будет использован английский язык.
Если параметр отключен или не задан, то ограничения выбора языка меню и
диалогов Windows не будут применяться.
ÓÑÒÀÍÎÂÊÀ ÿÇÛÊÀ ÈÍÒÅÐÔÅÉÑÀ WINDOWS

Если на компьютере установлено больше одного языка пользовательского
интерфейса, то стоит настроить язык по умолчанию для таких компьютеров.
Для того чтобы выбрать язык интерфейса по умолчанию, выполните следу-
ющие шаги:
2. Дважды щелкните мышью по параметру Ограничить язык интерфей-
са Windows для ука-
занного пользовате-
ля (Restricts the UI
languages Windows
should use for the se-
lected user). Откро-
ется диалоговое окно
редактирования па-
раметра политики.
3. Установите переклю-
чатель в положение
Включить (Enable).
4. В области Параме-
тры (Options) в рас-
крывающемся списке
Ограничить пользо-
вателей следующи-
ми языками (Restrict
users to the following
language) выберите
Рис. 4.5. Возможность выбора языка заблокирована

групповой политикой
125
125
125
необходимый язык, который вы хотите использовать на этом компью-

тере.
После этого пользовательский интерфейс нельзя будет изменить (рис. 4.5).
Если указанный в параметре язык не установлен на компьютере, то выбор
языка по умолчанию определяется пользователем.
Если параметр отключен или не задан, то пользователь может воспользо-
ваться возможностью изменения языка интерфейса операционной системы.
Прочитав эту небольшую главу, вы получили все необходимые знания
о том, как настроить панель управления в Редакторе локальной группо-
вой политики: теперь вы знаете, как ограничить отображение и функ-
циональность элементов панели управления, заблокировать уста-
новку и удаление принтеров, программ и системных компонентов.
В следующих главах мы детально разберем различные групповые политики
операционных систем Windows 7.
126
126
126
Ãëàâà 5.
Àäìèíèñòðèðîâàíèå
ñèñòåìíûõ ýëåìåíòîâ
Windows 7
В этой главе вы узнаете, как настроить параметры системных элементов в
Редакторе локальных групповых политик: запретить запуск определенных
программ, запретить использование определенных компонентов системы
(например, командной строки или системного реестра), изменить параме-
тры входа в систему и выход из нее, режимы энергопотребления, параме-
тры диагностики системы, обновления системы и функционирования справ-
ки Microsoft.
Áàçîâûå íàñòðîéêè ñèñòåìû

Базовые настройки системы располагаются в корне Административные ша-
блоны ⇒ Система и отвечают за основные параметры системы, интерфейса
пользователя, размещение установочных файлов Windows, запрета запуска
определенных приложений или использования системных компонентов, на-
пример системного реестра Windows.
ÇÀÃÐÓÇÊÀ ÎÒÑÓÒÑÒÂÓÞÙÈÕ COM-ÊÎÌÏÎÍÅÍÒÎÂ

Многие программы, запускаемые в операционной системе Windows (напри-
мер, оснастки MMC), используют интерфейсы, предоставляемые компо-
нентами COM (Component Object Model). Если система не зарегистриру-
ет необходимые компоненты, то эти программы не смогут нормально рабо-
тать и выполнять все свои функции. Программа игнорирует регистрацию и
продолжает запуск, но, как уже упоминалось, при таком варианте запуска
могут возникать проблемы. Можно включить обязательный поиск в Active
Directory необходимых компонентов. Для этого выполните следующие дей-
ствия:
1. Откройте узел Конфигурация компьютера ⇒ Административные
шаблоны ⇒ Система (Computer Configuration ⇒ Administrative
Templates ⇒ System).
2. Дважды щелкните мышью по параметру Загружать отсутствующие
COM-компоненты (Download missing COM components). Откроется
диалоговое окно редактирования параметра политики.
128
128
128
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7

ments).
Теперь в случае отсутствия компонента система произведет его поиск
в Active Directory и в случае его нахождения — загрузит его. Минус включе-
ния данной политики лишь в том, что это может приводить к замедлению за-
пуска некоторых программ.
Если параметр отключен или не задан, то программы, используемые интер-
фейсы, предоставляемые компоненты COM будут продолжать работу без
регистрации необходимых компонентов, в результате чего появляется веро-
ятность, что программа не сможет выполнить некоторые функции и даже
может внезапно завершить работу.
ÇÀÏÐÅÒ ÇÀÏÓÑÊÀ ÏÐÈËÎÆÅÍÈÉ ÈÇ ÑÏÐÀÂÊÈ ÏÅÐÅ÷ÈÑËÅÍÍÛÕ

ÏÐÎÃÐÀÌÌ
По умолчанию каждый пользователь может запустить приложения из элек-

тронной справки. Для того чтобы запретить запуск приложений таким спо-
собом, активируйте следующий параметр:
2. Дважды щелкните мышью по параметру Запретить запуск из справ-
ки перечисленных программ (Restrict these programs from being
launched from Help). Откроется диалоговое окно редактирования па-
4. В области Параметры (Options) в поле ввода Введите имена испол-
няемых файлов разделенные запятыми (Enter executables separated
by commas) введите с клавиатуры названия исполняемых файлов
программ (например, calc.exe), запуск которых вы хотите ограни-
чить, разделяя их запятой.
129
129
129
Примечание. Этот параметр задается в группах политик «Конфигурация компью-

тера» и «Конфигурация пользователя». Если этот параметр задан в обеих группах,
то будет ограничен запуск программ, указанных в каждой из них.
ÈÑÏÎËÜÇÎÂÀÍÈÅ ÀËÜÒÅÐÍÀÒÈÂÍÎÃÎ ÈÍÒÅÐÔÅÉÑÀ ÏÎËÜÇÎÂÀÒÅËÿ

По умолчанию интерфейс пользователя создает программа Проводник.
Этот интерфейс нам, естественно, более привычен и, возможно, как ни кру-
ти, удобнее, чем все остальные. Но, так или иначе, интерфейс проводника
Windows можно заменить на другой, используя вместо Explorer.exe другой
исполняемый файл. Для того чтобы указать исполняемый файл альтерна-
тивного интерфейса, настройте следующую политику:
2. Дважды щелкните мышью по параметру Настраиваемый интерфейс
пользователя (Custom User Interface). Откроется диалоговое окно
4. В области Параметры (Options) в поле ввода Имя файла програм-
мы интерфейса (Interface file name) введите название исполняемого
файла программы альтернативного интерфейса системы (по умолча-
нию используется Explorer.exe).
Для того чтобы задействовать параметр, программа интерфейса должна
быть скопирована на общий сетевой ресурс или на системный диск. И толь-
ко после этого можно указывать название исполняемого файла альтернатив-
ного интерфейса.
Если программа интерфейса расположена в папке, не указанной в перемен-
ной среды «Path» для системы, следует ввести полный путь к файлу. Вы мо-
жете просмотреть значение переменной на своем компьютере в диалоговом
окне Переменные среды (Environment Variables), вызываемом на вкладке
Дополнительно (Advanced) окна Свойства системы (System Properties).
ÇÀÏÐÅÒ ÈÑÏÎËÜÇÎÂÀÍÈÿ ÊÎÌÀÍÄÍÎÉ ÑÒÐÎÊÈ

Для того чтобы пользователи не могли запускать окно командной строки, а
также запускать пакетные файлы (.cmd и .bat), выполните следующие дей-
130
130
130
ствия:
2. Дважды щелкните мышью по параметру Запретить использование
командной строки (Prevent access to the command prompt). Откроет-
ся диалоговое окно редактирования параметра политики.
4. В области Параметры (Options) в раскрывающемся списке Запре-
тить также обработку сценариев в командной строке? (Disable
the command prompt script processing also?) выберите необходимый
пункт:
• Да (Yes) — пакетные файлы на компьютере выполняться не бу-
дут.
• Нет (No) — пакетные файлы будут выполняться.
Теперь попытки запустить окно командной строки будут заканчиваться не-
удачей (рис. 5.1).
Рис. 5.1. Запрет обработки сценариев в окне Командная строка
Если параметр отключен или не задан, то пользователи смогут использовать

функции командной строки, а также запускать пакетные файлы.
Не рекомендуется запрещать выполнение пакетных файлов на компьютере,
131
131
131
если на нем используются сценарии входа, выхода, автоматического запу-

ска, завершения работы, а также если используются службы удаленных ра-
бочих столов.
ÎÃÐÀÍÈ÷ÅÍÈÅ ÄÎÑÒÓÏÀ Ê ÑÐÅÄÑÒÂÀÌ ÐÅÄÀÊÒÈÐÎÂÀÍÈÿ ÐÅÅÑÒÐÀ

Для того чтобы защитить компьютер от несанкционированного доступа
пользователя в реестр системы, выполните следующие шаги:
2. Дважды щелкните мышью по параметру Запретить доступ к сред-
ствам редактирования реестра (Prevent access to registry editing
tools). Откроется диалоговое окно редактирования параметра поли-
тики.
4. В области Параметры (Options) в раскрывающемся списке Отклю-
чить запуск редактора реестра без предупреждения? (Disable re-
gedit from running silently?) выберите необходимый пункт:
• Да (Yes) — отключить.
• Нет (No) — не отключать.
Теперь при попытке запуска реестра пользователь будет уведомлен о невоз-
можности использования реестра (рис. 5.2).
Рис. 5.2. Запрет редактирования реестра
Если параметр отключен или не задан, то пользователи смогут запускать ре-

дактор реестра и пользоваться им.
ÎÃÐÀÍÈ÷ÅÍÈÅ ÇÀÏÓÑÊÀ ÏÐÈËÎÆÅÍÈÉ WINDOWS

При возникновении необходимости ограничения списка приложений, кото-
132
132
132
рые может запустить пользователь, можно воспользоваться следующим па-

раметром:
2. Дважды щелкните мышью по параметру Не запускать указанные
приложения Windows (Don’t run specified Windows applications).
3. Установите переключатель в положение Включить (Enabled). Если
вы документируете все свои действия в отношении групповых по-
4. В области Параметры (Options) нажмите кнопку Показать (Show).
Появится диалоговое окно Вывод содержания (List of disallowed ap-
plications).
5. В появившемся диалоговом окне щелкните два раза по пустому
полю и введите с клавиатуры имя исполняемого файла (например,
Notepad.exe) или документа. Чтобы указать еще одно имя файла, на-
жмите клавишу Enter и введите имя.
Теперь при попытке запустить введенное в список приложение будет появ-
ляться уведомление о невозможности запуска (рис. 5.3).
Рис. 5.3. Уведомление о невозможности запуска приложения
Однако если пользователи имеют доступ к командной строке, то это им не

помешает запустить приложение из окна командной строки. В этом случае
имеет смысл запретить запуск файла CMD.exe.
Если параметр отключен или не задан, то пользователь сможет запускать
любые установленные приложения без ограничений. Однако некоторые
включенные и настроенные параметры могут вызвать исключения, напри-
мер параметр Выполнять только указанные приложения (Run only specified
Windows applications).
133
133
133
Аналогичным способом настраивается параметр Выполнять только указан-

ные приложения (Run only specified Windows applications) с отличием в том,
что здесь нужно указать список программ, которые можно будет запускать в
системе через Проводник Windows. Аналогично ничто не помешает пользо-
вателям воспользоваться командной строкой для запуска приложений.
Если параметр отключен или не задан, то пользователь не будет ограничен
списком разрешенных к запуску приложений. Однако некоторые включен-
ные и настроенные параметры могут вызвать исключения, например пара-
метр Не запускать указанные приложения Windows (Don’t run specified
Windows applications).
ÇÀÏÐÅÒ ÀÂÒÎÌÀÒÈ÷ÅÑÊÎÃÎ ØÈÔÐÎÂÀÍÈÿ ÔÀÉËÎÂ,

ÏÅÐÅÌÅÙÀÅÌÛÕ Â ÇÀØÈÔÐÎÂÀÍÍÛÅ ÏÀÏÊÈ
По умолчанию если незашифрованный файл переместить в зашифрованную

папку, то этот файл будет автоматически зашифрован после перемещения.
Для того чтобы отключить автоматическое зашифровывание файла при пе-
ремещении его в зашифрованную папку, выполните следующие действия:
2. Дважды щелкните мышью по параметру Не выполнять автоматиче-
ское шифрование файлов, перемещаемых в зашифрованные папки
(Do not automatically encrypt files moved to encrypted folders). Откро-
ется диалоговое окно редактирования параметра политики.
После этого, если незашифрованный файл переместить в зашифрованную
папку, он не будет автоматически зашифровываться. Однако файлы будут
автоматически зашифровываться при перемещении их в другие тома или
при создании нового файла.
ÓÏÐÀÂËÅÍÈÅ ÏÎÑÒÎÿÍÍÎÉ ÂÐÅÌÅÍÍÎÉ ÌÅÒÊÎÉ

Постоянная метка позволяет системе определить время неожиданного от-
ключения, посредством записи на диск текущего времени по расписанию,
задаваемое интервалом временной метки. По умолчанию постоянная вре-
менная метка обновляется каждые 60 секунд. Для того чтобы изменить это
значение, выполните следующие шаги:
134
134
134

2. Дважды щелкните мышью по параметру Включить постоянную
метку (Enable Persistent Time Stamp). Откроется диалоговое окно
4. В области Параметры (Options) в поле Сек (Seconds) введите с кла-
виатуры значение от 1 до 86400 секунд — период записи постоянной
временной метки. 86400 секунд равно одному дню.
После этого постоянная временная метка будет обновляться в соответствии
с новым заданным интервалом. Если параметр отключить, то постоянная
временная метка будет отключена, и определение времени отключения ста-
нет невозможным.
ÂÛÂÎÄ ÄÈÀËÎÃÎÂÎÃÎ ÎÊÍÀ ÑËÅÆÅÍÈÿ ÇÀ ÇÀÂÅÐØÅÍÈÅÌ ÐÀÁÎÒÛ

Диалоговое окно слежения за завершением работы может отображаться при
завершении работы рабочей станции или сервера. Диалоговое окно содер-
жит вопросы, которые используются для сбора данных о том, почему выпол-
няется завершение работы компьютера. По умолчанию это диалоговое окно
отключено в обычных операционных системах и используется в серверных
системах. Для того чтобы включить диалоговое окно слежения за заверше-
нием работы, активируйте следующий параметр:
2. Дважды щелкните мышью по параметру Отображать диалог слеже-
ния за завершением работы (Display Shutdown Event Tracker). От-
кроется диалоговое окно редактирования параметра политики.
4. В области Параметры (Options) в раскрывающемся списке Диалог
слежения за завершением работы должен отображаться (Shut-
down Event Tracker should be displayed) выберите, в каких случаях
135
135
135
должно отображаться диалоговое окно слежения за завершением ра-

боты системы:
• Всегда (Always) — диалоговое окно слежения за завершением
работы системы будет отображаться при каждом завершении ра-
боты системы.
• Только для серверов (Server Only) — диалоговое окно слежения
за завершением работы системы будет отображаться только при
завершении работы компьютеров под управлением операцион-
ных систем семейства Windows Server, начиная с Windows Server
2003.
• Только для рабочих станций (Workstation Only) — диалоговое
окно слежения за завершением работы системы будет отобра-
жаться только при завершении работы рабочей станции Win-
dows, начиная с Windows XP Professional.
Теперь при завершении работы компьютера будет появляться диалоговое
окно слежения за завершением работы системы (рис. 5.4). Для того чтобы
завершить работу системы, установите флажок Запланированное (Planned),
если завершение работы системы запланировано, и выберите в раскрываю-
щемся списке Причина (Option) причину завершения работы:
• Проблема безопасности (Security issue) — компьютер необходи-
мо выключить из-за проблем с безопасностью системы.
• Приложение: установка (Application: installation) — компью-
тер необходимо перезагрузить или выключить из-за установ-
ки какого-либо приложения (некоторые программы, например
большая часть антивирусов, могут потребовать перезагрузки си-
стемы).
• Приложение: обслуживание (Application: maintenance) — ком-
пьютер необходимо перезагрузить или выключить по причине
планового обслуживания системы.
• Приложение: работает неустойчиво (Application: unstable) —
компьютер необходимо перезагрузить или выключить для реше-
ния проблем с приложением, которое работает нестабильно.
• Приложение: не отвечает (Application: unresponsive) — компью-
тер необходимо перезагрузить или выключить для решения про-
блем с приложением, которое не отвечает.
• Операционная система: настройка (Operating system: reconfigu-
136
136
136
Рис. 5.4. Диалоговое окно Завершение работы Windows
ration) — компьютер необходимо перезагрузить или выключить

по причине настройки операционной системы.
• Операционная система: восстановление (Operating system: re-
covery) — компьютер необходимо перезагрузить или выключить
по причине восстановления операционной системы.
• Оборудование: установка (Hardware: installation) — компьютер
необходимо перезагрузить или выключить по причине установ-
ки нового оборудования.
• Оборудование: обслуживание (Hardware: maintenance) — ком-
пьютер необходимо перезагрузить или выключить по причине
обслуживания оборудования.
• Потеря сетевых подключений (Loss of network connectivity) —
компьютер необходимо перезагрузить или выключить по причи-
не отсутствия сетевого подключения.
• Другое (Other) — компьютер необходимо перезагрузить или вы-
ключить по неизвестной причине.
В поле Комментарий (Comment) при необходимости можно ввести допол-
нение о причине завершения работы системы.
Если параметр не задан, то диалоговое окно слежения за завершением рабо-
ты будет отображаться только в серверных операционных системах и с на-
137
137
137
стройками по умолчанию. Если используется обычная операционная систе-

ма, то диалоговое окно слежения за завершением работы не отображается.
ÎÒÎÁÐÀÆÅÍÈÅ ÑÎÎÁÙÅÍÈÉ Î ÏÎÄÐÎÁÍÎÌ ÑÎÑÒÎÿÍÈÈ ÑÈÑÒÅÌÛ

По умолчанию система не отображает своего подробного текущего состоя-
ния во время выполнения процесса запуска и завершения работы системы.
Для того чтобы включить отображение подробного состояния системы, на-
стройте следующую политику:
2. Дважды щелкните мышью по параметру Подробные или обычные
сообщения состояния (Verbose vs normal status messages). Откроет-
После этого во время запуска и завершения работы система будет отобра-
жать свое текущее состояние, отражая каждый шаг запуска и завершения ра-
Политика не будет соблюдаться в том случае, если включен параметр удале-
ния состояния загрузки/завершения работы системы/входа в систему/вы-
хода из системы.
ÈÇÌÅÍÅÍÈÅ ËÎÊÀÖÈÈ ÓÑÒÀÍÎÂÎ÷ÍÛÕ ÔÀÉËÎÂ

По умолчанию в операционной системе Windows установочные файлы па-
кета обновления располагаются в каталоге, использованном при последней
установке пакета обновлений в данной системе. Для того чтобы указать дру-
гое размещение для установочных файлов пакета обновления Windows, вы-
полните следующие действия:
2. Дважды щелкните мышью по параметру Указать размещение уста-
новочных файлов пакета обновления Windows (Specify Windows
Service Pack installation file location). Откроется диалоговое окно ре-
дактирования параметра политики.
138
138
138

4. В области Параметры (Options) в поле ввода Путь к установочным
файлам пакета обновления Windows (Windows Service Pack Setup
file path) введите путь размещения установочных файлов пакета об-
новления.
Аналогичным способом настраивается параметр Указать расположение
установочных файлов Windows (Specify Windows installation file location),
который отвечает за указание пути размещения установочных файлов Win-
dows. Путь вводится в поле ввода Путь к установочным файлам Windows
(Windows Setup file path).
Если параметр отключен или не задан, то путь к установочным файлам
Windows будет тот же, что был использован при установке операционной
системы.
Íàñòðîéêà îêíà Áåçîïàñíîñòü Windows

Этот раздел содержит настройки параметров узла Варианты действий после
нажатия CTRL+ALT+DEL (Ctrl+Alt+Del Options). В параметрах этого узла
можно настроить действие системы при использовании сочетания трех кла-
виш: Ctrl+Alt+Del, например блокировку использования диспетчера задач
или блокировку компьютера.
ÇÀÏÐÅÒ ÈÇÌÅÍÅÍÈÿ ÏÀÐÎËÿ

По умолчанию каждый пользователь может воспользоваться кнопкой Сме-
на пароля в окне Безопасность Windows, которое вызывается нажатием со-
четания клавиш Ctrl+Alt+Del. Для того чтобы пользователи не смогли вос-
пользоваться этой кнопкой и сменить свой пароль по собственному жела-
нию, выполните следующие действия:
ные шаблоны ⇒ Система ⇒ Варианты действий после нажатия
CTRL+ALT+DEL (User Configuration ⇒ Administrative Templates
⇒ System ⇒ Ctrl+Alt+Del Options).
2. Дважды щелкните мышью по параметру Запретить изменение паро-
ля (Remove Change Password). Откроется диалоговое окно редакти-
139
139
139

Кнопка смены пароля будет отключена, и пользователи не смогут изменить
свой пароль. Однако эта политика не мешает изменить пароль по запросу си-
стемы. Система запрашивает пароль по требованию администратора или по
истечении срока действия пароля.
ÇÀÏÐÅÒ ÁËÎÊÈÐÎÂÊÈ ÊÎÌÏÜÞÒÅÐÀ

Когда система блокируется, скрывается рабочий стол, что не дает возможно-
сти воспользоваться системой. Блокировку может отменить пользователь,
который заблокировал систему, или же системный администратор. Чтобы
запретить блокировку компьютера:
2. Дважды щелкните мышью по параметру Запретить блокировку
компьютера (Remove Lock Computer). Откроется диалоговое окно
Если параметр отключен или не задан, то блокировка компьютера будет раз-
решена.
ÓÄÀËÅÍÈÅ ÄÈÑÏÅÒ÷ÅÐÀ ÇÀÄÀ÷

Используя эту политику, можно запретить пользователям запускать и ис-
пользовать Диспетчер задач. Для этого активируйте следующий параметр:
2. Дважды щелкните мышью по параметру Удалить диспетчер задач
(Remove Task Manager). Откроется диалоговое окно редактирования
140
140
140

Теперь при попытке вызвать Диспетчер задач пользователь получит уведом-
ление о том, что вызов Диспетчера задач невозможен по причине блокиров-
ки данной политикой (рис. 5.5).
Если этот параметр отключен или не настроен, то любой пользователь смо-
жет запустить Диспетчер задач.
Рис. 5.5. Уведомление об отключенном Диспетчере задач
ÇÀÏÐÅÒ ÇÀÂÅÐØÅÍÈÿ ÑÅÀÍÑÀ

Для того чтобы отключить или вообще удалить все команды меню и кноп-
ки, которые позволяют пользователю выполнить выход из системы, выпол-
2. Дважды щелкните мышью по параметру Запретить завершение се-
анса (Remove Logoff). Откроется диалоговое окно редактирования
Если параметр отключен или не задан, то команды меню и кнопки выхода из
системы будут отображаться и функционировать, как положено.
Äåéñòâèÿ ïðè âõîäå â ñèñòåìó

В этом разделе будут рассмотрены параметры узла Вход в систему (Logon),
отвечающие за параметры действий при входе в систему. Здесь можно на-
141
141
141
строить, какие приложения система может автоматически запускать при

входе в систему, установку домена при входе, отключение звука Windows и
несколько других параметров.
ÑÎÇÄÀÍÈÅ ÑÏÈÑÊÀ ÏÐÎÃÐÀÌÌ, ÇÀÏÓÑÊÀÅÌÛÕ

ÏÐÈ ÂÕÎÄÅ Â ÑÈÑÒÅÌÓ
Вы можете создать пользовательский список дополнительных программ и

документов, которые будут автоматически запущены при следующей за-
грузке системы, однократно. Эти программы добавляются к стандартному
списку программ и служб, которые система автоматически запускает при за-
грузке. Для того чтобы игнорировать список программ, выполняемых одно-
кратно, выполните следующие действия:
ные шаблоны ⇒ Система ⇒ Вход в систему (User Configuration ⇒
Administrative Templates ⇒ System ⇒ Logon).
2. Дважды щелкните мышью по параметру Не обрабатывать список
однократного запуска программ (Do not process the run once list).
Настройки списков программ, выполняемых однократно, хранятся в раз-
деле реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunOnce.
Также можно создать список дополнительных программ и документов, за-
пускаемых системой автоматически на компьютерах под управлением Win-
dows 2000 Professional, Windows XP Professional и Windows Vista. Эти про-
граммы добавятся к стандартному списку автоматически запускаемых про-
грамм и служб. Для того чтобы проигнорировать этот список программ, ак-
тивируйте следующий параметр:
2. Дважды щелкните мышью по параметру Не обрабатывать список
запуска старых программ (Do not process the legacy run list). Откро-
142
142
142

Если этот параметр отключен или не задан, то список старых программ бу-
дет добавлен к списку программ, запускаемых при входе в систему.
Для того чтобы задать список дополнительных программ и документов, ко-
торые Windows автоматически запустит при входе пользователя в систему,
настройте следующую политику:
2. Дважды щелкните мышью по параметру Выполнять эти программы
при входе в систему (Run these programs at user logon). Откроется
Появится диалоговое окно Вывод содержания (Show Contents)
(рис. 5.6).
Рис. 5.6. Диалоговое окно Вывод содержания

полю и введите с клавиатуры имя исполняемого файла или докумен-
та. Чтобы указать следующее имя файла, нажмите клавишу Enter.
Если файл находится в каталоге, отличном от %Systemroot%, нужно
указать полный путь.
143
143
143
ÓÑÒÀÍÎÂÊÀ ÄÎÌÅÍÀ ÄËÿ ÂÕÎÄÀ

Для того чтобы установить определенный домен по умолчанию, отличный
от того, к которому присоединен компьютер, выполните следующие шаги:
2. Дважды щелкните мышью по параметру Установка домена по умол-
чанию для входа (Assign a default domain for logon). Откроется диа-
4. В области Параметры (Options) в поле ввода Домен для входа по
умолчанию (Default Logon domain) введите имя домена.
Без этой политики, если пользователь не указал домен для входа, домен, к
которому присоединен компьютер, и будет считаться доменом по умолча-
нию.
ÈÑÊËÞ÷ÅÍÈÅ ÏÎÑÒÀÂÙÈÊÎÂ Ó÷ÅÒÍÛÕ ÄÀÍÍÛÕ

Данный параметр позволяет администратору запретить использование ука-
занных поставщиков учетных записей во время проверки их подлинности.
Если включить эту политику, администратор сможет указать CLSID тех по-
ставщиков учетных данных, которые будут исключены из списка установ-
ленных поставщиков учетных данных, доступных для проверки.
Для того чтобы включить эту политику:
2. Дважды щелкните мышью по параметру Исключить поставщиков
учетных записей (Exclude credential providers). Откроется диалого-
вое окно редактирования параметра политики.
4. В области Параметры (Options) в поле ввода Исключить следую-
щих поставщиков учетных данных (Exclude the following credential
providers) введите CLSID поставщиков учетных данных, разделяя
запятой.
144
144
144

Поставщики учетных данных используются для обработки и проверки учет-
ных данных пользователей в процессе входа или в случае необходимости
проверки подлинности.
Если параметр отключен или не задан, то все установленные поставщики
учетных данных будут доступны для использования проверки их подлин-
ности.
ÎÆÈÄÀÍÈÅ ÑÅÒÈ ÏÐÈ ÇÀÏÓÑÊÅ È ÂÕÎÄÅ Â ÑÈÑÒÅÌÓ

Если включить параметр Всегда ждать сеть при запуске и входе в систему
(Always wait for the network at computer startup and logon), то компьютеры
будут ожидать полной инициализации сети перед регистрацией пользова-
теля. Для того чтобы включить этот параметр, выполните следующие шаги:
2. Дважды щелкните мышью по параметру Всегда ждать сеть при за-
пуске и входе в систему (Always wait for the network at computer
startup and logon). Откроется диалоговое окно редактирования па-
По умолчанию на клиентских компьютерах обработка групповых политик
происходит не синхронно, клиентские компьютеры не ждут завершения
инициализации сети при запуске и входе пользователя в систему. Пользова-
тели входят в систему, используя кэшированные учетные записи, что сокра-
щает время входа в систему. Групповые политики применяются фоновым
процессом после доступности сети. После включения параметра пользова-
тели ожидают завершения инициализации сети, а групповые политики при-
меняются на переднем плане, синхронно.
ÄÅÒÀËÜÍÀÿ ÍÀÑÒÐÎÉÊÀ ÂÕÎÄÀ Â ÑÈÑÒÅÌÓ

Чтобы система постоянно использовала классическое окно входа в систему,
активируйте следующий параметр:
145
145
145

2. Дважды щелкните мышью по параметру Всегда классический вход
в систему (Always use classic logon). Откроется диалоговое окно ре-
По умолчанию для членов рабочей группы задано упрощенное окно входа.
Если компьютер не входит в домен, то параметр срабатывает.
Чтобы отключить звук запуска Windows, а также запретить его настройку в
компоненте Звук (Sound) панели управления, выполните следующие дей-
ствия:
2. Дважды щелкните мышью по параметру Отключить звук запуска
Windows (Turn off Windows Startup Sound). Откроется диалоговое
Звук запуска Windows воспроизводится при запуске системы. Он может
быть включен и отключен в компоненте Звук (Sound) панели управления.
Использование параметра автоматически запрещает пользователям на-
стройку поведения звука запуска Windows, но не запрещает изменение по-
ведения других звуков. Если параметр отключен, то звук запуска Windows
будет воспроизводиться при входе любого пользователя в систему. Если па-
раметр не настроен, то любой пользователь может выбрать звуковой файл
по желанию в соответствующем компоненте панели управления.
Чтобы игнорировать фон входа в Windows, активируйте следующий пара-
метр:
2. Дважды щелкните мышью по параметру Всегда использовать на-
страиваемый фон входа в систему (Always use custom logon back-
ground). Откроется диалоговое окно редактирования параметра по-
литики.
146
146
146

После этого экран входа в систему всегда будет пытаться загружать настраи-
ваемый фон вместо стандартного входа в Windows. Если параметр отключен
или не задан, то будет использоваться стандартный или пользовательский
фон экрана входа в систему.
Для того чтобы скрыть кнопку Смена пользователя (Change User) в пользо-
вательском интерфейсе входа в систему, меню кнопки Пуск (Start) и диспет-
чере задач, выполните следующие шаги:
2. Дважды щелкните мышью по параметру Скрыть точки входа для
быстрого переключения пользователей (Hide entry points for Fast
User Swithing). Откроется диалоговое окно редактирования параме-
тра политики.
Если параметр отключен или не задан, то кнопка Смена пользователя
(Change User) будет отображаться.
Ãðóïïîâûå ïîëèòèêè
В этом разделе будут рассмотрены параметры, которые располагаются в узле
Групповая политика (Group Policy). Вы сможете определить, какое подклю-
чение система будет идентифицировать как медленное, каким образом будет
происходить обработка различных политик (например, политики реестра),
сколько времени системе будет отведено под обработку политик и некото-
рые другие параметры.
ÂÛÁÎÐ ÊÎÍÒÐÎËËÅÐÀ ÄÎÌÅÍÀ ÃÐÓÏÏÎÂÎÉ ÏÎËÈÒÈÊÈ

Для того чтобы определить, какой контроллер домена использует оснастка
Редактор объектов групповой политики (Group Policy Object Editor), на-
шаблоны ⇒ Система ⇒ Групповая политика (User Configuration ⇒
Administrative Templates ⇒ System ⇒ Group Policy).
147
147
147
2. Дважды щелкните мышью по параметру Выбор контроллера доме-

на групповой политики (Group Policy domain controller selections).
4. В области Параметры (Options) в раскрывающемся списке При вы-
боре контроллера домена редактором объектов групповой полити-
ки следует (When Group Policy Object Editor is selecting a domain
controller to use, it should) выберите подходящий пункт:
• Использовать основной контроллер домена (Use the Primary
Domain Controller) — оснастка Редактор объектов групповой
политики (Group Policy Object Editor) будет читать и записывать
изменения на контроллер домена, назначенный на роль хозяина
операций в домене.
• Использовать любой доступный контроллер домена — оснаст-
ка Редактор объектов групповой политики (Group Policy Object
Editor) будет читать и записывать изменения на любой доступ-
ный контроллер домена.
• Унаследовать от оснасток Active Directory (Inherit from Ac-
tive Directory Snap-ins) — оснастка Редактор объектов группо-
вой политики (Group Policy Object Editor) будет читать и запи-
сывать изменения на контроллер домена, который использует-
ся оснастками Active Directory — пользователи и компьютеры
(Active Directory Users and Computers) и Active Directory — сай-
ты и службы (Active Directory Sites and Services).
ments).
Если параметр отключен или не задан, то оснастка Редактор объектов груп-
повой политики (Group Policy Object Editor) будет по умолчанию использо-
вать основной контроллер домена.
ÎÁÍÀÐÓÆÅÍÈÅ ÌÅÄËÅÍÍÛÕ ÏÎÄÊËÞ÷ÅÍÈÉ

ÄËÿ ÃÐÓÏÏÎÂÎÉ ÏÎËÈÒÈÊÈ
Если скорость, с которой данные, передаваемые с контроллера домена, пре-

доставляемого обновление политик компьютерам в этой группе, будет мед-
леннее, чем указанная в политике, то это подключение будет считаться мед-
148
148
148
ленным. При обнаружении медленного соединения система изменит пове-

дение в зависимости от соответствующих параметров политики. Для того
чтобы изменить скорость подключения, при котором подключение будет
считаться медленным, настройте следующую политику:
2. Дважды щелкните мышью по параметру Обнаружение медленных
подключений для групповой политики (Group Policy slow link detec-
tion). Откроется диалоговое окно редактирования параметра поли-
тики.
4. В области Параметры (Options) в поле Скорость подключения
(Connection speed) введите необходимую скорость подключения в
Кбит/с, при которой подключение будет считаться медленным.
Скорость подключения может быть равной от 0 до 42949674200 Кбит/с. При
указании скорости подключения равной 0 определение медленных подклю-
чений будет отключено. По умолчанию скорость подключения равна 500
Кбит/с, такая же скорость будет при отключенном параметре.
ÈÍÒÅÐÂÀË ÎÁÍÎÂËÅÍÈÿ ÃÐÓÏÏÎÂÎÉ ÏÎËÈÒÈÊÈ

Используя этот параметр, можно задать частоту обновления групповой по-
литики для пользователей, пока компьютер используется (обновление в фо-
новом режиме). Кроме того, этот параметр задает периодичность фонового
обновления только для групповой политики в группе Конфигурация поль-
зователя (User Configuration). По умолчанию групповая политика для поль-
зователей обновляется в фоновом режиме каждые 90 минут, со случайным
смещением на величину до 30 минут. Для того чтобы изменить частоту об-
новления групповой политики пользователей, а также случайную величину,
добавляемую к интервалу времени обновления, настройте следующую по-
литику:
2. Дважды щелкните мышью по параметру Интервал обновления
групповой политики для пользователей (Group Policy refresh inter-
149
149
149
val for users). Откроется диалоговое окно редактирования параметра

политики.
4. В области Параметры (Options) в верхнем поле Мин (Minutes) вве-
дите количество минут, спустя которые каждый раз будет произво-
диться обновление групповой политики. Диапазон значений — от 0
до 64800 минут (45 дней). В нижнем поле Мин (Minutes) введите ко-
личество минут, которые будут добавляться к интервалу времени об-
новления во избежание одновременных запросов групповой полити-
ки всеми клиентами. Ограничение от 0 до 1440 минут (24 часа).
ÇÀÄÀÍÈÅ ÈÌÅÍ ÄËÿ ÍÎÂÛÕ ÎÁÚÅÊÒÎÂ ÃÐÓÏÏÎÂÎÉ ÏÎËÈÒÈÊÈ

Для того чтобы задать отображаемое имя по умолчанию для новых объектов
групповой политики, создаваемых с помощью средств управления группо-
выми политиками, такими как вкладка Групповая политика (Group Policy)
служебных программ Active Directory или программа обзора GPO, настрой-
те следующую политику:
2. Дважды щелкните мышью по параметру Имя по умолчанию для
новых объектов групповой политики (Default name for new Group
Policy objects). Откроется диалоговое окно редактирования параме-
4. В области Параметры (Options) в поле ввода Имя GPO (GPO Name)
введите имя, его максимальная длина не может превышать 255 сим-
волов. Имя может содержать переменные среды.
ÎÁÐÀÁÎÒÊÀ ÏÎËÈÒÈÊ
Для того чтобы включить обработку политик пользователей различных ле-
сов и перемещаемых профилей пользователей, активируйте следующий па-
раметр:
150
150
150

2. Дважды щелкните мышью по параметру Включить политику поль-
зователей различных лесов и перемещаемые профили пользовате-
лей (Allow Cross-Forest User Policy and Roaming User Profiles). От-
После этого будет применяться политика пользователя и разрешается ис-
пользование перемещаемого профиля пользователя из доверенного леса.
Если этот параметр отключен или не настроен, то настройки политики поль-
зователей из леса пользователя не будут применены, вместо перемещаемых
профилей пользователи получат локальные из локального леса.
Настройки обработки различных политик одинаковы между собой, разница
только в содержании области Параметры (Options).
Начнем с настройки обработки политики установки программ. Этот пара-
метр определяет обновление политики установки программного обеспече-
ния. Для того чтобы настроить этот параметр:
2. Дважды щелкните мышью по параметру Обработка политики уста-
новки программ (Software Installation policy processing). Откроется
4. В области Параметры (Options) установите необходимые флажки
параметров.
Остальные параметры, связанные с обработкой политики, настраиваются
аналогично.
Воспользуйтесь параметрами:
• Обработка политики дисковых квот (Disk Quota policy process-
ing) — определяет порядок обновления политик дисковых квот.
151
151
151
• Обработка политики восстановления EFS (EFS recovery policy pro-

cessing) — определяет порядок обновления политик шифрования.
• Обработка политики перенаправления папки (Folder Redirection
policy processing) — определяет порядок обновления политики пере-
направления папок.
• Обработка политики настройки Internet Explorer (Internet Explorer
Maintenance policy processing) — определяет порядок обновления
политик настройки Internet Explorer.
• Обработка политики IP-безопасности (IP Security policy process-
ing) — определяет порядок обновления политики IP-безопасности.
• Обработка политики реестра (Registry policy processing) — опреде-
ляет порядок обновления политик работы с реестром.
• Обработка политики сценариев (Scripts policy processing) — опреде-
ляет, когда обновляются политики, которые назначают выполнение
общих сценариев.
• Обработка политики безопасности (Security policy processing) —
определяет порядок обновления политики безопасности.
• Обработка политики проводных сетей (Wired policy processing) —
определяет, когда обновляются политики, назначающие параметры
проводных сетей.
• Обработка беспроводной политики (Wireless policy processing) —
определяет, когда будут обновляться политики, назначающие пара-
метры беспроводных сетей.
Вернемся к области Параметры, в которой при настройках перечисленных
параметров необходимо установить флажки. Наличие флажков может раз-
личаться в определенных параметрах, но все они имеют одинаковые значе-
ния:
• Разрешить обработку через медленное сетевое подключение (Al-
low processing across a slow network connection) — обновляет полити-
ки, даже если обновление передается через медленное сетевое под-
ключение (например, телефонная линия). Такое обновление может
вызвать значительные задержки.
• Обрабатывать, даже если объекты групповой политики не измени-
лись (Process even if the Group Policy objects have not changed) — об-
новляет и повторно применяет неизменившиеся объекты. Для мно-
гих реализаций политики определено обновление только при изме-
нении. Однако может понадобиться обновление неизмененных по-
152
152
152
литик, например повторное применение желаемой настройки в слу-

чае, если пользователь ее изменил.
• Не применять во время периодической фоновой обработки (Do not
apply during periodic background processing) — предотвращает обнов-
ление политик в фоновом режиме во время использования компью-
тера. Если обновления в фоновом режиме отключены, то изменения
политик не вступят в силу до перезагрузки системы или входа в си-
стему нового пользователя.
Если вышеперечисленные параметры отключены или не настроены, то они
не будут влиять на работу операционной системы.
ÓÑÒÀÍÎÂÊÀ ÂÐÅÌÅÍÈ ÎÆÈÄÀÍÈÿ

ÏÐÈ ÎÁÐÀÁÎÒÊÅ ÏÎËÈÒÈÊÈ ÇÀÃÐÓÇÊÈ
Этот параметр задаёт, как долго групповая политика должна ожидать уве-
домлений о доступности сети во время обработки политики загрузки. Если
обработка политики загрузки была синхронизирована, то компьютер блоки-
руется до момента доступности сети или истечения времени ожидания, за-
данного по умолчанию.
Если обработка политики загрузки была асинхронна, то компьютер не будет
заблокирован, и обработка политики будет идти в фоновом режиме. В лю-
бом случае, настройка этого параметра политики перекрывает любое время
ожидания, вычисленное системой.
Для того чтобы использовать значение времени ожидания вместо значений,
которые были заданы по умолчанию или вычислены системой:
2. Дважды щелкните мышью по параметру Время ожидания при об-
работке политики загрузки (Startup policy processing wait time). От-
4. В области Параметры (Options) в поле Время ожидания (Amount of
time to wait) установите значение ожидания (в секундах).
По умолчанию групповая политика использует 30 секунд ожидания.
153
153
153
ÍÀÑÒÐÎÉÊÀ ÐÅÆÈÌÀ ÎÁÐÀÁÎÒÊÈ ÇÀÌÛÊÀÍÈÿ

ÏÎËÜÇÎÂÀÒÅËÜÑÊÎÉ ÃÐÓÏÏÎÂÎÉ ÏÎËÈÒÈÊÈ
Этот параметр позволяет указать системе, какой набор объектов группо-

вой политики необходимо применять ко всем компьютерам, находящимся
под влиянием этого параметра. Предполагается, что параметр используется
в особых случаях (например, на компьютерах, установленных в обществен-
ных местах), где необходимо изменить пользовательские настройки на осно-
ве использования компьютера. Для того чтобы выбрать, какой набор объ-
ектов групповой политики необходимо применить, выполните следующие
шаги:
2. Дважды щелкните мышью по параметру Режим обработки замыка-
ния пользовательской групповой политики (User Group Policy loop-
back processing mode). Откроется диалоговое окно редактирования
4. В области Параметры (Options) в раскрывающемся списке Режим
(Mode) выберите необходимый параметр:
• Замена (Replace) — параметры пользователя, определенные в объек-
тах групповой политики компьютера, заменяют параметры пользо-
вателя, обычно применяемые для этого пользователя.
• Слияние (Merge) — параметры пользователя, определенные в объ-
ектах групповой политики компьютера, и обычно применяемые па-
раметры для этого пользователя должны быть объединены. В случае
возникновения конфликта между параметрами, параметры пользо-
вателя в объектах групповой политики получают больший приори-
тет над параметрами пользователя.
Примечание. Параметр будет задействован только в том случае, если учетная
запись компьютера и учетная запись пользователя будут находиться в доменах
Windows 2000.
По умолчанию система сама выбирает, какие параметры пользователя необ-

ходимо использовать.
154
154
154
Óïðàâëåíèå çàïîìèíàþùèìè
óñòðîéñòâàìè
В этом разделе мы рассмотрим параметры, запрещающие выполнение дей-
ствий с определенными съемными устройствами, а также другие политики,
связанные с работой съемных запоминающих устройств.
Для того чтобы запретить чтение данных с компакт-дисков и DVD-дисков,
шаблоны ⇒ Система ⇒ Доступ к съемным запоминающим устрой-
ствам (User Configuration ⇒ Administrative Templates ⇒ System ⇒
Removable Storage Access).
2. Дважды щелкните мышью по параметру Компакт диски и DVD-
диски: Запретить чтение (CD and DVD: Deny read access). Откроет-
Теперь при попытке считать информацию с компакт-диска или DVD-диска
будет появляться диалоговое окно, информирующее пользователя о блоки-
ровке доступа к запоминающему устройству (рис. 5.7).
Рис. 5.7. Уведомление о блокировке доступа к DVD-диску
Для того чтобы запретить запись данных на компакт-диски и DVD-диски,

включите параметр Компакт диски и DVD диски: Запретить запись (CD
and DVD: Deny write access):
2. Дважды щелкните мышью по параметру Компакт-диски и DVD-
155
155
155
диски: Запретить запись (CD and DVD: Deny write access). Откроет-
Аналогичным образом вы можете запретить чтение и запись данных с (на)
накопителей на гибких дисках, активировав параметры Накопители на гиб-
ких дисках: Запретить чтение (Floppy Drives: Deny read access) и Накопи-
тели на гибких дисках: Запретить запись (Floppy Drives: Deny write access);
съемных дисков (Съемные диски: Запретить чтение (Removable Drives:
Deny read access) и Съемные диски: Запретить запись (Removable Drives:
Deny write access)); ленточных накопителей (Ленточные накопители: За-
претить чтение (Tape Drives: Deny read access) и Ленточные накопители:
Запретить запись (Tape Drives: Deny write access)) WPD-устройств (Win-
dows Portable Device) (WPD-устройства: Запретить чтение (WPD Devices:
Deny read access) и WPD-устройства: Запретить запись (WPD Devices:
Deny write access)).
Для того чтобы запретить чтение данных с нестандартных съемных запоми-
нающих устройств, активируйте параметры Специальные классы: Запре-
тить чтение (Custom Classes: Deny read access) и Специальные классы: За-
претить запись (Custom Classes: Deny write access).
ÇÀÏÐÅÒ ÄÎÑÒÓÏÀ Ê ËÞÁÎÌÓ ÊËÀÑÑÓ ÑÚÅÌÍÛÕ ÓÑÒÐÎÉÑÒÂ

Для того чтобы запретить любой доступ к любому классу съемных запоми-
нающих устройств, активируйте следующий параметр:
2. Дважды щелкните мышью по параметру Съемные запоминающие
устройства всех классов: Запретить любой доступ (All Removable
Storage classes: Deny all access). Откроется диалоговое окно редакти-
Данный параметр имеет наиболее высокий приоритет по сравнению с лю-
бым другим параметром политики для отдельного съемного запоминающе-
го устройства.
156
156
156
Если параметр отключен или не задан, то запись и чтение данных будет раз-
решены для запоминающих устройств любого класса.
Для того чтобы установить период времени, после которого система выпол-
нит перезагрузку для принудительного применения изменений в правах до-
ступа к съемным запоминающим устройствам, выполните следующие шаги:
2. Дважды щелкните мышью по параметру Время (в секундах) до
принудительной перезагрузки (Time (in seconds) to force reboot).
4. В области Параметры (Options) в поле Время (Time) укажите ко-
личество секунд, которое система будет ожидать до принудительной
перезагрузки.
Без принудительной перезагрузки права доступа не вступят в действие до
перезапуска системы.
Для того чтобы предоставить обычным пользователям прямой доступ к
съемным запоминающим устройствам в удаленных сеансах, настройте сле-
дующую политику:
2. Дважды щелкните мышью по параметру Все съемные запоминаю-
щие устройства: разрешение прямого доступа в удаленных сеан-
сах (All Removable Storage: Allow direct access in remote sessions). От-
Если параметр отключен или не настроен, то удаленным пользователям не
будет предоставляться прямой доступ к съемным запоминающим устрой-
ствам в удаленных сеансах.
157
157
157
Óïðàâëåíèå ïðîôèëÿìè ïîëüçîâàòåëåé

В этом разделе мы рассмотрим настройки параметров узла Профили поль-
зователей (User Profiles): как определенные папки исключить из перемеща-
емого профиля, запретим регистрацию временных профилей, укажем путь
перемещаемым профилям и некоторые другие параметры.
ÈÇÌÅÍÅÍÈÅ ÑÈÍÕÐÎÍÈÇÀÖÈÈ ÑÅÒÅÂÛÕ ÏÀÏÎÊ

По умолчанию при нахождении пользователя в системе сетевые папки оста-
ются в интерактивном режиме. Однако можно настроить синхронизацию
определенных сетевых папок при входе или выходе пользователя из систе-
мы. Такой вариант способствует разрешению возможных проблем с прило-
жениями, которые некорректно работают с автономными файлами, в то вре-
мя как пользователь находится в интерактивном режиме. Для того чтобы
включить такой тип синхронизации, активируйте следующий параметр:
1. Откройте узел Конфигурация пользователя ⇒ Администра-
тивные шаблоны ⇒ Система ⇒ Профили пользователей (User
Configuration ⇒ Administrative Templates ⇒ System ⇒ User Profiles).
2. Дважды щелкните мышью по параметру Синхронизировать сете-
вые папки только в момент входа или выхода из системы (Network
directories to sync at Logon/Logoff time only). Откроется диалоговое
4. В области Параметры (Options) в поле ввода введите имена сетевых
папок, разделяя их точкой с запятой.
ments).
Однако не следует использовать параметр для приостановки любых корне-
вых перенаправляемых папок (например, Appdate\Roaming или Докумен-
ты). Следует приостанавливать подпапки этих родительских папок.
Если параметр отключен или не задан, то сетевые папки будут вести себя
так же, как и другие кэшированные данные, обрабатываемые политикой ав-
тономных файлов. Если сетевые пути доступны, то останутся в интерактив-
ном режиме при нахождении пользователя в системе.
158
158
158
ÈÑÊËÞ÷ÅÍÈÅ ÏÀÏÊÈ ÈÇ ÏÅÐÅÌÅÙÀÅÌÎÃÎ ÏÐÎÔÈËÿ

Этот параметр позволяет исключить папки, которые включены в перемеща-
емый профиль. По умолчанию параметр отключен, и из перемещаемых про-
филей пользователя исключаются папки Appdata\Local, Appdata\LocalLow,
а также все их подпапки (например, History или Temp). Однако вы можете
указать имена других папок, которые вы бы не хотели включать в перемеща-
емый профиль. Для этого настройте следующую политику:
2. Дважды щелкните мышью по параметру Исключить папки из пере-
мещаемого профиля (Exclude directories in roaming profile). Откро-
4. В области Параметры (Options) в поле ввода введите имена тех па-
пок, которые вы не хотите включать в перемещаемый профиль. Име-
на разделяются точкой с запятой.
ÎÃÐÀÍÈ÷ÅÍÈÅ ÐÀÇÌÅÐÀ ÏÐÎÔÈËÿ ÏÎËÜÇÎÂÀÒÅËÿ

По умолчанию система не ограничивает размер профилей. Используя рас-
сматриваемый параметр, можно установить ограничение на размер профи-
лей, как локальных, так и перемещаемых. Для того чтобы настроить ограни-
чение размера профиля, настройте следующую политику:
2. Дважды щелкните мышью по параметру Ограничить размер профи-
ля (Limit profile size). Откроется диалоговое окно редактирования
4. В области Параметры (Options):
• В поле ввода Настраиваемое сообщение (Custom Message)
введите сообщение, которое будет отображаться при превы-
шении ограничения размера профиля (рис. 5.8).
159
159
159
Рис. 5.8. Диалоговое окно Объем хранилища профилей
• Используйте поле ввода со счетчиком Максимальный раз-

мер профиля (КБ) (Max Profile Size) для указания макси-
мального размера профиля (указывается в килобайтах).
• Установите флажок Отображать файлы реестра в списке
файлов (Show registry files in the file list) для того, чтобы
включить файлы реестра в список файлов профиля.
• Установите флажок Уведомлять пользователя, если превы-
шен допустимый размер профиля (Notify user when profile
storage space is exceeded) для того, чтобы система периоди-
чески отображала уведомление о превышении ограничения.
• Используйте поле ввода со счетчиком Напоминать пользо-
вателю каждые X минут (Remind user every X minutes) для
указания количества минут, по истечении которых будет ото-
бражаться уведомление о превышении ограничения.
Теперь, если размер профиля будет превышен, то пользователь будет уве-
домлен об этом (рис. 5.8).
ÄÎÁÀÂËÅÍÈÅ ÃÐÓÏÏÛ «ÀÄÌÈÍÈÑÒÐÀÒÎÐÛ» Â ÏÅÐÅÌÅÙÀÅÌÛÅ

ÏÐÎÔÈËÈ
По умолчанию полный доступ к своему профилю получает только пользова-

тель, а группа администраторов к файлам доступа не получает. Данный па-
раметр добавляет группу администраторов к общему ресурсу перемещаемо-
го профиля пользователя. После чего этот профиль создается при следую-
щем входе в систему, в указанном администратором месте, администраторы
получают полный доступ к папкам пользователя.
Для того чтобы администраторы получили доступ к папкам пользователя:
160
160
160

2. Дважды щелкните мышью по параметру Добавляет группу безопас-
ности «Администраторы» к перемещаемым профилям пользовате-
ля (Add the Administrators security group to roaming user profiles). От-
Если параметр включен после создания профиля, он не будет влиять на ра-
нее созданный профиль. Также параметр должен определиться на компью-
тере пользователя, но не на сервере, так как именно пользовательский ком-
пьютер задает разрешение доступа к ресурсам для перемещаемого профиля
во время его создания.
По умолчанию администраторы не имеют доступа к файлам, расположен-
ным в папках пользователя, однако имеют возможность стать владельцами
этих папок и выдать разрешение на доступ к файлам.
ÓÄÀËÅÍÈÅ ÍÅÈÑÏÎËÜÇÓÅÌÛÕ ÏÐÎÔÈËÅÉ

Если за компьютером работает много пользователей и у каждого существу-
ет свой профиль, то можно использовать параметр политики, позволяющий
автоматически удалить неиспользуемый профиль в случае, если пользова-
тель не использовал компьютер в течение определенного количества дней.
Для того чтобы воспользоваться этой функцией, выполните следующие дей-
ствия:
2. Дважды щелкните мышью по параметру Удалять при перезагруз-
ке системы профили пользователей по истечении указанного чис-
ла дней (Delete user profiles older than a specified number of days on
system restart). Откроется диалоговое окно редактирования параме-
4. В области Параметры (Options) укажите в счетчике количество
дней, по истечении которых профиль считается неиспользуемым.
161
161
161
Одним днем считается 24 часа после получения доступа к конкретному про-

филю пользователя.
ÎÒÊËÞ÷ÅÍÈÅ ÏÐÎÂÅÐÊÈ ÐÀÇÐÅØÅÍÈÿ ÍÀ ÏÀÏÊÓ

По умолчанию, когда папка перемещаемых профилей пользователя суще-
ствует и пользователь или группа администраторов не являются ее владель-
цами, система не копирует файлы в папку или из папки перемещаемых поль-
зователей. Пользователю выводится сообщение об ошибке, а в журнал собы-
тий добавляется соответствующая запись. После чего используется кэширо-
ванный профиль или выдается временный профиль в случае отсутствия кэ-
шированного.
Для того чтобы отключить проверку разрешения на папку, когда папка су-
ществует:
2. Дважды щелкните мышью по параметру Не проверять собствен-
ность пользователя перемещаемых папок профиля (Do not check
for user ownership of Roaming Profile Folders). Откроется диалоговое
ÓÄÀËÅÍÈÅ ÊÝØÈÐÎÂÀÍÍÛÕ ÊÎÏÈÉ ÏÅÐÅÌÅÙÀÅÌÛÕ ÏÐÎÔÈËÅÉ

Перемещаемые профили хранятся на сетевом сервере. И когда пользовате-
ли, использующие перемещаемый профиль, выходят из системы, выполня-
ется сохранение этого профиля на локальном жестком диске используемого
компьютера. Это делается на случай, если при следующем входе в систему
сервер, на котором располагается перемещаемый профиль, будет не досту-
пен. Копия на локальном компьютере используется также в том случае, если
для загрузки перемещаемого профиля, расположенного на сервере, требует-
ся длительное время. Если вы не нуждаетесь в локальных копиях профиля,
то можете отключить эту функцию.
Для того чтобы отключить сохранение профиля:
162
162
162

2. Дважды щелкните мышью по параметру Удалять кэшированные ко-
пии перемещаемых пользователей (Delete cached copies of roaming
profiles). Откроется диалоговое окно редактирования параметра по-
литики.
Теперь все локальные копии перемещаемых профилей будут удаляться при
выходе из системы. Сам перемещаемый профиль будет оставаться только на
сетевом сервере.
Если используется медленное подключение, то не рекомендуется включать
этот параметр, так как система в таком случае будет требовать наличие ло-
кальной копии перемещаемого профиля.
ÏÐÈÍÓÄÈÒÅËÜÍÀÿ ÂÛÃÐÓÇÊÀ ÐÅÅÑÒÐÀ ÏÐÈ ÂÛÕÎÄÅ ÈÇ ÑÈÑÒÅÌÛ

По умолчанию система Windows всегда выгружает реестр пользователя при
выходе его из системы, даже в том случае, когда остаются открытые дескрип-
торы к пользовательским разделам реестра. Используя этот параметр, мож-
но запретить выгрузку реестра пользователя при выходе его из системы. Для
этого выполните следующие действия:
2. Дважды щелкните мышью по параметру Не выполнять принуди-
тельной выгрузки реестра пользователя при его выходе из систе-
мы (Do not forcefully unload the users registry at user logoff). Откроет-
Теперь операционная система не будет принудительно выгружать реестр
пользователя при выходе из системы, но будет это делать после закрытия
дескрипторов к пользовательским разделам реестра.
Этот параметр используется в случае возникновения проблем совместимо-
сти приложений, не рекомендуется включать этот параметр по умолчанию,
так как это может привести к проблемам получения пользователями обнов-
ленных версий их перемещаемых профилей.
163
163
163
ÎÒÊËÞ÷ÅÍÈÅ ÎÏÐÅÄÅËÅÍÈÿ ÌÅÄËÅÍÍÎÃÎ ÏÎÄÊËÞ÷ÅÍÈÿ

По умолчанию операционная система определяет медленное подключение.
Измеряется скорость подключения компьютера пользователя к удаленному
серверу, на котором хранится перемещаемый профиль пользователя. Если
подключение медленное, то система загружает локальную копию пользова-
тельского профиля (если это не запрещено другими параметрами).
Для того чтобы отключить определение медленного соединения, вы можете
настроить следующую политику:
2. Дважды щелкните мышью по параметру Исключить папки из пере-
мещаемого профиля (Do not detect slow network connections). От-
После чего система не будет определять медленные подключения. Ни одно
подключение не будет определяться как медленное, вследствие чего будут
игнорироваться все параметры, которые задают реакцию системы на мед-
ленное подключение.
ÂÛÂÎÄ ÇÀÏÐÎÑÀ ÏÐÈ ÎÁÍÀÐÓÆÅÍÈÈ ÌÅÄËÅÍÍÎÃÎ

ÏÎÄÊËÞ÷ÅÍÈÿ
В операционной системе Windows при обнаружении медленного подключе-

ния при входе пользователя в систему используется локальная копия про-
филя пользователя (если другие параметры не запрещают существование и
использование локальной копии профиля). Рассматриваемый параметр по-
зволяет пользователям загружать свой перемещаемый профиль даже при
медленном сетевом подключении к серверу перемещаемых профилей. Поль-
зователи сами могут определять необходимость в загрузке перемещаемого
профиля. Для того чтобы включить возможность выбора, выполните следу-
ющие шаги:
2. Дважды щелкните мышью по параметру Выдавать запрос пользова-
164
164
164
телю при обнаружении медленного сетевого подключения (Prompt

user when a slow network connection is detected). Откроется диалого-
Теперь, если при входе в систему обнаружится медленное сетевое подклю-
чение, пользователь получит запрос на выбор необходимости загрузки пе-
ремещаемого профиля, расположенного на удаленном сервере перемещае-
мых профилей.
Если параметр отключен или не задан, то при обнаружении медленного се-
тевого подключения система не уведомит пользователя об этом и автомати-
чески будет использовать локальную копию профиля пользователя.
ÓÏÐÀÂËÅÍÈÅ ÄÀÍÍÛÌÈ ÓÑÒÀÍÎÂÙÈÊÀ WINDOWS

По умолчанию при удалении перемещаемого профиля пользователя уда-
ляются все относящиеся к нему сведения, в том числе параметры и данные
пользователя, а также связанные с установщиком Windows сведения и так
далее. Поэтому при следующем входе пользователю, перемещаемый про-
филь которого был удален, придется снова устанавливать приложения, пу-
бликуемые с помощью политики, что увеличивает время входа. Эта полити-
ка позволяет изменить такое поведение.
При включении параметра операционная система не будет удалять устано-
вочные данные установщика Windows и групповой политики перемещаемо-
го профиля пользователя при удалении профиля с компьютера. Это повы-
сит производительность установки приложений при последующем входе в
систему пользователей с удаленными профилями. Для того чтобы включить
параметр, выполните следующие действия:
2. Дважды щелкните мышью по параметру Оставить установочные
данные установщика Windows и групповой политики (Leave Win-
dows Installer and Group Policy Software Installation Data). Откроет-
165
165
165
Если эта политика включена для компьютера, локальный администратор

должен удалить данные установщика Windows и групповой политики из ре-
естра и файловой системы пользователя с перемещаемым профилем.
ÈÑÏÎËÜÇÎÂÀÍÈÅ ÒÎËÜÊÎ ËÎÊÀËÜÍÛÕ ÏÐÎÔÈËÅÉ

По умолчанию, когда пользователь с перемещаемым профилем заходит в си-
стему на компьютере, его перемещаемый профиль загружается на локаль-
ный компьютер. Если он с этого компьютера ранее входил в систему, то пе-
ремещаемый профиль объединяется с локальным профилем. Когда пользо-
ватель завершает работу и выходит из системы, локальная копия профиля со
всеми изменениями объединяется с копией профиля, размещенного на сер-
вере. С помощью данного параметра можно запретить пользователям с пере-
мещаемым профилем получать перемещаемый профиль на конкретном ком-
пьютере. Для этого выполните следующие шаги:
2. Дважды щелкните мышью по параметру Разрешить использование
только локальных профилей (Only allow local user profiles). Откро-
Если вместе с этим параметром включен параметр Запретить передачу
на сервер изменений в перемещаемом профиле (Prevent Roaming Profile
changes from propagating to the server), то перемещаемые профили будут от-
ключены. Данный параметр действует только для пользователей с переме-
щаемым профилем.
ÓÑÒÀÍÎÂÊÀ ÏÓÒÈ Ê ÏÅÐÅÌÅÙÀÅÌÛÌ ÏÐÎÔÈËÿÌ

Используя этот параметр, можно указать сетевой путь в качестве пути к пе-
ремещаемым профилям для всех пользователей, использующих этот ком-
пьютер. Чтобы использовать этот параметр:
2. Дважды щелкните мышью по параметру Установить путь к переме-
щаемым профилям для всех пользователей, входящих в систему
166
166
166
на данном компьютере (Set roaming profile path for all users logging
onto this computer). Откроется диалоговое окно редактирования па-
4. В области Параметры (Options), в поле ввода введите с клавиату-
ры путь для перемещаемых профилей. Путь вводится в следующем
формате: \\имя_компьютера\имя_общего_ресурса\. Рекомендует-
ся добавить к пути %USERNAME% для того, чтобы у каждого поль-
зователя существовала своя индивидуальная папка, в противном
случае у всех пользователей будет одна и та же папка.
Теперь все пользователи, входящие на компьютер, будут использовать путь
к перемещаемым профилям, указанный в этой политике.
Если параметр отключен или не задан, то пользователи при входе в систему
будут использовать локальные копии профиля или стандартный перемеща-
емый профиль пользователя.
ÇÀÏÐÅÒ ÐÅÃÈÑÒÐÀÖÈÈ ÂÐÅÌÅÍÍÛÕ ÏÐÎÔÈËÅÉ

Если операционная система не может получить доступ к папке, содержащей
профиль пользователя, или в профиле существуют ошибки, которые дела-
ют невозможным его загрузку, пользователь регистрируется в системе с вре-
менным профилем. Данная политика дает возможность отключить такое по-
ведение, запретив системе регистрировать пользователей с временным про-
филем. В случае проблем с загрузкой профиля, система просто отключает
пользователя. Для того чтобы использовать эту возможность, активируйте
2. Дважды щелкните мышью по параметру Не регистрировать в си-
стеме пользователей с временными профилями (Do not log users on
with temporary profiles). Откроется диалоговое окно редактирования
167
167
167
ÇÀÏÐÅÒ ÏÅÐÅÄÀ÷È ÈÇÌÅÍÅÍÈÉ ÏÅÐÅÌÅÙÀÅÌÎÃÎ ÏÐÎÔÈËÿ

Как уже упоминалось, по умолчанию, когда пользователь с переме-
щаемым профилем входит в систему, его перемещаемый профиль ко-
пируется на локальный компьютер. Если он уже выполнял вход в си-
стему с этого компьютера, то перемещаемый профиль объединяет-
ся с локальным профилем. Когда пользователь выходит из систе-
мы на этом компьютере, локальная копия профиля со всеми его изме-
нениями объединяется с копией профиля, расположенного на сервере.
С помощью данного параметра можно предотвратить внесение изменений,
сделанных на конкретном компьютере, в копию профиля, размещенного на
сервере. Для этого:
2. Дважды щелкните мышью по параметру Запретить передачу на сер-
вер изменений в перемещаемом профиле (Prevent Roaming Profile
changes from propagating to the server). Откроется диалоговое окно
Данный параметр действует только на пользователей с перемещаемым про-
филем.
ÎÆÈÄÀÍÈÅ ÇÀÃÐÓÇÊÈ ÏÅÐÅÌÅÙÀÅÌÎÃÎ ÏÐÎÔÈËÿ

Как уже упоминалось, при обнаружении системой медленного подключе-
ния, загружается локальная копия перемещаемого профиля пользователя.
Локальная копия используется также в случае, если включен параметр Вы-
давать запрос пользователю при обнаружении медленного сетевого под-
ключения (Prompt user when a slow network connection is detected). Этот па-
раметр указывает, что система должна дождаться загрузки удаленной копии
перемещаемого профиля пользователя, даже в случае обнаружения медлен-
ного подключения. Кроме этого, система ожидает загрузки удаленной копии
также в том случае, если пользователь уведомлен об обнаружении медлен-
ного подключения, но не ответил в течение установленного времени.
Для того чтобы включить ожидание загрузки удаленного профиля пользо-
вателя, выполните следующие действия:
168
168
168

2. Дважды щелкните мышью по параметру Дождаться загрузки пере-
мещаемого пользовательского профиля (Wait for remote user pro-
file). Откроется диалоговое окно редактирования параметра полити-
ки.
Этот параметр используется в основном в случае, когда пользователи ча-
сто переходят с одного компьютера на другой и локальная копия их профи-
ля не всегда бывает актуальной. Если более важным является скорость вхо-
да в систему, то лучше использовать локальную копию. Если включен пара-
метр Не определять медленные подключения (Do not detect slow network
connections), то этот параметр будет игнорироваться. А также если включен
параметр Удалять кэшированные копии перемещаемых профилей (Delete
cached copies of roaming profiles) или нет локальной копии перемещаемого
профиля, которую можно было бы использовать при обнаружении медлен-
ного соединения.
Если параметр отключен или не задан, то при обнаружении медленного под-
ключения будет загружена локальная копия перемещаемого профиля поль-
зователя.
ÓÑÒÀÍÎÂÊÀ ÒÀÉÌÀÓÒÀ ÌÅÄËÅÍÍÎÃÎ ÑÅÒÅÂÎÃÎ ÏÎÄÊËÞ÷ÅÍÈÿ

Параметр позволяет указать пороговое значение скорости подключения.
Если сервер, на котором располагается перемещаемый профиль пользова-
теля, отвечает медленнее, чем указано в параметре, то подключение будет
определяться как медленное. Также можно указать время, в течение которо-
го, если сервер не будет отвечать, подключение будет также определено как
медленное. Для того чтобы настроить параметр, выполните следующие дей-
ствия:
2. Дважды щелкните мышью по параметру Таймаут медленных сете-
вых подключений для профилей пользователей (Slow network con-
nection timeout for user profile). Откроется диалоговое окно редакти-
169
169
169

4. В области Параметры (Options), в поле Скорость подключения
(Connection Speed), установите порог скорости подключения, изме-
ряемой в Кбит/с. В поле Время (Time) установите максимальную
задержку, измеряемую в миллисекундах.
Параметр устанавливает пороговые значения для двух способов проверки:
• Для компьютеров, подключенным к IP-сетям, система измеряет ско-
рость, с которой удаленный сервер возвращает данные в ответ на
ping-сообщение IP. Для задания порогового значения для такой про-
верки введите в поле Счетчик подключения (Connect counter) де-
сятичное число от 0 до 4294967200, представляющее минимальную
приемлемую скорость передачи в килобитах в секунду. По умолча-
нию медленным считается подключение со скоростью менее 500 ки-
лобит в секунду.
• Для компьютеров, которые не имеют подключения к IP-сетям, си-
стема измеряет скорость ответа файловой системы удаленного сер-
вера. Для задания порогового значения для проверки в поле Вре-
мя (Time) введите десятичное число от 0 до 20000, представляющее
приемлемую задержку в миллисекундах. По умолчанию медленным
считается подключение с задержкой в 120 миллисекунд.
Рекомендуется увеличить значения для клиентов, использующих адреса,
назначенные службой DHCP, или для клиентов, которые получают доступ к
профилям через подключение удаленного доступа.
Если включен параметр Не определять медленные подключения (Do not
detect slow network connections), данный параметр будет игнорироваться.
Кроме того, при включенном параметре Удалять кэшированные копии пе-
ремещаемых профилей (Delete cached copies of roaming profiles) нет локаль-
ной копии перемещаемого профиля, которую можно было бы использовать
в случае обнаружения медленного соединения.
ÔÎÍÎÂÀÿ ÏÅÐÅÄÀ÷À ÔÀÉËÀ ÐÅÅÑÒÐÀ ÏÐÎÔÈËÿ

Эта политика задает расписание фоновой передачи реестра перемещаемо-
го профиля пользователя и отвечает только за передачу файла реестра пе-
ремещаемого профиля пользователя, никакие другие данные не передают-
ся. Передача осуществляется в том случае, если пользователь вошел в систе-
му. Файл реестра передается только для перемещаемых профилей, обычные
170
170
170
профили не затрагиваются. Политика не препятствует передаче файла рее-

стра перемещаемого профиля пользователя при выходе из системы.
Для использования этого параметра сначала следует определиться с мето-
дом планирования расписания. На выбор два метода:
• Запуск с заданным интервалом (Run at set interval). Необходимо за-
дать интервал от 1 до 720 часов, после этого файл реестра профиля
будет передаваться с указанным интервалом после входа в систему.
• Запуск в указанное время (Run at specified time of day). Необходи-
мо указать время суток, после этого файл реестра будет передаваться
каждый день в указанное время, при условии, что пользователь нахо-
дится в системе в указанное время.
После чего можно приступать к настройке параметра. Для этого, выполните
следующие действия:
2. Дважды щелкните мышью по параметру Фоновая передача реестра
перемещаемого профиля пользователя при входе пользователя в
систему (Background upload of a roaming user profile’s registry file user
is logged on). Откроется диалоговое окно редактирования параметра
политики.
4. В области Параметры (Options), в раскрывающемся списке Метод
планирования расписания (Scheduling method), выберите один из
представленных вариантов. Далее настройка зависит от выбора ме-
тода, если вы выбрали:
• Запуск с заданным интервалом (Run at set interval), то в поле
Интервал (Interval) задайте интервал времени, измеряемый в ча-
сах.
• Запуск в указанное время (Run at specified time of day), то необ-
ходимо выбрать время в раскрывающемся списке Время суток
(Time of day).
В обоих вариантах расписания используется случайная задержка, не превы-
шающая одного часа и позволяющая избежать перегрузки сервера в резуль-
тате одновременной передачи множества файлов. Например, если параметр
171
171
171
задает передачу файла реестра в шесть часов вечера, то на самом деле пере-
дача будет выполняться в случайный момент между шестью и семью часа-
ми вечера.
Если параметр отключен или не задан, то файл реестра перемещаемого про-
филя не будет передаваться в фоновом режиме при входе пользователя в си-
стему.
ÈÇÌÅÍÅÍÈÅ ÌÀÊÑÈÌÀËÜÍÎÃÎ ÂÐÅÌÅÍÈ

ÎÆÈÄÀÍÈÿ ÏÎÄÊËÞ÷ÅÍÈÿ Ê ÑÅÒÈ
Если пользователь имеет перемещаемый профиль или удаленный основ-

ной каталог, а сеть в данный момент недоступна, система в течение 30 секунд
ожидает возобновление работы сети. Если сеть остается недоступной, поль-
зователь войдет в систему без подключения к сети. Перемещаемый профиль
не будет синхронизирован с сервером, удаленный основной каталог не будет
использован для сеанса входа. Если инициализация сети занимает больше
30 секунд, например беспроводная сеть, то можно увеличить максимальное
время ожидания. Для этого активируйте следующий параметр:
2. Дважды щелкните мышью по параметру Установить максимальное
время ожидания для сети, если пользователь имеет перемещаемый
профиль или удаленный основной каталог (Set maximum wait time
for the network if user has a roaming user profile or remote home direc-
tory). Откроется диалоговое окно редактирования параметра поли-
тики.
4. В области Параметры (Options), в поле Максимальное время ожи-
дания подключения к сети (Wait for network for maximum) устано-
вите количество секунд, по истечении которого сеть будет обозначе-
на как недоступная.
Если параметр максимального времени ожидания подключения равен 0, то
система не будет ожидать восстановления доступа к сети.
Если параметр отключен или не настроен, то максимальное время ожидания
подключения к сети будет составлять 30 секунд.
172
172
172
ßçûêîâûå ñòàíäàðòû
В этом разделе мы рассмотрим настройку параметров, расположенных в
узле Службы языковых стандартов (Locale Services): запрет выбора поль-
зовательских языковых стандартов, ограничение языковых стандартов, за-
прет изменения географического положения и запрет переопределения язы-
кового стандарта.
ÇÀÏÐÅÒ ÂÛÁÎÐÀ ÏÎËÜÇÎÂÀÒÅËÜÑÊÈÕ ÿÇÛÊÎÂÛÕ ÑÒÀÍÄÀÐÒÎÂ

Этот параметр позволяет запретить пользователю выбирать пользователь-
ский языковой стандарт. Однако это ему не запрещает выбрать один из заме-
щающих языковых стандартов, если они установлены. Для того чтобы вклю-
чить параметр, выполните следующие шаги:
ные шаблоны ⇒ Система ⇒ Службы языковых стандартов (User
Configuration ⇒ Administrative Templates ⇒ System ⇒ Locale
Services).
2. Дважды щелкните мышью по параметру Запретить выбор пользо-
вательских языковых стандартов (Disallow selection of Custom Lo-
cates). Откроется диалоговое окно редактирования параметра поли-
тики.
Пользователь будет ограничен набором языковых стандартов, которые по-
ставляются в комплектации операционной системы. Имейте в виду, что па-
раметр не будет влиять на выбор замещающего языкового стандарта. Необ-
ходимо настроить права в каталоге %windir%\Globalization таким образом,
чтобы пользователи без соответствующих прав доступа не могли устанавли-
вать языковые стандарты.
ÎÃÐÀÍÈ÷ÅÍÈÅ ÿÇÛÊÎÂÛÕ ÑÒÀÍÄÀÐÒÎÂ

Этот параметр позволяет ограничивать выбор пользователя указанным спи-
ском языковых стандартов. Если этот список пуст, то пользовательские
стандарты будут зафиксированы на текущих значениях. Этот параметр не
изменяет существование значений языковых стандартов пользователей, од-
173
173
173
нако когда пользователь попытается изменить языковой стандарт, его вы-

бор будет ограничен языковыми стандартами, указанными в списке параме-
тра. Для того чтобы задать список языковых стандартов, выполните следу-
ющие действия:
Services).
2. Дважды щелкните мышью по параметру Ограничить пользователь-
ские языковые стандарты (Restrict user locates). Откроется диалого-
4. В области Параметры (Options), в поле ввода Пользовательские
языковые стандарты (User Locales) введите список языковых стан-
дартов. Список языковых стандартов задается названиями языков,
названия разделяются точкой с запятой. Например, ru-RU означа-
ет Русский. Задав в списке «ru-RU;en-US», можно ограничить язы-
ковые стандарты пользователя русским (Россия) и английским
(США) языками.
Аналогичным образом настраивается параметр Ограничить системные язы-
ковые параметры (Restrict system locales). В отличие от выше рассматривае-
мого параметра, этот параметр позволяет ограничивать допустимые систем-
ные языковые стандарты, указанные списком. Когда администратор в следу-
ющий раз попытается изменить системный языковой стандарт на компью-
тере, его выбор будет ограничен языковыми стандартами, которые указаны
в списке.
Если параметр отключен или не задан, то пользователи смогут выбрать лю-
бой языковой стандарт по желанию, кроме случаев, когда активен пара-
метр Запретить выбор пользовательских языковых стандартов (Disallow
selection of Custom Locates).
ÇÀÏÐÅÒ ÈÇÌÅÍÅÍÈÿ ÃÅÎÃÐÀÔÈ÷ÅÑÊÎÃÎ ÏÎËÎÆÅÍÈÿ

Этот параметр позволяет запретить пользователями смену своего географи-
ческого положения. Если этот параметр включен, пользователи не смогут
изменять свое географическое положение. Для того чтобы включить пара-
метр, выполните следующие действия:
174
174
174

Services).
2. Дважды щелкните мышью по параметру Запретить изменение гео-
графического положения (Disallow changing of geographic location).
Если параметр отключен или не задан, то пользователи смогут изменять
свое географическое положение по желанию.
ÇÀÏÐÅÒ ÏÅÐÅÎÏÐÅÄÅËÅÍÈÿ ÏÀÐÀÌÅÒÐÎÂ ÿÇÛÊÎÂÎÃÎ ÑÒÀÍÄÀÐÒÀ

Для того чтобы пользователь не мог переопределять свой стандарт, изменяя
отдельные параметры, выполните следующие действия:
Services).
2. Дважды щелкните мышью по параметру Не позволять пользовате-
лю переопределять параметры языкового стандарта (Disallow user
overdrive of locate settings). Откроется диалоговое окно редактирова-
Теперь пользователь не сможет настроить языковой стандарт пользователь-
скими переопределениями. Все изменения пользователем каких-либо пара-
метров будут зафиксированы. Для удаления произведенных пользователем
изменений необходимо восстановить параметры по умолчанию, а затем при-
менить этот параметр.
Ðàáîòà ñî ñöåíàðèÿìè
В этом разделе мы рассмотрим параметры выполнения сценариев входа, вы-
хода и загрузки, расположенные в узле Сценарии (Scripts).
175
175
175
ÂÛÏÎËÍÅÍÈÅ ÑÖÅÍÀÐÈÅÂ ÂÕÎÄÀ

Сценарий входа — это пакетные файлы, которые состоят из команд, которые
выполняются при входе пользователя в систему. По умолчанию система не
отображает выполняемые команды сценариев входа.
Рассмотрим параметры, относящиеся к сценариям входа.
Для того чтобы скрыть отображение команд в сценариях входа, написанных
для Windows NT 4.0 и более ранних версий, активируйте следующий пара-
метр:
ные шаблоны ⇒ Система ⇒ Сценарии (User Configuration ⇒
Administrative Templates ⇒ System ⇒ Scripts).
2. Дважды щелкните мышью по параметру Выполнять сценарии вхо-
да прежних версий в фоновом режиме (Run legacy logon scripts hid-
den). Откроется диалоговое окно редактирования параметра поли-
тики.
Если этот параметр включен, система не будет отображать команды сцена-
риев входа, написанных для Windows NT 4.0 и ранних версий.
Для того чтобы команды сценариев отображались во время их выполнения,
выполните следующие действия:
да с отображением команд (Run logon scripts visible). Откроется ди-
алоговое окно редактирования параметра политики.
Если этот параметр включен, система будет отображать команды сценари-
ев входа во время их выполнения. Команды отображаются в окне команд-
ной строки.
Для того чтобы система дожидалась завершений работы сценариев входа пе-
176
176
176
ред тем, как будет запущен Проводник Windows и создан рабочий стол, вы-
полните следующие шаги:
да синхронно (Run logon scripts synchronously). Откроется диалого-
Если этот параметр включен, Проводник Windows не будет запущен, пока не
завершится выполнение сценариев входа. Обеспечивается завершение обра-
ботки сценариев до начала работы пользователя, но возможна задержка соз-
дания рабочего стола.
Если параметр отключен или не задан, то сценарии входа и Проводник
Windows не будут синхронизироваться и смогут выполняться одновремен-
но.
Для того чтобы разрешить выполнение пользовательских сценариев входа
в систему, когда не настроены перекрестный лес входов и DNS-суффиксы,
а также отключены NetBIOS или WINS, следует выполнить данные шаги:
2. Дважды щелкните мышью по параметру Разрешение сценариев
входа в систему при отключенных NetBIOS или WINS (Allow log-
on scripts when NetBIOS or WINS is disabled). Откроется диалоговое
Если параметр отключен или не задан, то при отключенных NetBIOS или
WINS, а также ненастроенных DNS-суффиксах, вход в перекрестный лес бу-
дет невозможен для любой учетной записи пользователя.
ÂÛÏÎËÍÅÍÈÅ ÑÖÅÍÀÐÈÅÂ ÂÛÕÎÄÀ

Сценарии выхода — это пакетные файлы, состоящие из команд, выполняе-
177
177
177
мых во время выхода пользователя из системы. По умолчанию система не

отображает выполняемые команды сценариев входа. Для того чтобы вклю-
чить отображение команд сценариев выхода во время их выполнения, акти-
вируйте следующий параметр:
2. Дважды щелкните мышью по параметру Выполнять сценарии выхо-
да с отображением команд (Run logon scripts visible). Откроется ди-
После включения параметра система будет отображать команды сценариев
выхода во время их выполнения. Команды будут отображаться в окне ко-
мандной строки.
ÂÛÏÎËÍÅÍÈÅ ÑÖÅÍÀÐÈÅÂ ÇÀÃÐÓÇÊÈ

Сценарии загрузки — это пакетные файлы, состоящие из команд, выполня-
емых при загрузке системы до выдачи приглашения пользователю на вход в
систему. По умолчанию система ожидает завершения выполнения каждого
из сценариев загрузки перед запуском следующего сценария загрузки.
Для того чтобы позволить системе выполнять сценарии загрузки одновре-
менно, активируйте следующий параметр:
2. Дважды щелкните мышью по параметру Выполнять сценарии за-
грузки асинхронно (Run logon scripts asynchronously). Откроется
Если этот параметр включен, система не будет координировать выполнение
сценариев загрузки. В результате сценарии загрузки смогут выполняться од-
новременно.
Если параметр отключен или не задан, то следующий сценарий загрузки не
178
178
178
будет выполняться, пока не завершится выполнение текущего сценария.

Чтобы позволить системе отображать команды сценариев загрузки во время
их выполнения, настройте следующую политику:
грузки с отображением команд (Run startup scripts visible). Откро-
Команды сценариев загрузки будут отображаться в окне командной строки.
ÂÛÏÎËÍÅÍÈÅ ÑÖÅÍÀÐÈÅÂ ÇÀÂÅÐØÅÍÈÿ ÐÀÁÎÒÛ

Сценарии завершения работы — это пакетные файлы, которые состоят из
команд, которые выполняются при перезагрузке или завершении работы си-
стемы. По умолчанию система не отображает выполняемые команды сцена-
риев во время их выполнения. Для того чтобы включить отображение вы-
полняемых команд сценариев, выполните следующее:
вершения работы с отображением команд (Run shutdown scripts
visible). Откроется диалоговое окно редактирования параметра по-
литики.
После этого команды сценариев завершения работы будут отображаться в
окне командной строки во время их выполнения.
ÂÛÏÎËÍÅÍÈÅ ÑÖÅÍÀÐÈÅÂ WINDOWS POWERSHELL

Для того чтобы включить выполнение сценариев Windows PowerShell при
179
179
179
запуске компьютера и завершении работы компьютера, настройте следую-

щую политику:
2. Дважды щелкните мышью по параметру Выполнять сценарии Win-
dows PowerShell при запуске компьютера, завершить работу ком-
пьютера (Run Windows PowerShell scripts first at computer startup,
shutdown). Откроется диалоговое окно редактирования параметра
политики.
Этот параметр определяет, будут ли выполняться сценарии Windows Power-
Shell перед другими сценариями, отличными от PowerShell, во время запу-
ска и завершения работы компьютера. По умолчанию сценарии PowerShell
выполняются после остальных сценариев.
Для того чтобы включить выполнение сценариев Windows PowerShell при
входе пользователя в систему, а также выходе из нее:
2. Дважды щелкните мышью по параметру Выполнять сценарии Win-
dows PowerShell при входе пользователя в систему, завершить се-
анс (Run Windows PowerShell scripts first at user logon, logoff). От-
Этот параметр определяет, будут ли выполняться сценарии Windows Power-
Shell перед другими сценариями, отличными от PowerShell, во время входа
и выхода пользователя из системы. По умолчанию сценарии PowerShell вы-
полняются после остальных сценариев.
ÓÑÒÀÍÎÂÊÀ ÌÀÊÑÈÌÀËÜÍÎÃÎ ÂÐÅÌÅÍÈ ÂÛÏÎËÍÅÍÈÿ ÑÖÅÍÀÐÈÅÂ

Для того чтобы указать системе, сколько времени ей необходимо ожидать
выполнения сценариев применяемыми групповыми политиками, настрой-
те следующую политику:
180
180
180

2. Дважды щелкните мышью по параметру Максимальное время вы-
полнения сценариев групповой политики (Maximum wait time for
Group Policy scripts). Откроется диалоговое окно редактирования
4. В области Параметры (Options) в поле Секунды (Seconds) укажите
время ожидания выполнения сценариев.
Этот параметр позволяет ограничить общее время, выделяемое для выпол-
нения сценариев входа, загрузки и завершения работы, применяемых груп-
повой политикой. Если эти сценарии не успеют закончить выполнение к мо-
менту истечения указанного интервала времени, то система останавливает
обработку сценария и записывает в журнал событие ошибки.
По умолчанию на выполнение всех сценариев отводится до 600 секунд (10
минут), но используя параметр, интервал можно изменить, указав в поле Се-
кунды (Seconds) необходимый интервал. Возможно указание значения в ди-
апазоне от 1 до 32000 секунд, при указании значения 0 время ожидания бу-
дет неограниченно. Этот интервал наиболее важен в случаях, когда систем-
ные задачи должны ждать завершения работы сценариев. Слишком длин-
ный интервал может привести к задержке начала нормальной работы систе-
мы и быть неудобен пользователям. Но при коротком интервале регламент-
ные задания могут оказаться не выполненными, а система будет слишком
рано представлена пользователю как готовая к работе.
Óñòàíîâêà äðàéâåðîâ
В этом разделе описаны настройки, связанные с установкой драйверов: где
искать драйвера устройств и каким пользователям разрешено устанавливать
драйвера устройств.
ÐÀÇÐÅØÅÍÈÅ ÍÀ ÓÑÒÀÍÎÂÊÓ ÄÐÀÉÂÅÐÎÂ ÏÎËÜÇÎÂÀÒÅËÿÌÈ

В операционных системах не ниже Windows Vista предусмотрена возмож-
181
181
181
ность задания списка кодов GUID класса установки устройств, описываю-

щих драйверы устройств, которые могут быть установлены в этой системе
членами группы «Пользователи». Эти драйверы должны быть подписаны
согласно политике подписывания драйверов Windows или быть подписаны
издателями, находящимися в хранилище доверенных издателей.
Для того чтобы перечислить классы установки устройств, настройте следу-
ющую политику:
1. Откройте узел Конфигурация компьютера ⇒ Административ-
ные шаблоны ⇒ Система ⇒ Установка драйвера (Computer
Configuration ⇒ Administrative Templates ⇒ System ⇒ Driver
Installation).
2. Дважды щелкните мышью по параметру Разрешить пользователям,
не являющимся администраторами, устанавливать драйвера для
этих классов установки устройств (Allow non-administrator users in-
stall this classes devices drivers). Откроется диалоговое окно редакти-
Появится диалоговое окно Вывод содержания (Show Contents).
полю и введите с клавиатуры GUID, представляющий класс уста-
новки устройств. Для того чтобы указать еще один глобальный уни-
кальный идентификатор, нажмите клавишу Enter.
Если параметр отключен или не задан, то только администраторы смогут
устанавливать драйвера устройств.
Óñòàíîâêà óñòðîéñòâ
В этом разделе мы рассмотрим параметры, связанные с установкой
устройств: установка порядка поиска драйверов устройств, сколько систе-
ме будет отведено времени на установку устройств, возможность отключить
уведомление об обнаружении нового устройства, настройку удаленного до-
ступа к Plug and Play и некоторые другие параметры.
182
182
182
ÏÎÐÿÄÎÊ ÏÎÈÑÊÀ ÄÐÀÉÂÅÐÎÂ ÓÑÒÐÎÉÑÒÂ

Для того чтобы указать системе порядок поиска драйверов устройств, вы-
полните следующие шаги:
ные шаблоны ⇒ Система ⇒ Установка устройства (Computer
Configuration ⇒ Administrative Templates ⇒ System ⇒ Device
Installation).
2. Дважды щелкните мышью по параметру Задать порядок поиска в
исходных расположениях драйверов устройств (Specify search or-
der for device driver source locations). Откроется диалоговое окно ре-
4. В области Параметры (Enable) в раскрывающемся списке Выбери-
те порядок поиска (Select search order) выберите необходимый па-
раметр:
• Искать в Центре обновления Windows в первую очередь
(Search Windows Update First) —поиск драйверов система будет
выполнять в первую очередь в Центре обновления Windows.
• Искать в Центре обновления Windows в последнюю очередь
(Search Windows Update Last) —поиск драйверов система будет
выполнять в последнюю очередь в Центре обновления Windows.
• Не искать в Центре обновления Windows (Do not search Win-
dows Update) — при поиске драйверов система не будет выпол-
нять поиск в Центре обновления Windows.
ments).
Если параметр отключен или не задан, указать порядок поиска драйвера
устройств смогут только администраторы.
ÍÀÑÒÐÎÉÊÀ ÂÐÅÌÅÍÈ ÎÆÈÄÀÍÈÿ ÓÑÒÀÍÎÂÊÈ ÓÑÒÐÎÉÑÒÂÀ

По умолчанию система выделяет на установку устройства 300 секунд (5 ми-
нут) — если за это время устройство не будет установлено, то система пре-
кратит выполнение установки устройства. Для того чтобы изменить время
183
183
183
ожидания установки, настройте следующий параметр:

Installation).
2. Дважды щелкните мышью по параметру Настроить времени ожи-
дания установки устройства (Configure device installation time-out).
4. В области Параметры (Options) в поле Время ожидания установки
устройства (Device Installation Timeout) введите количество секунд,
которое система должна ожидать при установке устройства.
Если параметр отключен или не задан, то используется значение параметра
по умолчанию, на завершение установки устройства отводится 300 секунд.
ÎÒÊËÞ÷ÅÍÈÅ ÍÀÏÎÌÈÍÀÍÈÿ Î ÍÎÂÎÌ ÎÁÎÐÓÄÎÂÀÍÈÈ

По умолчанию во время установки драйвера появляется всплывающее уве-
домление Найдено новое оборудование. Для того чтобы отключить уведом-
ление, активируйте следующий параметр:
Installation).
2. Дважды щелкните мышью по параметру Отключить всплывающие
напоминания «Найдено новое оборудование» во время установ-
ки драйвера (Turn off “Found New Hardware” balloons during device
installation). Откроется диалоговое окно редактирования параметра
политики.
Теперь во время установки драйвера уведомление об обнаружении нового
устройства не будет отображаться.
184
184
184
ÇÀÏÐÅÒ ÎÒÏÐÀÂÊÈ ÎÒ÷ÅÒÀ ÎÁ ÎØÈÁÊÀÕ WINDOWS

По умолчанию при установленном общем драйвере устройства система от-
правляет отчеты об ошибках Windows. Для того чтобы отключить отправку
данных в таких случаях, активируйте следующий параметр:
Installation).
2. Дважды щелкните мышью по параметру Не посылать отчет об
ошибках Windows, если для устройства установлен общий драй-
вер (Do not send a Windows error report when a generic driver is in-
stalled on a device). Откроется диалоговое окно редактирования па-
Теперь при установленном общем драйвере отчет об ошибках Windows не
будет отправляться.
Аналогичным способом настраивается параметр Запретить Windows от-
правлять отчет об ошибках, если драйвер устройства запрашивает допол-
нительное программное обеспечение (Prevent Windows from sending an er-
ror report when a device driver requests additional software during installation).
По умолчанию система отправляет отчеты об ошибках при установке драй-
вера устройства, запрашивающего дополнительное программное обеспече-
ние. Для того чтобы отключить отправку отчетов об ошибках в таком случае,
достаточно включить параметр.
Если параметр отключен или не задан, то при нахождении ошибок в уста-
новке драйвера устройства Windows будет отправлять отчет об ошибках и
запрашивать дополнительное программное обеспечение.
ÇÀÏÐÅÒ ÑÎÇÄÀÍÈÿ ÒÎ÷ÅÊ ÂÎÑÑÒÀÍÎÂËÅÍÈÿ

По умолчанию перед установкой нового устройства система автоматически
создает контрольную точку восстановления, что позволяет в случае непола-
док с устройством откатить систему до того состояния, когда устройство не
было установлено. Создание точек восстановления можно отключить:
185
185
185

Installation).
2. Дважды щелкните мышью по параметру Не создавать контрольную
точку восстановления системы во время работы устройства, при
которой, как правило, требуется создание точки восстановления
(Prevent creation of a system restore point during device activity that
would normally prompt creation of a restore point). Откроется диало-
Теперь во время установки драйвера точки восстановления системы не бу-
дут создаваться.
ÍÀÑÒÐÎÉÊÀ ÓÄÀËÅÍÍÎÃÎ ÄÎÑÒÓÏÀ PLUG AND PLAY

По умолчанию в операционной системе Windows удаленные подключения к
самонастраивающимся устройствам запрещены. Чтобы разрешить удален-
ный доступ к интерфейсу таких устройств, активируйте следующий пара-
метр:
Installation).
2. Дважды щелкните мышью по параметру Разрешить удаленный до-
ступ к устройствам Plug and Play (Allow remote access to the Plug
and Play interface). Откроется диалоговое окно редактирования па-
После этого будет разрешено удаленное подключение к самонастраиваю-
щимся устройствам.
ÇÀÏÐÅÒ ÏÎËÓ÷ÅÍÈÿ ÌÅÒÀÄÀÍÍÛÕ ÓÑÒÐÎÉÑÒÂ

По умолчанию в операционной системе разрешено получение метаданных
устройств Windows из Интернета и определяется оно параметром в диало-
говом окне Параметры установки устройств (Device Installation Settings).
186
186
186
Для того чтобы запретить получение метаданных устройств из Интернета,

выполните следующие шаги:
Installation).
2. Дважды щелкните мышью по параметру Запретить получение ме-
таданных устройств из Интернета (Prevent device metadata retrieval
from the Internet). Откроется диалоговое окно редактирования пара-
метра политики.
Теперь получение метаданных устройств из Интернета будет невозможным.
Если параметр отключен или не задан, то получение метаданных устройств
Windows из Интернета будет зависеть от того, какие настройки указаны в
диалоговом окне Параметры установки устройств (Devise Installation Set-
ting).
ÎÃÐÀÍÈ÷ÅÍÈÿ ÍÀ ÓÑÒÀÍÎÂÊÓ ÓÑÒÐÎÉÑÒÂ

По умолчанию члены группы администраторов подчиняются всем параме-
трам политики, которые ограничивают установку устройств. Это не позво-
ляет устанавливать и обновлять драйвера любых устройств, какими бы ни
были параметры политики. Для того чтобы администраторы могли исполь-
зовать возможности установки и обновления драйверов для любого устрой-
ства, следует выполнить следующие шаги:
шаблоны ⇒ Система ⇒ Установка устройства ⇒ Ограничение
на установку устройств (Computer Configuration ⇒ Administrative
Templates ⇒ System ⇒ Device Installation ⇒ Device Installation
Restriction).
2. Дважды щелкните мышью по параметру Разрешить администрато-
рам заменять политики ограничения установки устройств (Allow
administrators to overdrive Device Installation Restriction policies).
187
187
187
Теперь члены группы Администраторы (Administrators) могут воспользо-

ваться мастером добавления оборудования и мастером обновления драйве-
ров для любых устройств.
Аналогично настраивается параметр Запретить установку съемных
устройств (Prevent installation of removable drivers), который позволя-
ет запретить установку съемных устройств. Параметр Запретить установ-
ку устройств, не описанных другими параметрами политики (Prevent in-
stallation of devices not described by other policy settings) позволяет запре-
тить системе установку и обновление драйверов устройств, не указанных
в параметрах политики Разрешить установку устройств, соответствую-
щих какому-либо из этих кодов устройств (Allow installation of devices that
match any of these device IDs) (об этом параметре мы расскажем ниже).
Если параметр Запретить установку съемных устройств (Prevent installa-
tion of removable drivers) отключен или не задан, то для съемных устройств
драйвера можно устанавливать только для новых устройств, для уже суще-
ствующих — обновлять. Однако другие параметры политики могут поме-
шать этому.
Для того чтобы указать список кодов глобальных уникальных идентифика-
торов (GUID) класса установки устройств для драйверов устройств, кото-
рые можно установить в системе, выполните следующие действия:
Restriction).
2. Дважды щелкните мышью по параметру Разрешить установку
устройств с использованием драйверов, соответствующих этим
классам установки устройств (Allow installation of devices using driv-
er that match these device setup classes). Откроется диалоговое окно
Появится диалоговое окно Вывод содержания (Show Contents).
полю и введите с клавиатуры GUID, представляющий класс уста-
новки устройств. Для того чтобы указать еще один глобальный уни-
кальный идентификатор, нажмите клавишу Enter.
188
188
188
После этого система может устанавливать и обновлять драйвера тех

устройств, чьи GUID класса установки устройств были указаны в списке па-
раметра. Если какой-нибудь другой параметр политики мешает установке
устройства, то драйвера не будут устанавливаться и обновляться для него,
независимо, в списке GUID его класса установки или нет.
Аналогичным образом настраиваются параметры Запретить установку
устройств с использованием драйверов, соответствующих этим классам
установки устройств (Prevent installation of devices using drivers that match
these device setup classes) и Запретить установку устройств с указанными
кодами устройств (Prevent installation of devices that match any of these de-
vice IDs), с той разницей, что в списке, расположенном в диалоговом окне
Вывод содержания (Show Contents), указываются GUID тех классов уста-
новки устройств, для которых необходимо запретить установку и обновле-
ние драйверов устройств. Также в этом параметре, в области Параметры
(Options) можно установить флажок Также применить для соответствую-
щих устройств, которые уже были установлены (Also apply to matching de-
vices that are already installed), при установке которого будет возможным за-
претить обновление уже установленных драйверов.
В случае если была предпринята попытка установки драйверов для тех
устройств, установка драйверов для которых была запрещена параметрами
политики, появляется сообщение, уведомляющее пользователя о невозмож-
ности установки драйвера устройства. Для того чтобы изменить выводимое
сообщение на свое собственное, настройте следующую политику:
Restriction).
2. Дважды щелкните мышью по параметру Отображать специаль-
ное сообщение, когда установка запрещена параметром полити-
ки (Display a custom message when installation is prevented by a policy
setting). Откроется диалоговое окно редактирования параметра по-
литики.
4. В области Параметры (Options) в поле ввода Уточняющий текст
(Detail Text) введите текст, который будут видеть пользователи при
попытке установить драйвер для устройства, для которого запреще-
но устанавливать драйвера устройств. Длина текста не должна пре-
вышать 128 символов.
189
189
189

Сообщение также появляется при попытке установить устройство, запре-
щенное к установке параметрами политики. Однако за это сообщение от-
вечает другой параметр — Отображать заголовок специального сообще-
ния, когда установка устройств запрещена параметром политики (Display
a custom message title when device installation is prevented by a policy setting).
Текст вводится с клавиатуры в поле ввода Основной текст (Main Text), ко-
торое расположено в области Параметры (Options). Текст не должен превы-
шать 63 символов.
Также существует возможность установить время ожидания системы до пе-
резагрузки с целью принудительного изменения в политиках ограничения
установки устройств. Для того чтобы установить время, настройте следую-
щую политику:
Restriction).
2. Дважды щелкните мышью по параметру Время (сек.) до принуди-
тельной перезагрузки при необходимости введения параметров
политики в действие (Time (in seconds) to force reboot when required
for policy changes to take effect). Откроется диалоговое окно редакти-
4. В области Параметры (Options) в поле Время ожидания до пере-
загрузки (Reboot Timeout) укажите количество секунд, ожидаемых
системой до перезагрузки.
Если принудительная перезагрузка не выполняется, то право ограничения
установки устройств не вступит в силу до перезапуска системы.
Ïàðàìåòðû ñâÿçè ÷åðåç Èíòåðíåò

В этом разделе мы рассмотрим параметры, расположенные в узле Управле-
ние связью через Интернет (Internet Communications settings). Здесь распо-
лагается большое количество настроек, как-либо связанных с использовани-
ем Интернета, начиная от отправки отчетов об ошибках Windows и заканчи-
вая отключением рейтинга справочной информации.
190
190
190
ÑÏÐÀÂÊÀ È ÏÎÄÄÅÐÆÊÀ
По умолчанию пользователи могут выставлять рейтинги для справочной
системы. Рейтинг справочной системы предназначен как элемент обратной
связи для оценки качества и пользы представленной справочной информа-
ции пользователю. Возможно отключение оценки справочной информации.
Для того чтобы это сделать, активируйте следующий параметр:
шаблоны ⇒ Система ⇒ Управление связью через Интернет ⇒ Па-
раметры связи через Интернет (User Configuration ⇒ Administrative
Templates ⇒ System ⇒ Internet Communication Management ⇒
Internet Communications settings).
2. Дважды щелкните мышью по параметру Отключение рейтинга
справки (Turn off Help Ratings). Откроется диалоговое окно редак-
Теперь оценка справочной информации будет недоступна.
Также можно запретить пользователю участвовать в программе по улуч-
шению справочной информации, для чего включите параметр Отключение
программы улучшения справки (Turn off Help Experience Improvement Pro-
gram).
Пользователи, которые имеют доступ в Интернет, могут просматривать
справочную информацию из Интернета, используя центр справки и под-
держки Windows. Это позволяет Microsoft информировать пользователя са-
мыми последними вариантами справочной информации. Однако если вклю-
чить параметр Отключение «Windows в Интернете» (Turn off Windows
Online), пользователи не смогут получить доступ к обновленной справоч-
ной информации.
Пользователи, которые работают с планшетными компьютерами, имеют
возможность автоматической отправки отчетов об ошибках распознавания
рукописного текста. В случае возникновения проблем с распознаванием тек-
ста немедленно создается отчет, который отправляется в корпорацию Micro-
soft. Корпорация Microsoft, анализируя полученные отчеты, дорабатывает
средство распознавания текста и исправляет недоработки. Если включить
параметр Отключить отчеты об ошибках распознавания рукописного тек-
191
191
191
ста (Turn off handwriting recognition error reporting), то пользователи не смо-

гут воспользоваться средством составления отчетов и естественно в корпо-
рацию Microsoft ничего отправлено не будет.
По умолчанию операционная система собирает анонимную информацию
об использовании программного обеспечения и службы Windows Messen-
ger. Полученная информация используется корпорацией Microsoft в целях
улучшения продукта и усовершенствования новых версий. Сбор анонимной
информации можно отключить, для чего стоит включить параметр Отклю-
чить участие в программе улучшения поддержки пользователей Windows
Messenger (Turn off the Windows Messenger Customer Experience Improve-
ment Program).
ÏÅ÷ÀÒÜ ÏÎ ÏÐÎÒÎÊÎËÓ HTTP

В операционной системе Windows имеется возможность выбора режима пе-
чати через Интернет, используя протокол HTTP. Согласно ей, вы можете
распечатывать документы на принтерах, расположенных в интрасети или в
сети Интернет. Эту возможность можно отключить:
2. Дважды щелкните мышью по параметру Отключить печать по про-
токолу HTTP (Turn off printing over HTTP). Откроется диалоговое
После чего пользователю будет закрыт доступ печати по протоколу HTTP.
Также имеется возможности отключения загрузки драйверов принтера, ра-
ботающего по протоколу HTTP, без которых невозможна печать на принте-
ре. Для того чтобы отключить возможность загрузки драйверов, включите
параметр Отключение загрузки драйверов принтера по протоколу HTTP
(Turn off downloading of print drives over HTTP). Включение параметра толь-
ко запрещает загрузку специальных драйверов, но никак не влияет на распе-
чатку текста на этих принтерах. Также этот запрет не распространяется на
установленные локальные драйверы.
192
192
192
ÑÎÏÎÑÒÀÂËÅÍÈÅ ÔÀÉËÎÂ
Если в операционной системе Windows попытаться открыть файл c незаре-
гистрированным расширением, то появится диалоговое окно выбора спосо-
ба сопоставления неизвестного расширения с приложением. На выбор два
варианта:
• Поиск соответствия в Интернете (Use the Web service to find the cor-
rect program) — использование интернет-сервиса сопоставления рас-
ширения с приложением.
• Выбор программы из списка установленных программ (Select a pro-
gram from a list of installed programs) — выбор одной из установлен-
ных на компьютере программ, в котором откроется текущий файл, а
также в котором будут открываться другие файлы того же расшире-
ния.
Чтобы это диалоговое окно не появлялось, а сразу открывалось диалоговое
окно выбора установленной программы, выполните следующие шаги:
2. Дважды щелкните мышью по параметру Отключить службу сопо-
ставления файлов Интернета (Turn off Internet File Association ser-
vice). Откроется диалоговое окно редактирования параметра поли-
тики.
Рис. 5.9. Диалоговое окно сопоставления файла
193
193
193

После чего диалоговое окно выбора способа сопоставления, показанное на
рис. 5.9, больше не будет отвлекать вас.
ÂÅÁ-ÏÓÁËÈÊÀÖÈÈ
Операционная система Windows загружает и обновляет список поставщи-
ков, выполняющих запросы на веб-публикацию и заказы отпечатков. Ис-
пользуя этот список, можно выбрать одну из предоставленных компаний и
воспользоваться предоставляемыми ими услугами: хранение информации
или распечатка фотографий. Возможно отключение загрузки списка постав-
щиков. Для этого выполните следующие действия:
2. Дважды щелкните мышью по параметру Отключить загрузку из Ин-
тернета для мастеров веб-публикаций и заказа отпечатков (Turn off
Internet download for Web publishing and online ordering wizards). От-
Новые поставщики не будут загружены в список поставщиков, однако это не
значит, что загруженные ранее поставщики не будут отображаться.
Для того чтобы полностью отключить возможность заказа отпечатков через
Интернет, включите параметр Отключить заказ отпечатков через Интернет
в списке задач для изображений (Turn off the “Publish to web” picture task).
После чего в списке задач для изображений будет скрыта эта возможность.
Возможно скрытие пунктов Опубликовать в вебе, Опубликовать эту папку
в вебе и Опубликовать выделенные объекты в вебе среди задач для файлов
и папок в окне проводника Windows. Для этого активируйте параметр От-
ключить веб-публикацию в списке задач для файлов и папок (Turn off the
“Publish to Web” task for files and folders).
Если параметр отключен, то образцы рукописного ввода будут отсылаться в
корпорацию Microsoft автоматически, если параметр не задан, то пользова-
тели могут включать и отключать отправку образцов самостоятельно.
194
194
194
ÎÒÊËÞ÷ÅÍÈÅ ÀÂÒÎÌÀÒÈ÷ÅÑÊÎÃÎ ÎÁÍÎÂËÅÍÈÿ

ÊÎÐÍÅÂÛÕ ÑÅÐÒÈÔÈÊÀÒÎÂ
По умолчанию сертификаты используются для безопасного подключения

к сайту или при работе с электронной почтой. Сертификаты может выдать
любой издатель, но для получения максимальной гарантии безопасности
сертификат должен выдаваться доверенным центром сертификации. В ком-
плектацию операционной системы уже включен список доверенных цен-
тров. По умолчанию при получении сертификата, выданного неизвестным
центром, выполняется подключение к сайту Центра обновления Windows,
для того чтобы проверить наличие издателя в списке доверенных центров
сертификации Microsoft. Для того чтобы заблокировать подключение к сай-
ту, активируйте следующий параметр:
2. Дважды щелкните мышью по параметру Выключить автоматиче-
ское обновление корневых сертификатов (Turn off Automatic Root
Certificates Update). Откроется диалоговое окно редактирования па-
Теперь при получении сертификата, выданного неизвестным центром, не бу-
дет выполняться подключение к сайту Центра обновления Windows.
ÎÒÊËÞ÷ÅÍÈÅ ÑÑÛËÎÊ ÏÐÎÑÌÎÒÐÀ ÑÎÁÛÒÈÉ «EVENTS.ASP»

Средство просмотра событий преобразует все http-адреса в активные ссыл-
ки, при щелчке мышью по которым запускается веб-браузер. Если событие
создано компонентом Microsoft, то в конце текста описания будет распола-
гаться ссылка «Дополнительные сведения», после щелчка по которой в кор-
порацию Microsoft отправляются данные о событии и пользователю выво-
дится описание причин возникновения события.
Чтобы отключить размещение ссылки «Дополнительные сведения», акти-
вируйте следующий параметр:
195
195
195

2. Дважды щелкните мышью по параметру Отключить ссылки про-
смотра событий «Events.asp» (Turn off Event Viewer “Events.asp”
links). Откроется диалоговое окно редактирования параметра поли-
тики.
Теперь в конце описания не будет появляться сообщение «Дополнительные
сведения», а URL-адреса описания будут неактивными.
ÇÀÏÐÅÒ ÎÁÍÎÂËÅÍÈÿ ÑÏÐÀÂÎ÷ÍÎÉ ÑÈÑÒÅÌÛ ÷ÅÐÅÇ ÈÍÒÅÐÍÅÒ

В Центре справки и поддержки есть динамически обновляемый раздел «Зна-
ете ли Вы?». При активном подключении к Интернету Центр справки и под-
держки предоставляет пользователю актуальные на текущий момент сведе-
ния об операционной системе Windows и самом компьютере. Если у вас от-
сутствует подключение к Интернету или вы просто не хотите получать ак-
туальную информацию, то вы можете отключить обновление этого раздела.
2. Дважды щелкните мышью по параметру Отключение центра справ-
ки и поддержки «Знаете ли вы?» (Turn off Help and Supports Center
“Did you know?”). Откроется диалоговое окно редактирования пара-
После активации данной политики справочная система Windows будет ра-
ботать в автономном режиме и ее содержимое не будет обновляться.
196
196
196
ÎÒÊËÞ÷ÅÍÈÅ ÏÎÈÑÊÀ Â ÁÀÇÅ ÇÍÀÍÈÉ MICROSOFT

База знаний Microsoft представляет собой источник справочной информа-
ции, технической поддержки и средств диагностики для продуктов корпо-
рации. Пользователи могут выполнять поиск в базе знаний Microsoft прямо
в окне приложения Центр справки и поддержки при наличии интернет-
соединения. При отсутствии интернет-соединения возможность поиска в
базе знаний Microsoft можно отключить. Для того чтобы это сделать, выпол-
2. Дважды щелкните мышью по параметру Отключить поиск в базе
знаний Майкрософт в окне «Центр справки и поддержки» (Turn off
Help and Support Center Microsoft Knowledge Base search). Откроет-
После чего поиск будет выполняться в содержимом встроенной справки.
Если параметр отключен или не задан, то поиск в базе знаний Microsoft бу-
дет выполняться при условии, что есть доступ в Интернет и поиск в базе зна-
ний не отключен на странице настройки параметров поиска.
ÎÒÊËÞ÷ÅÍÈÅ ÎÒ÷ÅÒÎÂ ÎÁ ÎØÈÁÊÀÕ WINDOWS

При возникновении ошибки в работе приложения или системы, их зависа-
ния в корпорацию Microsoft отправляется отчет об ошибках. Корпорация
использует эти отчеты для улучшения качества программных продуктов.
Имеется возможность отключения отправки отчетов и уведомления пользо-
вателя об ошибках. Для этого выполните следующие действия:
2. Дважды щелкните мышью по параметру Отключить отчеты об
197
197
197
ошибках Windows (Turn off Windows Error Reports). Откроется диа-

Включенный параметр делает невозможным отправку отчетов об ошибках
Windows в корпорацию Microsoft.
ÁËÎÊÈÐÎÂÊÀ ÄÎÑÒÓÏÀ Ê ÂÎÇÌÎÆÍÎÑÒÿÌ

ÖÅÍÒÐÀ ÎÁÍÎÂËÅÍÈÿ WINDOWS
По умолчанию пользователи получают доступ к Центру обновления Win-
dows, а также получают уведомления и критические обновления через служ-
бу автоматического обновления Windows. Если вы не хотите использовать
автоматическое обновление системы, то можете отключить его. Для этого
2. Дважды щелкните мышью по параметру Отключить доступ ко всем
возможностям Центра обновления Windows (Turn off access to all
Windows Update features). Откроется диалоговое окно редактирова-
После чего будут осуществлены следующие ограничения:
• Заблокирован доступ к сайту Центра обновления Windows.
• Отключена функция автоматического обновления Windows.
• Отключены уведомления о доступности критических обновлений.
• Запрещена автоматическая установка обновлений драйверов.
Если параметр отключен или не задан, то пользователи получат доступ к
Центру обновления Windows, будет включено автоматическое обновление
системы и драйверов устройств, будет включены уведомления о доступно-
сти критических обновлений.
198
198
198
ÎÒÊËÞ÷ÅÍÈÅ ÏÎÌÎÙÍÈÊÀ ÏÎ ÏÎÈÑÊÓ

Когда пользователь ищет информацию на локальном компьютере или в Ин-
тернете, «Помощник по поиску» периодически подключается к серверу Mi-
crosoft , чтобы загрузить обновления политики конфиденциальности и до-
полнительных информационных файлов, которые используются для фор-
матирования и отображения результатов. По умолчанию загружаются об-
новления содержимого для всех случаев, кроме классического поиска. Но
обновления можно отключить полностью. Для этого следует активировать
2. Дважды щелкните мышью по параметру Отключить обновление ин-
формационных файлов «Помощника по поиску» (Turn off Search
Companion content file updates). Откроется диалоговое окно редак-
После активации данной политики «Помощник по поиску» не будет загру-
жать обновления содержимого во время выполнения поиска. Однако при
поиске в Интернете искомый текст и сведения о поставщике услуг поиска
будут отправляться в корпорацию Microsoft.
Íàñòðîéêà ôóíêöèé äèàãíîñòèêè

Здесь мы рассмотрим способы изменения параметров диагностики жестких
дисков, сценариев, поврежденных системных файлов и файлов MSI, диагно-
стики совместимости приложений и утечки памяти Windows, а также диа-
гностики службы технической поддержки Windows.
ÏÀÐÀÌÅÒÐÛ ÎÁÐÀÁÎÒÊÈ ÑÖÅÍÀÐÈÅÂ

По умолчанию служба DPS удаляет данные сценария после того, как их объ-
ем превысит 256 МБ. Для того чтобы изменить максимальный объем сохра-
нения данных сценария службы диагностики, настройте следующую поли-
тику:
199
199
199

ные шаблоны ⇒ Система ⇒ Диагностика (Computer Configuration
⇒ Administrative Templates ⇒ System ⇒ Troubleshooting and
Diagnostics).
2. Дважды щелкните мышью по параметру Диагностика: настройка
сохранения сценария (Diagnostics: Configure scenario retention). От-
4. В области Параметры (Options) в поле Максимальный объем дан-
ных сценария (Scenario data size limit) укажите максимальный раз-
мер в мегабайтах.
После этого данные сценариев диагностики будут сохраняться до тех пор,
пока не будет достигнут указанный предел. Сам параметр вступит в силу
только в том случае, если запущена служба DPS, если же служба DPS от-
ключена, то никаких удалений данных сценария диагностики произведено
не будет.
А для того чтобы выбрать уровень выполнения сценария, настройте следу-
ющую политику:
ные шаблоны ⇒ Система ⇒ Диагностика (Computer Configuration
Diagnostics).
2. Дважды щелкните мышью по параметру Диагностика: настройка
уровня выполнения сценария (Diagnostics: Configure scenario reten-
tion). Откроется диалоговое окно редактирования параметра поли-
тики.
4. В области Параметры (Options) в раскрывающемся списке Уровень
выполнения сценария (Scenario Execution Level) выберите необхо-
димый уровень:
• Только обнаружение и диагностика (Detection and Trouble-
shooting Only) — служба DPS будет обнаруживать проблемы и
пытаться определить их причины. Если причины будут найдены,
то они будут записаны в журнал событий, однако никаких дей-
ствий по устранению проблем выполнено не будет.
200
200
200
• Обнаружение, диагностика и решение проблем (Detection,

Troubleshooting and Resolution) — служба DPS будет обнаружи-
вать проблемы и пытаться устранить их либо уведомит пользова-
теля о том, что существует решение устранения проблемы.
ments).
Как и предыдущий параметр, этот параметр вступает в силу только в том
случае, если включена служба DPS.
Если параметр отключен, то система не сможет обнаруживать, диагностиро-
вать и решать проблемы, обрабатываемые службой DPS. Если параметр не
задан, то служба DPS присвоит всем сценариям значение Обнаружение, ди-
агностика и решение проблем (Detection, Troubleshooting and Resolution),
если не заданы другие параметры для отдельных сценариев.
ÏÀÐÀÌÅÒÐÛ ÈÍÑÒÐÓÌÅÍÒÀ PERFTRACK

Вы можете включить обработку и анализ событий реагирования и последу-
ющую передачу данных анализа в корпорацию Microsoft через SQM:
шаблоны ⇒ Система ⇒ Диагностика ⇒ Быстродействие Windows
PerfTrack (Computer Configuration ⇒ Administrative Templates ⇒
System ⇒ Troubleshooting and Diagnostics ⇒ Windows Performance
PerfTrack).
2. Дважды щелкните мышью по параметру Включить или отключить
PerfTrack (Enable/Disable PerfTrack). Откроется диалоговое окно
Если этот параметр отключен или не задан, DPS включает Windows Perfor-
mance PerfTrack. PerfTrack — это очень гибкая и динамически конфигуриру-
емая телеметрическая система, которая следит за выполнением сценариев
(между ключевыми событиями Start и Stop, которые ограничивают любой
сценарий с двух сторон).
201
201
201
ÏÀÐÀÌÅÒÐÛ ÂÎÑÑÒÀÍÎÂËÅÍÈÿ ÏÎÂÐÅÆÄÅÍÍÛÕ ÔÀÉËÎÂ

Для того чтобы настроить поведение при восстановлении поврежденных си-
стемных файлов, следует настроить следующую политику:
шаблоны ⇒ Система ⇒ Диагностика ⇒ Восстановление повреж-
денного файла (Computer Configuration ⇒ Administrative Templates
⇒ System ⇒ Troubleshooting and Diagnostics ⇒ Corrupted file
recovery).
2. Дважды щелкните мышью по параметру Настройка поведения вос-
становления поврежденного файла (Configure Corrupted File Re-
covery Behavior). Откроется диалоговое окно редактирования пара-
• Обычное (Regular) — обнаружение, устранение неполадок и вос-
становление поврежденных файлов с автоматическим запуском
минимального интерфейса пользователя. Если необходима пе-
резагрузка Windows, то появится соответствующее диалоговое
окно. Это поведение является поведением по умолчанию.
• Только выявление неполадок (Troubleshooting Only) — обнару-
жение поврежденных файлов и выявление неполадок с автома-
тическим запуском без интерфейса пользователя. В данном по-
ведении автоматическое восстановление выполняться не будет,
если восстановление возможно, то система запишет в журнал со-
бытий необходимые данные.
• Без уведомления (Silent) — обнаружение, устранение неполадок
и восстановление поврежденных файлов с автоматическим запу-
ском без интерфейса пользователя. При необходимости переза-
грузки система запишет об этом в журнал событий.
Примечание. Этот параметр вступит в силу только в том случае, если включена
служба политики диагностики DPS. Если служба DPS отключена, то восстановле-
ние поврежденных файлов выполняться не будет.
Если параметр отключен, то восстановление поврежденных файлов вы-
202
202
202
полняться не будет, если параметр не задан, то восстановление поврежден-

ных файлов будет выполняться на уровне выполнения сценария Обычный
(Regular).
ÏÀÐÀÌÅÒÐÛ ÂÎÑÑÒÀÍÎÂËÅÍÈÿ ÏÎÂÐÅÆÄÅÍÍÎÃÎ ÔÀÉËÀ MSI

Эта политика позволяет выбрать способ поведения при восстановлении по-
врежденных установочных файлов MSI. Для управления ею выполните сле-
дующие действия:
ные шаблоны ⇒ Система ⇒ Диагностика ⇒ Восстановление по-
врежденного файла MSI (Computer Configuration ⇒ Administrative
Templates ⇒ System ⇒ Troubleshooting and Diagnostics ⇒ MSI
Corrupted File Recovery).
2. Дважды щелкните мышью по параметру Настройка поведения вос-
становления поврежденного файла MSI (Configure MSI Corrupted
File Recovery Behavior). Откроется диалоговое окно редактирования
• Запрос устранения (Prompt for Resolution) — обнаружение, вы-
явление неполадок и восстановление поврежденных приложе-
ний MSI. При возникновении необходимости в повторной уста-
новке приложения система выведет для пользователя соответ-
ствующее диалоговое окно. Это поведение является поведением
по умолчанию.
• Только выявление неполадок (Troubleshooting Only) — обна-
ружение и проверка повреждения файла будут выполнены без
пользовательского интерфейса. Попытка восстановления не
предпринимается.
• Без уведомления (Silent) — обнаружение, устранение непола-
док и уведомление приложения MSI о повторной установке бу-
дут выполняться без пользовательского интерфейса. При обна-
ружении повреждения система зарегистрирует событие и пред-
ложит повторно запустить приложение. Используется при рабо-
те без монитора и является поведением по умолчанию сервера
Windows при восстановлении.
203
203
203

Если параметр отключен, то будет отключено устранение неполадок и пове-
дение при восстановлении для поврежденных файлов. Если параметр не за-
дан, то значение поведения при восстановлении поврежденных файлов бу-
дет по умолчанию — Запрос устранения (Prompt for Resolution).
ÏÀÐÀÌÅÒÐÛ ÄÈÀÃÍÎÑÒÈÊÈ ÁÛÑÒÐÎÄÅÉÑÒÂÈÿ

ÑÈÑÒÅÌÛ WINDOWS
Для того чтобы определить режим работы средства для диагностики быстро-
действия завершения работы Windows, настройте следующую политику:
ные шаблоны ⇒ Система ⇒ Диагностика ⇒ Диагностика быстро-
действия завершения работы Windows (Computer Configuration
Diagnostics ⇒ Windows Shutdown Performance Diagnostics).
2. Дважды щелкните мышью по параметру Настройки режима запу-
ска сценария (Configure Scenario Execution Level). Откроется диа-
выполнения сценария (Configure Scenario Execution Level) выбери-
те необходимый уровень:
• Определение, установление причин ошибок и их устранение
(Detection, Troubleshooting and Resolution) — служба политики
будет обнаруживать проблемы быстродействия завершения ра-
боты Windows и пытаться определить причины возникновения
проблем. Если причина найдена, то будет предпринята попыт-
ка устранения неполадки или будет уведомление пользователя о
том, как эту проблему устранить.
• Только определение и установление причин ошибок (Detection
and Troubleshooting Only) — проблемы быстродействия заверше-
ния работы будут определяться, а при обнаружении причин воз-
никновения проблем они будут записаны в журнал ошибок. Ни-
каких действий по устранению проблем предпринято не будет.
Если параметр отключен, то система не сможет обнаруживать и устранять
неполадки. Если параметр не задан, то будет использоваться значение по
204
204
204
умолчанию — Определение, установление причин ошибок и их устранение

(Detection, Troubleshooting and Resolution). Этот параметр политики будет
применяться только в том случае, если запущена служба политики диагно-
стики.
Аналогичным способом настраиваются следующие политики:
• Для того чтобы определить режим работы средства для диагностики
быстродействия загрузки Windows, необходимо аналогичным спосо-
бом настроить параметр Настройка режима запуска сценария (Con-
figure Scenario Execution Level), расположенный в узле Конфигура-
ция компьютера ⇒ Административные шаблоны ⇒ Система ⇒
Диагностика ⇒ Диагностика быстродействия загрузки Windows
(Computer Configuration ⇒ Administrative Templates ⇒ System
⇒ Troubleshooting and Diagnostics ⇒ Windows Boot Performance
Diagnostics). Если параметр отключен, то система не сможет обна-
руживать и устранять неполадки. Если параметр не задан, то будет
использоваться значение по умолчанию — Определение, установ-
ление причин ошибок и их устранение (Detection, Troubleshooting
and Resolution).
• Для того чтобы определить режим работы средства для диагно-
стики производительности ждущего режима и возобновления ра-
боты системы, необходимо настроить параметр Настройка режи-
ма запуска сценария (Configure Scenario Execution Level), кото-
рый располагается в узле Конфигурация компьютера ⇒ Админи-
стративные шаблоны ⇒ Система ⇒ Диагностика ⇒ Диагности-
ка производительности ждущего режима и возобновления рабо-
ты Windows (Computer Configuration ⇒ Administrative Templates
⇒ System ⇒ Troubleshooting and Diagnostics ⇒ Windows Standby/
Resume Performance Diagnostics). Если параметр отключен, то систе-
ма не сможет обнаруживать и устранять неполадки. Если параметр
не задан, то будет использоваться значение по умолчанию — Опре-
деление, установление причин ошибок и их устранение (Detection,
Troubleshooting and Resolution).
• Для того чтобы определить режим работы средства для диагностики
скорости отклика системы, необходимо настроить параметр Настрой-
ка режима запуска сценария (Configure Scenario Execution Level),
который располагается в узле Конфигурация компьютера ⇒ Адми-
нистративные шаблоны ⇒ Система ⇒ Диагностика ⇒ Диагности-
ка скорости отклика системы Windows (Computer Configuration ⇒
Administrative Templates ⇒ System ⇒ Troubleshooting and Diagnostics
⇒ Windows Responsiveness Performance Diagnostics). Если параметр
205
205
205
отключен, то система не сможет обнаруживать и устранять пробле-

мы скорости отклика системы. Если параметр не задан, то будет ис-
пользоваться значение по умолчанию — Определение, установле-
ние причин ошибок и их устранение (Detection, Troubleshooting and
Resolution).
• Для того чтобы определить уровень выполнения для обнаружения
и устранения нехватки ресурсов системы, необходимо настроить па-
раметр Настройка режима запуска сценария (Configure Scenario
Execution Level), который располагается в узле Конфигурация ком-
пьютера ⇒ Административные шаблоны ⇒ Система ⇒ Диагно-
стика ⇒ Обнаружение и устранение нехватки ресурсов Windows
(Computer Configuration ⇒ Administrative Templates ⇒ System ⇒
Troubleshooting and Diagnostics ⇒ Windows Resource Exhaustion
Detection and Resolution). Если параметр отключен, то система не
сможет обнаруживать и устранять любые проблемы нехватки ресур-
сов системы. Если параметр не задан, то будет использоваться зна-
чение по умолчанию — Определение, диагностика и устранение
(Detection, Diagnostics and Resolution).
ÏÀÐÀÌÅÒÐÛ ÄÈÀÃÍÎÑÒÈÊÈ ÑÎ ÑÖÅÍÀÐÈÿÌÈ

Вы можете изменить политики так, чтобы модуль диагностики со сценария-
ми проверял подпись всех диагностических пакетов и диагностировал толь-
ко те пакеты, которые подписаны надежными издателями:
шаблоны ⇒ Система ⇒ Диагностика ⇒ Диагностика со сценари-
ями (Computer Configuration ⇒ Administrative Templates ⇒ System
⇒ Troubleshooting and Diagnostics ⇒ Scripted Diagnostics).
2. Дважды щелкните мышью по параметру Настройка политики безо-
пасности для диагностики со сценариями (Configure Security Policy
for Scripted Diagnostics). Откроется диалоговое окно редактирова-
Если этот параметр отключен, то модуль диагностики со сценариями будет
запускать все пакеты с цифровыми подписями.
Также есть возможность разрешения пользователям при наличии доступа в
Интернет получать доступ к сведениям об устранении неполадок, которые
206
206
206
расположены на серверах Microsoft:

2. Дважды щелкните мышью по параметру Устранение неполадок:
разрешить пользователям доступ к сведениям об устранении не-
поладок, расположенным на серверах корпорации Майкрософт,
из компонента «Устранение неполадок» панели управления (че-
рез интернет-службу устранения неполадок Windows (WOTS))
(Troubleshooting: Allow users to access online troubleshooting content
on Microsoft servers from the Troubleshooting Control Panel (via the
Windows Online Troubleshooting Service — WOTS). Откроется диа-
Чтобы получить доступ к сведениям по устранению неполадок из компонен-
та Устранение неполадок (Troubleshooting Control) в панели управления,
необходимо при появлении сообщения Получить самые последние сведе-
ния об устранении неполадок? (Do you want the most up-to-date trouble-
shooting content?) нажать кнопку Да (Yes).
Если параметр отключен, то пользователи могут выполнять поиск по сведе-
ниям об устранении неполадок, расположенным локально на компьютере,
даже при наличии доступа в Интернет.
А если вы хотите разрешить пользователям запускать средства устранения
неполадок, расположенные в компоненте Устранение неполадок (Trouble-
shooting Control) панели управления, то выполните следующие действия:
2. Дважды щелкните мышью по параметру Устранение неполадок:
разрешить пользователям запускать мастера устранения непола-
док (Troubleshooting: Allow users to access and run Troubleshooting
Wizards). Откроется диалоговое окно редактирования параметра по-
литики.
207
207
207

Если этот параметр отключен, то пользователи не смогут запускать средства
устранения неполадок из панели управления, кроме того, пользователям бу-
дет введен запрет на запуск автономных диагностических пакетов.
ÏÀÐÀÌÅÒÐÛ ÄÈÀÃÍÎÑÒÈÊÈ ÑÎÂÌÅÑÒÈÌÎÑÒÈ ÏÐÈËÎÆÅÍÈÉ

По умолчанию помощник по совместимости программ уведомляет пользо-
вателя о блокировке драйвера в случае его несовместимости, а также пред-
лагает найти решение на сайте Microsoft. Чтобы проводилась диагностика
драйверов, которые были заблокированы по причине проблем с совместимо-
стью, активируйте следующий параметр:
шаблоны ⇒ Система ⇒ Диагностика ⇒ Диагностика совмести-
мости приложений (Computer Configuration ⇒ Administrative Tem-
plates ⇒ System ⇒ Troubleshooting and Diagnostics ⇒ Application
Compatibility Diagnostics).
2. Дважды щелкните мышью по параметру Уведомлять о блокирован-
ных драйверах (Notify blocked drivers). Откроется диалоговое окно
3. Установите переключатель в положение Включить (Enabled). На-
жмите кнопку ОК.
Если же параметр отключен, то при блокировке драйвера пользователь не
будет уведомлен об этом, и предложение проверить наличие решения на
сайте Microsoft не поступит.
Примечание. Чтобы параметр был задействован, необходимо, чтобы была запу-
щена служба политики диагностики (DPS) и служба помощника по совместимости
программ.
Бывает, что приложение установки не может запуститься или корректно

работать в операционной системе Windows по той причине, что приложе-
ние создавалось для другой версии системы, как правило, ниже текущей.
По умолчанию помощник совместимости программ обнаруживает сбои в
процессе установки приложений. Вы можете управлять данной функцией,
включив или отключив обнаружение сбоев установки приложений:
208
208
208

2. Дважды щелкните мышью по параметру Обнаружение сбоев уста-
новки приложений (Detect application install failures). Откроется ди-
3. Установите переключатель в положение Включить (Enabled) или
Отключить (Disabled).
Примечание. Данный параметр не будет иметь значения, если отключен Помощ-
ник по совместимости программ. Кроме того, должны быть запущены служба по-
литики диагностики (DPS) и служба помощника по совместимости программ.
При включенном или незаданном параметре помощник совместимости при-

ложений при обнаружении сбоя в процессе установки приложений предло-
жит пользователю перезапустить программу установки в режиме совмести-
мости с операционной системой Microsoft Windows XP.
Вы можете управлять средством обнаружения сбоев приложений, вызван-
ных устаревшими COM-библиотеками:
2. Дважды щелкните мышью по параметру Обнаруживать сбои при-
ложений, вызванных устаревшими библиотеками (Detect applica-
tion failures caused by deprecated COM objects). Откроется диалого-
выполнения сценария (Scenario Execution Level) выберите:
• Обнаружение, диагностика и решение (Detection, Troubleshoot-
ing and Resolution) — при обнаружении сбоя Помощник по со-
вместимости программ уведомит пользователя о найденном сбое
и предложит проверить решения на сайте корпорации Microsoft.
• Только обнаружение и диагностика (Detection and Trouble-
shooting Only) —Помощником по совместимости программ бу-
209
209
209
дут обнаруживаться сбои, однако ничего не будет предпринято

по поводу решения сбоев.
После включения параметра Помощник по совместимости программ будет
обнаруживать сбои, вызванные в результате создания устаревших COM-
объектов.
Аналогичным образом настраиваются остальные параметры в узле Конфи-
гурация компьютера ⇒ Административные шаблоны ⇒ Система ⇒ Ди-
агностика ⇒ Диагностика совместимости приложений (Computer Con-
figuration ⇒ Administrative Templates ⇒ System ⇒ Troubleshooting and
Diagnostics ⇒ Application Compatibility Diagnostics).
После включения параметра Обнаружение сбоев приложений, вызван-
ных устаревшими библиотеками DLL Windows (Detect application failures
caused by deprecated Windows DLLs), Помощник по совместимости про-
грамм будет производить диагностику сбоев программ, которые возникают
при загрузке библиотек DLL.
После включения параметра Обнаружение средств установки приложе-
ний, требующих прав администратора (Detect application installers that need
to be run as administrator), Помощник по совместимости программ будет об-
наруживать сбои программ установки приложений, для которых контролем
учетных записей пользователей не было дано разрешения на запуск с права-
ми администратора. При обнаружении сбоя Помощник по совместимости
предложит перезапустить программу установки с использованием прав ад-
министратора.
После включения параметра Обнаружение приложений, неспособных за-
пустить средства установки при включенном контроле учетных записей
пользователей (UAC) (Detect applications unable to launch installers under
UAC), Помощник по совместимости программ будет обнаруживать сбои
программ, которые возникают в результате попыток запуска дочерних про-
цессов, какими являются программы установки (например, программы уста-
новки обновлений). При обнаружении подобного сбоя Помощник по совме-
стимости программ включит режим совместимости, который позволяет про-
грамме запустить средство установки таким образом, будто оно имеет пра-
ва администратора.
Все эти параметры будут задействованы только в том случае, если включе-
на служба политики диагностики (DPS) и служба Помощника по совмести-
мости программ.
210
210
210
ÏÀÐÀÌÅÒÐÛ ÄÈÀÃÍÎÑÒÈÊÈ ÓÒÅ÷ÊÈ ÏÀÌÿÒÈ WINDOWS

Для управления диагностикой проблем утечки памяти Windows (если пара-
метр не задан, служба диагностики функционирует):
шаблоны ⇒ Система ⇒ Диагностика ⇒ Диагностика утечки памя-
ти Windows (Computer Configuration ⇒ Administrative Templates ⇒
System ⇒ Troubleshooting and Diagnostics ⇒ Windows Memory Leak
Diagnosis).
2. Дважды щелкните мышью по параметру Настройка уровня выпол-
нения сценария (Configure Scenario Execution Level). Откроется ди-
3. Установите переключатель в положение Включить (Enabled) или
Отключить (Disabled). Если вы документируете все свои действия
в отношении групповых политик, оставьте примечания в поле ввода
Комментарий (Comments).
После этого служба политики диагностики DPS сможет диагностировать
проблемы, связанные с утечкой памяти. Если этот параметр отключен, то
служба DPS не сможет диагностировать эти проблемы. Этот параметр бу-
дет задействован лишь в том случае, если запущена служба политики диа-
гностики.
ÓÏÐÀÂËÅÍÈÅ ÇÀÏËÀÍÈÐÎÂÀÍÍÛÌ ÎÁÑËÓÆÈÂÀÍÈÅÌ

Для того чтобы использовать возможность выполнения запланированной
диагностики для обнаружения и решения проблем системы, настройте сле-
дующую политику:
ные шаблоны ⇒ Система ⇒ Диагностика ⇒ Запланированное об-
служивание (Computer Configuration ⇒ Administrative Templates
⇒ System ⇒ Troubleshooting and Diagnostics ⇒ Scheduled Mainte-
nance).
2. Дважды щелкните мышью по параметру Настроить поведение при
запланированном обслуживании (Configure Scheduled Maintenance
Behavior). Откроется диалоговое окно редактирования параметра
политики.
211
211
211

выполнения (Execution Level) выберите необходимый вариант вы-
полнения проверки:
• Обычный (Regular) — система будет периодически выявлять не-
поладки и уведомлять пользователя при обнаружении проблем.
Пользователь сам будет решать проблему.
• Только выявление неполадок (Troubleshooting Only) — система
будет выявлять неполадки, а также устранять часть найденных
неполадок без требования вмешательства пользователя.
Если этот параметр политики не задан, приоритетом будут обладать локаль-
ные предпочтения выявления неполадок, настроенные в панели управле-
ния. Если никакие локальные предпочтения выявления неполадок не зада-
ны, для обнаружения, выявления неполадок и их устранения по умолчанию
включается запланированная диагностика.
ÓÏÐÀÂËÅÍÈÅ ÌÅÕÀÍÈÇÌÎÌ ÎÒÊÀÇÎÓÑÒÎÉ÷ÈÂÎÉ ÊÓ÷È

Механизм работы отказоустойчивой кучи заключается в том, что при по-
вреждении выделенной памяти система будет автоматически отмечать про-
цесс, который вызвал ошибку. При повторной ошибке в течение двух часов
операционная система применит заплатку совместимости на этот процесс.
Вы можете разрешить или запретить работу данного механизма:
шаблоны ⇒ Система ⇒ Диагностика ⇒ Отказоустойчивая куча
(Computer Configuration ⇒ Administrative Templates ⇒ System ⇒
Troubleshooting and Diagnostics ⇒ Fault Tolerant Heap).
2. Дважды щелкните мышью по параметру Настройка уровня выпол-
нения сценария (Configure Scenario Execution Level). Откроется ди-
После этого служба политики диагностики (DPS) сможет обнаруживать и
пытаться автоматически устранить неполадки, связанные с повреждением
кучи. Если параметр не задан, то механизм отказоустойчивой кучи функци-
онирует.
212
212
212
ÓÏÐÀÂËÅÍÈÅ ÑÐÅÄÑÒÂÎÌ ÄÈÀÃÍÎÑÒÈÊÈ ÑËÓÆÁÛ ÒÅÕÍÈ÷ÅÑÊÎÉ

ÏÎÄÄÅÐÆÊÈ
Вы можете разрешить пользователям пользоваться средством диагностики

службы технической поддержки Microsoft для сбора данных диагностики
и их последующей передачи специалистам службы поддержки с целью ре-
шить проблему:
шаблоны ⇒ Система ⇒ Диагностика ⇒ Средство диагностики
службы технической поддержки Майкрософт (Computer Configu-
ration ⇒ Administrative Templates ⇒ System ⇒ Troubleshooting and
Diagnostics ⇒ Microsoft Support Diagnostic Tool).
2. Дважды щелкните мышью по параметру Средство диагностики
службы технической поддержки Майкрософт (MSDT): включите
интерактивное взаимодействие с поставщиком поддержки (Micro-
soft Support Diagnostic Tool: Turn on MSDT interactive communica-
tion with Support Provider). Откроется диалоговое окно редактиро-
По умолчанию поставщиком поддержки является корпорация Microsoft.
Если параметр политики отключен, то средство диагностики службы техни-
ческой поддержки Microsoft не сможет выполняться в режиме поддержки,
а это значит, что никакие данные не будут ни собираться, ни отправляться.
В некоторых случаях для решения проблем средство диагностики службы
технической поддержки Microsoft может запросить у пользователя разреше-
ние на загрузку дополнительных средств диагностики. Это необходимо для
полного устранения возникших проблем. Чтобы ограничить загрузку допол-
нительных средств, выполните следующие действия:
службы технической поддержки Майкрософт: ограничить загруз-
ку служебных средств (Microsoft Support Diagnostic Tool: Restrict
tool download). Откроется диалоговое окно редактирования параме-
213
213
213

4. В области Параметры (Options) в раскрывающемся списке Загруз-
ка инструментальных средств разрешена (Tool downloads allowed)
выберите вариант ограничения загрузки дополнительных средств:
• Локальное и удаленное устранение неполадок (Local and re-
mote troubleshooting) — средство диагностики службы техниче-
ской поддержки Microsoft будет запрашивать разрешение на за-
грузку дополнительных средств.
• Только удаленное устранение неполадок (Remote troubleshoot-
ing only) — средство диагностики службы технической поддерж-
ки Microsoft будет запрашивать у пользователя разрешение на
загрузку дополнительных средств для диагностики проблемы
только на удаленных компьютерах.
Если параметр политики отключить, то средство диагностики службы тех-
нической поддержки Microsoft не сможет загружать дополнительные сред-
ства и производить диагностику проблем на удаленных компьютерах.
А для того чтобы пользователи могли использовать средство диагностики
службы технической поддержки Microsoft для сбора данных диагностики и
их передачи специалистам службы Microsoft, активируйте следующий пара-
метр:
службы технической поддержки Майкрософт: настройка режима
работы (Microsoft Support Diagnostic Tool: Configure execution level).
Если параметр политики отключен, то средство диагностики службы техни-
ческой поддержки Microsoft не сможет собирать данные диагностики. Если
же параметр не задан — средство диагностики включено.
214
214
214
Óïðàâëåíèå ýëåêòðîïèòàíèåì
В этом разделе мы рассмотрим параметры, связанные с управлением элек-
тропитанием, такими как: запрос пароля при выходе из энергосберегающе-
го режима, выбор схемы управления питанием, настройки уведомлений об
энергосбережении (например, низкой зарядке батарей), параметры электро-
питания жесткого диска, действия при нажатии кнопок, отвечающих за пи-
тание, и некоторые другие параметры.
ÂÛÁÎÐ ÑÕÅÌÛ ÓÏÐÀÂËÅÍÈÿ ÏÈÒÀÍÈÅÌ

С помощью этого параметра можно указать, какую схему управления пита-
нием необходимо использовать и при этом запретить пользователям изме-
нять ее:
шаблоны ⇒ Система ⇒ Управление электропитанием (Computer
Configuration ⇒ Administrative Templates ⇒ System ⇒ Power Man-
agement).
2. Дважды щелкните мышью по параметру Выберите текущую схему
управления питанием (Select an Active Power Plan). Откроется диа-
4. В области Параметры (Options), в раскрывающемся списке Теку-
щая схема управления питанием (Active Power Plan), выберите ре-
жим управления питанием:
• Автоматический (Automatic) — полная оптимизация управле-
ния питанием. При необходимости обеспечивает максимальное
быстродействие, при отсутствии активности экономит энергию.
• Высокая производительность (High Performance) — увеличива-
ет производительность и скорость отклика системы. При работе
с переносными компьютерами аккумуляторная батарея разряжа-
ется наиболее быстро.
• Режим экономии энергии (Power Saver) — экономит энергию
за счет снижения быстродействия системы. Схема полезна для
пользователей переносных компьютеров, так как позволяет
дольше сохранять заряд батареи.
Для того чтобы указать настраиваемую схему управления питанием, ис-
215
215
215
пользуйте параметр Настраиваемая текущая схема управления питани-

ем (Specify a Custom Active Power Plan). Здесь выбирается текущая схема
управления питанием согласно указанному GUID-идентификатору схемы
управления питанием. Загрузить идентификатор GUID настраиваемой схе-
мы управления питанием можно при помощи команды powercfg, введен-
ной в командной строке (рис. 5.10).
шаблоны ⇒ Система ⇒ Управление электропитанием (Computer
Configuration ⇒ Administrative Templates ⇒ System ⇒ Power Man-
agement).
2. Дважды щелкните мышью по параметру Укажите настраиваемую
текущую схему управления питанием (Specify a Custom Active Pow-
er Plan). Откроется диалоговое окно редактирования параметра по-
литики.
4. В области Параметры (Options), в поле ввода Настраиваемая схе-
ма управления питанием (Custom Active Power Plan), укажите схе-
му управления питанием в формате идентификатора GUID, напри-
мер d8742dcb-3e6a-4b3c-b3fe-374623cdcf06).
Рис. 5.10. Использование команды powercfg /q
ÓÏÐÀÂËÅÍÈÅ ÏÀÐÀÌÅÒÐÀÌÈ ÆÅÑÒÊÎÃÎ ÄÈÑÊÀ

Изменяя параметры жесткого диска в узле управления электропитанием, вы
можете выбрать период отсутствия активности, после которого система от-
216
216
216
ключит жесткий диск. Для того чтобы указать период отсутствия активно-
сти, выполните следующие действия:
шаблоны ⇒ Система ⇒ Управление электропитанием ⇒ Параме-
тры жесткого диска (Computer Configuration ⇒ Administrative Tem-
plates ⇒ System ⇒ Power Management ⇒ Hard Disk Settings).
2. Дважды щелкните мышью по параметру:
• Отключить жесткий диск (Питание от сети) (Turn Off the Hard
Disk (Plugged In)) — для настройки компьютера, работающего от
электросети (настольный компьютер).
• Отключить жесткий диск (Питание от батареи) (Turn Off the
Hard Disk (On Battery)) — для настройки компьютера, работаю-
щего от батареи (ноутбуки, TabletPC).
4. В области Параметры (Options), в поле Отключить жесткий диск
(Turn Off the Hard Disk) укажите период отсутствия активности, по-
сле которого жесткий диск будет отключен. Период измеряется в се-
кундах.
ÊÎÍÔÈÃÓÐÈÐÎÂÀÍÈÅ ÊÍÎÏÎÊ ÏÈÒÀÍÈÿ

В этом разделе содержатся настройки действий кнопок и действий при за-
крытии крышки ноутбука. Настройки политик в этом разделе не отличают-
ся друг от друга, поэтому мы рассмотрим изменение одного параметра, про
остальные расскажем вкратце.
Для того чтобы настроить действие системы при нажатии на кнопку отклю-
чения питания, выполните следующие шаги:
тры кнопок Конфигурация компьютера ⇒ Административные ша-
блоны ⇒ Система ⇒ Управление электропитанием (Computer Con-
figuration ⇒ Administrative Templates ⇒ System ⇒ Button Settings).
• Выберите действие кнопки включения питания (Питание от
сети) (Select the Power Button Action (Plugged In)) — для на-
217
217
217
стройки кнопки включения питания, если компьютер работает

в режиме питания от электросети.
• Выберите действие кнопки включения питания (Питание от
батареи) (Select the Power Button Action (On Battery)) — для
настройки кнопки включения питания, если компьютер рабо-
тает от батареи.
4. В области Параметры (Options), в раскрывающемся списке Дей-
ствие кнопки включения питания (Button Power Action) выбери-
те, какое действие выполнять системе при нажатии пользователем
кнопки питания.
Для того чтобы выбрать действие системы при нажатии пользователем кноп-
ки перехода в режим сна, используйте параметр Выберите действие кнопки
перехода в режим сна (Select the Sleep Button Action).
Для того чтобы выбрать действие системы при закрытии пользователем
крышки ноутбука, используйте параметр Выберите действие при закрытии
крышки компьютера (Select the Lid Switch Action).
В раскрывающемся списке, расположенном в области Параметры (Options),
могут быть доступны, в зависимости от параметра, следующие пункты:
• Не предпринимать действий (Take no action). При выполнении
пользователем действия, указанного в параметре, система никак не
будет реагировать.
• Гибернация (Hibernate). Перевод компьютера в режим энергосбе-
режения.
• Режим сна (Sleep). Перевод компьютера в спящий режим.
• Выключение (Shut down). Выключение компьютера.
ÓÏÐÀÂËÅÍÈÅ ÏÀÐÀÌÅÒÐÀÌÈ ÐÅÆÈÌÎÂ ÑÍÀ

В этом разделе размещаются параметры различных режимов сна, такие как
время ожидания перехода в режим энергосбережения, запрос пароля при
выходе из спящего режима, препятствование приложений на переход систе-
мы в режим энергосбережения, переход в режим энергосбережения с откры-
тыми сетевыми файлами, а также работу гибридного спящего режима.
218
218
218
ÈÇÌÅÍÅÍÈÅ ÂÐÅÌÅÍÈ ÎÆÈÄÀÍÈÿ ÏÅÐÅÕÎÄÀ

Â ÐÅÆÈÌÛ ÝÍÅÐÃÎÑÁÅÐÅÆÅÍÈÿ
Для того чтобы указать период ожидания перехода системы в режим сна, на-
тры режимов сна (Computer Configuration ⇒ Administrative Tem-
plates ⇒ System ⇒ Power Management ⇒ Sleep Settings).
• Укажите время ожидания перехода в режим сна (Питание от
сети) (Specify the System Sleep Timeout (Plugged In)) — для на-
стройки периода перехода в режим сна, если компьютер работает
в режиме питания от электросети.
• Укажите время ожидания перехода в режим сна (Питание от
батареи) (Specify the System Sleep Timeout (On Battery) — для
настройки периода перехода в режим сна, если компьютер рабо-
тает от батареи.
4. В области Параметры (Options), в поле Время ожидания перехода
системы в режим сна (System Sleep Timeout) укажите период ожи-
дания перехода системы в режим сна, указывается в секундах.
Если система будет не активна в течение указанного времени, то компьютер
перейдет в режим сна. Используйте параметр Укажите время ожидания для
перехода в режим гибернации (Specify the System Hibernate Timeout) для
указания периода бездействия перед тем, как система перейдет в режим ги-
бернации.
Используйте параметр Укажите время ожидания автоматического перехо-
да в режим сна (Specify the Unattended Sleep Timeout) для указания периода
бездействия перед тем, как Windows автоматически перейдет в спящий ре-
жим, если пользователь будет отсутствовать у компьютера. При включении
этого параметра нужно ввести значение, указывающее время отсутствия ак-
тивности в секундах. Если указать 0 секунд, то система не будет автоматиче-
ски переходить в спящий режим.
219
219
219
ÂÊËÞ÷ÅÍÈÅ ÐÅÆÈÌÀ ÇÀÏÐÎÑÀ ÏÀÐÎËÿ ÏÐÈ ÂÛÕÎÄÅ

ÈÇ ÑÏÿÙÅÃÎ ÐÅÆÈÌÀ
По умолчанию система запрашивает пароль профиля пользователя при вы-

ходе из режима сна. Однако запрос пароля можно отключить или, наоборот,
включить (если он отключен), что предотвратит посторонний вход в систе-
му. Для включения запроса пароля, отдельно в режимах питания компьюте-
ра от батареи и электросети, настройте следующую политику:
тры режимов сна (Computer Configuration ⇒ Administrative Tem-
plates ⇒ System ⇒ Power Management ⇒ Sleep Settings).
• Требовать пароль при выходе из спящего режима (Питание от
сети) (Require a Password When a Computer Wakes (Plugged In)).
• Требовать пароль при выходе из спящего режима (Питание от
батареи) (Require a Password When a Computer Wakes (On Bat-
tery)).
ÂÛÁÎÐ ÐÅÆÈÌÀ ÑÍÀ ÏÐÈ ÏÐÎÑÒÎÅ ÊÎÌÏÜÞÒÅÐÀ

Параметр определяет, может ли система использовать различные режимы
при переходе компьютера в режим сна. Если политика Разрешить различ-
ные режимы сна (S1-S3) при простое компьютера (Allow Standby States
(S1-S3) When Sleeping) включена, то система может использовать различ-
ные режимы при переходе компьютера в режим сна. Если этот параметр от-
ключен, единственным разрешенным режимом сна является режим гибер-
нации.
ÍÀÑÒÐÎÉÊÈ ÏÅÐÅÕÎÄÀ ÊÎÌÏÜÞÒÅÐÀ Â ÑÏÿÙÈÉ ÐÅÆÈÌ

Чтобы разрешить приложениям препятствовать переходу системы в режим
сна, включите параметр Разрешить приложениям препятствовать перехо-
ду системы в режим сна (Allow Applications to Prevent Automatic Sleep).
Чтобы разрешить приложениям блокировать переход системы в спящий ре-
жим, включите параметр Разрешить приложениям предотвращать автома-
тический переход в спящий режим (Allow Applications to Prevent Automatic
Sleep).
220
220
220
Некоторые приложения могут блокировать переход системы в режимы

энергосбережения, независимо от того, активен ли компьютер или нет. К та-
ким приложениям относится антивирус, который проверяет на данный мо-
мент компьютер, запущенная дефрагментация жесткого диска, воспроизво-
дящийся фильм или песня и так далее.
Для того чтобы разрешить или запретить переход в спящий режим с откры-
тыми сетевыми файлами, настройте параметр Разрешить автоматический
переход в спящий режим с открытыми сетевыми файлами (Allow Automat-
ic Sleep with Open Network Files).
Также доступен параметр Отключить гибридный спящий режим (Turn Off
Hybrid Sleep), при включении которого система не будет создавать файл
спящего режима при переходе в режим сна.
ÓÏÐÀÂËÅÍÈÅ ÏÀÐÀÌÅÒÐÀÌÈ ÓÂÅÄÎÌËÅÍÈÿ

В этом разделе описаны параметры уведомления пользователя о текущем
состоянии батареи.
Чтобы указать уровень сигнала батареи, при котором включается сигнал
низкого заряда батареи, настройте следующую политику:
тры уведомления (Computer Configuration ⇒ Administrative Tem-
plates ⇒ System ⇒ Power Management ⇒ Notification Settings).
2. Дважды щелкните мышью по параметру Уровень сигнала низкого
разряда батареи (Low Battery Notification Level). Откроется диало-
4. В области Параметры (Options), в поле Уровень сигнала низкого
заряда батареи (Low Battery Notification Level) введите, на сколько
процентов должна быть заряжена батарея, чтобы включился сигнал
низкого заряда батареи.
ments).
Аналогично настраивается уровень сигнала почти полной разрядки бата-
реи (параметр Уровень сигнала почти полной разрядки батареи (Critical
221
221
221
Battery Notification Level)) и параметр Уровень сигнала резервной батареи

(Reserve Battery Notification Level), только в этом случае указанный уровень
сигнала батареи означает включение сигнала использования резервной ба-
тареи.
По желанию, можно отключить уведомление о низком уровне заряда бата-
реи, активировав параметр Отключить уведомление при низком уровне за-
ряда батареи (Turn Off Low Battery User Notification). Для установки уров-
ня низкого уровня заряда батареи используйте параметр Уровень низкого
сигнала заряда батареи (Low Battery Notification Level). Уведомление бу-
дет показано только в том случае, если параметр Действие при низком заря-
де батареи (Low Battery Notification Action) имеет значение Не предприни-
мать действий (Take no action).
Кроме этого, можно настроить поведение системы при разряде батареи. Для
этого используйте параметры Действие при почти полной разрядке бата-
реи (Critical Battery Notification Action) и Действие при низком заряде ба-
тареи (Low Battery Notification Action). Действие выбирается в раскрыва-
ющемся списке области Параметры (Options), расположенного в диалого-
вом окне редактирования параметра политики. На выбор предложено четы-
ре варианта:
• Не предпринимать действий (Take no action). При выполнении
пользователем действия, указанного в параметре, система никак не
будет реагировать.
• Гибернация (Hibernate). Перевод компьютера в режим энергосбе-
режения.
• Режим сна (Sleep). Перевод компьютера в спящий режим.
• Выключение (Shut Down). Выключение компьютера.
ÓÏÐÀÂËÅÍÈÅ ÏÀÐÀÌÅÒÐÀÌÈ ÝÊÐÀÍÀ È ÂÈÄÅÎ

Вы можете указать уровень яркости экрана при автоматическом снижении
яркости операционной системой, как в случае питания компьютера от элек-
тросети, так и от батареи:
тры экрана и видео (Computer Configuration ⇒ Administrative Tem-
plates ⇒ System ⇒ Power Management ⇒ Video and Display Settings).
222
222
222
• Указать яркость монитора (Питание от сети) (Specify the Dis-

play Brightness (Plugged In)).
• Указать яркость монитора (Питание от батареи) (Specify the
Display Brightness (On Battery)).
4. В области Параметры (Options), в поле Уменьшение яркость мони-
тора (Display Dim Brightness) введите, на сколько процентов долж-
на быть уменьшена яркость монитора при автоматическом уменьше-
нии яркости монитора системой. Яркость монитора указывается в
процентах.
Чтобы указать период бездействия системы, после которого автоматически
будет снижена яркость монитора, включите параметр Уменьшить яркость
монитора (Reduce Display Brightness). В поле Уменьшить яркость монито-
ра (Reduce Display Brightness), расположенном в области Параметры (Op-
tions), укажите количество секунд. Если компьютер будет неактивен в тече-
ние этого времени, то яркость монитора будет уменьшена. Аналогично на-
страивается параметр Отключить дисплей (Turn Off the Display), по исте-
чении указанного в котором времени операционная система отключает ди-
сплей.
Вы можете управлять фоновым показом слайдов на рабочем столе, активи-
ровав или отключив параметр Включить фоновый показ слайдов на рабо-
чем столе (Turn On Desktop Background Slideshow).
Для того чтобы система автоматически настроила параметры, указываю-
щие промежуток отсутствия активности, после которого система отклю-
чала бы монитор компьютера, включите параметр Выключить адаптивное
время ожидания выключения дисплея (Turn Off Adaptive Display Timeout).
При включении этой политики система автоматически настроит параметры,
основываясь на активности мыши и клавиатуры, для предотвращения вы-
ключения дисплея.
Прочитав эту главу, вы должны были получить необходимые знания о том,
как настроить параметры системных элементов Windows, используя Редак-
тор локальной групповой политики: теперь вы знаете, как ограничить ис-
пользование определенных компонентов системы, как настроить параметры
профилей пользователей, параметры энергопотребления, как настроить па-
раметры групповых политик и многое другое.
223
223
223
Ãëàâà 6.
Êîíôèãóðèðîâàíèå
Windows 7
В этой главе мы рассмотрим приемы настройки и назначения сценариев в
операционной системе Windows, а также углубимся в параметры браузера
Internet Explorer, находящиеся в узле Конфигурация Windows (Windows
Settings). Эти параметры отличны от описываемых в главе 8, посвященной
настройке Internet Explorer.
Ñîïîñòàâëåíèå ñöåíàðèåâ ñîáûòèÿì â

ðàáîòå ñèñòåìû
Сценарием в информационных технологиях принято называть небольшую
и несложную программу, которая автоматизирует решение некоторой при-
кладной задачи. Чаще всего такую задачу пользователь мог бы выполнить и
вручную, но в силу повторяемости действий целесообразно избавить его от
рутинных операций. Как синоним слова «сценарий» часто используется тер-
мин «скрипт».
Сценарии для операционной системы семейства Windows обычно пишут-
ся на одном из специализированных скриптовых языков. Наиболее распро-
странены среди них VBScript и Jscript — их поддержка уже много лет встро-
ена во все операционные системы семейства Windows. В последние годы
набирает силу новое мощное средство автоматизации от компании Micro-
soft — Windows PowerShell. Оно также интегрировано в Windows 7. Здесь
можно вставить ссылку на книги издательства по скриптовым языкам, если
таковые есть.
Групповая политика позволяет «привязывать» сценарии к двум группам со-
бытий, каждая из которых в свою очередь включает два события:
1. События в работе компьютера в целом:
• запуск компьютера;
• завершение работы компьютера.
2. События в работе отдельного пользователя:
• вход пользователя в систему;
• выход пользователя из системы.
225
225
225
Групповая политика — не единственное средство, которое позволяет выпол-

нить какое-либо действие в момент запуска операционной системы или в
момент входа пользователя в систему. В любой операционной системе се-
мейства Windows для этого можно также прибегнуть к помещению ярлыков
в папки автозагрузки или редактированию реестра. А вот других возможно-
стей выполнить скрипт в момент выхода пользователя из системы и в мо-
мент завершения работы компьютера операционная система не предостав-
ляет.
Поскольку события, которым можно сопоставлять сценарии, принадлежат к
двум разным типам, в редакторе локальной групповой политике они разме-
щены в разных ветвях дерева параметров:
• Для работы со сценариями, которые относятся к работе компьюте-
ра в целом, откройте узел Конфигурация компьютера ⇒ Конфи-
гурация Windows ⇒ Сценарии (запуск/завершение) (Computer
Configuration ⇒ Windows Settings ⇒ Scripts (Startup/Shutdown)).
В правой части окна отобразится два параметра — Автозагрузка
(Startup) и Завершение работы (Shutdown).
• Для работы со сценариями, которые относятся к работе отдельно-
го пользователя, следует открыть узел Конфигурация пользователя
⇒ Конфигурация Windows ⇒ Сценарии (вход/выход из системы)
(User Configuration ⇒ Windows Settings ⇒ Scripts (Logon/Logoff)).
В правой части окна отобразится два параметра — Вход в систему
(Logon) и Выход из системы (Logoff).
Интерфейс настройки сценариев для всех четырех событий одинаков. Поэ-
тому рассмотрим его на одном примере. Допустим, необходимо сопоставить
скрипт с расширением .vbs моменту выхода пользователя из системы. Для
этого проделайте следующее:
1. Откройте узел Конфигурация пользователя ⇒ Конфигурация
Windows ⇒ Сценарии (вход/выход из системы) (User Configura-
tion ⇒ Windows Settings ⇒ Scripts (Logon/Logoff)).
2. Дважды щелкните мышью по параметру Выход из системы (Logoff).
3. Убедитесь, что активна вкладка Сценарии (Scripts), и нажмите кноп-
ку Добавить (Add). В открывшемся диалоговом окне Добавление
сценария (Add a Script) нажмите кнопку Обзор (Browse). Появится
стандартное окно выбора файлов.
4. Любым известным вам способом перейдите в папку, в которой хра-
нится подготовленный скрипт, выберите его и нажмите кнопку От-
226
226
226
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
крыть (Open). Вы вернетесь в окно Добавление сценария (Add a

Script), в котором поле Имя сценария (Script Name) теперь содер-
жит имя выбранного файла.
5. Если требуется, укажите параметры сценария — так, как они обычно
вводятся в командной строке. Затем нажмите кнопку OK. Окно До-
бавление сценария (Add a Script) закроется, вы вновь окажетесь в
окне редактирования параметра политики. В списке сценариев поя-
вился новый пункт.
6. Для завершения работы с данным параметром политики нажмите
кнопку OK.
Диалоговое окно редактирования параметра политики, которым мы только
что воспользовались, также содержит кнопки действий над уже имеющими-
ся сценариями — Изменить (Edit) и Удалить (Remove). Когда сценариев не-
сколько, кнопки Вверх (Up) и Вниз (Down) помогут выстроить их в пра-
вильной очередности.
В рассмотренном примере требовалось добавить сценарий, написанный на
языке VBScript, — на это указывает его расширение — .vbs. Сценарии JScript
(*.js) также добавляются с вкладки Сценарии (Scripts). А вот сценарии Win-
dows PowerShell (*.ps1) следует добавлять с отдельной вкладки. Но ее воз-
можности и устройство аналогичны.
Важная тонкость настройки сценариев связана с выбором их оптимального
местоположения. Из вышеизложенного видно, что в принципе скрипты мо-
гут располагаться в любой локальной или сетевой папке, до которой пользо-
ватель способен добраться стандартными приемами навигации. Однако при
этом следует внимательно конфигурировать права доступа к такой папке.
Предположим, файл скрипта размещен в одной из рабочих папок пользова-
теля с правами администратора. В момент выхода из системы пользователя-
владельца папки скрипт успешно выполнится. А вот при выходе пользовате-
ля, который не наделен правами доступа к данной папке, скрипт будет про-
игнорирован.
Чтобы избежать этого, целесообразно предварять добавление скриптов их
перемещением в специально предназначенные для этого папки. Для этого:
1. Откройте диалоговое окно редактирования параметра политики —
в нашем примере это окно Свойства: Выход из системы (Logoff
Properties). Повторимся, что для этого следует открыть узел Кон-
фигурация пользователя ⇒ Конфигурация Windows ⇒ Сценарии
(вход/выход из системы) (User Configuration ⇒ Windows Settings
⇒ Scripts (Logon/Logoff)) и дважды щелкнуть мышью по параметру
Выход из системы (Logoff).
227
227
227
2. Нажмите кнопку Показать файлы (Show Files). Откроется стан-

дартное окно папки с файлами (рис. 6.1). Обратите внимание на
адрес папки, в которой вы оказались. В нашем примере это C:\Win-
dows\System32\GroupPolicy\User\Scripts\Logoff. Эта папка заре-
зервирована для скриптов, сопоставленных выходу пользователя из
системы. А, скажем, для скриптов, выполняемых при запуске ком-
пьютера, система предложит папку C:\Windows\System32\Group-
Policy\Machine\Scripts\Startup.
Рис. 6.1. Окно для работы с файлами, которое открывается по нажатии кнопки
Показать файлы в диалоговом окне Свойства: Выход из системы
3. Любым удобным способом переместите файл сценария в папку, от-

веденную для скриптов данного типа. Например, это можно сделать
перетаскиванием из одного окна для работы с файлами в другое.
Когда сценарии сконцентрированы в отведенном для них месте, их следует
добавить описанным выше способом.
Наконец, учитывайте, что сценарии следует сопоставлять различным собы-
тиям с осторожностью. Они способны удлинять процедуры выключения и
выключения компьютера, причем обычный пользователь не всегда понима-
ет причину задержки. Так, при завершении работы операционная система,
обнаружив указание выполнить даже самый простой сценарий, резервиру-
228
228
228
ет существенный интервал времени. Внешне это напоминает зависание ком-

пьютера в момент выключения. На самом деле сценарий исправно работа-
ет, но длительная задержка на экране надписи Завершение работы (Shating
down) способна вызывать у неопытных пользователей беспокойство.
Êîìïîíåíò ëîêàëüíîé ãðóïïîâîé ïîëèòèêè

Ïîëèòèêà ðàçðåøåíèÿ èìåí
Компонент Политика разрешения имен (Name Resolution Policy) специфи-
чен. В рамках данной книги мы опустим подробный разбор его параметров,
а лишь в общей форме охарактеризуем место этого компонента в конфигу-
рировании Windows.
Одна из основ современных компьютерных сетей — система доменных имен
и их разрешения. Весь Интернет и подавляющая часть локальных сетей в
настоящее время работают по протоколу (т. е. набору правил) TCP/IP. Со-
гласно этим правилам, каждый узел сети имеет числовой IP-адрес — на этих
адресах и основано все сетевое взаимодействие. Однако человеку гораздо
удобнее работать с символьными именами узлов. Такие имена организованы
иерархически — в группы, называемые доменами. Соответственно, они по-
лучили название доменных. Например, www.yandex.ru — это доменное имя,
которое указывает, что в домене первого уровня ru имеется домен второго
уровня yandex, в котором, в свою очередь, имеется узел с именем www.
Сопоставление доменных имен IP-адресам осуществляют DNS-серверы (от
англ. domain name system — система доменных имен). Когда в какой-либо
программе пользователь набирает www.yandex.ru, эта текстовая строка от-
сылается DNS-серверу. Он анализирует полученный запрос по своей базе
адресных данных и возвращает компьютеру-клиенту указание: обратитесь
по IP-адресу 213.180.204.3.
Настраивая свое сетевое подключение, вы обычно сообщаете операционной
системе IP-адрес DNS-сервера, которым она должна пользоваться. Возмож-
ны также настройки, при которых этот адрес доставляется на ваш компью-
тер автоматически. Выбор между автоматическим и ручным вариантами на-
стройки DNS зависит от того, как сконфигурировал вашу сеть ее админи-
стратор.
Эта изначальная архитектура системы разрешения имен обладает рядом не-
достатков.
Во-первых, она весьма уязвима. Грамотный злоумышленник в силах перена-
править запрос по символьному имени на подставной сервер. Пользователь
229
229
229
не подозревает о том, что его запрос был перенаправлен, а потому беззаботно

доверяет подставному узлу конфиденциальную информацию — например,
пароль или реквизиты своей кредитной карты. Чтобы снизить такие риски,
систему разрешения имен расширили спецификацией DNSSEC. Суть этой
спецификации в том, что ответы от сервера разрешения имен имеют цифро-
вую подпись. Проверяя эту подпись, программное обеспечение на компью-
тере пользователя может убедиться в верности и целостности информации.
Другой недостаток DNS обозначился с ростом мобильности компьютеров.
Когда компьютер работает внутри сети своего предприятия, его операцион-
ная система обращается для разрешения имен к внутрифирменному серверу
DNS. Этот сервер наряду с информацией об общедоступных узлах глобаль-
ной сети (таких, как поисковые системы, социальные сети и т. п.), содержит
имена и адреса узлов в пределах организации (их совокупность часто назы-
вают интрасетью).
Но многие пользователи, убывая со своими служебными портативными ком-
пьютерами за пределы офиса, хотят издалека работать с информацией, кото-
рая размещена на внутрифирменных узлах, как если бы находились на сво-
ем рабочем месте. Это плохо согласуется с традиционным подходом к разре-
шению имен — ведь сетевое соединение ноутбука, который вошел в Интер-
нет в другом городе, «привязано» уже не к внутрифирменному DNS-серверу,
а к тому, который соответствует сети места пребывания.
Операционная система Windows предлагает решение этой проблемы — тех-
нологию DirectAccess, которая позволяет получать удаленный доступ к ре-
сурсам интрасети на тех же принципах, что и внутри интрасети. Кроме
основного DNS-сервиса, в Windows можно настроить таблицу политик раз-
решения имен (NRPT). Говоря упрощенно, в этой таблице хранится набор
указаний — в каком случае к какому DNS-серверу обращаться за разреше-
нием того или иного имени, а также какие требования к безопасности при
этом соблюдать. Компонент Политика разрешения имен (Name Resolution
Policy) как раз и позволяет заполнить такую таблицу.
Из вышесказанного очевидно: эти настройки актуальны только в тех се-
тях, где реализована данная функциональность. Там, где таблица поли-
тик разрешения имен возможна и необходима, ее задают специалисты-
администраторы в тесной увязке с настройками серверов.
Если это не ваш случай, следует воздержаться от внесения изменений в этот
компонент. А если вы хотите подробнее разобраться с такими понятиями,
как DirectAccess и таблица политик разрешения имен, вам стоит познако-
миться с материалами компании Microsoft для администраторов сетей, пре-
жде всего — с библиотекой сайта Microsoft TechNet (technet.microsoft.com/
ru-ru/library/).
230
230
230
Êîìïîíåíò ëîêàëüíîé ãðóïïîâîé ïîëèòèêè

Íàñòðîéêà Internet Explorer
В настоящее время браузер стал одним из основных инструментов работы на
компьютере. Изначально Всемирная паутина, для работы с которой предна-
значаются программы данного типа, была лишь местом поиска и просмотра
текстовой и графической информации. Но благодаря многообразию совре-
менных интернет-сервисов современный браузер позволяет решать очень
широкий спектр рабочих задач. Некоторые пользователи проводят в нем от
20 до 80 процентов времени работы за компьютером. Поэтому грамотная на-
стройка этого инструмента — важнейшая часть конфигурирования рабочей
среды современного пользователя.
Локальные групповые политики предоставляют большой выбор возмож-
ностей для настройки браузера, входящего в состав операционной системы
Windows — Internet Explorer. Параметры обозревателя Internet Explorer со-
средоточены в трех различных местах:
• Компонент Настройка Internet Explorer (Internet Explorer Main-
tenance). Он расположен в ветви Конфигурация пользователя ⇒
Конфигурация Windows (User Configuration ⇒ Windows Settings).
• Ветви Internet Explorer. Ветви с таким названием присутствуют в
двух местах:
o Одна ветвь Internet Explorer расположена в разделе, отве-
чающем за административные политики компьютера в це-
лом. Чтобы добраться до нее, откройте узел Конфигурация
компьютера ⇒ Административные шаблоны ⇒ Компонен-
ты Windows (Computer Configuration ⇒ Administrative Tem-
plates ⇒ Windows Components).
o Вторая ветвь Internet Explorer находится в разделе админи-
стративных политик отдельного пользователя. Чтобы рабо-
тать с этой частью настроек, откройте узел Конфигурация
пользователя ⇒ Административные шаблоны ⇒ Компо-
ненты Windows (User Configuration ⇒ Administrative Tem-
plates ⇒ Windows Components).
В этой главе мы рассматриваем только первый из перечисленных разделов.
В двух следующих параграфах мы обсудим общие подходы к использованию
компонента Настройка Internet Explorer (Internet Explorer Maintenance),
затем пройдемся по конкретным параметрам этого компонента, а в заверше-
ние покажем, как параметры раздела Настройка Internet Explorer (Internet
231
231
231
Explorer Maintenance) можно экспортировать для последующего примене-

ния в автоматической настройке браузера.
ÎÁÙÀÿ ÕÀÐÀÊÒÅÐÈÑÒÈÊÀ ÊÎÌÏÎÍÅÍÒÀ ÍÀÑÒÐÎÉÊÀ INTERNET

EXPLORER
Компонент Настройка Internet Explorer (Internet Explorer Maintenance) со-
держит шесть разделов (узлов, ветвей) c параметрами локальной групповой
политики (рис. 6.2):
• Пользовательский интерфейс обозревателя (Browser User Inter-
face);
• Подключение (Connection);
• URL-адреса (URLs);
• Безопасность (Security);
• Программы (Programs);
• Дополнительно (Advanced).
Рис. 6.2. Окно Редактора локальной групповой политики с развернутым

компонентом Настройка Internet Explorer в режиме предпочтений
232
232
232
Работа с компонентом Настройка Internet Explorer (Internet Explorer Main-

tenance) может вестись в двух режимах. В режиме, который установлен по
умолчанию, раздел Дополнительно (Advanced) не отображается. Чтобы
увидеть его, необходимо переключиться в так называемый режим предпо-
чтений. Для этого щелкните правой кнопкой мыши по названию компонен-
та Настройка Internet Explorer (Internet Explorer Maintenance) и в появив-
шемся контекстном меню выберите пункт Режим предпочтений (Preference
Mode) (рис. 6.3).
Рис. 6.3. Окно Редактора локальной групповой политики, в котором вызвано

контекстное меню для перехода в режим предпочтений
Выбирая между обычным режимом редактирования ветви Настройка Inter-

net Explorer (Internet Explorer Maintenance) и режимом предпочтений, сле-
дует учитывать два момента:
• Переход в режим предпочтений делает доступной ветвь Дополни-
тельно (Advanced), однако некоторые параметры других ветвей, ко-
торые открыты для изменения в обычном режиме, перестают быть
редактируемыми. Например, в обычном режиме можно изменить за-
головок обозревателя, а в режиме предпочтений этот параметр недо-
ступен.
• Выбор режима следует осуществить в самом начале работы с раз-
233
233
233
делом, поскольку его невозможно менять по ходу редактирования.

Условием такого переключения является отсутствие пользователь-
ских настроек в ветви Настройка Internet Explorer (Internet Ex-
plorer Maintenance). Если попытаться перейти в режим предпочте-
ний после того, как отдельные параметры ветви были откорректиро-
ваны, Редактор локальной групповой политики (Local Group Policy
Editor) сначала предложит сбросить все внесенные изменения.
Чтобы выполнить сброс внесенных в ветвь Настройка Internet Explorer (In-
ternet Explorer Maintenance) изменений, щелкните правой кнопкой мыши
по названию ветви и в появившемся контекстном меню выберите команду
Сброс параметров обозревателя (Reset Browser Settings). Ветвь приобре-
тет свой первоначальный вид. Этой же командой осуществляется и возврат
из режима предпочтений в обычный режим. Все внесенные изменения при
этом также утрачиваются.
Среди описанных в этой главе параметров компонента Настройка Internet
Explorer (Internet Explorer Maintenance) есть несколько, которые доступны
только из Редактора локальной групповой политики (Local Group Policy
Editor). Но все же большинство из них имеет аналоги в диалоговом окне
Свойства обозревателя (Internet Options), которое должно быть хорошо
знакомо каждому пользователю Internet Explorer. На это диалоговое окно
мы далее будем неоднократно ссылаться. На всякий случай напомним, что
попасть в него можно как минимум двумя способами:
• Способ первый. Любым удобным способом запустите Internet Ex-
plorer и в его окне выберите команду Сервис ⇒ Свойства обозрева-
теля (Tools ⇒ Internet Options).
• Способ второй. Любым удобным способом откройте домашнюю
страницу Панели управления и в ее окне выполните команду Сеть и
интернет ⇒ Свойства обозревателя (Network and Internet ⇒ Inter-
net Options).
Некоторые из параметров компонента Настройка Internet Explorer (Inter-
net Explorer Maintenance) не требуется задавать вручную в Редакторе ло-
кальной групповой политики (Local Group Policy Editor). Вместо этого они
импортируется из текущих настроек операционной системы. Поэтому ло-
гично до начала работы с этим компонентом навести порядок в текущих под-
ключениях Internet Explorer, настройках программ для работы с Интерне-
том, безопасности, конфиденциальности, ограничения доступа.
234
234
234
ÑÐÀÂÍÅÍÈÅ ÊÎÌÏÎÍÅÍÒÀ ÍÀÑÒÐÎÉÊÀ INTERNET EXPLORER

È ÀÄÌÈÍÈÑÒÐÀÒÈÂÍÛÕ ØÀÁËÎÍÎÂ
Повторимся, что в Редакторе локальной групповой политики (Local Group

Policy Editor) есть несколько ветвей, которые имеют отношение к конфигу-
рированию Internet Explorer. Поэтому важно понять различия между компо-
нентом, который мы рассмотрим в этой главе, и административными шабло-
нами, которым посвящены другие главы данной книги.
Самое главное заключается в том, что рассматриваемая в этой главе На-
стройка Internet Explorer (Internet Explorer Maintenance) — это скорее со-
вокупность рекомендаций, а административные шаблоны — средство при-
нуждения пользователя.
Предположим, вы хотите назначить всем пользователям данного компьюте-
ра одну и ту же домашнюю страницу. У вас два пути:
• С одной стороны, вы можете открыть узел локальной политики Кон-
фигурация пользователя ⇒ Конфигурация Windows ⇒ Настрой-
ка Internet Explorer ⇒ URL-адреса (User Configuration ⇒ Windows
Settings ⇒ Internet Explorer Maintenance ⇒ URLs) и в параметре
Важные адреса URL (Important URLs) задать домашнюю страницу.
• С другой стороны, узел Конфигурация пользователя ⇒ Админи-
стративные шаблоны ⇒ Компоненты Windows ⇒ Internet Explor-
er (User Configuration ⇒ Administrative Templates ⇒ Windows Com-
ponents ⇒ Internet Explorer) содержит параметр Отключить изме-
нение параметров домашней страницы (Disable changing home page
Settings). В этом параметре вы также можете ввести свое значение.
Если вы пойдете первым путем, пользователь, домашняя страница которо-
го после применения политики однократно изменится, в любой момент смо-
жет ввести вместо вашего значения любое другое. Для этого он должен прой-
ти в диалоговое окно Свойства обозревателя (Internet Options) и на вклад-
ке Общие (General) поменять домашнюю страницу.
Административный шаблон такую возможность исключает. При его при-
менении элементы управления в диалоговом окне Свойства обозревателя
(Internet Options), отвечающие за смену домашней страницы, будут недо-
ступны. В нижней части диалогового окна пользователь увидит предупре-
ждение Некоторыми параметрами управляет системный администратор
(Some Settings are managed by your system administrator).
Вместе с тем следует учитывать, что административные шаблоны позволя-
ют, по сути, превратить параметры компонента Настройка Internet Explorer
(Internet Explorer Maintenance) из рекомендательных в принудительные.
235
235
235
Если вы хотите, чтобы настройки Internet Explorer, о которых пойдет речь

в данной главе, обновлялись при обновлении объекта групповой политики,
проделайте следующее:
шаблоны ⇒ Система ⇒ Групповая политика (Computer Configura-
tion ⇒ Administrative Templates ⇒ System ⇒ Group Policy).
2. Дважды щелкните мышью по параметру Обработка политики на-
стройки Internet Explorer (Internet Explorer Maintenance policy pro-
cessing). Откроется диалоговое окно редактирования параметра по-
литики.
3. Установите переключатель политики в положение Включить (En-
abled).
4. С помощью флажков раздела Параметры (Options) сформируйте
оптимальный сценарий обработки этой политики.
5. Нажмите кнопку OK.
С этого момента параметры, которые вы внесли с помощью компонента На-
стройка Internet Explorer (Internet Explorer Maintenance), будут воспро-
изводиться. Если вернуться к рассмотренному выше примеру с изменени-
ем домашней страницы, то это означает следующее. Пользователь сможет в
диалоговом окне Свойства обозревателя (Internet Options) поменять свою
домашнюю страницу. Но после обновления групповой политики обозрева-
тель вновь получит ту домашнюю страницу, которая предписана в компо-
ненте Настройка Internet Explorer (Internet Explorer Maintenance). Напри-
мер, это может произойти при перезагрузке операционной системы.
ÍÀÑÒÐÎÉÊÀ ÏÎËÜÇÎÂÀÒÅËÜÑÊÎÃÎ ÈÍÒÅÐÔÅÉÑÀ ÎÁÎÇÐÅÂÀÒÅËÿ

В ветви Пользовательский интерфейс обозревателя (Browser User Inter-
face) есть только один параметр, который представляет практическую цен-
ность для пользователей Windows 7 — он позволяет настроить название ком-
пании, отображаемое в заголовке окна браузера. Внести такие изменения из
интерфейса Internet Explorer невозможно, хотя опытные пользователи мо-
гут для решения этой задачи прибегнуть к редактированию реестра.
Чтобы произвести настройку заголовка обозревателя средствами локальной
групповой политики, проделайте следующее:
Windows ⇒ Настройка Internet Explorer ⇒ Пользовательский ин-
терфейс обозревателя (User Configuration ⇒ Windows Settings ⇒
236
236
236
Internet Explorer Maintenance ⇒ Browser User Interface).

2. Дважды щелкните мышью по параметру Заголовок обозревателя
(Browser Title). Откроется диалоговое окно редактирования параме-
3. Установите флажок Изменить заголовки окон (Customize Title
Bars). Поле Текст в заголовке (Title Bar Text) станет доступным для
редактирования.
4. Введите в поле Текст в заголовке (Title Bar Text) название компа-
нии, которое вы хотите видеть в заголовке браузера.
Предположим, вы ввели в поле Текст в заголовке (Title Bar Text) слово Ра-
дуга. Если теперь запустить Internet Explorer, то его заголовок будет выгля-
деть так, как представлено на рис. 6.4.
Рис. 6.4. Заголовок окна обозревателя Internet Explorer, к которому добавлен

пользовательский текст
В режиме предпочтений изменение заголовка обозревателя недоступно.

В ветви Пользовательский интерфейс обозревателя (Browser User Inter-
face) также присутствуют разделы Эмблема и анимированные рисунки
(Custom Logo and Animated Bitmaps) и Настройка панели инструментов
обозревателя (Browser Toolbar Customizations). Они сохранились от уста-
ревших версий Internet Explorer. Их редактирование не внесет никаких из-
менений в пользовательский интерфейс Internet Explorer версии 8.0 и выше,
которая включена в состав операционной системы Windows 7.
ÏÀÐÀÌÅÒÐÛ ÏÎÄÊËÞ÷ÅÍÈÿ INTERNET EXPLORER

Обозреватель Internet Explorer позволяет гибко настраивать подключение
к сети. Простейший способ начать работу с Интернетом — подключиться
к нему посредством локальной сети, если она соединена с сетью глобаль-
237
237
237
ной и настроена. Также можно создать одно или несколько комментируе-

мых подключений различных типов — через DSL, сетевой кабель, модем.
Для каждого коммутируемого подключения определяются свой логин и па-
роль, конфигурируются параметры автоматической настройки обозревате-
ля и прокси-сервера. Созданные подключения можно согласовать между со-
бой: например, ноутбук, с которым вы много перемещаетесь, можно настро-
ить таким образом, чтобы при наличии локальной сети Internet Explorer пы-
тался подключиться через нее, а в случае отсутствия сети — инициировал за-
пуск коммутируемого модемного соединения. Поверх созданных подключе-
ний можно использовать виртуальные частные сети (VPN).
Пользователь Internet Explorer может изменить все эти настройки на вклад-
ке Подключения (Connections) диалогового окна Свойства обозревате-
ля (Internet Options). Новичку ввод многочисленных настроек может пока-
заться затруднительным, но чаще всего задача сводится к тому, чтобы сле-
довать пошаговым инструкциям своего интернет-провайдера. В случае за-
труднений стоит в первую очередь воспользоваться справкой, встроенной в
операционную систему. Чтобы обратиться к ней, достаточно, например, щел-
кнуть мышью на кнопке с вопросительным знаком в правом верхнем углу
вкладки Подключения (Connections) диалогового окна Свойства обозрева-
теля (Internet Options).
Локальная групповая политика добавляет в эту технологию возможность
быстрого клонирования настроек по другим пользователям, а при необхо-
димости — и по другим компьютерам. Чтобы распространить готовые пара-
метры подключения к Интернету на других пользователей, сделайте следу-
ющее:
Windows ⇒ Настройка Internet Explorer ⇒ Подключение (User
Configuration ⇒ Windows Settings ⇒ Internet Explorer Maintenance
⇒ Connection).
2. Дважды щелкните мышью по параметру Параметры подключения
(Connection Settings). Откроется диалоговое окно редактирования
3. Установите переключатель Параметры подключения (Connection
Settings) в положение Импортировать текущие параметры подклю-
чения с этого компьютера (Import the current Connection Settings
from this machine). Кнопка Изменить параметры (Modify Settings)
станет доступной.
4. Если вы не уверены в полноте и точности текущих настроек под-
ключения, щелкните мышью по кнопке Изменить параметры (Mod-
238
238
238
ify Settings). Откроется уже упоминавшаяся вкладка Подключения

(Connections), к которой мы ранее получали доступ из диалогового
окна Свойства обозревателя (Internet Options).
5. Используя возможности открывшегося диалогового окна, просмо-
трите, а при необходимости — отредактируйте параметры текущих
подключений компьютера. Внесенные изменения зафиксируйте
кнопкой OK, в противном случае закройте диалоговое окно кнопкой
Отмена (Cancel).
6. Если импорт настроек должен сопровождаться удалением существу-
ющих параметров подключения, установите флажок Удалить суще-
ствующие параметры подключения коммутируемого соединения
(Delete existing Dial-up Connection Settings) в нижней части диало-
гового окна Параметры подключения (Connection Settings).
В результате пользователи, для которых формулировалась данная политика,
получат унифицированный набор подключений Internet Explorer.
ÀÂÒÎÌÀÒÈ÷ÅÑÊÀÿ ÍÀÑÒÐÎÉÊÀ ÎÁÎÇÐÅÂÀÒÅËÿ

Существует две разновидности автоматической настройки браузера Internet
Explorer в локальной сети:
• Администратор может так настроить сеть, чтобы браузер, не имея
никакой изначальной информации, находил настройки самостоя-
тельно. Чтобы такой вариант заработал, следует определенным об-
разом сконфигурировать серверы DHCP и DNS.
• При первоначальной настройке браузеру можно указать конкретные
URL-адреса, по которым он получит файлы с настройками. При не-
обходимости можно задать промежуток времени, через который бра-
узер будет вновь обращаться по этим адресам за обновленной верси-
ей настроек.
Подробное описание этих способов содержится в документации к Пакету
администрирования Internet Explorer 8.
Пользователь Internet Explorer может активировать указанные возможно-
сти из диалогового окна Настройка параметров локальной сети (Local Area
Network (LAN) Settings). Чтобы попасть в это окно, следует любым удоб-
ным способом открыть диалоговое окно Свойства обозревателя (Internet
Options), перейти на вкладку Подключения (Connections) и нажать кноп-
ку Настройка сети (LAN Settings). Если в окне Настройка параметров ло-
239
239
239
кальной сети (Local Area Network (LAN) Settings) установить флажок Ав-
томатическое определение параметров (Automatically detect Settings), вы
включите первую возможность. А если в этом диалоговом окне установить
флажок Использовать сценарий автоматической настройки (Use automatic
Configuration script) и заполнить поле Адрес (Address), доступным станет
второй вариант автонастройки.
Чтобы задействовать эти возможности в локальной групповой политике,
сделайте следующее:
⇒ Connection).
2. Дважды щелкните мышью по параметру Автоматическая настройка
обозревателя (Automatic Browser Configuration). Откроется диало-
3. Если необходимо активировать первую разновидность автоматиче-
ской настройки браузера, установите флажок Автоматически опре-
делять параметры настройки (Automatically detect Configuration
Settings).
4. Если необходимо активировать вторую разновидность автоматиче-
ской настройки браузера, установите флажок Разрешить автомати-
ческую настройку (Enable Automatic Configuration). Это сделает до-
ступными остальные элементы управления диалогового окна. Вве-
дите в них URL-адреса, по которым браузер будет получать настрой-
ки, и промежуток времени, через который автонастройка должна по-
вторяться.
Теперь автоматическая настройка обозревателя будет сконфигурирована
единообразно у всех пользователей, для которых была сформулирована дан-
ная политика.
ÍÀÑÒÐÎÉÊÀ ÏÀÐÀÌÅÒÐÎÂ ÏÐÎÊÑÈ-ÑÅÐÂÅÐÀ

Прокси-сервер — это сетевая служба, которая опосредует запросы браузера
к другим сетевым службам. Сначала обозреватель подключается к прокси-
серверу и запрашивает какой-либо ресурс (например, страницу веб-сайта).
Прокси-сервер в свою очередь обращается по указанному адресу и получа-
ет ресурс у него либо возвращает ресурс из собственного временного храни-
240
240
240
лища — кэша. Через прокси-серверы подключают своих пользователей мно-

гие организации и интернет-провайдеры — главным образом в целях упро-
щения маршрутизации, контроля и экономии трафика.
Настройки прокси-сервера может изменить каждый пользователь. Для это-
го следует любым удобным способом вызвать диалоговое окно Свойства
обозревателя (Internet Options), перейти на вкладку Подключения (Con-
nections) и нажать кнопку Настройка сети (LAN Settings). В открывшемся
диалоговом окне Настройка параметров локальной сети (Local Area Net-
work (LAN) Settings) задаются основные параметры прокси-сервера. Кноп-
ка Дополнительно (Advanced) позволит открыть диалоговое окно расши-
ренной настройки.
Локальные групповые политики позволяют настроить прокси-серверы сра-
зу для нескольких пользователей. Чтобы сконфигурировать параметры
прокси-серверов, сделайте следующее.
⇒ Connection).
2. Дважды щелкните мышью по параметру Параметры прокси-сервера
(Proxy Settings). Откроется диалоговое окно редактирования пара-
3. Установите флажок Разрешить настройку прокси-сервера (Enable
proxy Settings). Станут доступными остальные элементы управле-
ния диалогового окна.
4. В группе полей Адрес прокси-сервера (Address of proxy) введи-
те один или несколько адресов прокси-серверов. Чтобы использо-
вать для всех служб в списке одинаковые настройки прокси-сервера,
установите флажок Использовать один прокси-сервер для всех
адресов (Use the same proxy server for all addresses).
5. В группе Порт (Port) введите номер порта для каждой службы. Зна-
чением по умолчанию является порт 80.
6. В поле Не использовать прокси-сервер для адресов, начинающих-
ся с (Do not use proxy server for addresses beginning with) введите
конкретные адреса, обращение к которым должно осуществляться,
минуя прокси-сервер. При необходимости в данном поле можно ис-
пользовать подстановочный знак * — он заменяет ноль или несколь-
ко произвольных символов. Введенные адреса разделяются точкой
с запятой. Общая длина списка исключений не должна превышать
2064 знака.
241
241
241
7. Чтобы отключить использование прокси-серверов для всех адресов

во внутренней локальной сети, установите флажок Не использовать
прокси-сервер для локальных (внутрисетевых) адресов (Do not
use proxy server for local (intranet) addresses).
В результате пользователи, для который формулировалась данная полити-
ка, получат унифицированные настройки проксирования.
ÍÀÑÒÐÎÉÊÀ ÑÒÐÎÊÈ ÎÁÎÇÐÅÂÀÒÅËÿ

Строка обозревателя (или по-другому — строка агента пользователя) — это
текстовая информация, которую браузер посылает посещаемым серверам
для идентификации. В первую очередь она необходима для сбора стати-
стики интернет-трафика. Некоторые сайты корректируют содержимое веб-
страницы в зависимости от того, какую строку агента прислал браузер.
Локальная групповая политика позволяет дополнить стандартную строку
Internet Explorer пользовательским текстом. Чтобы внести такие изменения:
⇒ Connection).
2. Дважды щелкните мышью по параметру Строка обозревателя (User
Agent String). Откроется диалоговое окно редактирования параме-
3. Установите флажок Настроить строку для присоединения к строке
агента пользователя (Customize string to be appended to User agent
string), а затем введите в текстовое поле текст, которым хотите до-
полнить стандартную строку браузера.
Данный параметр отсутствует в интерфейсе Internet Explorer, альтернати-
вой применению локальной групповой политики в данном случае является
непосредственное редактирование реестра. Впрочем, сама эта возможность
ориентирована скорее на узкий круг специалистов. Обычному пользовате-
лю, не обладающему глубокими познаниями в интернет-технологиях, стро-
ку обозревателя менять не стоит.
В режиме предпочтений изменение строки обозревателя недоступно.
242
242
242
ÍÀÑÒÐÎÉÊÀ URL-ÀÄÐÅÑÎÂ: ÈÇÁÐÀÍÍÎÃÎ, ÑÑÛËÎÊ, ÄÎÌÀØÍÅÉ

ÑÒÐÀÍÈÖÛ
В работе с браузером Internet Explorer важное место занимают коллекции

Избранное (Favorites) и Ссылки (Links или Favorites Bar). В этих коллекци-
ях пользователь накапливает адреса интернет-сайтов и отдельных страниц,
которые заслуживают наибольшего внимания. Информацию о каком-либо
ресурсе, сохраненную в браузере для последующего быстрого доступа из из-
бранного или с панели ссылок, часто называют закладкой.
В момент установки Internet Explorer (или самой операционной системы
Windows, в состав которой входит браузер) Избранное (Favorites) и Ссыл-
ки (Favorites Bar) автоматически пополняются несколькими стандартными
элементами. Среди них, например, закладки на Домашнюю страницу Inter-
net Explorer, портал MSN, принадлежащий компании Microsoft, сервисы се-
мейства Windows Live и т. п. В дальнейшем пользователь изменяет свои за-
кладки самостоятельно.
Локальные групповые политики позволяют централизованно распростра-
нять закладки среди пользователей. Чтобы добавить закладку на панель
ссылок, проделайте следующее:
1. Откройте узел Конфигурация пользователя ⇒ Настройка Internet
Explorer ⇒ URL-адреса (User Configuration ⇒ Internet Explorer
Maintenance ⇒ URLs).
2. Дважды щелкните мышью по параметру Избранное и ссылки (Fa-
vorites and Links). Откроется диалоговое окно редактирования па-
раметра политики. Если вы ранее не редактировали этот параметр,
в списке доступных папок и ссылок присутствует два стандартных
пункта — Favorites и Links.
3. Выделите элемент Links и нажмите кнопку Добавить URL (Add
URL).
4. В появившемся диалоговом окне Сведения (Details) задайте обяза-
тельные параметры — имя закладки и URL-адрес сайта. При жела-
нии можно также указать значок сайта.
5. Нажмите кнопку OK. Диалоговое окно Сведения (Details) закроет-
ся, а в списке доступных папок и ссылок в разделе Links появится
новый пункт.
Добавление элементов в Избранное выполняется аналогично, только в спи-
ске доступных папок и ссылок следует выбирать элемент Favorites.
Диалоговое окно Избранное и ссылки (Favorites and Links) содержит также
243
243
243
ряд дополнительных инструментов для работы с закладками. В частности,

пользователь имеет возможность:
• Объединять создаваемые закладки в папки. Чтобы поместить за-
кладку внутрь собственной папки, сначала создайте папку с помо-
щью кнопки Добавить папку (Add Folder), а затем, выделив эту пап-
ку в списке доступных, описанным выше способом поместите в ней
новую ссылку.
• Изменять и удалять ранее добавленные ссылки. Для этого выделите
необходимую ссылку и нажмите одну из кнопок — Изменить (Edit)
или Удалить (Remove).
• В тестовых целях открывать ссылки в браузере. Для этого выделите
соответствующую ссылку и нажмите кнопку Проверить URL (Test
URL).
• Импортировать ранее созданный набор закладок. Для этого выдели-
те необходимый элемент списка доступных папок и ссылок и нажми-
те кнопку Импортировать (Import). Откроется диалоговое окно Об-
зор папок (Browse for Folder), который позволит указать папку с за-
кладками, намеченными для импорта.
• Задавать порядок расположения закладок. Для этого установите
флажок Расположить избранное и ссылки в начале списка в ука-
занном порядке (Place favorites and links at the top of the list in the
order specified below). Это сделает доступными кнопки Вверх (Up)
и Вниз (Down), с помощью которых измените очередность закладок.
• Принудительно удалять закладки, созданные до применения данной
групповой политики. За различные аспекты этого действия отвеча-
ют флажки Удалить существующее избранное и ссылки, если они
есть (Delete existing Favorites and Links, if present), Удалить только
созданное администратором избранное (Only delete the favorites
created by the administrator) и Удалить существующие каналы, если
они есть (Delete existing channels, if present).
Когда работа в диалоговом окне Избранное и ссылки (Favorites and Links)
завершена, нажмите кнопку OK.
Предположим, в Редакторе локальной групповой политики (Local Group
Policy Editor) вы внесли следующие изменения:
• в раздел Links добавили закладку на сайт своей компании;
• в раздел Favorites — добавили URL-адреса поисковой системы Ян-
декс и русской версии онлайн-энциклопедии Википедия;
244
244
244
• установили флажок Удалить существующее избранное и ссылки,

если они есть (Delete existing Favorites and Links, if present).
В результате браузер пользователя, на которого распространяется политика,
примет вид, представленный на 6.5.
Рис. 6.5. Вид обозревателя Internet Explorer с настроенным Избранным и Ссылками
Важную роль в работе с браузером играет также домашняя страница — URL-

адрес, который открывается при запуске обозревателя или при нажатии
кнопки Домой (Home). Каждый пользователь может установить свою до-
машнюю страницу в диалоговом окне Свойства обозревателя (Internet Op-
tions) на вкладке Общие (General).
Локальные групповые политики позволяют централизовано назначать до-
машние страницы пользователей. Эта функция широко востребована во
многих организациях, где принято устанавливать в качестве домашней глав-
ную страницу корпоративного сайта.
Чтобы выполнить такую настройку:
Explorer ⇒ URL-адреса (User Configuration ⇒ Internet Explorer
245
245
245
Maintenance ⇒ URLs).
2. Дважды щелкните мышью по параметру Важные адреса URL (Im-
portant URLs). Откроется диалоговое окно редактирования параме-
3. Установите флажок Изменить адрес домашней страницы (Custom-
ize Home page URL). Это сделает доступным поле для ввода адреса.
4. Введите в поле URL-адрес домашней страницы (Home page URL)
необходимое значение. Учитывайте, что адрес в данном случае дол-
жен обязательно начинаться с указателя протокола. Например, про-
грамма отвергнет вариант www.ya.ru, необходимо ввести http://
www.ya.ru.
ÍÀÑÒÐÎÉÊÀ ÁÅÇÎÏÀÑÍÎÑÒÈ INTERNET EXPLORER

Обеспечение безопасности и конфиденциальности пользователей — важ-
нейшая проблема современного Интернета.
В основе концепции безопасности Internet Explorer — принцип зональности.
Узлы сети разделены на четыре группы, которые называют зонами. Каждой
из зон устанавливаются свои параметры безопасности. Например, можно
настроить свой обозреватель так, чтобы на большинстве интернет-сайтов он
блокировал всплывающие окна, запрещал загрузку файлов, отвергал запуск
программ и предложения об установке элементов ActiveX, не выполнял сце-
нарии различных типов, но допускал все эти и многие другие действия на
узлах вашей внутренней сети или, скажем, на внешних узлах, которые вы
признали надежными. Распределение интернет-сайтов по зонам и настройка
параметров каждой зоны доступны пользователю с вкладки Безопасность
(Security) диалогового окна Свойства обозревателя (Internet Options).
В том же диалоговом окне на вкладке Конфиденциальность (Privacy) на-
ходится ряд дополнительных настроек, также призванных предотвращать
различные угрозы пользователю браузера. Например, эта вкладка позволя-
ет определить уровень безопасности в отношении cookie — небольших слу-
жебных файлов, которые веб-сервер может хранить на компьютере пользо-
вателя и запрашивает каждый раз при попытке открыть страницу соответ-
ствующего сайта.
Большинство пользователей не обладают достаточными знаниями, чтобы
самостоятельно настроить параметры безопасности и конфиденциальности,
поэтому централизованное управление этими параметрами с использовани-
246
246
246
ем групповых политик — одна из самых востребованных задач группового

администрирования Internet Explorer.
К проблемам безопасности тесно примыкает задача ограничить пользовате-
лей в просмотре нежелательного содержимого — например, сайтов порно-
графического содержания. Обозреватель Internet Explorer версии 8.0, встро-
енный в Windows 7, для решения этой задачи предлагает специальный мо-
дуль. По умолчанию этот модуль отключен, но при необходимости каждый
пользователь может активировать и настроить его.
Чтобы сконфигурировать ограничение доступа к отдельным сайтам, в ди-
алоговом окне Свойства обозревателя (Internet Options) следует перей-
ти на вкладку Содержание (Content). Здесь в группе Ограничение досту-
па (Content Advisor) имеется две кнопки: левая включает и выключает ре-
жим ограничений, правая — вызывает диалоговое окно Ограничение до-
ступа (Content Advisor). В этом диалоговом окне можно произвести раз-
дельную настройку доступа по тринадцати тематическим категориям, вне-
сти свой список интернет-узлов, к которым разрешен или запрещен доступ,
установить пароль для доступа к настройкам ограничений и просмотру за-
прещенных сайтов.
Если функция ограничения доступа включена, то при попытке обращения к
запрещенному сайту браузер выводит диалоговое окно, в котором объясня-
ются текущие ограничения и запрашивается пароль для их обхода (рис. 6.6).
Рис. 6.6. Диалоговое окно, выводимое обозревателем Internet Explorer при попытке
обращения к запрещенному интернет-узлу
247
247
247
Редактор локальной групповой политики позволяет импортировать на-

стройки зон безопасности и ограничения доступа из браузера текущего
пользователя, чтобы распространить их на других пользователей.
Импорт параметров безопасности и конфиденциальности осуществляется
следующим образом:
Explorer ⇒ Безопасность (User Configuration ⇒ Internet Explorer
Maintenance ⇒ Security).
2. Дважды щелкните мышью по параметру Зоны безопасности и оцен-
ка содержимого (Security Zones and Content Ratings). Откроется ди-
алоговое окно редактирования параметра политики, которое состоит
из двух групп элементов — Зоны безопасности и конфиденциаль-
ность (Security Zones and Privacy) и Оценка содержимого (Content
Ratings). Сейчас нас интересует верхняя группа.
3. Установите переключатель верхней группы элементов в положение
Импортировать текущие параметры безопасности и конфиденци-
альности (Import the current security zones and privacy Settings). Это
сделает доступной расположенную в этой группе кнопку Изменить
параметры (Modify Settings).
4. В момент, когда вы приступите к импорту текущих параметров без-
опасности и конфиденциальности, Редактор локальной групповой
политики (Local Group Policy Editor) может вывести на экран напо-
минание о том, что Internet Explorer наряду с обычным режимом без-
опасности допускает еще и конфигурацию усиленной безопасности.
Если такая конфигурация вами не используется, в окне этого сооб-
щения нажмите кнопку Продолжить (Continue). Если же конфигу-
рация усиленной безопасности вам необходима, есть смысл приоста-
новить импорт настроек и внимательно изучить рекомендации ком-
пании Microsoft относительно усиленной безопасности и особенно-
стей использования локальных групповых политик в сочетании с
ней.
5. Если вы не уверены в полноте и точности ранее сделанных настроек
безопасности и конфиденциальности, щелкните мышью по кнопке
Изменить параметры (Modify Settings). Откроется диалоговое окно
Свойства: Интернет (Internet Properties), в котором две вкладки —
Безопасность (Security) и Конфиденциальность (Privacy). Это те
самые вкладки, к которым мы ранее получали доступ из диалогового
окна Свойства обозревателя (Internet Options).
248
248
248

трите, а при необходимости — отредактируйте доступные параме-
тры. Внесенные изменения зафиксируйте кнопкой OK, в противном
случае закройте диалоговое окно кнопкой Отмена (Cancel).
7. Вернувшись в диалоговое окно редактирования параметра полити-
ки, нажмите кнопку OK.
В результате текущие настройки зон безопасности применятся ко всем поль-
зователям, на которых была распространена данная политика.
Импорт параметров оценки содержимого выполняется аналогично, только с
использованием нижней группы элементов диалогового окна — Зоны безо-
пасности и оценка содержимого (Security Zones and Content Ratings). Если
нажать кнопку Изменить параметры (Modify Settings) в нижней группе, от-
кроется диалоговое окно Ограничение доступа (Content Advisor).
ÍÀÑÒÐÎÉÊÀ ÏÐÎÃÐÀÌÌ ÄËÿ ÐÀÁÎÒÛ Ñ ÈÍÒÅÐÍÅÒÎÌ

Браузер Internet Explorer позволяет выбрать программы, которые будут ис-
пользоваться по умолчанию для различных служб Интернета (таких как
электронная почта и группы новостей). За эти настройки отвечает вклад-
ка Программы (Programs) хорошо известного нам диалогового окна Свой-
ства обозревателя (Internet Options). Непосредственно на вкладке задается
средство редактирования HTML, которое можно вызвать из Internet Explor-
er, а кнопка Задать программы (Set programs) приводит пользователя в окно
Программы по умолчанию (Default Programs), в котором можно сопоста-
вить программы различным типам файлов и протоколов.
Редактор локальной групповой политики позволяет импортировать эти на-
стройки для последующего применения к другим пользователям. Для этого
выполните следующее:
1. Откройте узел Конфигурация пользователя ⇒ Настройка Inter-
net Explorer ⇒ Программы (User Configuration ⇒ Internet Explorer
Maintenance ⇒ Programs).
2. Дважды щелкните мышью по параметру Программы (Programs).
3. Установите переключатель в положение Импортировать текущие
параметры программ (Import the current Program Settings). Кнопка
Изменить параметры (Modify Settings) станет доступной.
4. Если вы не уверены в полноте и точности ранее сделанных настроек,
щелкните мышью по кнопке Изменить параметры (Modify Settings).
249
249
249
Откроется уже упоминавшаяся вкладка Программы (Programs), к

которой мы ранее получали доступ из диалогового окна Свойства
обозревателя (Internet Options).
трите, а при необходимости — отредактируйте параметры программ.
Внесенные изменения зафиксируйте кнопкой OK, в противном слу-
чае закройте диалоговое окно кнопкой Отмена (Cancel).
6. Вернувшись в диалоговое окно редактирования параметра полити-
ки, нажмите кнопку OK.
В результате пользователи, на которых была распространена данная полити-
ка, получат единообразный набор программ для работы с Интернетом.
ÄÎÏÎËÍÈÒÅËÜÍÛÅ ÍÀÑÒÐÎÉÊÈ INTERNET EXPLORER

Раздел Дополнительно (Advanced) компонента Настройка Internet Explor-
er (Internet Explorer Maintenance) имеет две важных особенности:
• Как уже говорилось, данный раздел доступен только в режиме пред-
почтений.
• Раздел Дополнительно (Advanced) содержит очень много разно-
родных настроек — больше, чем все ранее рассмотренные разделы
компонента Настройка Internet Explorer (Internet Explorer Mainte-
nance) вместе взятые.
Многочисленные настройки раздела Дополнительно (Advanced) структу-
рированы в два древовидных подраздела — Параметры организации (Cor-
porate Settings) и Параметры обозревателя (Internet Settings). Логика рабо-
ты с обоими разделами одинакова. Вот как она выглядит на примере Пара-
метров организации (Corporate Settings).
1. Убедитесь, что находитесь в режиме предпочтений. Если это не так,
переключитесь в данный режим в соответствии с рекомендациями,
которые даются в параграфе «Общая характеристика компонента
Настройка Internet Explorer (Internet Explorer Maintenance)».
Windows ⇒ Настройка Internet Explorer ⇒ Дополнительно (User
⇒ Advanced).
3. Дважды щелкните мышью по словам Параметры организации (Cor-
porate Settings). Откроется диалоговое окно редактирования пара-
метров данного раздела.
250
250
250
4. C помощью навигационного дерева, которое расположено в левой

части диалогового окна, выберите интересующую вас группу настро-
ек. Когда в этом дереве выбран корневой пункт Параметры органи-
зации (Corporate Settings), в правой части диалогового окна отобра-
жается вводная информация. Если в дереве выбрать один из пяти
пунктов второго уровня, в правой части диалогового окна отобра-
зятся элементы управления, с помощью которых задаются конкрет-
ные настройки. Например, выберите в навигационном дереве пункт
Временные файлы Интернета (пользователя) (Temporary Internet
Files (User)). В правой части диалогового окна вы увидите раскры-
вающийся список и счетчик, которые задают поведение Internet Ex-
plorer при повторном обращении к ранее посещенным страницам и
предельный размер места, выделяемого для размещения временных
файлов.
5. Когда редактирование всех интересующих настроек завершено, на-
жмите кнопку OK.
Диалоговое окно Параметры обозревателя (Internet Settings) устроено ана-
логично.
Многие настройки, доступные из ветви Дополнительно (Advanced), совпа-
дают с настройками, которые пользователь может установить через интер-
фейс браузера. Возьмем уже использованный пример — параметры времен-
ных файлов конкретного пользователя, которые мы только что нашли в Ре-
дакторе локальной групповой политики (Local Group Policy Editor). Точно
такие настройки можно задать, если любым удобным способом открыть диа-
логовое окно Свойства обозревателя (Internet Options), перейти на вкладку
Общие (General) и в разделе История просмотра (Browsing history) нажать
кнопку Параметры (Settings).
В то же время в разделе Дополнительно (Advanced) присутствуют и ориги-
нальные параметры — в основном они отражают специфику использования
обозревателя в корпоративной среде. Например, в разделе Дополнительно
⇒ Параметры обозревателя ⇒ Обновление компонентов (Advanced ⇒
Internet Settings ⇒ Component Updates) задаются URL-адреса, по которым
браузер будет обращаться за обновлениями и информацией о стойкости ис-
пользуемых шифров. В интерфейсе Internet Explorer такая возможность от-
сутствует.
Перечислим некоторые возможности раздела Дополнительно (Advanced),
которые представляют широкий интерес.
• Раздел политик Дополнительно ⇒ Параметры организации ⇒ За-
грузка кода (Advanced ⇒ Corporate Settings ⇒ Code Download) по-
251
251
251
зволяет задать расположение каталога, в котором Internet Explorer

будет искать элементы управления ActiveX или код Java, которые
еще не установлены на компьютере. В интерфейсе браузера такой
параметр отсутствует.
Раздел политик Дополнительно ⇒ Параметры обозревателя ⇒ Автоза-
полнение (Advanced ⇒ Internet Settings ⇒ AutoComplete) позволяет цен-
трализовать настройку параметров автозаполнения. В числе прочего этот
раздел содержит флажок Предлагать сохранение пароля (Prompt to save
passwords). Сняв его, можно лишить пользователей возможности сохранять
пароли. Альтернативой групповым политикам в данном случае служит ин-
дивидуальная настройка браузера через диалоговое окно Свойства обозре-
вателя (Internet Options). Чтобы добраться до параметров автозаполнения
из этого окна, на вкладке Содержание (Content) в разделе Автозаполнение
(AutoComplete) нажмите кнопку Параметры (Settings).
Раздел политик Дополнительно ⇒ Параметры обозревателя ⇒ Отобра-
жать параметры (Advanced ⇒ Internet Settings ⇒ Display Settings) позволя-
ет предписать пользователям стандартный размер шрифта, цвета фона, тек-
ста, ссылок. Однако из диалогового окна Свойства обозревателя (Internet
Options) доступно гораздо больше настроек такого типа — они вызывают-
ся соответствующими кнопками в нижней части вкладки Общие (General).
Также надо учитывать, что в Редакторе локальной групповой политики
(Local Group Policy Editor) цвета задаются неудобно для обычного пользо-
вателя — в виде цифровых кодов RGB-палитры.
Раздел политик Дополнительно ⇒ Параметры обозревателя ⇒ Дополни-
тельные параметры (Advanced ⇒ Internet Settings ⇒ Advanced Settings)
содержит наибольшее количество настроек. В основном это флажки, кото-
рые можно устанавливать и сбрасывать. В частности, здесь можно регла-
ментировать показ изображений, воспроизведение аудио и видео, исполь-
зование переходов страниц, предупреждения о некоторых угрозах безопас-
ности, отказаться от плавной прокрутки, установить режим сообщений об
ошибках, заблокировать автопроверку обновлений Internet Explorer и т. п.
Все эти параметры также доступны из интерфейса браузера — в диалоговом
окне Свойства обозревателя (Internet Options) на вкладке Дополнительно
(Advanced).
Раздел политик Дополнительно ⇒ Параметры обозревателя ⇒ Кодирова-
ние URL (Advanced ⇒ Internet Settings ⇒ URL Encoding) содержит только
один параметр, принуждающий браузер всегда посылать адрес URL в режи-
ме UTF-8. Это актуально при активной работе с мультиязычными сайтами.
252
252
252
ÝÊÑÏÎÐÒ ÏÀÐÀÌÅÒÐÎÂ INTERNET EXPLORER ÄËÿ ÀÂÒÎÌÀÒÈ÷Å-

ÑÊÎÉ ÍÀÑÒÐÎÉÊÈ ÄÐÓÃÈÕ ÊÎÌÏÜÞÒÅÐÎÂ
В этой главе уже упоминалось, что Internet Explorer допускает автомати-

ческую настройку. Суть этой возможности в следующем: браузер обраща-
ется по указанному сетевому адресу за специальными конфигурационными
файлами и, получив эти файлы, приводит свои настройки в соответствие с
ними. Адрес, по которому браузер должен обратиться за конфигурационны-
ми файлами, пользователь может указать в явном виде при настройке обо-
зревателя. Но можно так настроить локальную сеть, чтобы компьютеры, об-
ращаясь к сервисам DHCP и DNS, «заодно» автоматически получали и но-
вую версию настроек Internet Explorer без пользовательского вмешатель-
ства (см. об этом раздел «Автоматическая настройка обозревателя»).
Полное описание всей технологии распространения настроек Internet Ex-
plorer по нескольким компьютерам выходит за рамки данной книги. Заин-
тересованного читателя отсылаем к специализированному сайту компании
Microsoft — Internet Explorer TechCenter (technet.microsoft.com/ru-ru/ie/).
Мы остановимся лишь на одном моменте — как из настроек, сделанных на
эталонном компьютере средствами Редактора локальной групповой поли-
тики (Local Group Policy Editor), сформировать те самые конфигурацион-
ные файлы, которые затем можно использовать для централизованного об-
новления настроек на других компьютерах.
Чтобы создать набор файлов для централизованного управления настрой-
кой Internet Explorer, проделайте следующее:
Windows ⇒ Настройка Internet Explorer (User Configuration ⇒
Windows Settings ⇒ Internet Explorer Maintenance).
2. Настройте все разделы компонента Настройка Internet Explorer
(Internet Explorer Maintenance) в соответствии с потребностями ва-
шей организации. При необходимости прибегайте к рекомендациям
этой главы, файлам помощи к Редактору локальной групповой по-
литики (Local Group Policy Editor) и браузеру Internet Explorer, ма-
териалам компании-производителя.
3. Убедившись, что настройка завершена, щелкните правой кнопкой
мыши по названию компонента Настройка Internet Explorer (Inter-
net Explorer Maintenance) и в появившемся контекстном меню вы-
берите пункт Экспорт параметров обозревателя (Export Browser
Settings). Откроется диалоговое окно Сохранение INS-файлов и
CAB-файлов (Save .INS file and .CAB files).
253
253
253
4. Заполните текстовое поле Полный путь и имя INS-файла (.INS file

full path and filename). Сделать это можно вручную, набрав путь и
имя в поле, или с использованием кнопки Обзор (Browse), которая
вызывает стандартное окно сохранения файлов. Учитывайте, что в
данном случае программа самостоятельно не добавляет расширение
файла и отказывается принять введенное имя, если оно не заверша-
ется символами .ins.
5. В поле URL-адрес CAB-файлов (URL path of cabinet (CAB) files)
укажите адрес, по которому будут расположены архивы с настройка-
ми. Учитывайте, что адрес в данном случае должен обязательно на-
чинаться с префикса протокола.
6. Если внутренние требования организации предполагают использо-
вание цифровых подписей, нажмите кнопку Подписи (Signatures),
в открывшемся диалоговом окне Цифровые подписи (Digital Signa-
tures) определите необходимые параметры, затем закройте данный
диалог кнопкой OK.
7. Вернувшись в диалог Сохранение INS-файлов и CAB-файлов (Save
.INS file and .CAB files), нажмите кнопку OK.
В указанной вами папке будет сохранен набор файлов, который можно ис-
пользовать для распространения настроек эталонного компьютера по дру-
гим компьютерам сети. Обычно этот набор состоит из двух файлов (рис. 6.7):
• текстового файла с расширением .ins, который хранит заголовочную
информацию для автоматической настройки;
• архива формата .cab, в котором упакованы все распространяемые
настройки.
Рис. 6.7. Файлы, полученные в результате экспорта настроек компонента локальной

групповой политики Настройка Internet Explorer
254
254
254
Ãëàâà 7.
Àäìèíèñòðèðîâàíèå
ïàðàìåòðîâ áåçîïàñíîñòè
Windows 7
Компоненты, обеспечивающие безопасность, являются одними из важней-
ших в современных операционных системах. Обычно по умолчанию эти
компоненты настроены так, чтобы обеспечивать приемлемый уровень безо-
пасности и не оказывать заметного влияния на производительность и удоб-
ство работы. Но иногда такого среднего уровня безопасности оказывается
недостаточно, и в отдельных случаях операционная система настраивается
таким образом, чтобы обеспечивалась максимальная безопасность, зачастую
не только в ущерб удобству работы, но и ценой заметного снижения про-
изводительности системы. Конечно, рядовому пользователю такой уровень
безопасности не нужен, но в некоторых случаях изменение всего нескольких
параметров системы, отвечающих за безопасность могут заметно усилить за-
щиту системы, практически никак не повлияв на удобство и скорость рабо-
ты.
В операционной системе Windows имеется множество компонентов, отвеча-
ющих за ее безопасность, но не многие знают, как найти тот или иной ком-
понент или ключ реестра. С помощью групповых политик можно получить
доступ практически ко всем параметрам безопасности системы. За безопас-
ность отвечают политики, расположенные в узле Конфигурация компью-
тера ⇒ Конфигурация Windows ⇒ Параметры безопасности (Computer
Configuration ⇒ Windows Settings ⇒ Security Settings). Работу с ними мы
и рассмотрим в этой главе. Основная часть этих политик расположена в
оснастке Политика «Локальный компьютер» (Local Computer Policy), рас-
сматриваемой нами по всей книге, поэтому, если не указаны другие оснаст-
ки, далее по тексту будет описываться работа с политиками именно этой
оснастки.
Ïîëèòèêè îòêðûòîãî êëþ÷à

Для различных криптографических операций — шифрования данных на
электронных носителях информации, создания и использования электрон-
ных цифровых подписей и шифрования пакетов данных при передаче по за-
крытым каналам связи, аутентификации пользователей используются крип-
тосистемы с открытым ключом. В таких системах используют два ключа
256
256
256
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
шифрования — открытый, используемый для того, чтобы зашифровать дан-

ные для конкретного пользователя или проверить достоверность электрон-
ной подписи, и закрытый, позволяющий расшифровать данные или под-
писать их электронной подписью. В операционной системе Windows такие
ключи обычно называют сертификатами открытого и закрытого ключей, по-
скольку такие ключи обычно подписаны электронной подписью центра сер-
тификации. Политики открытого ключа связаны с использованием откры-
тых ключей шифрования.
В оснастке Конфигурация компьютера (Computer Configuration) узел По-
литики открытого ключа (Public Key Policies) содержит три параметра:
• Параметры подтверждения пути сертификата (Certificate Path
Validation Settings) — диалоговое окно свойств этого параметра со-
держит четыре вкладки, позволяющие задавать различные параме-
тры политики, относящиеся к управлению сертификатами, такие
как правила доверия пользователя к сертификатам, управления до-
веренными издателями сертификатов, управление списками отзы-
вов и другие.
• Клиент служб сертификатов — политика регистрации сертифика-
тов (Certificate Services Client — Certificate Enrollment Policy) — по-
зволяет задать адрес сервера политики сертификатов, с которого бу-
дет загружаться политика регистрации сертификатов, определяю-
щая расположение центров сертификации и типов запрашиваемых
с них сертификатов.
• Клиент служб сертификации: автоматическая регистрация (Cer-
tificate Services Client — Auto-Enrollment) — позволяет задать пара-
метры автоматического обновления сертификатов, например, серти-
фикатов с истекающим сроком действия.
Последние два параметра содержатся так же и в других оснастках. Поми-
мо перечисленных параметров узел оснастки так же содержит два контейне-
ра для сертификатов агентов восстановления средства шифрования дисков
BitLocker и шифрующей файловой системы EFS, не имеющихся в других
оснастках. В оснастке Политика Локальный компьютер\Не администрато-
ры (Local Computer\Non-administration Policy) данный узел содержит два
контейнера: Доверительные отношения в предприятии (Enterprise Trust),
в который заносятся списки доверия сертификатам других предприятий, и
Доверенные лица (Trusted People) в который вносятся сертификаты дове-
ренных пользователей.
Один из наиболее очевидных и наиболее часто применяемых вариантов ис-
пользования политик открытого ключа — создание агентов восстановле-
257
257
257
ния для шифрующей файловой системы EFS и средства шифрования дис-

ка BitLocker.
Агент восстановления данных — это пользователь, наделенный полномочи-
ями для расшифровки данных, зашифрованных другими пользователями с
помощью стандартных средств шифрования Windows. Обычно такими пра-
вами наделяются только администраторы, но в принципе это может быть
любой пользователь.
Шифрующая файловая система используется в операционных системах
Windows довольно давно, еще с версии Windows 2000, в то время как сред-
ство шифрования диска BitLocker появилось лишь в Windows Vista. По-
скольку методы создания и управления агентами восстановления данных
одинаковы для обоих средств, рассмотрим работу с ними на примере шиф-
рующей файловой системы, как более распространенной и широко исполь-
зуемой.
Шифрующая файловая система позволяет пользователям зашифровывать
принадлежащие им папки и отдельные файлы, расположенные на томах с
файловой системой NTFS. Для шифрования файла или папки следует про-
сто установить для них атрибут Шифровать содержимое для защиты (En-
crypt contents to secure data). Зашифрованные таким образом файлы в обыч-
ных условиях невозможно просмотреть другому пользователю, даже наде-
ленному полномочиями администратора. При этом пользователь, зашифро-
вавший файлы, может работать с ними как с обычными файлами.
Для шифрования файлов и папок используются личные ключи шифрова-
ния пользователя. Если они не были сгенерированы при создании учетной
записи или по каким-либо другим причинам, они генерируются операцион-
ной системой автоматически при первом обращении к средствам шифрова-
ния файлов. Ключи шифрования закреплены за учетной записью пользова-
теля, и при ее удалении или потере ключей шифрования зашифрованные с
их помощью файлы расшифровать будет практически невозможно. Именно
так создаются агенты восстановления.
Перед созданием агента восстановления данных необходимо создать серти-
фикаты ключей шифрования для агента восстановления данных. Для этих
целей используется консольная утилита Cipher.
1. Откройте командную строку. Сделать это можно, выполнив команду
меню Пуск ⇒ Все программы ⇒ Стандартные ⇒ Командная стро-
ка (Start ⇒ All Programs ⇒ Accessories ⇒ Command Prompt) или на-
брав команду cmd в поле ввода Найти программы и файлы (Search
programs and files) в меню Пуск (Start).
258
258
258
Рис. 7.1. Окно командой строки при создании электронных ключей

с помощью Cipher
2. В открывшемся окне (рис. 7.1) введите команду Cipher /R:key_

name, где key_name – название для файлов ключей, которые будут
созданы, в данном примере admin.
3. После ввода команды вам будет предложено задать пароль для сер-
тификата закрытого ключа, а затем повторить его. Этот пароль сле-
дует запомнить или записать, поскольку он понадобится при даль-
нейшем использовании ключа, в том числе и при его импорте в хра-
нилище.
4. После ввода пароля будут созданы два файла key_name.cer — с от-
крытым ключом и key_name.pfx — с закрытым ключом шифрова-
ния. По умолчанию эти файлы сохраняются в папку пользователя,
но при желании можно задать и другой путь, задав его с помощью ко-
манды cd перед использованием Cipher.
Теперь следует внести файл key_name.cer в список сертификатов пользова-
телей — агентов восстановления данных.
• Откройте узел Конфигурация компьютера ⇒ Конфигурация Win-
dows ⇒ Параметры безопасности ⇒ Политики открытого ключа
(Computer Configuration ⇒ Windows Settings ⇒ Security Settings ⇒
Public Key Policies).
• Щелкните правой кнопкой мыши по контейнеру Шифрующая фай-
ловая система EFS (Encrypting File System) и выберите в контекст-
ном меню команду Добавить агент восстановления данных (Add
259
259
259
Data Recovery Agent). Откроется диалоговое окно Мастер добавле-

ния агента восстановления (Add Recovery Agent Wizard).
• В открывшемся диалоговом окне нажмите кнопку Далее (Next) для
перехода к следующему шагу.
• Нажмите кнопку Обзор папок (Browse Folders) и с помощью от-
крывшегося диалогового окна выберите созданный на предыдущем
этапе файл key_name.cer.
• Данные о пользователе, которому принадлежит ключ, отобразятся
в списке диалогового окна мастера. Повторите шаг 4, если вам тре-
буется добавить несколько пользователей в качестве агентов восста-
новления данных. Затем нажмите кнопку Далее (Next) для перехо-
да к последнему шагу мастера и нажмите кнопку Готово (Finish). До-
бавленные ключи, сроки и область их действия, а также данные об
их владельцах отобразятся в контейнере Шифрующая файловая си-
стема EFS (Encrypting File System).
Управлять ключами агентов восстановления можно с помощью команд кон-
текстного меню и команд меню Действия (Action). Добавление агента вос-
становления для средства шифрования диска BitLocker осуществляется тем
же способом, что и для шифрующей файловой системы.
Для расшифровки зашифрованных другими пользователями данных поль-
зователь, наделенный правами агента восстановления, использует свой за-
крытый ключ шифрования. Перед использованием этот ключ следует им-
портировать в хранилище личных сертификатов.
• Для импорта закрытого ключа дважды щелкните мышью файл клю-
ча, откроется диалоговое окно Мастер импорта сертификатов (Cer-
tificate Import Wizard)
• В открывшемся диалоговом окне мастера нажмите кнопку Далее
(Next) для перехода к следующему шагу. Если путь к сертификату не
отображается в поле ввода Имя файла (File Name), нажмите кнопку
Обзор (Browse) и в диалоговом окне выбора файла укажите путь к
файлу закрытого ключа. Нажмите кнопку Далее (Next).
• В поле ввода текста Пароль (Password) введите пароль к закрытому
ключу, который вы указали при его создании, если пароль указан не-
верно, система выведет соответствующее предупреждение. Устано-
вите флажок Включить все расширенные свойства (Include all ex-
tended properties). Остальные флажки следует снять. Затем нажми-
те кнопку Далее (Next).
• На данном шаге следует выбрать хранилище сертификатов. Уста-
260
260
260
новите переключатель в положение Поместить все сертификаты в

следующее хранилище (Place all certificates in the following store),
затем нажмите кнопку Обзор (Browse) и в открывшемся диалоговом
окне выберите Личное (Personal).
• Нажмите кнопку Далее (Next), а затем Готово (Finish). При успеш-
ном импорте система выведет соответствующее сообщение.
После импорта закрытого ключа пользователь, наделенный правами аген-
та восстановления данных, сможет просматривать зашифрованные други-
ми пользователями файлы так, как будто они зашифрованы им самим. Про-
верить наличие полномочий пользователя и, соответственно, правильности
настройки политики можно в свойствах любого зашифрованного файла.
• Для просмотра пользователей, наделенных правами агентов вос-
становления, щелкните правой кнопкой мыши по зашифрованному
файлу (обычно зашифрованные файлы выделены зеленым цветом)
и выберите команду Свойства (Properties).
• На вкладке Общие (General) диалогового окна свойств файла на-
жмите кнопку Другие (Advanced) и в открывшемся диалоговом окне
нажмите кнопку Подробно (Details). Откроется диалоговое окно
Пользовательский доступ к файлу (User Access to file) (рис. 7.2).
Рис. 7.2. Диалоговое окно Пользовательский доступ к файлу
261
261
261
• В нижней части окна в списке Сертификаты восстановления для

этого файла, определенные в политике восстановления (Recovery
certificates for this file as defined by recovery policy) должны отобра-
жаться сертификаты пользователей, наделенных полномочиями
агентов восстановления.
Поскольку описываемые политики располагаются в узле Конфигурация
компьютера (Computer Configuration), правами агента восстановления
пользователя можно наделить только на данном компьютере, для других
компьютеров сети процедуру создания агента восстановления данных сле-
дует повторить.
Ïîëèòèêè ïàðîëåé ó÷åòíûõ çàïèñåé

Параметры, собранные в узле Конфигурация компьютера ⇒ Конфигура-
ция Windows ⇒ Параметры безопасности ⇒ Политики учетных записей
(Computer Configuration ⇒ Windows Settings ⇒ Security Settings ⇒ Account
Policies), предназначены для установки различных политик, связанных с па-
ролями для входа в систему Windows. При использовании данных политик
можно усложнить несанкционированный доступ к компьютеру.
ÂÅÄÅÍÈÅ ÆÓÐÍÀËÀ ÏÀÐÎËÅÉ

Настройка Вести журнал паролей (Enforce password history) определяет
число новых уникальных паролей, которые назначаются пользователем до
установки ранее использовавшегося пароля. Пользователь периодически
может менять пароль для входа в систему. При этом он может использовать
как новые пароли, так и ранее установленные. С помощью данной настройки
устанавливается количество уникальных паролей (не использовавшихся ра-
нее). Использовав установленное количество новых паролей, пользователь
сможет задать ранее использовавшийся пароль.
Чтобы задать количество уникальных паролей, выполните следующие дей-
ствия.
1. Откройте узел Конфигурация компьютера ⇒ Конфигурация
Windows ⇒ Параметры безопасности ⇒ Политики учетных запи-
сей ⇒ Политика паролей (Computer Configuration ⇒ Windows Set-
tings ⇒ Security Settings ⇒ Account Policies ⇒ Passwords policy).
2. Дважды щелкните мышью по параметру Вести журнал паролей
(Enforce password history). Появится диалоговое окно с единствен-
ным полем ввода (рис. 7.3).
262
262
262
Рис. 7.3. Диалоговое окно настройки политики Вести журнал паролей
По умолчанию в поле Вести журнал для (Keep password history for) указа-
но значение 0 (ноль). Это означает, что журнал паролей не ведется, и поль-
зователь может два и более раз подряд устанавливать один и тот же пароль
для входа в систему. Увеличив это значение, например, до трех, вы зададите
количество уникальных паролей, которые нужно будет установить, прежде
чем захотите вернуться к ранее использовавшемуся паролю.
3. В поле Вести журнал для (Keep password history for) введите нужное
количество паролей, которые будут храниться в журнале.
4. Нажмите кнопку ОК, чтобы применить изменения и закрыть диало-
говое окно.
Теперь, если вы, не использовав указанное количество уникальных паролей,
попытаетесь задать ранее использовавшийся пароль, на экране появится со-
общение о том, что указанный пароль не соответствует установленным тре-
бованиям политики паролей (рис. 7.4).
263
263
263
Рис. 7.4. Сообщение о том, что указанный пароль не соответствует установленным

требованиям политики паролей
Закрыв появившееся сообщение, вы можете указать новый пароль. Если

пароль будет уникальным или ранее вы уже использовали заданное коли-
чество уникальных паролей, данное сообщение не появится, и вы сможете
установить желаемый пароль для входа в систему.
Изменения вступают в силу без перезагрузки компьютера.
ÌÀÊÑÈÌÀËÜÍÛÉ ÑÐÎÊ ÄÅÉÑÒÂÈÿ ÏÀÐÎËÿ

Параметр Максимальный срок действия пароля (Maximum password age)
определяет, какое количество дней будет действовать пароль, установлен-
ный на вход в систему, до момента, когда пользователю будет предложено
изменить пароль.
Диалоговое окно настройки Максимальный срок действия пароля (Maxi-
mum password age) вызывается щелчком по одноименному пункту в узле
Политика паролей (Passwords policy).
Данное диалоговое окно содержит единственное поле со счетчиком. По
умолчанию в данном поле установлено значение 0 (ноль). Это означает, что
срок действия пароля неограничен. В данном поле вы можете указать нуж-
ный вам срок действия пароля (в днях). Максимальный срок действия паро-
ля — 999 дней.
По истечении указанного периода при загрузке Windows вам будет предло-
жено изменить пароль. Вы можете указать новый пароль или ввести тот же
самый (если в настройке Вести журнал паролей (Enforce password history)
указано значение 0 (ноль)).
ÌÈÍÈÌÀËÜÍÛÉ ÑÐÎÊ ÄÅÉÑÒÂÈÿ ÏÀÐÎËÿ

Настройка Минимальный срок действия пароля (Minimum password age)
определяет срок, в течение которого пользователь должен использовать те-
264
264
264
кущий пароль, прежде чем изменить его. Например, если установить мини-
мальный срок действия пароля сроком на 7 дней, пользователь не сможет из-
менить пароль ранее, чем через семь дней.
Диалоговое окно данной настройки вызывается при двойном щелчке мы-
шью по настройке Минимальный срок действия пароля (Minimum password
age), расположенной в узле Политика паролей (Passwords policy).
В поле со счетчиком указывается минимальный срок действия пароля (в
днях) от 1 до 998. Если в данном поле указать значение 0 (ноль), пользо-
ватель может изменять пароль в любое время без каких-либо ограничений.
Если пользователь попытается сменить пароль ранее указанного минималь-
ного срока (отсчет ведется от последней смены пароля), на экране появит-
ся сообщение о том, что указанный пароль не соответствует установленным
требованиям политики паролей.
ÌÈÍÈÌÀËÜÍÀÿ ÄËÈÍÀ ÏÀÐÎËÿ

Название настройки Минимальная длина пароля (Minimum password
length) говорит само за себя. С помощью этой настройки задается мини-
мальное количество знаков (букв или цифр), из которого может состоять
пароль. Например, если вы зададите минимальную длину пароля в пять зна-
ков, вы не сможете создать пароль, содержащий четыре и менее знаков. Ни
для кого не является секретом, что чем длиннее пароль, тем сложнее его по-
добрать с целью несанкционированного доступа к компьютеру.
Диалоговое окно данной настройки вызывается двойным щелчком мыши по
настройке Минимальная длина пароля (Minimum password length), распо-
ложенной в узле Политика паролей (Passwords policy).
Окно настройки содержит одно поле со счетчиком, в котором указывает-
ся минимально допустимая длина пароля. Если вы установите минималь-
ную длину пароля, а затем попытаетесь указать новый пароль, длина кото-
рого ниже минимально допустимой, на экране появится сообщение о том,
что указанный пароль не соответствует установленным требованиям поли-
тики паролей.
Минимальная длина пароля может составлять от 0 до 14 символов.
ÒÐÅÁÎÂÀÍÈÿ ÑËÎÆÍÎÑÒÈ ÏÀÐÎËÿ

Настройка Пароль должен отвечать требованиям сложности (Password
must meet complexity requirements), расположенная в узле Политика паро-
лей (Passwords policy), позволяет исключить возможность ввода простых па-
265
265
265
ролей. Многие пользователи создают пароли, совпадающие с именем учет-

ной записи либо состоящие из одинаковых символов, например 11111. Зло-
умышленники в первую очередь пытаются подобрать пароль, используя по-
добные комбинации, а значит, такие пароли небезопасны.
При включении настройки Пароль должен отвечать требованиям сложно-
сти (Password must meet complexity requirements) пользователь не сможет
создать пароль, если он не отвечает следующим требованиям:
• длина пароля должна составлять не менее шести символов;
• пароль не содержит имени учетной записи либо частей имени;
• содержать знаки трех из четырех категорий: латинские прописные бук-
вы (A-Z), латинские строчные буквы (a-z), цифры (0-9), отличающиеся
от букв и цифр знаки, например %, #, $.
Например, пароль ABsa95 отвечает требованиям безопасности, поскольку
он не совпадает с именем учетной записи, состоит не менее чем из шести
символов, а также содержит и прописные, и строчные буквы, и цифры, то
есть знаки из трех ранее указанных категорий.
Диалоговое окно настройки Пароль должен отвечать требованиям слож-
ности (Password must meet complexity requirements) содержит всего один пе-
реключатель, с помощью которого можно включить либо отключить данную
настройку. Если настройка включена, то при попытке создать пароль, не от-
вечающий требованиям сложности, на экране появится сообщение о том,
что указанный пароль не соответствует установленным требованиям поли-
тики паролей.
ÕÐÀÍÅÍÈÅ ÏÀÐÎËÅÉ Ñ ÈÑÏÎËÜÇÎÂÀÍÈÅÌ ÎÁÐÀÒÈÌÎÃÎ

ØÈÔÐÎÂÀÍÈÿ
Данная настройка определяет, будет ли использоваться метод обратимого

шифрования для хранения паролей. Эта политика обеспечивает поддержку
приложений, использующих протоколы, требующие знание пароля пользо-
вателя для проверки подлинности.
Хранение паролей, использующих обратимое шифрование, не является без-
опасным, поэтому включение данной политики целесообразно только тогда,
когда требования приложения не станут более весомыми, чем требования по
защите паролей.
266
266
266
Ïîëèòèêà áëîêèðîâêè ó÷åòíûõ çàïèñåé

В узле Политика блокировки учетных записей (Account Lockout Policy) со-
держатся настройки, с помощью которых задаются параметры блокировки
учетных записей.
ÏÎÐÎÃÎÂÎÅ ÇÍÀ÷ÅÍÈÅ ÁËÎÊÈÐÎÂÊÈ

Настройка Пороговое значение блокировки (Account lockout threshold)
определяет количество неудачных попыток ввода пароля до блокировки си-
стемы. Диалоговое окно данной настройки вызывается при двойном щелч-
ке мышью по настройке Пороговое значение блокировки (Account lockout
threshold), расположенной в узле Политика блокировки учетных записей
(Account Lockout Policy).
В диалоговом окне настройки Пороговое значение блокировки (Account
lockout threshold) содержится всего одно поле со счетчиком. В данном поле
указывается количество попыток неудачного ввода пароля, которое будет
приводить к блокировке учетной записи.
Количество попыток ввода пароля может составлять от 0 до 999. При уста-
новке значения 0 (ноль) учетная запись не будет блокироваться вне зависи-
мости от того, сколько раз был введен неправильный пароль. Иными сло-
вами, пользователь сможет вводить неверный пароль сколько угодно без
каких-либо ограничений. Во всех остальных случаях количество попыток
ввода неверного пароля будет ограничено. После того, как попытки вво-
да неверного пароля будут исчерпаны, учетная запись будет заблокирова-
на. Разблокировка учетной записи может быть осуществлена администрато-
ром, либо разблокировка произойдет автоматически через заданное время.
Нетрудно догадаться, что блокировка учетной записи существенно услож-
няет процесс подбора пароля.
ÏÐÎÄÎËÆÈÒÅËÜÍÎÑÒÜ ÁËÎÊÈÐÎÂÊÈ Ó÷ÅÒÍÎÉ ÇÀÏÈÑÈ

Изменение данной настройки возможно лишь, если в настройке Пороговое
значение блокировки (Account lockout duration), описанной выше, установ-
лено значение, отличное от нуля, то есть режим блокировки учетной запи-
си включен. Настройка Продолжительность блокировки учетной записи
(Account lockout duration) определяет интервал времени, в течение которо-
го учетная запись будет заблокирована в случае ввода неверного пароля за-
данное количество раз.
Продолжительность блокировки может составлять от нуля до 99999 минут.
Если вы установите значение 0 (ноль), учетная запись будет заблокирована
267
267
267
до тех пор, пока администратор не разблокирует ее вручную.

При блокировке учетной записи в окне приветствия Windows появляется
сообщение о том, что учетная запись заблокирована и не может быть исполь-
зована для входа в сеть. Следующие попытки входа в систему будут возмож-
ны по истечении указанного интервала блокировки.
ÂÐÅÌÿ ÄÎ ÑÁÐÎÑÀ Ñ÷ÅÒ÷ÈÊÀ ÁËÎÊÈÐÎÂÊÈ

Настройка Время до сброса счетчика блокировки (Reset account lockout
counter after) определяет интервал времени, через который будет осущест-
влен сброс счетчика блокировки после неудачной попытки ввода пароля.
Допустим, у нас установлена блокировка учетной записи после трех неудач-
ных попыток ввода пароля. И время до сброса счетчика блокировки уста-
новлено равным пяти минутам. Мы ввели неверный пароль (у нас осталось
две попытки), но повторно пытаться не стали. По прошествии пяти минут
счетчик блокировки сбрасывается, и у нас снова есть три попытки.
Интервал времени до сброса счетчика блокировки может быть назначен от
1 до 99999 минут.
Ïîëèòèêè àóäèòà
Политики аудита расположены в узле Конфигурация компьютера ⇒ Кон-
фигурация Windows ⇒ Параметры безопасности ⇒ Локальные политики
⇒ Политики аудита (Computer Configuration ⇒ Windows Settings ⇒ Secu-
rity Settings ⇒ Local Policies ⇒ Audit Policy). В данном узле содержится не-
сколько настроек, и каждая из них определяет, будет ли фиксироваться в си-
стеме то или иное событие. Тип события как раз и определяется конкретной
настройкой. Все настройки в данном узле содержат одинаковые диалоговые
окна, в которых присутствуют два флажка: Успех (Success) и Отказ (Failure)
(рис. 7.5).
Если установлен флажок Успех (Success), будет фиксироваться успешное,
то есть выполненное событие. Если же установить флажок Отказ (Failure),
то фиксироваться будет так же незаконченное, то есть невыполненное со-
бытие, но при условии, что пользователь пытался выполнить это событие.
Например, если установить флажок Успех (Success) в диалоговом окне на-
стройки Аудит входа в систему (Audit account logon events), система будет
фиксировать (администратор сможет просмотреть эти события) успешные
входы и выходы пользователей в Windows. Неудачные попытки входа (на-
пример, в случае неправильно набранного пароля) фиксироваться не будут.
268
268
268
Рис. 7.5. Пример диалогового окна настройки одной из политик аудита
Однако, если установить флажок Отказ (Failure), фиксироваться будут в

том числе и неудачные попытки входа в систему.
Приведем настройки, доступные в узле Политики аудита (Audit Policy):
1. Аудит входа в систему (Audit account logon events). Аудиту подвер-
гается успешный или не успешный вход в операционную систему, а
также выход из нее;
2. Аудит доступа к объектам (Audit object access). Данная настройка
выполняет аудит доступа к объектам, не относящимся к Active Di-
rectory. В качестве объектов могут выступать файлы, папки, принте-
ры, разделы системного реестра;
3. Аудит доступа к службе каталогов (Audit directory service access).
Настройка выполняет аудит доступа к объектам, относящимся к Ac-
tive Directory, для которых указан список управления доступом;
4. Аудит изменения политики (Audit policy change). Нетрудно дога-
даться, что данная настройка ведет аудит изменения политик поль-
зователем;
269
269
269
5. Аудит изменений привилегий (Audit privilege use). Даная настройка

определяет, будет ли выполняться аудит попыток изменения поли-
тики назначения прав пользователям;
6. Аудит отслеживания процессов (Audit process tracking). Выполня-
ет аудит событий, связанных с процессами, например, создания или
завершения процесса, а также обработке дублирований и непрямого
доступа к объектам;
7. Аудит системных событий (Audit system events). Выполняет аудит
системных событий. К системным событиям можно отнести измене-
ние системного времени, запуск и отключение системы безопасно-
сти, загрузку компонентов расширяемой проверки подлинности, по-
терю отслеживаемых событий, а также превышение размера журна-
ла установленного уровня.
8. Аудит событий входа в систему (Audit logon events). Эта настройка
определяет, будет ли операционная система выполнять аудит каж-
дый раз при проверке данным компьютером учетных данных. При
использовании этой политики создается событие для локального и
удаленного входа пользователя в систему;
9. Аудит управления учетными записями (Audit account management).
Данная политика определяет, будут ли создаваться события при
управлении учетными записями в системе и, соответственно, будет
ли выполняться аудит этих событий.
Íàçíà÷åíèå ïðàâ ïîëüçîâàòåëÿ

В узле Конфигурация компьютера ⇒ Конфигурация Windows ⇒ Пара-
метры безопасности ⇒ Локальные политики ⇒ Назначение прав пользо-
вателя (Computer Configuration ⇒ Windows Settings ⇒ Security Settings ⇒
Local Policies ⇒User Rights Assignment) сосредоточено более сорока поли-
тик, с помощью которых можно задать или ограничить права пользователя.
То есть вы можете разрешить или запретить выполнять определенные дей-
ствия для категорий пользователей или конкретных пользователей.
Все настройки имеют одинаковые диалоговые окна, в которых приводит-
ся список категорий пользователей. Чтобы разрешить выполнять выбран-
ное действие, нужно добавить в список или категорию пользователей, или
конкретного пользователя. Например, настройка Создание файла подкач-
ки (Create a page file) определяет пользователей, которым разрешено созда-
вать файлы подкачки (рис. 7.6). По умолчанию данное действие позволено
выполнять только администраторам.
270
270
270
Рис. 7.6. Диалоговое окно настройки политики

Создание файла подкачки (Create a page file)
Если мы хотим добавить категорию пользователей, которым разрешено соз-

давать файлы подкачки, нужно выполнить следующие действия:
1. В диалоговом окне настройки данной политики нажать кнопку До-
бавить пользователя или группу (Add User or Group). На экране по-
явится диалоговое окно выбора пользователей или групп (рис. 7.7).
2. С помощью появившегося диалогового окна найти пользователей
или группы, которых хотите добавить в список разрешений.
3. Нажать кнопку ОК, чтобы закрыть диалоговое окно выбора пользо-
вателей или групп.
4. Убедиться, что выбранные вами пользователи или группы появи-
лись в списке диалогового окна настройки политики.
5. Нажать кнопку ОК, чтобы закрыть диалоговое окно.
271
271
271
Рис. 7.7. Диалоговое окно выбора пользователей или групп
Группы пользователей можно выбрать, нажав кнопку Типы объектов (Ob-

ject Types) в диалоговом окне выбора пользователей или групп. При нажа-
тии данной кнопки появляется диалоговое окно со списком типов объектов.
Для тех типов, которые вы хотите выбрать, следует установить флажки. Так-
же вы можете добавить конкретных пользователей, выполнив их поиск на
локальном и сетевых компьютерах.
С помощью кнопки Размещение (Locations) выбирается размещение поль-
зователя (проще говоря — имя компьютера в сети или рабочая группа, в ко-
торой следует выполнить поиск имен). А с помощью кнопки Проверить име-
на (Check Names) выполняется проверка имен, указанных в поле слева. Про-
верка имен выполняется в размещении, указанном вами с помощью диало-
гового окна, появляющегося при нажатии кнопки Размещение (Locations).
Далее перечислим политики, расположенные в рассматриваемом нами узле:
• Архивация файлов и каталогов (Back up files and directories). Дан-
ная политика определяет, какие пользователи могут игнорировать
разрешения для файлов, папок и других объектов с целью архива-
ции системы;
• Блокировать страницы в памяти (Lock pages in memory). Эта по-
литика определяет пользователей и группы, которые могут исполь-
зовать процессы для сохранения данных в физической памяти для
предотвращения сброса этих данных в виртуальную память на дис-
ке. Блокировка страниц в памяти уменьшает свободный объем ОЗУ,
что сказывается на снижении быстродействия системы;
• Восстановление файлов и каталогов (Restore files and directories).
Эта политика определяет пользователей, которым разрешено вос-
станавливать данные из ранее созданных архивных копий файлов и
папок;
272
272
272
• Вход в качестве пакетного задания (Log on as a batch job). С помо-

щью этой политики можно определить пользователей, которым раз-
решен вход в систему с помощью средства, использующего очередь
пакетных заданий;
• Вход в качестве службы (Log on as a service). Данная политика по-
зволяет субъекту безопасности (Локальная система, Локальная
служба, Сетевая служба) входить в систему в качестве службы;
• Выполнение задач по обслуживанию томов (Perform volume main-
tenance tasks). Эта политика определяет пользователей, которым
разрешено выполнять обслуживание томов, например, запускать
удаленную дефрагментацию;
• Добавление рабочих станций к домену (Add workstations to do-
main). Название данной политики говорит само за себя (впрочем,
как и большинства других политик). Данная политика определяет
пользователей, которые имеют право добавлять рабочие станции в
домен;
• Доступ к диспетчеру данных от имени доверенного вызывающего
(Access Credential Manage as a trusted caller). Эта политика использу-
ется диспетчером учетных данных в ходе архивации и восстановле-
ния. Если добавить разрешения другим субъектам, учетные данные,
сохраненные другими пользователями, могут быть скомпрометиро-
ваны. Проще говоря, без особой необходимости эту настройку луч-
ше не трогать;
• Доступ к компьютеру из сети (Access this computer from the net-
work). Название этой политики вполне понятно. Она определяет, ка-
кие группы и пользователи могут подключаться к данному компью-
теру по сети. То есть данной политикой вы можете ограничить круг
пользователей, которые могут подключиться к конкретному ком-
пьютеру;
• Завершение работы системы (Shut down the system). Политика
определяет пользователей и группы, которые могут завершить рабо-
ту в операционной системе с помощью команды Завершить работу
(Shut down). Проще говоря — корректно выйти из Windows;
• Загрузка и выгрузка драйверов устройств (Load and unload device
drivers). С помощью данной политики можно назначить права на ди-
намическую загрузку или выгрузку драйверов устройств. По умол-
чанию такую привилегию имеет только администратор. Политика не
распространяется на драйверы устройств Plug and Play;
273
273
273
• Замена маркера уровня процесса (Replace a process level token). Эта

политика позволяет определить учетные записи, которым позволено
вызывать процедуру API-интерфейса CreateProcessAsUser(). Дан-
ный интерфейс позволяет одной службе запускать другую;
• Запретить вход в систему через службу удаленных рабочих столов
(Deny log on through Remote Desktop Services). Данная политика по-
зволяет указать пользователей и группы, которым будет запрещено
входить в систему как клиенту служб удаленных столов;
• Запретить локальный вход (Deny log on locally). Очень простая по-
литика. С ее помощью можно определить пользователей и группы,
которым будет отказано во входе в систему;
• Изменение метки объекта (Modify an object label). Эта политика
определяет пользователей, которым разрешено изменять метки це-
лостности объектов, владельцами которых являются другие пользо-
ватели. Примеры объектов — файлы, разделы реестра или процессы;
• Изменение системного времени (Change the system time). Эта по-
литика определяет пользователей, которым разрешено изменять си-
стемное время и дату. По умолчанию привилегии применяются к ад-
министраторам и локальной службе;
• Изменение часового пояса (Change the Time Zone). Дает право на
изменение часового пояса. По умолчанию право распространяется, в
том числе, и на пользователей без прав администратора;
• Локальный вход в систему (Allow log on locally). С помощью данной
политики можно указать пользователей или группы, которым разре-
шен вход в систему;
• Настройка квот памяти для процесса (Adjust memory quotas for a
process). Здесь можно назначить пользователей и группы, которым
разрешено изменять максимальный объем памяти, используемый
процессом. По умолчанию разрешение выдано администраторам, а
также локальным и сетевым службам;
• Обход перекрестной проверки (Bypass traverse checking). Политика
определяет пользователей, которым разрешено производить обзор
деревьев каталога при отсутствии разрешения на каталог. При этом
пользователю не дается право на просмотр содержимого каталога;
• Отказать в доступе к этому компьютеру из сети (Deny access to this
computer from the network). Название политики вполне однозначно.
Здесь можно указать пользователей или группы, которые не смогут
подключиться к компьютеру из сети. По умолчанию отказ в доступе
распространяется на группу Гость (Guest);
274
274
274
• Отказ во входе в качестве пакетного задания (Deny log on as a batch

job). Политика, обратная политике Вход в качестве пакетного за-
дания (Log on as a batch job). То есть здесь вы, наоборот, указывае-
те пользователей, которым запрещен вход в систему в виде пакетно-
го задания;
• Отказать во входе в качестве службы (Deny log on as a service).
Определяет пользователей или группы, которым будет отказано в
регистрации процесса как службы. Политика не применяется к си-
стеме, а также локальной и сетевой службе;
• Отключение компьютера от стыковочного узла (Remove computer
from docking station). С помощью этой политики можно назначить
пользователей и группы, которым разрешено отстыковать портатив-
ный компьютер от стыковочного узла без выполнения входа в систе-
му;
• Отладка программ (Debug programs). Дает право на подключение
отладчика к процессу или ядру;
• Принудительное удаленное завершение работы (Force shutdown
from a remote system). Нетрудно догадаться, что с помощью этой по-
литики можно назначить пользователей, которые могут удаленно за-
вершить работу на данном компьютере. По умолчанию разрешение
дано только администраторам;
• Смена владельцев файлов и других объектов (Take ownership of files
or other objects). Политика позволяет назначить пользователей, ко-
торые могут стать владельцами любого защищенного объекта в си-
стеме. Например, вы можете назначить пользователя, который бу-
дет иметь право изменять собственника файла или папки. По умол-
чанию разрешение дано администраторам;
• Создание аудитов безопасности (Generate security audits). Полити-
ка определяет субъекты, которые будут использоваться процессом
для добавления в журнал безопасности. По умолчанию разрешение
выдано локальной и сетевой службе;
• Создание файла подкачки (Create a pagefile). Дает право на управ-
ление (создание, изменение и удаление) файлом подкачки Windows.
По умолчанию разрешение дано администраторам;
• Увеличение приоритета выполнения (Increase scheduling priority).
Политика определяет пользователей, которым разрешено использо-
вать процесс, дающий право на повышение приоритета выполнения
другого процесса;
275
275
275
• Увеличение рабочего набора процессов (Increase a process working

set). Дает право на уменьшение или увеличение размера рабочего на-
бора процесса, то есть набора страниц памяти, видимых процессу в
физической оперативной памяти;
• Управление аудитом и журналом безопасности (Manage auditing
and security log). Ранее мы рассматривали политики аудита. Данная
политика как раз определяет пользователей, которые могут управ-
лять политиками аудита. По умолчанию разрешение выдано адми-
нистраторам.
Ïàðàìåòðû áåçîïàñíîñòè
В узле Конфигурация компьютера ⇒ Конфигурация Windows ⇒ Пара-
метры безопасности ⇒ Локальные политики ⇒ Параметры безопасности
(Computer Configuration ⇒ Windows Settings ⇒ Security Settings ⇒ Local
Policies ⇒ Security Options) сосредоточено огромное количество различных
политик, отвечающих за безопасность данных и работы на компьютере. Диа-
логовые окна настройки политик достаточно просты и в большинстве случа-
ев содержат единственный элемент управления: переключатель, раскрываю-
щийся список, поле ввода или поле со счетчиком (рис. 7.8).
Рис. 7.8. Диалоговое окно настройки одной из политик Параметры безопасности
276
276
276
Перечислим политики, расположенные в узле Параметры безопасности

(Security Options):
• DCOM: Ограничения компьютера на доступ в синтаксисе SDDL
(DCOM: Machine Access Restrictions in Security Descriptor Defini-
tion Language (SDDL) syntax). Позволяет запретить или разрешить
пользователям или группам пользователей локальный и удаленный
доступ к COM-компонентам;
• DCOM: Ограничения компьютера на запуск в синтаксисе SDDL
(DCOM: Machine Launch Restrictions in Security Descriptor Defini-
tion Language (SDDL) syntax). Позволяет ограничить или разрешить
пользователям или группам пользователей локальную или удален-
ную активацию и запуск COM-компонентов;
• Аудит: аудит доступа глобальных системных объектов (Audit: Au-
dit the access of global system objects). С помощью данной полити-
ки включается или отключается аудит доступа к глобальным систем-
ным объектам — мьютексам, семафорам и так далее;
• Аудит: Аудит прав на архивацию и восстановление (Audit: Audit
the use of Backup and Restore privilege). С помощью данной полити-
ки можно включить или отключить аудит использования всех прав
пользователя, включая архивацию и восстановление данных;
• Аудит: немедленное отключение системы, если невозможно внести
в журнал записи об аудите безопасности (Audit: Shut down system
immediately if unable to log security audits). Если включить данную
политику, то в случае невозможности системы внести запись о собы-
тии, подлежащем аудиту, происходит отключение системы. Одна из
причин невозможности протоколирования событий — переполнение
журнала аудита безопасности;
• Доступ к сети: разрешить трансляцию анонимного SID в имя (Net-
work access: Allow anonymous SID/name translation). SID — иденти-
фикатор безопасности, соответствующий учетной записи пользо-
вателя. В операционных системах Windows идентификаторы безо-
пасности создаются в момент создания учетной записи пользовате-
ля, но для встроенных учетных записей, например Администратор
(Administrator), они одинаковы, даже если их переименовать. Если
включить данную политику, то по идентификатору SID можно по-
лучить реальное имя встроенной учетной записи администратора и
использовать его в дальнейшем для проведения атак на компьютер;
• Завершение работы: очистка файла подкачки виртуальной памя-
ти (Shutdown: Clear virtual memory pagefile). Если данная политика
277
277
277
включена, при завершении работы системы автоматически будет вы-

полняться очистка файла подкачки виртуальной памяти;
• Завершение работы: разрешить завершение работы системы без
выполнения входа в систему (Shutdown: Allow system to be shut
down without having to log on). По умолчанию действие этой полити-
ки не определено. Если включить данную политику, на экране входа
в Windows появится команда для выхода из системы. То есть поль-
зователь сможет выгрузить Windows, даже не входя в операционную
систему;
• Интерактивный вход в систему: поведение при извлечении смарт-
карты (Interactive logon: Smart card removal behavior). Данная поли-
тика определяет, что произойдет при извлечении смарт-карты. При
извлечении смарт-карты может выполняться блокировка рабочей
станции, принудительный выход из системы или отключение от си-
стемы (в случае удаленного сеанса служб удаленных рабочих сто-
лов);
• Интерактивный вход в систему: заголовок сообщения для пользо-
вателей при входе в систему (Interactive logon: Message title for us-
ers attempting to log on). Данная политика используется только, если
в политике Интерактивный вход в систему: текст сообщения для
пользователей при входе в систему (Interactive logon: Message text
for users attempting to log on) указан какой-либо текст. Эта полити-
ка задает текст заголовка для сообщения, которое выводится в окне
входа в Windows;
• Интерактивный вход в систему: количество предыдущих подклю-
чений к КЭШу (Interactive logon: Number of previous logons to cache
(in case domain controller is not available)). Если компьютер подклю-
чен к локальной сети, использующей контроллер домена, то при вхо-
де пользователя в систему регистрационные данные будут прове-
ряться на контроллере домена. На случай недоступности контролле-
ра домена данные о предыдущих входах так же сохраняются на ком-
пьютере локально. Данная политика отвечает за количество сохра-
ненных локально сведений о входе пользователя в систему на случай
отказа контроллера домена;
• Интерактивный вход в систему: напоминать пользователю об ис-
течении срока действия пароля (Interactive logon: Prompt user to
change password before expiration). С помощью данной политики
можно установить, за сколько дней до истечения срока действия па-
роля пользователь будет получать напоминание об окончании сро-
278
278
278
ка действия пароля. Напоминание происходит при входе пользова-

теля в систему;
• Интерактивный вход в систему: не отображать последнее имя
пользователя (Interactive logon: Do not display last user name). Дан-
ная политика позволяет включить или отключить режим отображе-
ние в окне входа в Windows имени последнего пользователя, выпол-
нившего вход в систему;
• Интерактивный вход в систему: не требовать нажа-
тия CTRL+ALT+DEL (Interactive logon: Do not require
CTRL+ALT+DEL). По умолчанию поведение политики не опреде-
лено, и нажатия указанного сочетания клавиш для входа в систему
не требуется, как это требовалось по умолчанию в Windows 2000.
Однако вы можете включить запрос на нажатие сочетания клавиш
Ctrl+Alt+Del для входа в систему;
• Интерактивный вход в систему: отображать сведения о пользова-
теле, если сеанс заблокирован (Interactive logon: Display user infor-
mation when the session is locked). С помощью данной политики вы
можете задать тип сведений, которые будут отображаться на экране
при заблокированном сеансе. На экране может отображаться выво-
димое имя пользователя, а также имена домена и пользователя, либо
только имя пользователя. Также вы можете отключить вывод каких-
либо сведений о пользователе;
• Интерактивный вход в систему: текст сообщения для пользова-
телей при входе в систему (Interactive logon: Message text for users
attempting to log on). С помощью данной политики можно указать
текст, который будет выводиться на экране входа в Windows. Дан-
ный текст может содержать, например, какие-либо предупреждения
или указания для всех пользователей, пытающихся войти в систему;
• Интерактивный вход в систему: Требовать проверки на контролле-
ре домена для отмены блокировки компьютера (Interactive logon:
Require Domain Controller authentication to unlock). Данная полити-
ка определяет, будет ли использоваться проверка на контроллере до-
мена регистрационных данных для разблокировки компьютера или
для этого будут использоваться регистрационные данные, кэширо-
ванные на данном компьютере;
• Интерактивный вход: требовать смарт-карту (Interactive logon: Re-
quire smart card). Данная политика определяет, будет ли требоваться
смарт-карта для входа пользователя в систему. Если переключатель
установлен в положение Включен (On), вход в систему без исполь-
279
279
279
зования смарт-карты будет невозможен;

• Клиент сети Microsoft: использовать цифровую подпись (всегда)
(Microsoft network client: Digitally sign communications (always)).
Данный параметр определяет, будет ли использоваться цифровая
подпись для пакетов данных, передаваемых по протоколу SMB —
протоколу удаленного доступа к файлам, принтерам и сетевым ре-
сурсам используемому в сетях. Если включить этот параметр, то дан-
ный протокол будет использоваться только для обмена данными с
компьютерами, поддерживающими подпись пакетов;
• Клиент сети Microsoft: использовать цифровую подпись (с согла-
сия сервера) (Microsoft network client: Digitally sign communications
(if server agrees)). При включении этого параметра клиентский ком-
пьютер перед обменом данными с сервером по протоколу SMB бу-
дет согласовывать использование цифровой подписи пакетов с сер-
вером и использовать обмен подписанными пакетами данных, если
такая возможность имеется. В противном случае пакеты данных не
будут подписываться;
• Сетевой клиент Майкрософт: отправить незашифрованный пароль
для подключения к SMB-серверам сторонних компаний (Microsoft
network client: Send unencrypted password to connect to third-party
SMB servers). Включение данной политики позволит отправлять па-
роль незашифрованным на SMB-сервер, не поддерживающий шиф-
рование пароля;
• Консоль восстановления: разрешить автоматический вход адми-
нистратора (Recovery console: Allow automatic administrative logon).
Если политика включена, система не будет требовать пароль для
входа учетной записи «Администратор»;
• Консоль восстановления: разрешить копирование дискет и доступ
ко всем дискам и папкам (Recovery console: Allow floppy copy and ac-
cess to all drives and all folders). При включении данной политики ста-
новится доступной команда SET в консоли восстановления, с помо-
щью которой можно, например, использовать подстановочные знаки
для некоторых команд, разрешить доступ к любым файлам и папкам,
разрешить копировать файлы на съемные носители, отменить преду-
преждения при перезаписи уже существующих файлов;
• Контроллер домена: запретить изменение паролей учетных запи-
сей компьютера (Domain controller: Refuse machine account password
changes). При включении этой политики пароли пользователей мож-
но поменять только на контроллере домена;
280
280
280
• Контроллер домена: разрешить операторам сервера задавать вы-

полнение заданий по расписанию (Domain controller: Allow server
operators to schedule tasks). В операционных системах Windows по-
мимо Планировщика заданий есть так же консольная утилита AT,
обладающая схожими возможностями. При включении данной по-
литики операторы контроллера домена имеют возможность выпол-
нять различные команды по расписанию, используя эту утилиту;
• Контроллер домена: требования цифровой подписи для LDAP-
сервера (Domain controller: LDAP server signing requirements). Если
включить данный параметр, то сервер LDAP будет требовать у кли-
ентов цифровую подпись для пакетов данных при подключении;
• Контроль учетных записей: обнаружение установки приложений
и запрос на повышение прав (User Account Control: Detect applica-
tion installations and prompt for elevation). Если политика включена,
то при установке приложений, если для продолжения выполнения
установки требуется повышение прав, на экране появляется запрос
на ввод имени и пароля администратора;
• Контроль учетных записей: переключение к безопасному рабо-
чему столу при выполнении запроса на повышение прав (User Ac-
count Control: Switch to the secure desktop when prompting for eleva-
tion). При включении этой политики все запросы, связанные с повы-
шением прав, будут выводиться на безопасный рабочий стол, то есть
рабочий стол пользователя будет отключаться, как при настройках
контроля учетных записей по умолчанию;
• Контроль учетных записей: поведение запроса на повышение прав
для администраторов в режиме одобрения администратором (User
Account Control: Behavior of the elevation prompt for administrators
in Admin Approval Mode). Эта политика определяет метод выведе-
ния запроса на повышение прав для администраторов. Возможно не-
сколько вариантов от отсутствия запроса до требования ввода адми-
нистраторского пароля на безопасном рабочем столе;
• Контроль учетных записей: поведение запроса на повышение прав
для обычных пользователей (User Account Control: Behavior of the
elevation prompt for standard users). Данная политика определяет ме-
тод вывода запроса на повышение прав для пользователей. Запросы
могут либо отклоняться, либо выводиться на рабочий стол, либо на
безопасный рабочий стол;
• Контроль учетных записей: повышать права только для UIAccess-
приложений, установленных в безопасном местоположении (User
281
281
281
Account Control: Only elevate UIAccess applications that are installed

in secure locations). При включении данной политики программы мо-
гут повышать права только в том случае, если такая необходимость
указана разработчиком, а также если данные программы установле-
ны в каталоги Program Files и Windows;
• Контроль учетных записей: повышение прав только для подписан-
ных и проверенных исполняемых файлов (User Account Control:
Only elevate executable files that are signed and validated). При вклю-
чении данной политики повысить права могут только подписанные
программы с верной электронной подписью;
• Контроль учетных записей: при сбоях записи в файл или реестр
виртуализация в размещение пользователя (User Account Control:
Virtualize file and registry write failures to per-user locations). Данный
параметр служит для уменьшения опасности программ. По умол-
чанию он включен, и если программа, не имеющая прав на запись
данных в папку Program Files, Windows или в ветвь реестра HKLM\
Software\, пытается выполнить такую операцию, то эти данные бу-
дут перенаправлены в пользовательскую область. Если параметр от-
ключить, то такая операция будет завершаться ошибкой;
• Контроль учетных записей: разрешать UIAccess-приложениям
запрашивать повышение прав, не используя безопасный рабочий
стол (User Account Control: Allow UIAccess applications to prompt for
elevation without using the secure desktop). При включении данно-
го параметра UIAccess-приложения могут выводить запросы на по-
вышение прав на обычный рабочий стол, если данная возможность
не запрещена политикой Контроль учетных записей: переключе-
ние к безопасному рабочему столу при выполнении запроса на по-
вышение прав (User Account Control: Switch to the secure desktop
when prompting for elevation). При отключенном параметре данной
политики запросы на повышение прав будут выводиться UIAccess-
приложениями, как и остальными программами на безопасный ра-
бочий стол, если пользователь его не отключил;
• Контроль учетных записей: использование режима одобрения ад-
министратором для встроенной учетной записи администратора
(User Account Control: Use Admin Approval Mode for the built-in Ad-
ministrator account). При включении данного параметра для встро-
енной учетной записи Администратора будут выводиться запросы
на подтверждение повышения прав для операций, как и для обыч-
ных учетных записей администраторов;
282
282
282
• Параметры системы: использовать правила сертификатов для ис-

полняемых файлов Windows для политик ограниченного исполь-
зования программ (System settings: Use Certificate Rules on Windows
Executables for Software Restriction Policies). Если включить данный
параметр, то при попытке запуска программы будет проводиться
проверка ее цифровой подписи, а также выполняться правила серти-
фикатов — тип правил ограниченного использования программ, по-
зволяющих запретить или разрешить выполнение программ с опре-
деленными цифровыми подписями;
• Параметры системы: необязательные подсистемы (System settings:
Optional subsystems). Эта политика позволяет перечислить необяза-
тельные подсистемы — средства для запуска различных видов про-
грамм. По умолчанию в списке присутствует только Posix — подси-
стема для запуска специально подготовленных программ, написан-
ных для операционных систем семейства Unix;
• Сервер сети Microsoft: время бездействия до приостановки сеанса
(Microsoft network server: Amount of idle time required before suspend-
ing a session). Данный параметр позволяет установить время простоя
до отключения сервером сеанса по протоколу SMB;
• Сервер сети Microsoft: использовать цифровую подпись (всегда)
(Microsoft network server: Digitally sign communications (always)).
Если данный параметр включен, то сервер откажет в соединении
клиентам, не согласившимся на цифровую подпись пакетов данных;
• Сервер сети Microsoft: использовать цифровую подпись (с согла-
сия клиента) (Microsoft network server: Digitally sign communications
(if client agrees)). Если включить данный параметр, то сервер будет
согласовывать использование цифровой подписи пакетов данных с
клиентами, в противном случае подпись сервером не будет исполь-
зоваться. Эта политика обычно включается на контроллерах доме-
нов;
• Сетевой сервер (Майкрософт): отключать клиентов по истечении
разрешенных часов входа (Microsoft network server: Disconnect cli-
ents when logon hours expire). При включении этого параметра кли-
енты будут автоматически отключаться от сервера по истечении за-
данного для их учетных записей времени входа;
• Сетевая безопасность: минимальная сеансовая безопасность для
клиентов на базе NTLM SSP (включая безопасный RPC) (Network
security: Minimum session security for NTLM SSP based (including se-
cure RPC) clients). Данный параметр позволяет определить, какие
283
283
283
типы протоколов должен использовать сервер, с которым клиент же-

лает установить соединение;
• Сетевая безопасность: минимальная сеансовая безопасность для
серверов на базе NTLM SSP (включая безопасный RPC) (Network
security: Minimum session security for NTLM SSP based (including
secure RPC) servers). Параметр аналогичный предыдущему, но для
сервера. Если клиент не согласовывает с сервером какой-либо из
указанных типов шифрования, то ему будет отказано в соединении;
• Сетевая безопасность: настройка типов шифрования, разрешен-
ных Kerberos (Network security: Configure encryption types allowed
for Kerberos). Данный параметр позволяет задать типы шифрования,
разрешенные к использованию в службе Kerberos;
• Сетевая безопасность: не хранить хэш-значения LAN Manager при
следующей смене пароля (Network security: Do not store LAN Man-
ager hash value on next password change). Данная политика отвечает
за хранение хэш-значения пароля, создаваемого по алгоритму аутен-
тификации LAN Manager. Поскольку данный алгоритм не является
достаточно криптостойким, данную политику желательно включить;
• Сетевая безопасность: ограничения NTLM: аудит входящего тра-
фика NTLM (Network security: Restrict NTLM: Audit Incoming
NTLM Traffic). При включении данной политики сервер будет ре-
гистрировать сквозные запросы на аутентификацию по протоколу
NTLM. В зависимости от выбранного значения будут регистриро-
ваться запросы учетных записей домена или всех учетных записей;
• Сетевая безопасность: ограничения NTLM: аудит проверки под-
линности NTLM в этом домене (Network security: Restrict NTLM:
Audit NTLM authentication in this domain). Данная политика позво-
ляет регистрировать попытки входа с помощью аутентификации по
протоколу NTLM;
• Сетевая безопасность: ограничения NTLM: входящий трафик
NTLM (Network security: Restrict NTLM: Incoming NTLM traffic).
Запрет или разрешение запросов аутентификации по протоколу
NTLM. В зависимости от выбранного значения можно разрешить
аутентификацию, запретить для доменных учетных записей или для
всех учетных записей;
• Сетевая безопасность: ограничения NTLM: добавить исключения
для серверов в этом домене (Network security: Restrict NTLM: Add
server exceptions in this domain). С помощью этого параметра можно
284
284
284
задать список серверов домена, к которым клиенты могут подклю-

чаться, используя для аутентификации протокол NTLM, даже если
данный протокол запрещен к использованию на серверах локальной
сети контроллером домена;
• Сетевая безопасность: ограничения NTLM: добавить удаленные
серверы в исключения проверки подлинности NTLM (Network se-
curity: Restrict NTLM: Add remote server exceptions for NTLM authen-
tication). Параметр аналогичен предыдущему, но применяется для
создания списка серверов, не входящих в локальный домен;
• Сетевая безопасность: ограничения NTLM: исходящий трафик
NTLM на удаленные серверы (Network security: Restrict NTLM:
Outgoing NTLM traffic to remote servers). Политика позволяет раз-
решить, запретить или включить аудит использования протокола
NTLM для регистрации на удаленных серверах;
• Сетевая безопасность: ограничения NTLM: проверка подлинно-
сти NTLM в этом домене (Network security: Restrict NTLM: NTLM
authentication in this domain). Позволяет ограничить или вообще за-
претить использование протокола NTLM в домене;
• Сетевая безопасность: принудительный вывод из сеанса по истече-
нии допустимых часов работы (Network security: Force logoff when
logon hours expire). При включении данного параметра подключения
других компьютеров к данному по протоколу SMB будут автомати-
чески разрываться по истечении заданного для них промежутка вре-
мени;
• Сетевая безопасность: разрешить LocalSystem использовать нуле-
вые сеансы (Network security: Allow LocalSystem NULL session fall-
back). При включении данной политики программы и службы, запу-
скаемые под учетной записью LocalSystem, могут использовать ну-
левые сеансы;
• Сетевая безопасность: разрешить использование сетевых удосто-
верений в запросах проверки подлинности PKU2U к этому ком-
пьютеру (Network security: Allow PKU2U authentication requests to
this computer to use online identities). Политика определяет возмож-
ность использования сетевых удостоверений для аутентификации
при подключении к данному компьютеру;
• Сетевая безопасность: разрешить учетной записи LocalSystem ис-
пользовать удостоверение компьютера для NTLM (Network secu-
rity: Allow Local System to use computer identity for NTLM). Данный
параметр определяет возможность для служб, запущенных под учет-
285
285
285
ной записью Local System, использовать сетевое удостоверение ком-

пьютера для аутентификации по протоколу NTLM;
• Сетевая безопасность: требование цифровой подписи для LDAP-
клиента (Network security: LDAP client signing requirements). Пара-
метр аналогичен политике Контроллер домена: требования циф-
ровой подписи для LDAP-сервера (Domain controller: LDAP server
signing requirements), описанной выше, но применяется к клиентско-
му компьютеру;
• Сетевая безопасность: уровень проверки подлинности LAN Man-
ager (Network security: LAN Manager authentication level). Полити-
ка определяет, какие протоколы аутентификации используются при
удаленном подключении к компьютеру;
• Сетевой доступ: запретить анонимный доступ к именованным ка-
налам и общим ресурсам (Network access: Restrict anonymous access
to Named Pipes and Shares). При включении данного параметра ано-
нимный доступ к общим ресурсам компьютера и именованным кана-
лам будет запрещен. Исключение составляют каналы и данные, ука-
занные в списках политик Сетевой доступ: разрешать анонимный
доступ к именованным каналам (Network access: Named Pipes that
can be accessed anonymously) и Сетевой доступ: разрешать аноним-
ный доступ к общим ресурсам (Network access: Shares that can be
accessed anonymously);
• Сетевой доступ: модель совместного доступа и безопасности для
локальных учетных записей (Network access: Sharing and security
model for local accounts). Политика определяет, какими правами бу-
дут наделяться пользователи при входе в локальную сеть с исполь-
зованием локальных учетных записей. В зависимости от выбранного
значения пользователи будут авторизоваться либо под своими учет-
ными данными и использовать те права, которые определены для их
учетных записей, либо как гости и, соответственно, получать права
гостевой учетной записи независимо от того, какими правами они
пользуются на локальном компьютере;
• Сетевой доступ: не разрешать перечисление учетных записей SAM
анонимными пользователями (Network access: Do not allow anony-
mous enumeration of SAM accounts). Политика определяет возмож-
ность получения анонимными пользователями имен учетных запи-
сей домена;
• Сетевой доступ: не разрешать перечисление учетных записей SAM
и общих ресурсов анонимными пользователями (Network access:
286
286
286
Do not allow anonymous enumeration of SAM accounts and shares). По-

литика определяет возможность получения анонимными пользова-
телями имен общих сетевых ресурсов и учетных записей домена;
• Сетевой доступ: не разрешать хранение паролей или учетных дан-
ных для сетевой проверки подлинности (Network access: Do not al-
low storage of passwords and credentials for network authentication).
Параметр определяет будут ли запоминаться диспетчером учетных
данных данные учетной записи для последующей аутентификации
на контроллере домена;
• Сетевой доступ: разрешать анонимный доступ к именованным ка-

налам (Network access: Named Pipes that can be accessed anonymous-
ly). Данный параметр позволяет составить список именованных ка-
налов, к которым в качестве исключения будет разрешен анонимный
доступ;
• Сетевой доступ: разрешать анонимный доступ к общим ресурсам

(Network access: Shares that can be accessed anonymously ). Параметр
аналогичен предыдущему, применяется для общих сетевых ресурсов;
• Сетевой доступ: удаленно доступные пути и вложенные пути рее-

стра (Network access: Remotely accessible registry paths and subpaths).
Политика содержит список ветвей реестра, к которым разрешен уда-
ленный доступ;
• Сетевой доступ: пути в реестре доступны через удаленное подклю-

чение (Network access: Remotely accessible registry paths). В тексто-
вом поле диалогового окна настройки данной политики можно ука-
зать пути реестра Windows, которые будут доступны по сети;
• Сетевой сервер (Майкрософт): уровень проверки сервером име-

ни участника-службы конечного объекта (Microsoft network server:
Server SPN target name validation level). Параметр позволяет задать
уровень проверки имени участника-службы сервером при подклю-
чении к нему клиента по протоколу SMB;
• Системная криптография: использовать FIPS 140-совместимые

алгоритмы для шифрования, хеширования и подписывания (Sys-
tem cryptography: Use FIPS 140 compliant cryptographic algorithms,
including encryption, hashing and signing algorithms). При включении
данного параметра в операционной системе для криптографических
операций будут использоваться только протоколы, соответствую-
щие стандарту FIPS 140;
287
287
287
• Системная криптография: применять сильную защиту пользова-

тельских ключей, хранящихся на компьютере (System Cryptogra-
phy: Force strong key protection for user keys stored on the computer).
Параметр определяет необходимость ввода пользователем пароля
при работе с закрытым ключом шифрования. В зависимости от вы-
бранного значения пароль не будет требоваться, будет запрашивать-
ся при первом или при каждом обращении к закрытому ключу;
• Системные объекты: усилить разрешения по умолчанию для вну-
тренних системных объектов (например, символических ссылок)
(System objects: Strengthen default permissions of internal system ob-
jects (e.g., Symbolic Links)). При включении данного параметра поль-
зователи, не являющиеся администраторами, по умолчанию будут
иметь доступ к общим ресурсам домена только на чтение;
• Системные объекты: учитывать регистр для подсистем, отличных
от Windows (System objects: Require case insensitivity for non-Win-
dows subsystems). Данный параметр определяет, будет ли учитывать-
ся регистр при обращении к различным системным объектам, напри-
мер каталогам, подсистемами, отличными от Windows, такими как
POSIX;
• Устройства: запретить пользователям установку драйверов прин-
теров при подключении к общим принтерам (Devices: Prevent users
from installing printer drivers when connecting to shared printers). При
включении данной политики устанавливать сетевые принтеры смо-
гут только администраторы. При выключенной политике устанавли-
вать сетевые принтеры смогут все пользователи;
• Устройства: Разрешать отстыковку без входа в систему (Devices:
Allow undock without having to log on). Эта политика определяет воз-
можность отстыковки портативного компьютера без входа в систе-
му. Если политика включена, вход в систему не требуется, и для от-
стыковки компьютера может быть использована внешняя аппарат-
ная кнопка извлечения;
• Устройства: разрешить доступ к дисководам гибких дисков только
локальным пользователям (Devices: Restrict floppy access to locally
logged-on user only). При включении данной политики доступ к дис-
ководам гибких дисков будет доступнее только локальным пользо-
вателям;
• Устройства: разрешить доступ к дисководам компакт-дисков толь-
ко локальным пользователям (Devices: Restrict CD-ROM access to
locally logged-on user only). То же, что и предыдущая политика, но до-
288
288
288
ступ определяется для дисководов оптических дисков;

• Устройства: разрешить форматирование и извлечение съемных но-
сителей (Devices: Allowed to format and eject removable media). Дан-
ная политика определяет группы пользователей, которые могут фор-
матировать и извлекать NTFS-носители. Возможные варианты: Ад-
министраторы, Администраторы и опытные пользователи, Админи-
страторы и интерактивные пользователи;
• Учетные записи: переименование учетной записи администратора
(Accounts: Rename administrator account). С помощью данной поли-
тики вы можете изменить имя учетной записи администратора (по
умолчанию — Администратор);
• Учетные записи: переименование учетной записи гостя (Accounts:
Rename guest account). Данная политика позволяет изменить имя
учетной записи гостя. По умолчанию — Гость;
• Учетные записи: ограничить использование пустых паролей толь-
ко консольным входом (Accounts: Limit local account use of blank
passwords to console logon only). С помощью данной политики мож-
но запретить или разрешить использование пустых паролей при уда-
ленном подключении к системе. Если параметр включен, то исполь-
зовать учетную запись без пароля для входа в систему можно только
с самого компьютера;
• Учетные записи: состояние учетной записи «Администратор» (Ac-
counts: Administrator account status). С помощью этой политики вы
можете включить или отключить учетную запись локального адми-
нистратора;
• Учетные записи: состояние учетной записи «Гость» (Accounts:
Guest account status). То же, что и предыдущая политика, но здесь вы
можете включить или отключить гостевую учетную запись;
• Член домена: всегда требуется цифровая подпись или шифрова-
ние данных безопасного канала (Domain member: Digitally encrypt
or sign secure channel data (always)). Параметр определяет необходи-
мость использования цифровой подписи пакетов данных или шиф-
рования при установке безопасного канала связи с контроллером до-
мена;
• Член домена: максимальный срок действия пароля учетных запи-
сей компьютера (Domain member: Maximum machine account pass-
word age). Параметр определяет срок действия пароля учетной запи-
си компьютера;
289
289
289
• Член домена: отключить изменение пароля учетных записей ком-

пьютера (Domain member: Disable machine account password chang-
es). Определяет возможность смены пароля учетной записи компью-
тера;
• Член домена: требовать стойкий ключ сеанса (Windows 2000 или
более поздней версии) (Domain member: Require strong (Windows
2000 or later) session key). Политика определяет необходимость ис-
пользования 128-битного ключа для шифрования при использова-
нии безопасного канала связи с контроллером домена.
• Член домена: подписывать данные безопасного канала, когда это
возможно (Domain member: Digitally sign secure channel data (when
possible)). Политика определяет, будет ли компьютер требовать от
контроллера домена подписи пакетов данных при использовании
безопасного канала связи;
• Член домена: шифровать данные безопасного канала, когда это
возможно (Domain member: Digitally encrypt secure channel data
(when possible)). Политика определяет, будет ли компьютер требо-
вать от контроллера домена шифрования данных при использова-
нии безопасного канала связи.
Ôóíêöèÿ óïðàâëåíèÿ ïðèëîæåíèÿìè

AppLocker
AppLocker — это новый компонент в Windows 7, с помощью которого можно
указать, какие пользователи и группы могут запускать определенные при-
ложения в зависимости от уникальных идентификаторов файлов. При ис-
пользовании AppLocker можно создать правила, разрешающие или запреща-
ющие запуск приложений.
Компонент AppLocker находится в узле Конфигурация Windows ⇒ Па-
раметры безопасности ⇒ Политики управления приложениями ⇒
AppLocker (Computer Configuration ⇒ Windows Settings ⇒ Security Set-
tings ⇒ Application Control Policies ⇒ AppLocker). AppLocker работает с ис-
полняемыми файлами (EXE и COM), файлами сценариев (JS, PSL, .VBS,
CMD и BAT), а также с файлами установщика Windows (MSI и MSP). Для
каждой из указанных групп файлов в узле AppLocker созданы группы, соот-
ветственно, Исполняемые правила (Executable Rules), Правила сценариев
(Script Rules) и Правила установщика Windows (Windows Installer Rules).
Работа с каждой из этих групп одинакова.
290
290
290
По умолчанию все три группы пусты, поскольку правила не созданы. Прави-

ла создаются одинаково для файлов каждой из указанных групп.
Чтобы создать, например, правило для исполняемых файлов, нужно выпол-
нить следующие действия.
1. Щелкните по группе Исполняемые правила (Executable Rules) в
узле AppLocker. В правой части окна редактора локальной группо-
вой политики появится пустая таблица.
2. В окне редактора локальной групповой политики выберите коман-
ду меню Действие ⇒ Создать новое правило (Action ⇒ Create New
Rule). На экране появится окно мастера создания правила.
В левой части окна мастера находится список шагов, которые пред-
стоит выполнить при создании правила. Перемещение между этими
шагами осуществляется с помощью кнопки Далее (Next).
Первая страница мастера создания правил содержит информацион-
ный текст. Здесь не выполняется никаких действий.
3. Нажмите кнопку Далее (Next). Появится вторая страница мастера
создания правила (рис. 7.9).
Рис. 7.9. Второе окно мастера настройки создания правила AppLocker
Переключателем Действие (Action) задается действие, которое будет опре-

деляться правилом:
291
291
291
• Разрешить (Allow). Запуск приложения будет разрешен;

• Запретить (Deny). Запуск приложения будет запрещен.
Ниже располагается поле, в котором отображается группа пользователей
(по умолчанию — Все), на которых распространяется данное правило. Груп-
пы пользователей можно выбрать в диалоговом окне, появляющемся при на-
жатии кнопки Выбрать (Select). Также можно выбрать конкретного поль-
зователя, на которого будет распространяться создаваемое правило. Напри-
мер, если вы выберете группу Администраторы, создаваемое правило будет
распространяться только на пользователей, вошедших под учетной записью
Администратор.
4. С помощью переключателя Действие (Action) выберите действие
для правила.
5. Выберите группы пользователей, на которых будет распространять-
ся создаваемое правило.
6. Нажмите кнопку Далее (Next). Появится третье окно мастера созда-
ния правила (рис. 7.10).
Рис. 7.10. Выбор типа основного условия
В третьем окне мастера создания правила выбирается тип основного усло-

вия, которое следует создать. Вы можете разрешить или запретить запуск
программ по их издателю (здесь учитываются имя издателя, имя файла, на-
292
292
292
звание продукта, версия файла), по конкретному пути или по хэшу файла.

Выбор типа основного правила выбирается с помощью переключателя.
7. Выберите тип основного условия с помощью переключателя в тре-
тьем окне мастера настройки правила.
8. Нажмите кнопку Далее (Next). Появится четвертое окно мастера
Рис. 7.11. Четвертое окно мастера создания правила
Содержимое четвертого окна мастера создания правила меняется в зависи-

мости от того, какой тип правила был выбран на предыдущем шаге. В нашем
примере был выбран тип Издатель (Publisher).
9. С помощью элементов управления в четвертом окне мастера созда-
ния правила укажите программу (сценарий или установщик), для
которой создается правило. В нашем примере мы создали запрет на
запуск программы DVDMaker (рис. 7.12).
10. Нажмите кнопку Далее (Next). Появится следующее окно мастера
создания правила, в котором задаются исключения (рис. 7.13).
С помощью исключений вы можете добавить объекты (файлы, сценарии и
установщики), на которые не будет распространяться правило.
293
293
293
Рис. 7.12. Программа выбрана
Рис. 7.13. В этом окне задаются исключения для правила
294
294
294
11. Нажмите кнопку Далее (Next). Появится последнее окно мастера

Рис. 7.14. Последняя страница мастера создания правила
В появившемся окне задается имя для созданного правила, а также его опи-
сание. Имя правила может быть любым понятным пользователю или адми-
нистратору, например Запрет на запуск игры Паук. Описание тоже может
быть любым. В нем можно привести более подробную информацию о пра-
виле.
12. Укажите имя для созданного правила в поле Имя (Name).
13. При необходимости укажите описание для правила в поле Описа-
ние (Description).
14. Нажмите кнопку Создать (Create). Автоматически будет создано не-
сколько правил общего характера и правило с заданными вами усло-
виями (рис. 7.15).
Созданные вами правила располагаются в списке, который отображается
при выделении соответствующей группы в узле AppLocker.
Ранее созданное правило можно изменить. Для этого нужно дважды щел-
кнуть мышью по пункту, соответствующему правилу, которое вы хотите из-
менить. При этом появится диалоговое окно свойств правила (рис. 7.16).
295
295
295
Рис. 7.15. Правило создано
Рис. 7.16. Диалоговое окно редактирования свойств правила AppLocker
Диалоговое окно свойств правила, хоть и отличается от мастера создания

правила, но содержит те же самые элементы управления, которые, в свою
очередь, располагаются на разных вкладках. Здесь вы не можете изменить
только тип основного условия, все остальные параметры правила можно ме-
нять.
296
296
296
Удалить ранее созданное правило можно двумя способами:

• выделить правило в списке и нажать клавишу Del;
• щелкнуть правой кнопкой мыши на пункте правила и в появившем-
ся контекстном меню выбрать команду Удалить (Delete).
В обоих случаях последует запрос, в котором нужно подтвердить намере-
ние удалить правило. Правила удаляются без возможности восстановления.
Таким образом, можно создать множество правил, ограничивающих исполь-
зование тех или иных объектов для тех или иных групп пользователей. В ре-
зультате даже на одном и том же компьютере доступ к определенным про-
граммам, сценариям или установщикам может быть кому-то разрешен, а
кому-то запрещен.
Áðàíäìàóýð Windows â ðåæèìå

ïîâûøåííîé áåçîïàñíîñòè
С помощью политики Брандмауэр Windows в режиме повышенной без-
опасности (Windows Firewall with Advanced Security), расположенной в
узле Конфигурация Windows ⇒ Параметры безопасности ⇒ Брандмау-
эр Windows в режиме повышенной безопасности (Computer Configuration
⇒ Windows Settings ⇒ Security Settings ⇒ Windows Firewall with Advanced
Security), можно тонко настроить правила безопасности сети для компьюте-
ров под управлением Windows.
Здесь вы можете создать правила для входящих, исходящих подключений,
а также правила безопасности подключения. Например, вы можете создать
правило, блокирующее доступ к компьютеру через определенный порт. Или
правило, запрещающее доступ какой-либо программе к вашему компьюте-
ру по сети.
Правила настраиваются с помощью мастера. Предварительно следует выде-
лить тип подключения в узле Брандмауэр Windows в режиме повышенной
безопасности (Windows Firewall with Advanced Security). Рассмотрим при-
мер создания правила для программы, использующей входящее подключе-
ние. Для создания такого правила нужно выполнить следующие действия.
• Выделите пункт Правила для входящих подключений (Inbound
Rules) в узле Брандмауэр Windows в режиме повышенной безо-
пасности (Windows Firewall with Advanced Security). В правой ча-
сти окна редактора локальной групповой политики появится табли-
ца, содержащая список правил. Но, поскольку правила еще не созда-
ны, таблица пуста.
297
297
297
• В окне редактора локальной групповой политики выберите команду

меню Действие ⇒ Создать правило (Action ⇒ New Rule). На экра-
не появится окно мастера создания правила (рис. 7.17).
Рис. 7.17. Первое окно мастера создания правила
В левой части окна мастера создания правила приведен список шагов, кото-
рые нужно выполнить для создания правила. Переход к следующему шагу
осуществляется с помощью кнопки Далее (Next).
На первой странице мастера создания правила предлагается выбрать тип
правила. Правило можно создать для программы, порта, а также предопре-
деленное (готовое решение) или настраиваемое. Мы настраиваем правило
для программы.
• Выберите тип правила с помощью переключателя в окне мастера соз-
дания правила. Мы выберем положение Для программы (Program).
• Нажмите кнопку Далее (Next). Появится вторая страница мастера
298
298
298
Рис. 7.18. Второе окно мастера создания правила
Содержимое второй страницы мастера создания правила (а также количе-

ство этих страниц) зависит от выбранного вами типа правила. В нашем при-
мере предлагается применить создаваемое правило ко всем программам или
к конкретной программе, путь к которой указывается в поле Путь програм-
мы (This program path).
• Нажмите кнопку Обзор (Browse) и в появившемся диалоговом окне
найдите и выделите исполняемый файл программы, для которой соз-
дается правило, после чего нажмите кнопку Открыть (Open) диало-
гового окна. Диалоговое окно закроется, а путь к указанной програм-
ме появится в поле на второй странице мастера создания правила.
• Нажмите кнопку Далее (Next). Будет осуществлен переход к следу-
ющей странице мастера создания правила, на которой указывается
действие для правила (рис. 7.19).
Для указанной программы можно разрешить подключение, разрешить без-
опасное подключение (с проверкой подлинности) или заблокировать под-
299
299
299
Рис. 7.19. Выбор действия для правила
ключение. Действие определяется с помощью переключателя.

• Установите переключатель в положение, соответствующее выбран-
ному действию.
• Нажмите кнопку Далее (Next). Появится следующая страница ма-
стера создания правила (рис. 7.20).
На появившейся странице предлагается указать профиль подключения:
1. Доменный (Domain), использующийся при подключении компью-
тера к домену организации;
2. Частный (Private), использующийся для подключения к частной
сети;
3. Публичный (Public), использующийся для подключения к обще-
ственной сети.
Обратите внимание, вы можете выбрать несколько профилей одновременно
или все сразу. По умолчанию включены все профили.
300
300
300
Рис. 7.20. Выбор профиля
• Сбросьте флажки для тех профилей, на которые создаваемое прави-

ло не будет распространяться.
• Нажмите кнопку Далее (Next). Появится последняя страница ма-
стера создания правила (рис. 7.21).
На последней странице мастера создания правила следует ввести название
правила и его описание. Ввод описания не является обязательным условием.
• В поле Имя (Name) введите название для создаваемого правила. На-
звание может быть любым.
• При необходимости в поле Описание (Description) введите описа-
ние правила.
• Нажмите кнопку Готово (Finish). Правило появится в списке груп-
пы Правила входящих подключений (Inbound Rules) (рис. 7.22).
Таким образом, можно создать множество правил подключения для разных
программ или портов. Отметим, что при выборе настраиваемого правила вы
301
301
301
Рис. 7.21. Последняя страница мастера создания правила
Рис. 7.22. Правило создано
302
302
302
можете указать не только программы и порты, но также IP-адреса, к кото-

рым производится подключение.
Ранее созданное правило можно редактировать. Это делается в диалоговом
окне свойств правила, которое вызывается двойным щелчком по правилу в
списке (рис. 7.23).
Рис. 7.23. Диалоговое окно свойств правила
Диалоговое окно свойств правила содержит тот же набор элементов управ-

ления, что и мастер создания правила. Элементы управления содержатся на
разных вкладках диалогового окна.
Чтобы удалить правило, достаточно щелкнуть по нему правой кнопкой
мыши и в появившемся контекстном меню выбрать команду Удалить (De-
lete).
Вы можете отключить правило, не удаляя его. Отключенное правило не бу-
дет действовать до тех пор, пока вы снова его не включите. Чтобы отключить
правило, следует щелкнуть по нему правой кнопкой мыши и в появившем-
303
303
303
ся контекстном меню выбрать команду Отключить правило (Disable Rule).

Для включения правила в контекстном меню выбирается команда Вклю-
чить правило (Enable Rule). Если правило отключено, значок, расположен-
ный в левой части правила в списке, становится серым.
Êîíôèãóðàöèÿ ðàñøèðåííîé ïîëèòèêè

àóäèòà
Ранее мы рассматривали политики аудита, настраиваемые в узле Политики
аудита (Audit Policy). В узле Конфигурация расширенной политики аудита
(Advanced Audit Policy Configuration) настраиваются дополнительные пара-
метры аудита. Все диалоговые окна настройки политик в данном узле содер-
жат флажки Успех (Success) и Отказ (Failure), с помощью которых включа-
ется или отключается аудит выполнения или невыполнения того или ино-
го события.
ÂÕÎÄ Ó÷ÅÒÍÎÉ ÇÀÏÈÑÈ

В данной группе содержатся следующие политики:
1. Аудит проверки учетных данных (Audit Credential Validation). Эта
политика позволяет вести аудит проверки учетных данных для вхо-
да учетной записи пользователя.
2. Аудит службы проверки подлинности Kerberos (Audit Kerberos
Authentication Service). Данная политика позволяет вести аудит от-
правки запросов на сервере аутентификации Kerberos для получе-
ния билета TGT.
3. Аудит операций с билетами службы Kerberos (Audit Kerberos Ser-
vice Ticket Operations). Данная политика позволяет вести аудит за-
просов на сервере аутентификации Kerberos для получения билета
TGT для пользовательских учетных записей.
4. Аудит других событий входа учетных записей (Audit Other Ac-
count Logon Events). Данный параметр позволяет вести аудит собы-
тий входа учетных записей пользователей в систему, не являющих-
ся билетами Kerberos и не связанных с проверкой учетных данных.
ÓÏÐÀÂËÅÍÈÅ Ó÷ÅÒÍÛÌÈ ÇÀÏÈÑÿÌÈ

В эту группу входит шесть политик, отвечающих за регистрацию событий,
относящихся к управлению различными учетными записями:
304
304
304
• Аудит управления группами приложений (Audit Application Group

Management). Данная политика позволяет отслеживать создание,
изменение состава и удаление групп приложений.
• Аудит управления учетными записями компьютеров (Audit Com-
puter Account Management). Политика позволяет вести аудит созда-
ния, удаления и изменения учетной записи компьютера.
• Аудит управления группами распространения (Audit Distribution
Group Management). Политика позволяет вести аудит создания, уда-
ления и изменения групп распространения. Данная политика приме-
няется на контроллерах домена.
• Аудит управления группами безопасности (Audit Security Group
Management). Политика позволяет вести аудит создания, удаления
и изменения групп безопасности, а также аудит изменения их типа.
• Аудит управления учетными записями пользователей (Audit User
Account Management). Политика позволяет вести аудит создания,
удаления и внесения различных изменений в учетные записи поль-
зователей, например изменения паролей, а также их блокировки и
разблокировки.
• Аудит других событий управления учетными записями (Audit Oth-
er Account Management Events). Аудит событий, связанных с измене-
нием учетных записей и не входящих в перечисленные выше катего-
рии, таких как вызов функции проверки политики паролей.
ÏÎÄÐÎÁÍÎÅ ÎÒÑËÅÆÈÂÀÍÈÅ
В эту группу входят четыре политики, позволяющие настраивать регистра-
цию событий, относящихся к активности отдельных программ:
1. Аудит активности DPAPI (Audit DPAPI Activity). При включении
данного параметра будут регистрироваться все запросы к интерфей-
су защиты данных DPAPI, используемому для защиты конфиденци-
альных данных пользователя.
2. Аудит создания процессов (Audit Process Creation). Данный пара-
метр отвечает за регистрацию создания процессов и имен создавших
их пользователей или названий программ. С помощью этого параме-
тра можно следить за активностью пользователей и использовани-
ем компьютера.
3. Аудит завершения процессов (Audit Process Termination). Данный
параметр позволяет регистрировать завершение процессов.
305
305
305
4. Аудит событий RPC (Audit RPC Events). Регистрация удачных и

неудачных попыток установки входящих подключений удаленного
вызова процедур.
ÄÎÑÒÓÏ Ê ÑËÓÆÁÅ ÊÀÒÀËÎÃÎÂ (DS)

Данная группа позволяет настроить параметры аудита событий, относящих-
ся к службам домена Active Directory. Данные события фиксируются на кон-
троллерах доменов. В группе присутствуют следующие политики:
• Аудит подробной репликации службы каталогов (Audit Detailed
Directory Service Replication). Данный параметр отвечает за реги-
страцию событий при подробной репликации данных между кон-
троллерами домена, например, при репликации атрибутов объекта
или ошибках репликации.
• Аудит доступа к службе каталогов (Audit Directory Service Access).
Эта политика отвечает за аудит событий, возникающих при обраще-
нии к объектам доменных служб, обладающих списком управления
доступом SACL.
• Аудит изменения службы каталогов (Audit Directory Service Chang-
es). Данная политика позволяет настроить аудит изменения, объек-
тов доменных служб. Политика позволяет регистрировать модифи-
кацию, создание, перемещение, удаление и отмену удаления объек-
тов доменных служб.
• Аудит репликации службы каталогов (Audit Directory Service Repli-
cation). Аудит репликации службы каталогов. Регистрируется нача-
ло и конец процесса репликации.
ÂÕÎÄ/ÂÛÕÎÄ
Политики данной группы предназначены для настройки аудита событий,
возникающих при локальном или удаленном входе в систему, и могут ис-
пользоваться для мониторинга активности пользователей и выявления атак
на сетевые ресурсы. Группа содержит девять политик:
• Аудит блокировки учетных записей (Audit Account Lockout). Поли-
тика позволяет настроить регистрацию попыток входа под заблоки-
рованной учетной записью пользователя.
• Аудит расширенного режима IPsec (Audit IPsec Extended Mode).
Политика позволяет настроить аудит событий, возникающих при
согласовании расширенного режима протоколов IPsec и IKE.
306
306
306
• Аудит основного режима IPsec (Audit IPsec Main Mode). Аудит со-
бытий, возникающих при согласовании основного режима протоко-
лов IPsec и IKE, таких как установка и разрыв соединения.
• Аудит быстрого режима IPsec (Audit IPsec Quick Mode). Параметр
аналогичен двум предыдущим, но применим для быстрого режима
протоколов.
• Аудит выхода из системы (Audit Logoff). Параметр позволяет реги-
стрировать выход пользователя из системы.
• Аудит входа в систему (Audit Logon). Политика позволяет отслежи-
вать события, связанные с входом в систему, такие как удачный и не-
удачный вход, запрет на вход в систему и другие.
• Аудит сервера политик в сети (Audit Network Policy Server). Поли-
тика позволяет регистрировать события, возникающие при выполне-
нии запросов на доступ пользователей по протоколам Radius и NAP.
• Аудит специального входа (Audit Special Logon). Параметр позво-
ляет фиксировать события специального входа, например входа
пользователя с правами, аналогичными правам администратора. По-
скольку такие пользователи могут вносить изменения в систему, ре-
комендуется следить за их активностью.
• Аудит других событий входа и выхода (Audit Other Logon/Logoff
Events). Эта политика позволяет настроить аудит событий, связан-
ных с входом и выходом из системы и не попавших в перечислен-
ные выше политики. К таким событиям относятся подключение и
отключение терминальной сессии, предоставление доступа к прово-
дной или беспроводной сети и другие.
ÄÎÑÒÓÏ Ê ÎÁÚÅÊÒÀÌ
Политики данной группы позволяют настраивать аудит доступа к различ-
ным объектам сети и локального компьютера. Группа содержит двенадцать
политик.
1. Аудит событий, создаваемых приложениями (Audit Application
Generated). Данный параметр позволяет настроить аудит собы-
тий, создаваемых программами, использующими функции аудита
Windows, для регистрации событий, связанных с их работой в жур-
налах операционной системы.
2. Аудит служб сертификации (Audit Certification Services). Данная
политика позволяет регистрировать события, создаваемые служба-
307
307
307
ми сертификации Active Directory, такие как запрос на создание, вы-

дача и отзыв сертификатов и другие события. Регистрация этих со-
бытий позволяет контролировать правильность работы служб сер-
тификации.
3. Аудит сведений об общем файловом ресурсе (Audit Detailed File
Share). Политика позволяет регистрировать все попытки обращения
к файлам и папкам в общих папках.
4. Аудит общих папок (Audit File Share). Данная политика позволяет
регистрировать подключения к общим папкам. В отличие от преды-
дущего параметра регистрируются только обращения к папкам, не-
зависимо от того, к каким папкам и файлам в них и в каком количе-
стве обращался пользователь.
5. Аудит файловой системы (Audit File System). Данный параметр по-
зволяет регистрировать попытки чтения, изменения или записи в
объекты файловой системы. При этом объект должен иметь систем-
ный список управления доступом с внесенной в него учетной запи-
сью, под которой осуществляется попытка доступа.
6. Аудит подключения платформы фильтрации (Audit Filtering Plat-
form Connection). Эта служба позволяет настроить аудит событий,
связанных с работой встроенного брандмауэра и платформы филь-
трации. При включении параметров этой политики регистрируют-
ся события, связанные с разрешением или блокировкой брандмау-
эром входящих соединений, разрешением и блокировкой платфор-
мой фильтрации соединений, привязок к портам и прослушивания
портов входящих соединений программами и службами.
7. Аудит отбрасывания пакетов платформой фильтрации (Audit Fil-
tering Platform Packet Drop). Данная политика позволяет регистри-
ровать заблокированные платформой фильтрации пакеты данных.
8. Аудит работы с дескрипторами (Audit Handle Manipulation). Ау-
дит открытия и закрытия дескрипторов объектов. При этом объек-
ты должны иметь настроенный системный список управления до-
ступом, а также должен быть включен аудит доступа к объектам этой
категории — аудит объектов файловой системы и аудит реестра.
9. Аудит объектов ядра (Audit Kernel Object). Аудит попыток доступа
к системному ядру с помощью мьютексов и семафоров. Как правило,
данный параметр используется только разработчиками программно-
го обеспечения.
10. Аудит других событий доступа к объектам (Audit Other Object Ac-
308
308
308
cess Events). Данный параметр позволяет фиксировать события,

связанные с работой Планировщика, такие как создание, удаление,
включение задания и другие, и управлением COM+-объектами.
11. Аудит реестра (Audit Registry). Данный параметр работает анало-
гично параметру Аудит файловой системы (Audit File System), но
применяется для объектов реестра.
12. Аудит диспетчера учетных записей безопасности (Audit SAM). По-
литика позволяет настроить аудит доступа к объектам диспетче-
ра учетных записей безопасности (SAM), таким как учетные записи
пользователей, учетная запись компьютера, домен и так далее.
ÈÇÌÅÍÅÍÈÅ ÏÎËÈÒÈÊÈ
В данной группе содержится шесть политик, позволяющих настроить аудит
событий, связанных с изменением или попытками изменения следующих
политик безопасности:
• Аудит изменения политики аудита (Audit Audit Policy Change).
• Аудит изменения политики проверки подлинности (Audit Authenti-
cation Policy Change).
• Аудит изменения политики авторизации (Audit Authorization Policy
Change).
• Аудит изменения политики платформы фильтрации (Audit Filtering
Platform Policy Change).
• Аудит изменения политики на уровне правил MPSSVC (Audit
MPSSVC Rule-Level Policy Change).
• Аудит других событий изменения политики (Audit Other Policy
Change Events).
Последний параметр позволяет регистрировать события, не попадающие в
перечисленные выше категории, такие как Операции поставщиков служб
шифрования (Cryptographic provider operations), Самотестирование шиф-
рования в режиме ядра (Kernel-mode cryptographic self tests) и другие.
Отслеживание событий перечисленных категорий является одной из со-
ставляющих управления безопасностью локальной сети.
ÈÑÏÎËÜÇÎÂÀÍÈÅ ÏÐÀÂ
Группа содержит три политики, позволяющие настроить аудит событий,
309
309
309
связанных с использованием привилегий или прав пользователей. Приви-

легии используются для завершения заданной операции.
• Аудит использования прав, не затрагивающих конфиденциальные
данные (Audit Non-Sensitive Privilege Use). Эта политика позволя-
ет настроить аудит событий, возникающих при использовании при-
вилегий, не затрагивающих конфиденциальные данные. К таким со-
бытиям относятся локальный и удаленный вход в систему, создание
файла подкачки, изменение системного времени, завершение рабо-
ты и другие.
• Аудит использования прав, затрагивающих конфиденциальные
данные (Audit Sensitive Privilege Use). Данная политика позволя-
ет настроить фиксирование событий, связанных с использованием
привилегий, затрагивающих конфиденциальные данные. Например,
архивация файлов или каталогов, смена владельца у файла или дру-
гого объекта, загрузка и выгрузка драйверов и так далее.
• Аудит других событий использования прав (Audit Other Privilege
Use Events). Данный параметр не используется.
ÑÈÑÒÅÌÀ
В данную группу входят политики, позволяющие настроить аудит событий
системного уровня, не входящих в другие группы политик узла, но также от-
носящихся к безопасности. Группа содержит следующие политики:
• Аудит драйвера IPsec (Audit IPsec Driver). Аудит запуска и останов-
ки службы IPsec, сброса пакетов данных с открытым текстом или на-
рушенной целостностью и других событий, возникающих при рабо-
те драйвера IPsec.
• Аудит других системных событий (Audit Other System Events). По-
литика позволяет отслеживать запуск, остановку и обработку поли-
тики безопасности встроенным брандмауэром, операции миграции и
операции с ключами шифрования.
• Аудит изменения состояния безопасности (Audit Security State
Change). Аудит событий при изменении состояния безопасности
компьютера — запуск и выключение компьютера, изменение си-
стемного времени, восстановление системы администратором при
CrashOnAuditFail.
• Аудит расширения системы безопасности (Audit Security System
Extension). Политика позволяет вести аудит установки служб и за-
310
310
310
грузки расширений системы безопасности, например Kerberos.

• Аудит целостности системы (Audit System Integrity). Политика по-
зволяет вести аудит нарушений целостности подсистемы безопас-
ности, таких как удаленные вызовы процедур, нарушающие целост-
ность системы, ошибки системы аудита и другие.
ÀÓÄÈÒ ÄÎÑÒÓÏÀ Ê ÃËÎÁÀËÜÍÛÌ ÎÁÚÅÊÒÀÌ

Данная группа содержит всего две политики: Файловая система (File Sys-
tem) и Реестр (Registry). Данные политики позволяют настроить глобаль-
ные системные списки управления доступом (SACL) для объектов файло-
вой системы и реестра соответственно.
На основе этих списков задаются некоторые параметры доступа к объектам
и регистрируется большинство событий аудита. Для каждого объекта фай-
ловой системы или реестра может быть создан свой список управления до-
ступом. При этом применяться будет комбинация глобального и частного
списка. Для настройки списка следует установить флажок Определить этот
параметр политики (Define this policy setting) в диалоговом окне настройки
параметра политики и нажать кнопку Настроить (Configure) для вызова ди-
алогового окна настройки списка управления доступом.
Политики, рассмотренные кратко в этой главе, влияют в первую очередь на
безопасность вашего компьютера, а если он включен в локальную сеть, то и
на безопасность других компьютеров, особенно если компьютер исполняет
роль сервера. Неправильная настройка этих политик может отрицательно
сказаться не только на защите, но и на функциональности операционной си-
стемы. В связи с этим рекомендуется перед настройкой какой-либо полити-
ки как минимум внимательно прочитать ее описание, а лучше найти допол-
нительную информацию по интересующим вас параметрам. Описания неко-
торых политик содержат ссылки на дополнительные источники информа-
ции по настраиваемым параметрам. Также материалы по политикам можно
найти на сайте technet.microsoft.com.
311
311
311
Ãëàâà 8.
Óïðàâëåíèå êîíôèãóðàöèÿìè
Internet Explorer
При настройке параметров операционной системы особое внимание уделя-
ется браузеру. Связано это не только с тем, что практически на любом со-
временном компьютере браузер является одной из основных рабочих про-
грамм, но и с тем, что именно эта программа чаще остальных контактирует с
потенциально опасными ресурсами, расположенными в Интернете. Браузер
Internet Explorer поставляется вместе с операционной системой Windows и
довольно тесно с ней интегрирован, и через него основная масса вредонос-
ных программ попадает в систему. Частично это происходит из-за того, что
Internet Explorer является наиболее распространенным браузером и боль-
шинство вредоносных программ используют ошибки в его программном
коде для проникновения на компьютер, но чаще всего из-за неосторожных
действий пользователей, посещающих сомнительные ресурсы или изменя-
ющих настройки безопасности браузера, тем самым снижая эффективность
защиты.
В этой главе рассмотрим политики, применяемые для управления браузе-
ром Internet Explorer. Хотя некоторые политики можно использовать для
настойки интерфейса, все же большинство этих политик служат для огра-
ничения функциональности браузера или запрещают изменение настроек и
обычно используются как один из элементов усиления безопасности опера-
ционной системы Windows.
Поскольку политик, отвечающих за конфигурацию браузера, довольно мно-
го, то в качестве примеров рассмотрим лишь часть политик, отвечающих за
интерфейс и безопасность браузера.
Как уже упоминалось ранее, политики будут применяться либо к компью-
теру, независимо от того, какой пользователь за ним работает, либо к теку-
щему пользователю или группе пользователей, в зависимости от того, в ка-
кой оснастке консоли и в каком кусте производятся изменения. В дальней-
ших примерах будут использоваться две оснастки: Политика «Локальный
компьютер» (Local Computer Policy) для настройки политик компьюте-
ра и учетной записи администратора и Политика «Локальный компьютер\
Не администраторы» (Local Computer\Non-Administrators Policy) для на-
стройки политик пользователей, не являющихся администраторами.
313
313
313
Íàñòðîéêà ìåíþ è ïàíåëåé èíñòðóìåíòîâ

áðàóçåðà
Основная часть доступных пользователю команд управления браузером
располагается в меню и на панелях инструментов. Обычно отображение
строки меню, количество кнопок на панелях инструментов и их расположе-
ние задаются пользователями самостоятельно, но не все пользователи зна-
ют, как выполняются те или иные настройки. Иногда администратору нуж-
но настроить браузер таким образом, чтобы его интерфейс максимально был
похож на интерфейс предыдущих версий, например, если на предприятии
происходит замена операционной системы Windows XP на Windows 7\Win-
dows Server 2008 или просто обновление версии браузера. В других случаях
требуется запретить использование отдельных команд меню или скрыть от-
дельные кнопки. Все перечисленные выше операции можно выполнить с по-
мощью редактора политик.
ÍÀÑÒÐÎÉÊÀ ÌÅÍÞ
За настройку меню браузера отвечает узел Меню браузера (Browser menus).
Этот узел располагается только в кусте Конфигурация пользователя (User
Configuration), поэтому данные политики могут применяться только к кон-
кретным пользователям или группам пользователей.
С помощью узла Меню браузера (Browser menus) можно отключать отдель-
ные команды меню браузера. Как правило, политики этого узла используют-
ся для того, чтобы пользователи не могли совершать определенные действия
с помощью команд меню браузера, например, сохранять веб-страницы кор-
поративного сайта на локальный диск.
Поскольку политики рассчитаны на работу с различными версиями браузе-
ров, некоторые названия команд в политиках могут отличаться от названий
пунктов меню браузера, например, политика Меню Файл: Отключить пункт
«Создать» (File menu: Disable New menu options) отключает не только ука-
занную команду в скрытом по умолчанию классическом меню, но и команду
на панели команд Страница ⇒ Новое окно (Page ⇒ New Window).
В качестве примера отключим возможность сохранять просматриваемые
веб-страницы на жесткий диск пользователям, не входящим в группу адми-
нистраторов.
1. Откройте консоль управления и выберите оснастку Политика «Ло-
кальный компьютер\Не администраторы» (Local Computer\Non-
Administrators Policy).
314
314
314
ГЛАВА 8. УПРАВЛЕНИЕ КОНФИГУРАЦИЯМИ INTERNET EXPLORER

шаблоны ⇒
Компоненты Windows ⇒ Internet Explorer ⇒ Меню браузера
(User Configuration ⇒ Administrative Templates ⇒ Windows Compo-
nents ⇒ Internet Explorer ⇒ Browser menus). В этом узле располага-
ются семнадцать параметров, позволяющих управлять различными
элементами меню браузера.
3. Дважды щелкните мышью по параметру Меню Файл: Отключить
пункт «Сохранить как» (File menu: Disable Save As... menu options).
В открывшемся диалоговом окне редактирования параметра поли-
тики установите переключатель в положение Включить (Enabled).
При необходимости введите в поле ввода Комментарий (Comment)
комментарий к вашим действиям.
4. Нажмите кнопку ОК. Теперь команда меню Файл ⇒ Сохранить как
(File ⇒ Save As...) и командной панели Страница ⇒ Сохранить как
(Page ⇒ Save As...) будут недоступны.
Повторите шаги 4-5 для параметра Отключить контекстное меню (Disable
Context menu), чтобы пользователи не могли воспользоваться командой
контекстного меню Сохранить объект как (Save Target As...) для загрузки и
сохранения веб-страниц по ссылкам.
Если вы желаете оставить пользователям возможность сохранять тексто-
вые данные с веб-страниц, то вместо Меню Файл: Отключить пункт «Со-
хранить как» (File menu: Disable Save As... menu options) используйте пара-
метр Меню Файл: Отключить пункт «Сохранить как веб-страницу, полно-
стью» (File menu: Disable Save As Web Page Complete). Эта политика позво-
лит пользователям сохранять просматриваемую страницу в виде простого
текстового файла или в виде простого HTML-файла без графических эле-
ментов, таблиц стилей и скриптов.
Приведенный выше пример можно дополнить запретом на печать веб-
страниц.
шаблоны ⇒
Компоненты Windows ⇒ Internet Explorer ⇒ Меню браузера
(User Configuration ⇒ Administrative Templates ⇒ Windows Compo-
nents ⇒ Internet Explorer ⇒ Browser menus).
2. Дважды щелкните мышью по параметру Выключить отображение
меню (Turn off Print Menu). В открывшемся диалоговом окне редак-
тирования параметра политики установите переключатель в поло-
315
315
315
жение Включить (Enabled). При необходимости введите в поле вво-

да Комментарий (Comment) комментарий к вашим действиям.
3. Нажмите кнопку ОК. Теперь команды меню Файл ⇒ Печать (File
⇒ Print...) и Файл ⇒ Предварительный просмотр (File ⇒ Print Pre-
view...) и Файл ⇒ Параметры страницы (File ⇒ Page Setup...) будут
недоступны, а при нажатии кнопки Печать (Print) на панели команд
будет выведено сообщение о том, что данная операция запрещена ад-
министратором (рис. 8.1).
Рис. 8.1. Сообщение о попытке выполнения запрещенной операции
Еще одна полезная политика, позволяющая не только повысить безопас-

ность компьютера, но и сэкономить немалый объем трафика — Отключить
параметр «Сохранить эту программу на диске» (Disable Save this program
to disk option). Если установить параметр этой политики в положение Вклю-
чить (Enabled), то пользователи не смогут сохранять загружаемые програм-
мы и другие файлы на компьютере. Если в диалоговом окне, появляющем-
ся при загрузке файла, нажать кнопку Сохранить (Save) — пользователь по-
лучит предупреждение о невозможности этой операции (рис. 8.2), а загруз-
ка будет отменена.
Рис. 8.2. Предупреждение о невозможности совершения операции
Помимо отключения команд меню, с помощью политик этого узла можно

полностью скрыть пункт меню Избранное (Favorites), при этом вкладка Из-
бранное (Favorites) в центре управления избранным также перестанет ото-
бражаться, можно также запретить просмотр исходного кода страниц и дру-
гие действия, выполняемые с помощью команд меню.
316
316
316
ÍÀÑÒÐÎÉÊÀ ÏÀÍÅËÅÉ ÈÍÑÒÐÓÌÅÍÒÎÂ

Помимо элементов меню, с помощью политик можно настроить и панели
инструментов браузера. Сделать это можно с помощью политик узла Пане-
ли инструментов (Toolbars). Политики этого узла позволяют управлять рас-
положением кнопок Обновить (Refresh) и Остановить (Stop), скрывать па-
нель команд и строку состояния, настраивать подписи команд и кнопки, а
также запрещать их настройку. Последний вариант бывает полезен в случа-
ях, когда дополнительные панели требуются для придания браузеру требу-
ющейся в работе функциональности или служат для повышения безопасно-
сти. Этот вариант мы и рассмотрим в качестве примера.
Для отключения возможности настройки панелей инструментов следует от-
ключить функцию скрытия и отображения панелей инструментов, установ-
ленных в браузере, и кнопок на стандартных панелях инструментов — Пане-
ли Избранного (Favorites Bar) и Панели Команд (Command Bar).
Administrators Policy).
шаблоны ⇒
Компоненты Windows ⇒ Internet Explorer ⇒ Панели инструмен-
тов (User Configuration ⇒ Administrative Templates ⇒ Windows
Components ⇒ Internet Explorer ⇒ Toolbars).
Дважды щелкните мышью по параметру Отключить настройку панелей ин-
струментов браузера (Disable customizing browser toolbars). В открывшемся
диалоговом окне редактирования параметра политики установите переклю-
чатель в положение Включить (Enabled). При необходимости введите в поле
ввода Комментарий (Comment) комментарий к вашим действиям.
Нажмите кнопку ОК.
Повторите шаги 4-5 для параметра Отключить настройку кнопок панели
инструментов браузера (Disable customizing browser toolbar buttons), чтобы
отключить функцию отображения и скрытия кнопок на стандартных пане-
лях инструментов браузера.
Теперь пользователь сможет отображать или скрывать только стандартные
панели и строку статуса. Пункты меню, отвечающие за отображение осталь-
ных панелей инструментов и кнопок на стандартных панелях, будут неак-
тивны.
317
317
317
Ïàðàìåòðû æóðíàëà áðàóçåðà

В последних версиях Internet Explorer журнал браузера помимо списка по-
сещенных веб-страниц хранит данные, введенные в веб-формы, и пароли к
сайтам. Кроме того, в журнале хранятся cookie-файлы. С помощью диалого-
вого окна Удаление истории обзора (Delete Browsing History) пользовате-
ли могут удалять некоторые группы данных или вообще полностью очищать
журнал. В то же время журнал браузера позволяет более точно контроли-
ровать работу пользователей и, например, в случае загрузки вируса на ком-
пьютер, установить, когда и с какого ресурса произошла загрузка вредонос-
ной программы. Политики узла Удалить журнал браузера (Delete Browsing
History) позволяют лишить пользователей возможности удалять некоторые
группы данных из журнала браузера или вообще отключить возможность
его ручной очистки.
Обычно для контроля за посещаемыми сайтами используется только список
посещенных веб-страниц.
1. Для отключения возможности очистки списка посещенных веб-
страниц откройте консоль управления и выберите оснастку Полити-
ка «Локальный компьютер\Не администраторы» (Local Computer\
Non-Administrators Policy).
шаблоны ⇒
Компоненты Windows ⇒ Internet Explorer ⇒ Удалить журнал бра-
узера (User Configuration ⇒ Administrative Templates ⇒ Windows
Components ⇒ Internet Explorer ⇒ Delete Browsing History). Узел
содержит одиннадцать политик, позволяющих запретить пользова-
телям отдельные или все операции с журналом.
3. Дважды щелкните мышью по параметру Предотвращать удаление
посещенных пользователем веб-сайтов (Prevent Deleting Web sites
that user has Visited). В открывшемся диалоговом окне редактиро-
вания параметра политики установите переключатель в положение
Включить (Enabled). При необходимости введите в поле ввода Ком-
ментарий (Comment) комментарий к вашим действиям.
После завершения настроек в диалоговом окне Удаление истории обзора
(Delete Browsing History) пункт Журнал (History) будет неактивен (рис.
8.3), а в нижней его части будет отображаться уведомление о том, что от-
дельные параметры управляются системным администратором.
318
318
318
Рис. 8.3. Диалоговое окно Удаление истории обзора с неактивным пунктом Журнал
Ñðåäñòâà áåçîïàñíîñòè
Параметров, отвечающих за безопасность браузера, в Internet Explorer пред-
усмотрено достаточно много, а политик, обеспечивающих ее, еще больше.
Часть политик, отвечающих за обеспечение безопасности, собрана в узле
Средства безопасности (Security Features). Этот узел есть и в кусте Кон-
фигурация компьютера (Computer Configuration), и в кусте Конфигура-
ция пользователя (User Configuration). В зависимости от того, с какой це-
лью выполняются настройки, следует использовать различные кусты. Отме-
чу также, что количество политик узла в обоих кустах неодинаково — куст
Конфигурация компьютера (Computer Configuration) содержит дополни-
тельный параметр Отключить предотвращение выполнения данных (Turn
off Data Execution Prevention), отвечающий за работу функции предотвра-
щения выполнения данных DEP для браузера.
Большая часть политик этого узла настраивается однотипно и содержит три
параметра, отвечающих за различные области применения политики:
319
319
319
4. Все процессы (All Processes) — для применения политики ко всем

процессам, выполняющимся на компьютере, кроме процессов Inter-
net Explorer.
5. Процессы Internet Explorer (Internet Explorer Processes) — для при-
менения политики к процессам Internet Explorer.
6. Список процессов (Process List) — применяет политику к заданно-
му списку процессов.
Одна из наиболее явно сказывающихся на работе браузера политик узла
Средства безопасности (Security Features) — Управление надстройками
(Add-on Management).
К надстройкам относятся различные плагины, элементы ActiveX и дополни-
тельные панели инструментов. Часто из-за ошибок в коде таких надстроек
нарушается стабильность работы браузера. Кроме того, под видом полезных
надстроек к браузеру распространяются некоторые виды вредоносных про-
грамм. Наиболее простой способ оградить браузер от проблем с надстройка-
ми — запретить загрузку любых надстроек, кроме внесенных в список разре-
шенных. В качестве примера создадим список разрешенных надстроек для
пользователей, не входящих в группу администраторов, а загрузку осталь-
ных надстроек запретим.
Administrators Policy)
шаблоны ⇒
Компоненты Windows ⇒ Internet Explorer ⇒ Средства безопас-
ности ⇒ Управление надстройками (User Configuration ⇒ Admin-
istrative Templates ⇒ Windows Components ⇒ Internet Explorer ⇒
Add-on Management).
3. Дважды щелкните мышью по параметру Список надстроек (Add-on
List). В открывшемся диалоговом окне редактирования параметра
политики установите переключатель в положение Включить (En-
abled) и нажмите кнопку Показать (Show).
4. В открывшемся диалоговом окне Вывод содержания (Show Con-
tents) (рис. 8.4) в поле Имя значения (Value name) введите иденти-
фикатор класса CLSID, соответствующий надстройке, а в поле ввода
Значение (Value) введите числовое значение, соответствующее дей-
ствию браузера по отношению к указанной настройке:
320
320
320
• 0 — не загружать указанную надстройку.

• 1 — загружать указанную надстройку. При установке это-
го параметра надстройка будет загружаться независимо от
желания пользователя. Этот параметр желательно устано-
вить для надстроек, обеспечивающих дополнительную без-
опасность браузера, например, AVG Safe Search — компонент
антивирусной программы для проверки безопасности веб-
страниц AVG LinkScannerFree.
• 2 — загружать надстройку и разрешить пользователям управ-
ление ею средствами браузера. При установке этого параме-
тра пользователи имеют возможность самостоятельно раз-
решать или запрещать загрузку этой надстройки с помощью
диалогового окна Надстройки (Manage Add-ons).
5. После ввода данных в первую строку в диалоговом окне автоматиче-
ски отобразится вторая строка для нового элемента списка.
6. Нажмите кнопку ОК для сохранения списка. При необходимости
введите в поле ввода Комментарий (Comment) комментарий к ва-
шим действиям в диалоговом окне настройки параметров политики
и нажмите кнопку ОК, чтобы применить политику.
7. Дважды щелкните мышью по параметру Запрещать все надстрой-
ки, кроме заданных политикой «Список надстроек» (Deny all add-
ons unless specifically allowed in the Add-on List). В открывшемся диа-
логовом окне редактирования параметра политики установите пере-
ключатель в положение Включить (Enabled) и нажмите кнопку ОК.
Если не настраивать этот параметр, то браузер не будет загружать
только те политики, для которых в списке надстроек указано значе-
321
321
321
ние 0. Таким образом, можно явно запретить загрузку или настрой-

ку конкретных надстроек, оставив управление остальными на усмо-
трение пользователей.
Теперь при работе браузера будут использоваться только те надстройки, ко-
торые были внесены в список как разрешенные. Узнать идентификатор клас-
са CLSID надстройки, установленной в системе, можно, дважды щелкнув по
ее названию в диалоговом окне Надстройки (Manage Add-ons), вызывае-
мом командой меню Сервис ⇒ Надстройки (Tools ⇒ Manage Add-ons). В
приведенном выше примере указан идентификатор для элемента ActiveX
Adobe Shockwave Flash Object, используемого для воспроизведения флеш-
анимации на веб-страницах.
Äîñòóï ê ýëåìåíòàì óïðàâëåíèÿ ActiveX

Иногда нужно запретить пользователям просматривать определенные типы
данных, например, для экономии трафика можно запретить воспроизведе-
ние потокового видео и аудио. Сделать это можно с помощью политик узла
Элементы управления, допущенные администратором (Administrator Ap-
proved Controls). В этом узле располагаются политики, позволяющие запре-
тить или разрешить для различных зон безопасности использование эле-
ментов управления ActiveX, таких как Shockwave Flash или Универсальный
проигрыватель (Audio/Video Player), использующихся для воспроизведе-
ния различных данных на веб-страницах. По умолчанию все политики дан-
ного узла запрещают использование элементов управления, но настройки
браузера игнорируют данный запрет. Таким образом, для запрета использо-
вания каких-либо элементов управления следует разрешить или запретить
отдельные элементы управления, а затем, с помощью редактора групповой
политики или самого браузера, настроить зоны безопасности таким образом,
чтобы политики узла Элементы управления, допущенные администрато-
ром (Administrator Approved Controls) не игнорировались.
В качестве примера запретим пользователям использование Универсально-
го проигрывателя (Audio/Video Player) при работе в зоне Интернет (Inter-
net).
Отметим элемент управления Универсальный проигрыватель (Audio/Vid-
eo Player) как запрещенный к использованию.
1. Для отключения возможности воспроизведения звука и потоково-
го видео на веб-страницах откройте консоль управления и выберите
оснастку Политика «Локальный компьютер\Не администраторы»
(Local Computer\Non-Administrators Policy).
322
322
322

шаблоны ⇒ Компоненты Windows ⇒ Internet Explorer ⇒ Элемен-
ты управления, допущенные администратором (User Configuration
⇒ Administrative Templates ⇒ Windows Components ⇒ Internet Ex-
plorer ⇒ Administrator Approved Controls). Узел содержит полити-
ки, позволяющие пользователям использовать различные элементы
управления.
3. Дважды щелкните мышью по параметру Универсальный проигры-
ватель (Audio/Video Player). В открывшемся диалоговом окне ре-
дактирования параметра политики установите переключатель в по-
ложение Отключить (Disabled). При необходимости введите в поле
ввода Комментарий (Comment) комментарий к вашим действиям.
5. Повторите действия 3 и 4 для остальных политик узла. Для элемен-
тов управления, которые вы хотите разрешить для использования,
следует установить параметр политики в положение Включить (En-
abled).
Теперь внесем соответствующие изменения в параметры зоны Интернет (In-
ternet). Сделать это можно двумя способами:
Windows ⇒ Настройка Internet Explorer ⇒ Зоны безопасности
и оценка содержимого (User Configuration ⇒ Windows Settings ⇒
Internet Explorer Maintenance ⇒ Security ⇒ Security Zones and Con-
tent Ratings).
2. В открывшемся диалоговом окне Зоны безопасности и оценка со-
держимого (Security Zones and Content Ratings) установите пере-
ключатель Зоны безопасности и конфиденциальность (Security
Zones and Privacy) в положение Импортировать текущие параме-
тры безопасности и конфиденциальности (Import the current secu-
rity zones and privacy settings) и нажмите кнопку Изменить параме-
тры (Modify Settings).
3. В открывшемся диалоговом окне Свойства Интернет (Internet Prop-
erties) выберите зону, которую вы хотите настроить, например Ин-
тернет (Internet), и нажмите кнопку Другой (Custom Level). Откро-
ется диалоговое окно Параметры безопасности — зона Интернета
(Security Settings — Internet Zone) (рис. 8.5).
4. В этом диалоговом окне найдите переключатель Запуск элементов
ActiveX и модулей подключения (Run ActiveX controls and plug-ins)
323
323
323
Рис. 8.5. Диалоговое окно Параметры безопасности — зона Интернета
и установите его в положение Допущенных администратором (Ad-

ministrator approved). Этот параметр можно также настроить, уста-
новив параметр Запуск элементов ActiveX и модулей подключения
(Run ActiveX controls and plug-ins) в узле Конфигурация пользо-
вателя ⇒ Административные шаблоны ⇒ Компоненты Windows
⇒ Internet Explorer ⇒ Панель управления браузером ⇒ Вклад-
ка безопасности ⇒ Зона Интернета (User Configuration ⇒ Admin-
istrative Templates ⇒ Windows Components ⇒ Internet Explorer ⇒
Internet Control Panel ⇒ Security Page ⇒ Internet Zone) в положение
Включен (Enabled) и выбрав в раскрывающемся списке Запускать
элементы ActiveX и подключаемые модули (Run ActiveX controls
and plug-ins) положение Разрешено администратором (Administra-
tor approved).
5. Нажмите кнопку ОК для сохранения примененных настоек. После
завершения настройки переключатель Запуск элементов ActiveX
и модулей подключения (Run ActiveX controls and plug-ins) в диа-
324
324
324
логовом окне браузера Параметры безопасности — зона Интернета

(Security Settings — Internet Zone) будет неактивен.
Теперь при открытии в Internet Explorer веб-страницы, содержащей видео-
или аудиофайлы, на панели информации отобразится предупреждение о не-
возможности запуска надстройки для отображения части содержимого стра-
ницы.
Ïàíåëü óïðàâëåíèÿ áðàóçåðîì

На вкладках Дополнительно (Advanced) и Безопасность (Security) диало-
гового окна Свойства обозревателя (Internet Options) располагается боль-
шое количество параметров, от которых зависит стабильность и безопас-
ность работы браузера. Такие важные настройки не обойдены вниманием и
в редакторе политик. Узел Панель управления браузером (Internet Control
Panel) содержит политики, дублирующие настройки браузера, расположен-
ные на этих вкладках, а также политики, позволяющие отключить отдель-
ные вкладки диалогового окна Свойства обозревателя (Internet Options).
При этом параметры, явно заданные политиками, запрещают изменение со-
ответствующих настроек средствами браузера.
ÂÊËÀÄÊÀ «ÄÎÏÎËÍÈÒÅËÜÍÎ»
В этом узле располагается ряд параметров, которые заметно влияют на безо-
пасность как браузера, так и операционной системы в целом. Ниже перечис-
лены параметры, которые рекомендуется изменить:
• Проверять, не отозван ли сертификат сервера (Check for server cer-
tificate revocation) — этот параметр желательно включить в качестве
дополнительной защиты от мошенничества, поскольку по умолча-
нию проверка действительности электронного сертификата веб-
сервера не производится.
• Запретить сброс параметров Internet Explorer (Do not allow reset-
ting Internet Explorer settings) — включение данного параметра сде-
лает кнопку Сброс (Reset) на вкладке Дополнительно (Advanced)
диалогового окна Свойства обозревателя (Internet Options) неак-
тивной, и пользователи не смогут случайно или намеренно сбросить
настройки браузера на первоначальные.
• Проверка подписи для загруженных программ (Check for signa-
tures on downloaded programs) и Разрешать установку или выпол-
нение программ с недействительной цифровой подписью (Allow
325
325
325
software install even if the signature is invalid) — часто недействитель-

ная цифровая подпись является признаком подделки или модифи-
кации оригинальной программы злоумышленником. По умолчанию
при попытке установить такую программу операционная система
выводит предупреждение о недействительности цифровой подписи,
и пользователи могут разрешить или запретить установку. Но мно-
гие могут либо не знать, что такое электронная подпись, либо не об-
ратить на это предупреждение внимания. В связи с этим, параметр
Проверка подписи для загруженных программ (Check for signatures
on downloaded programs) рекомендуется включить, а параметр Раз-
решать установку или выполнение программ с недействительной
цифровой подписью (Allow software install even if the signature is
invalid) отключить, чтобы пользователи получали предупреждение
о достоверности электронной цифровой подписи для загружаемых
программ и не могли загружать на компьютер программы и элемен-
ты ActiveX с недействительными подписями.
• Не сохранять шифрованные страницы на диске (Do not save en-
crypted pages to disk) — для работы с некоторыми веб-сервисами ис-
пользуется передача данных по защищенному протоколу HTTPS с
использованием протоколов шифрования. Как правило, по таким
протоколам передается различная конфиденциальная информация,
например регистрационные данные, данные о проводимых платежах
и состоянии счета в электронных платежных системах. По умолча-
нию веб-страницы, загружаемые по защищенным протоколам, со-
храняются в кэше браузера, как и те, которые загружаются по обыч-
ным протоколам, и могут быть скопированы и переданы злоумыш-
леннику с помощью различных вредоносных программ. Если дан-
ный параметр включить, то страницы, передаваемые по протоколу
HTTPS, не будут кэшироваться на жесткий диск. Этот параметр мо-
жет замедлить работу браузера, но повысит безопасность.
• Отключить поддержку шифрования (Turn off Encryption Support) —
поскольку некоторые протоколы шифрования, например SSL 2.0, на
данный момент не являются надежными, имеет смысл отключить
возможность их использования, чтобы они не использовались при
взаимодействии с веб-серверами по защищенным протоколам связи.
Для этого данный параметр следует включить и в раскрывающемся
списке Сочетания безопасных протоколов (Secure Protocol combi-
nations) диалогового окна настройки параметра выбрать нужное со-
четание разрешенных протоколов шифрования.
Помимо перечисленных выше параметров, можно включить параметр Уда-
326
326
326
лять все файлы из временной папки Интернета при закрытии браузера

(Empty Temporary Internet Files when browser is closed). Этот параметр по-
зволит сэкономить место на жестком диске и обезопасить себя или других
пользователей от просмотра кэшированных веб-страниц с конфиденциаль-
ной информацией, полученных по обычным протоколам, например, с почто-
вых сервисов или блогов.
ÍÀÑÒÐÎÉÊÀ ÇÎÍ ÁÅÇÎÏÀÑÍÎÑÒÈ

Взаимодействие Internet Explorer с веб-страницами, скриптами, программа-
ми, видео и звуковыми фрагментами и другими элементами, загружаемы-
ми из локальной сети или Интернета, определяется параметрами безопасно-
сти. Таких параметров довольно много, и для облегчения работы с ними ис-
пользуются уровни безопасности — варианты настроек параметров безопас-
ности, обеспечивающие определенный уровень защиты браузера.
В свою очередь все веб-узлы, с которыми взаимодействует браузер, разде-
ляются на четыре зоны, для которых может быть установлен определенный
уровень безопасности:
• Зона Интернета (Internet) — к этой зоне относятся все веб-узлы, не
входящие в другие зоны. Для данной зоны уровень безопасности не
может быть ниже умеренного.
• Местная интрасеть (Local intranet) — веб-узлы и страницы, распола-
гающиеся в локальной или корпоративной сети. Для этой зоны мож-
но выбрать любой уровень безопасности.
• Надежные узлы (Trusted sites) — веб-узлы, располагающиеся в Ин-
тернете или локальной сети, но специально включенные в список на-
дежных узлов. Для таких узлов, как и для узлов интрасети, можно
установить любой уровень безопасности.
• Ограниченные узлы (Restricted sites) — к этой зоне относятся
потенциально-опасные веб-узлы, внесенные в соответствующий
список. Уровень безопасности для таких узлов не может быть ниже
высокого.
Настройка зон безопасности осуществляется в диалоговом окне Свойства
обозревателя (Internet Options) на вкладке Безопасность (Security). Уро-
вень безопасности для каждой из четырех зон задается с помощью ползун-
кового регулятора, а отдельные параметры можно настроить с помощью ди-
алогового окна, вызываемого кнопкой Другой (Custom). Обычно параметры
безопасности настраивают, выбрав один из уровней в качестве шаблона, а за-
тем изменив один или несколько отдельных параметров вручную.
327
327
327
Пользуясь этими элементами управления, пользователи могут изменить па-

раметры безопасности, заданные по умолчанию для отдельных зон, напри-
мер, разрешить загрузку неподписанных элементов ActiveX и тем самым на-
рушить безопасность браузера и всей системы.
Избежать подобной ситуации можно, настроив необходимые параметры
уровней безопасности зон и скрыв вкладку Безопасность (Security) от поль-
зователей. Последнее действие может быть необязательным, поскольку па-
раметры зон безопасности, заданные политиками, не позволяют изменить
настройки средствами браузера.
Проще всего закрепить с помощью редактора политик за каждой зоной соот-
ветствующий уровень безопасности.
1. Для настройки уровня безопасности зон откройте консоль управ-
ления и выберите оснастку Политика «Локальный компьютер\Не
администраторы» (Local Computer\Non-Administrators Policy) или
оснастку Политика «Локальный компьютер» (Local Computer Pol-
icy), если настройки будут применяться для всех пользователей, ра-
ботающих за данным компьютером.
шаблоны ⇒ Компоненты Windows ⇒ Internet Explorer ⇒ Панель
управления браузером ⇒ Вкладка безопасности (User Configura-
tion ⇒ Administrative Templates ⇒ Windows Components ⇒ Internet
Explorer ⇒ Internet Control Panel ⇒ Security Page). Если настройки
будут применяться для всех пользователей, работающих за компью-
тером, узел следует открывать в кусте Конфигурация Компьютера
(Computer Configuration).
3. Дважды щелкните мышью по параметру Шаблон зоны Интернета
(Internet Zone Template) для настройки зоны Интернета.
4. В открывшемся диалоговом окне установите переключатель в поло-
жение Включить (Enabled) и в раскрывающемся списке Интернет
(Internet) выберите уровень безопасности, который будет приме-
няться для веб-узлов, отнесенных к зоне Интернета, например Уме-
ренно высокий (Medium High).
6. Повторите действия 3 — 5 для остальных шаблонов зон безопасно-
сти.
После завершения настройки ползунковый регулятор выбора уровня безо-
пасности зоны не будет отображаться (рис. 8.6), и пользователи не смогут
самостоятельно изменять уровень безопасности зоны Интернета, а в ниж-
328
328
328
Рис. 8.6. Диалоговое окно Свойства обозревателя после закрепления

уровня безопасности
ней части диалогового окна Свойства браузера (Internet Options) на вклад-

ке Безопасность (Security) будет отображаться уведомление Некоторыми
параметрами управляет системный администратор (Some settings are man-
aged by your system administrator). Параметры безопасности в диалоговом
окне, вызываемом кнопкой Другой (Custom), будут также недоступны для
изменения.
В некоторых случаях предлагаемые настройки уровней безопасности могут
не устраивать администратора, например, параметры уровня Выше средне-
го (Medium-high) могут не обеспечивать нужной безопасности, а параметры
уровня Высокий (High) сильно ограничивают функциональность браузе-
ра. С помощью политик уже упоминавшегося выше узла Зона Интернета
(Internet Zone), располагающегося в узле Вкладка безопасности (Security
Page), можно изменить отдельные параметры для выбранного уровня безо-
пасности, например, запретить загрузку неподписанных элементов управле-
ния ActiveX.
329
329
329

ные шаблоны ⇒ Компоненты Windows ⇒ Internet Explorer ⇒ Па-
нель управления браузером ⇒ Вкладка безопасности ⇒ Зона Ин-
тернета (User Configuration ⇒ Administrative Templates ⇒ Windows
Components ⇒ Internet Explorer ⇒ Internet Control Panel ⇒ Security
Page⇒ Internet Zone).
2. Дважды щелкните мышью по выбранному для настройки параметру,
например, Загрузка неподписанных элементов ActiveX (Download
unsigned ActiveX controls). В открывшемся диалоговом окне редак-
тирования параметра политики доступно три варианта политики:
• Отключено (Disabled) — пользователи не смогут загружать непод-
писанные элементы ActiveX.
• Включено (Enabled) — при установке переключателя в это положе-
ние будет доступен раскрывающийся список Загружать неподпи-
санные элементы ActiveX (Download unsigned ActiveX controls), в
котором можно выбрать, будут ли элементы ActiveX загружаться ав-
томатически или перед загрузкой таких элементов будет выводиться
запрос пользователю. Либо эти элементы не будут загружаться во-
обще.
• Не задано (Not configured) — действия определяются текущими на-
стройками браузера и могут быть изменены пользователями.
• Установите переключатель в положение Включено (Enabled) и в
раскрывающемся списке Загружать неподписанные элементы Ac-
tiveX (Download unsigned ActiveX controls) выберите Отключить
(Disable) для отключения возможности загружать неподписанные
компоненты. При необходимости введите в поле ввода Коммента-
рий (Comment) комментарий к вашим действиям.
4. При необходимости повторите действия 3 и 4 для остальных пара-
метров узла.
После завершения настройки уровень безопасности для выбранной зоны из-
менится на Другой (Custom), а настроенные с помощью редактора группо-
вой политики параметры будут недоступны для изменения средствами бра-
узера.
330
330
330
ÎÒÊËÞ÷ÅÍÈÅ ÂÊËÀÄÎÊ ÄÈÀËÎÃÎÂÎÃÎ ÎÊÍÀ

ÑÂÎÉÑÒÂÀ ÎÁÎÇÐÅÂÀÒÅËÿ
Как уже упоминалось выше, при изменении настроек безопасности браузера
вкладку Безопасность (Security) лучше отключить. Эта рекомендация при-
водится и в редакторе политик.
Впрочем, при желании или необходимости можно отключить любую вклад-
ку диалогового окна Свойства обозревателя (Internet options), поскольку
большинство элементов управления на этих вкладках так или иначе влияют
на безопасность браузера.
1. Для отключения вкладки Безопасность (Security) диалогового окна
Свойства обозревателя (Internet options) для всех пользователей,
не являющихся администраторами, откройте консоль управления и
выберите оснастку Политика «Локальный компьютер\Не админи-
страторы» (Local Computer\Non-Administrators Policy).
ные шаблоны ⇒ Компоненты Windows ⇒ Internet Explorer ⇒ Па-
Рис. 8.7. Диалоговое окно Свойства обозревателя после отключения отдельных

вкладок
331
331
331
нель управления браузером (User Configuration ⇒ Administrative

Templates ⇒ Windows Components ⇒ Internet Explorer ⇒ Internet
Control Panel).
3. Дважды щелкните мышью по параметру Отключить вкладку «Безо-
пасность» (Disable the Security page).
4. В открывшемся диалоговом окне установите переключатель в поло-
жение Включить (Enabled). При необходимости введите в поле вво-
да Комментарий (Comment) комментарий к вашим действиям.
6. При необходимости повторите действия 3 - 5 для остальных параме-
тров.
После завершения настройки в диалоговом окне Свойства обозревателя (In-
ternet options) будут отображаться только разрешенные вкладки (рис. 8.7).
Описанные в этой главе политики составляют весьма небольшую часть от
имеющихся в редакторе. Большая часть не рассмотренных в этой главе по-
литик, относящихся к настройке браузера, имеет довольно подробное опи-
сание и рекомендации по использованию, понятные даже неспециалисту. С
этими описаниями настоятельно рекомендуется внимательно ознакомить-
ся перед изменением настроек, даже если название политики четко говорит
о ее назначении, поскольку действие некоторых политик распространяется
только на старые версии браузера, а иногда и операционной системы.
332
332
332
Ãëàâà 9.
Àäìèíèñòðèðîâàíèå ñðåäû
Windows 7 (Ïðîâîäíèê è ò.ä.)
Проводник Windows представляет собой удобное средство, реализующее
графический интерфейс доступа к файлам и папкам операционной систе-
мы, то есть Проводник Windows является стандартным файловым менед-
жером операционной системы Windows. В Редакторе локальной группо-
вой политики имеется специальный узел Административные шаблоны ⇒
Компоненты Windows ⇒ Проводник Windows (Administrative Templates
⇒ Windows Components ⇒ Windows Explorer), в котором можно найти не-
сколько десятков параметров политик, позволяющих произвести настрой-
ку Проводника Windows и компонентов операционной системы, использу-
ющих Проводник. Также в этом узле находятся параметры политик, напря-
мую не связанные с работой Проводника Windows, решающие более гло-
бальные вопросы, например вопросы безопасности операционной системы.
В данной главе будут рассмотрены параметры политик узла Проводник
Windows (Windows Explorer). Даже если при работе с компьютером вы не
используете Проводник Windows, а пользуетесь файловым менеджером сто-
роннего производителя, рекомендуется не пропускать эту главу, ведь в ука-
занном узле содержится множество интересных и важных параметров поли-
тик, имеющих к Проводнику Windows неочевидное отношение. Знания, по-
лученные в данной главе, помогут повысить уровень безопасности операци-
онной системы и сделать работу с компьютером удобнее.
Íàñòðîéêè îòîáðàæåíèÿ Ïðîâîäíèêà

Windows
Наверное, ни для кого не будет открытием тот факт, что удобство рабочей
среды может значительно сказаться на производительности и качестве ра-
боты. Если говорить о работе с файлами и папками компьютера, то удобно
настроенный Проводник Windows может сделать работу несколько проще и
поможет сэкономить немало времени. Для каждого пользователя операци-
онной системы понятие удобства является сугубо индивидуальным. Именно
для этого в программе Проводник Windows имеется такое большое количе-
ство настроек отображения, доступных также при помощи групповых поли-
тик. Впрочем, некоторые настройки отображения доступны только при по-
мощи групповых политик.
334
334
334
ГЛАВА 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7
ÍÀÑÒÐÎÉÊÀ ÈÍÒÅÐÔÅÉÑÀ ÏÐÎÂÎÄÍÈÊÀ WINDOWS

Многие из политик настройки интерфейса Проводника Windows имеют свое
отражение в меню самой программы, впрочем, в некоторых случаях удобнее
использовать именно групповые политики.
По умолчанию отображение строки меню Проводника Windows отключе-
но. Ее отображение можно включить, выбрав пункт меню Упорядочить ⇒
Представление ⇒ Строка меню (Organize ⇒ Layout ⇒ Menu bar). Этого
же результата можно добиться, используя параметр политики Отображать
строку меню в проводнике Windows (Display the menu bar in Windows Ex-
plorer). Данный параметр может быть найден в узле Конфигурация пользо-
вателя ⇒ Административные шаблоны ⇒ Компоненты Windows ⇒ Про-
водник Windows (User configuration ⇒ Administrative Templates ⇒ Windows
Components ⇒ Windows Explorer).
Примечание. Получить доступ к строке меню, даже если она не отображается,
можно нажатием клавиши Alt.
При помощи групповой политики также можно определять, будут ли ото-

бражаться определенные области Проводника Windows. При этом, хотя схо-
жие настройки имеются в меню Проводника Windows, групповые полити-
ки имеют больший приоритет: если отключить отображение области при по-
мощи групповой политики, то при помощи меню Проводника Windows вер-
нуть ее обратно не удастся. Для отключения области Проводника Windows:
1. Выберите необходимый объект оснастки и запустите соответству-
ющий редактор. Данную политику можно определять для каждого
пользователя системы отдельно.
2. В дереве политик откройте узел Конфигурация пользователя ⇒
Административные шаблоны ⇒ Компоненты Windows ⇒ Прово-
дник Windows ⇒ Область кадра проводника (User configuration ⇒
Administrative Templates ⇒ Windows Components ⇒ Windows Ex-
plorer ⇒ Explorer Frame Pane).
3. Если необходимо:
• Отключить Область сведений (Details Pane) Проводника Win-
dows, то дважды щелкните мышью по параметру Отключить
область сведений (Turn off Details Pane). Откроется диалоговое
• Отключить Область просмотра (Preview Pane) Проводника
Windows, то дважды щелкните мышью по параметру Отклю-
чить область просмотра (Turn off Preview Pane). Откроется ди-
335
335
335
алоговое окно редактирования параметра.

4. Чтобы групповая политика вступила в силу, установите переключа-
тель в положение Включить (Enable). Не забудьте оставить примеча-
ние в поле ввода Комментарий (Comments), если вы документируе-
те все свои действия в отношении групповых политик.
Если параметры политики не включены, Область сведений (Details Pane) и
Область просмотра (Preview Pane) отображаются в Проводнике Windows,
если иное не предусмотрено настройками программы.
По умолчанию в Проводнике Windows отображаются эскизы файлов: для
графических изображений это будут их уменьшенные копии, для видеофай-
лов — уменьшенный кадр видеофайла. Использование эскизов файлов по-
зволяет экономить время и делает работу с графическими и видеофайлами
более удобной — эскиз загружается гораздо быстрее, чем файл в полном раз-
мере. Однако в некоторых случаях использование эскизов может оказать-
ся неудобным. Одной из таких ситуаций является просмотр папки с боль-
шим количеством графических или видеоизображений очень высокого ка-
чества — загрузка их эскизов может быть неоправданно долгой. Особенно
если вы хотите открыть конкретный файл, имя которого вам известно — в
этом случае нет необходимости загружать эскизы остальных файлов в пап-
ке.
В этом случае вы можете отключить использование эскизов файлов и за-
менить их стандартными значками. Это можно сделать, установив соответ-
ствующий значок в диалоговом окне Параметры папок (Folder Options)
на вкладке Вид (View). Чтобы открыть данное диалоговое окно, выберите
пункт меню Упорядочить ⇒ Параметры папок и поиска (Organize ⇒ Folder
and search options) Проводника Windows.
Эту задачу можно также решить при помощи параметра политики Отклю-
чить отображение эскизов и отображать только значки (Turn off the dis-
play of thumbnails and only display icons), доступного на узле Конфигурация
пользователя ⇒ Административные шаблоны ⇒ Компоненты Windows
⇒ Проводник Windows (User configuration ⇒ Administrative Templates ⇒
Windows Components ⇒ Windows Explorer).
Особенно остро вопрос отображения эскизов стоит при работе с папкой уда-
ленно. При низкой скорости доступа к сети загрузка даже небольшого коли-
чества эскизов может занимать значительное время, раздражать пользовате-
ля и отнимать драгоценное время. При помощи параметра политики Отклю-
чить отображение эскизов и отображать только значки в сетевых папках
336
336
336
Рис. 9.1. Проводник Windows с отключенной функцией числового упорядочивания
(Turn off the display of thumbnails and only display icons on network folders)
можно отключить отображение эскизов только для сетевых папок, при этом
для всех остальных папок эскизы отображаться будут, тем самым не снижа-
ется удобство работы с локальными ресурсами. Данный параметр политики
располагается в том же узле, что и предыдущий.
Многие пользователи, перейдя с Windows 2000 и более ранней версии опе-
рационной системы семейства Windows на более новые, ощущали некото-
рый дискомфорт при работе с именами файлов в программе Проводник
Windows. Одной из причин неудобств оказалось то, что в старых версиях
операционных систем использовалось алфавитное упорядочивание число-
вых имен, то есть каждый разряд числа распознавался как отдельный сим-
вол, сравнение имен происходило посимвольно. Так, получалось, что файл
с именем «10.jpg» отображался в папке раньше, чем файл «9.jpg» (рис. 9.1).
Конечно, большинству пользователей это создавало некоторые неудобства,
поэтому в новых версиях операционных систем семейства Windows исполь-
зуется числовое упорядочивание числовых имен. То есть сравнение число-
вых имен осуществляется не посимвольно, а по увеличению значения числа.
То есть файл с именем «9.jpg» отображается в папке раньше, чем файл «10.
jpg».
337
337
337
Впрочем, многим пользователям такая система кажется неудобной — хочет-

ся вернуться к универсальному алфавитному упорядочиванию. В узле Кон-
фигурация пользователя ⇒ Административные шаблоны ⇒ Компонен-
ты Windows ⇒ Проводник Windows (User configuration ⇒ Administrative
Templates ⇒ Windows Components ⇒ Windows Explorer) для таких случаев
доступен параметр политики Отключить числовое упорядочивание прово-
дника Windows (Turn off numerical sorting in Windows Explorer).
Интерфейс операционной системы Windows и ее компонентов, таких как
Проводник Windows, тщательно продуман огромной командой разработчи-
ков фирмы Microsoft: они сделали все, чтобы работа с компьютером была
приятнее и удобнее. К тому же вы имеете огромное число инструментов, по-
зволяющих подстроить настройки отображения под свой вкус. Однако в не-
которых ситуациях предпочтительнее отказаться от некоторых визуальных
излишеств, например от анимации элементов управления и окон. Это позво-
ляет сделать удобнее работу пользователей с ограниченными зрительными
способностями. При этом не стоит забывать, что использование анимации
отнимает некоторое количество системных ресурсов: отказ от анимации по-
зволяет несколько повысить производительность системы и снизить расход
батареи мобильных компьютеров.
Для того чтобы отказаться от использования анимации общих элементов
управления и окон, необходимо открыть узел Конфигурация пользователя
⇒ Административные шаблоны ⇒ Компоненты Windows ⇒ Проводник
Windows (User configuration ⇒ Administrative Templates ⇒ Windows Com-
ponents ⇒ Windows Explorer) и применить параметр политики Отключить
анимацию общих элементов управления и окон (Turn off common control
and windows animation).
Пункт меню Файл (File) командной панели проводника Windows предо-
ставляет доступ ко многим важнейшим инструментам программы: созда-
ние библиотек и ярлыков, удаление файлов и папок, возможность смены
имен файлов и папок, а также доступ к их свойствам. В определенных ситу-
ациях бывает необходимо запретить доступ к этому пункту меню. Сделать
это очень просто: в узле Конфигурация пользователя ⇒ Административ-
ные шаблоны ⇒ Компоненты Windows ⇒ Проводник Windows (User con-
figuration ⇒ Administrative Templates ⇒ Windows Components ⇒ Windows
Explorer) вы можете найти политику Удалить меню «Файл» из проводника
Windows (Remove File menu from Windows Explorer).
Примечание. Данный параметр только лишь скрывает пункт меню Файл (File)
строки (рис. 9.2), при этом пользователь может использовать другие способы вы-
полнения задач, представленные в пункте меню Файл (File) строки меню.
338
338
338
Рис. 9.2. Окно Проводника Windows с отключенным пунктом меню

Файл командной панели
Если вы интересуетесь вопросами безопасности, вас должен заинтересовать

параметр политики Удалить команду «Свойства папки» из меню «Сер-
вис» (Removes the Folder Options menu item from the Tools menu) узла Кон-
Templates ⇒ Windows Components ⇒ Windows Explorer). Данный параметр
позволяет запретить доступ к диалоговому окну Свойства папки (Folder
Options) из всех меню Проводника Windows, а также Панели управления.
В диалоговом окне Свойства папки (Folder Options) можно устанавливать
различные параметры Проводника Windows, например параметры рабочего
стола Active Desktop или представления папок в виде веб-страниц, скрытых
системных и автономных файлов.
Также с точки зрения безопасности представляет большой интерес пара-
метр политики Скрыть команду «Управление» из контекстного меню про-
водника Windows (Hides the Manage item on the Windows Explorer context
menu) узла Конфигурация пользователя ⇒ Административные шабло-
ны ⇒ Компоненты Windows ⇒ Проводник Windows (User configuration
⇒ Administrative Templates ⇒ Windows Components ⇒ Windows Explorer).
339
339
339
Данный параметр позволяет запретить вызов консоли Управление ком-

пьютером (Computer management) из меню Проводника Windows. Напом-
ним, что данная консоль предоставляет пользователю комплекс инструмен-
тов конфигурирования операционной системы и, по сути, представляет со-
бой совокупность консолей Просмотр событий (Event Viewer), Диспетчер
устройств (Device Manager) и Управление дисками (Disk Management).
Данный параметр не запрещает вызов консоли Управление компьютером
(Computer management) другими способами, минуя Проводник Windows.
Помимо уже известных из предыдущих глав методов запуска консоли, мож-
но воспользоваться командой меню Пуск ⇒ Все Программы ⇒ Админи-
стрирование ⇒ Управление компьютером (Start ⇒ All Programs ⇒ Admin-
istrative Tools ⇒ Computer management).
Некоторые системные администраторы предпочитают запретить подклю-
чение и отключение сетевых дисков, используя Проводник Windows. Это
очень просто сделать при помощи параметра групповой политики Уда-
лить команды «Подключить сетевой диск» и «Отключить сетевой диск»
(Remove «Map Network Drive» and «Disconnect Network Drive») узла Кон-
Templates ⇒ Windows Components ⇒ Windows Explorer).
Стоит отметить, что данный параметр не запрещает пользователям подклю-
чаться к другим компьютерам — он лишь удаляет команды Подключить се-
тевой диск (Map Network Drive) и Отключить сетевой диск (Disconnect
Network Drive) из меню Проводника Windows и окна Сеть (Network Loca-
tions).
Наверное, вы уже обратили внимание, что многие из только что рассмотрен-
ных параметров политик, например, такие как Скрыть команду «Управле-
ние» из контекстного меню проводника Windows (Hides the Manage item
on the Windows Explorer context menu), оставляют за пользователем воз-
можность получить доступ к запрещенному элементу другим путем. Зача-
стую решить эту задачу можно запретив вызов всех контекстных меню по
умолчанию в Проводнике Windows и Рабочем столе. Для этого можно вос-
пользоваться параметром политики Запретить вывод контекстного меню
по умолчанию для проводника Windows (Remove Windows Explorer’s de-
fault context menu), что располагается в узле Конфигурация пользователя
ponents ⇒ Windows Explorer). После применения политики щелчок пра-
вой кнопкой мыши по любому элементу интерфейса Проводника Windows
или Рабочего стола не будет иметь какого-либо результата. Однако стоит за-
340
340
340
метить, что данный параметр политики запрещает только лишь вызов кон-
текстных меню. Пользователь по-прежнему может получить доступ други-
ми способами к функциям, заключенным в пунктах этих контекстных меню.
В ранних версиях операционных систем семейства Windows не существова-
ло встроенного программного средства записи компакт-дисков, что создава-
ло пользователям немало проблем: после приобретения соответствующего
устройства необходимо было покупать дополнительное дорогостоящее про-
граммное обеспечение, позволяющее использовать функции записи. В со-
временных операционных системах семейства Windows Проводник имеет
встроенную функцию записи компакт-дисков. Однако многие пользователи
считают возможности записи компакт-дисков Проводника Windows доволь-
но бедными и предпочитают ему платные альтернативы.
Скрыть возможности записи компакт-дисков Проводника Windows очень
просто: достаточно включить параметр политики Удалить возможности за-
писи компакт-дисков (Remove CD Burning features) узла Конфигурация
пользователя ⇒ Административные шаблоны ⇒ Компоненты Windows
⇒ Проводник Windows (User configuration ⇒ Administrative Templates
⇒ Windows Components ⇒ Windows Explorer). При этом стоит заметить,
что данный параметр политики не запрещает запись и перезапись компакт-
дисков в данной операционной системе — он всего лишь скрывает эти воз-
можности в Проводнике Windows, записывать компакт-диски можно будет
по-прежнему, воспользовавшись любым другим программным средством с
данной функцией.
Рассмотрим еще три параметра политики узла Конфигурация пользователя
ponents ⇒ Windows Explorer): Удалить вкладку «Оборудование» (Remove
Hardware tab), Удалить вкладку DFS (Remove DFS tab) и Удалить вкладку
«Безопасность» (Remove Security tab). Данные параметры политики пред-
назначены, в некоторой степени, помочь администратору в организации по-
литики безопасности системы.
Параметр политики Удалить вкладку «Оборудование» (Remove Hardware
tab) удаляет вкладку Оборудование (Hardware) из диалоговых окон Мышь
(Mouse), Клавиатура (Keyboard) и Звуки и аудиоустройства (Audio Devic-
es) Панели управления, а также из диалогового окна Свойства (Properties)
всех локальных дисков, включая жесткие диски, дискеты и компакт-диски.
Вкладка Оборудование (Hardware) данных диалоговых окон предоставля-
ет пользователю доступ к списку устройств и свойств этих устройств. Так-
же при помощи кнопки Устранение неполадок (Troubleshoot) диалогово-
го окна Оборудование (Hardware) можно искать и устранять связанные с
341
341
341
устройствами неполадки. В интересах безопасности системы необходимо

максимально сузить круг лиц, которые имеют доступ к диалоговому окну
настройки оборудования.
Параметр политики Удалить вкладку DFS (Remove DFS tab) удаляет вклад-
ку DFS (DFS) из Проводника Windows и других программ, использующих
окно Проводника Windows, таких как, например, Мой компьютер. Данная
вкладка используется для просмотра и изменения свойств общих ресур-
сов распределенной файловой системы DFS, доступных на этом компьюте-
ре. Данный параметр политики, подобно своим соседям, лишь удаляет эле-
менты управления из окна Проводника Windows, оставляя за пользователем
возможность получить доступ к DFS другими способами.
Параметр политики Удалить вкладку «Безопасность» (Remove Security
tab) должен заинтересовать любого системного администратора: он удаля-
ет вкладку Безопасность (Security) диалогового окна Свойства (Properties)
(рис. 9.3) любых объектов файловой системы, открытых при помощи Прово-
дника Windows. Элементы данной вкладки позволяют произвести настрой-
ку параметров безопасности и просматривать список пользователей, имею-
щих доступ к этому ресурсу.
Рис. 9.3. Диалоговое окно Свойства с удаленной вкладкой Безопасность
342
342
342
ÍÀÑÒÐÎÉÊÀ ÄÈÀËÎÃÎÂÛÕ ÎÊÎÍ ÎÒÊÐÛÒÈÿ

È ÑÎÕÐÀÍÅÍÈÿ ÔÀÉËÎÂ
Стандартное диалоговое окно открытия и сохранения файлов видел каждый
пользователь операционной системы Windows: эти окна присутствуют прак-
тически во всех программах, в которых осуществляется работа с внешни-
ми файлами. Естественно, при разработке операционной системы Windows
было создано несколько групповых политик, определяющих работу этих ди-
алоговых окон. Часть этих групповых политик находится в узле конфигури-
рования Проводника Windows, рассматриваемом в данной главе.
Для удобства пользователей система автоматически сохраняет историю по-
следних посещенных папок. Если возникнет необходимость, можно быстро
открыть недавно посещенную папку, нажав кнопку Назад (Back) диалого-
вого окна или воспользовавшись раскрывающимся списком недавно откры-
вавшихся файлов.
Некоторые пользователи предпочитают скрывать информацию о посещен-
ных ими папках и открытых файлах. Сделать это можно при помощи пара-
метров групповой политики Скрыть раскрывающийся список недавно от-
крывавшихся документов (Hide the dropdown list of recent files) и Скрыть
кнопку «Назад» в общих диалогах открытия файлов (Hide the common
dialog back button) узла Конфигурация пользователя ⇒ Административ-
ные шаблоны ⇒ Компоненты Windows ⇒ Проводник Windows ⇒ Общее
диалоговое окно открытия файлов (User configuration ⇒ Administrative
Templates ⇒ Windows Components ⇒ Windows Explorer ⇒ Common Open
File Dialog).
Параметр политики Скрыть раскрывающийся список недавно открывав-
шихся документов (Hide the dropdown list of recent files) удаляет список не-
давно открывавшихся файлов из диалогового окна открытия файлов. Если
включить данный параметр политики, то раскрывающийся список Имя
файла (File name) превратится в обычное поле ввода.
Параметр политики Скрыть кнопку «Назад» в общих диалогах открытия
файлов (Hide the common dialog back button) позволяет отключить отобра-
жение кнопки Назад (Back) во всех диалоговых окнах открытия и сохране-
ния файлов. Данная кнопка была добавлена в версии Windows 2000 Profes-
sional и позволяет вернуться к отображению в диалоговом окне предыдущей
посещенной папки.
Примечание. Параметры политики Скрыть раскрывающийся список недавно
открывавшихся документов (Hide the dropdown list of recent files) и Скрыть кноп-
ку «Назад» в общих диалогах открытия файлов (Hide the common dialog back
button) оказывают свое действие только на стандартные диалоговые окна откры-
тия и сохранения файлов и не распространяются на прочие диалоговые окна.
343
343
343
ÏÐÎ÷ÈÅ ÍÀÑÒÐÎÉÊÈ ÈÍÒÅÐÔÅÉÑÀ

Пункт Недавние документы (Recent documents) меню кнопки Пуск (Start)
предоставляет пользователю быстрый доступ к неисполняемым файлам, ко-
торые недавно открывались в операционной системе. Использование дан-
ного меню позволяет сэкономить немало времени — гораздо проще сделать
пару щелчков мышью в одном меню, чем лазить по многочисленным пап-
кам в поисках файлов, с которыми вы работали накануне. К тому же, как по-
казывает практика, пользователи намного чаще обращаются именно к фай-
лам, с которыми они недавно работали, чем к любым другим файлам на ком-
пьютере.
По умолчанию в пункте Недавние документы (Recent documents) отобра-
жаются ссылки на десять последних файлов, с которыми работали в систе-
ме. Вы можете изменить их количество, если хотите увеличить или умень-
шить список. Для этого:
Административные шаблоны ⇒ Компоненты Windows ⇒ Про-
водник Windows (User configuration ⇒ Administrative Templates ⇒
3. Дважды щелкните мышью по параметру Максимальная длина спи-
ска «Недавние документы» (Maximum number of recent documents).
тель в положение Включить (Enable). Поле ввода со счетчиком в об-
ласти Параметры (Options) станет активным.
5. Введите максимальную длину списка недавних документов в поле
ввода со счетчиком в области Параметры (Options).
6. Не забудьте оставить примечание в поле ввода Комментарий (Com-
ments), если вы документируете все свои действия в отношении
групповых политик. Нажмите кнопку ОК.
Зачастую пункт Недавние документы (Recent documents) меню кнопки
Пуск (Start) бывает отключен. Использование данной политики определяет
лишь максимальную длину отображаемого списка и не включит отображе-
ние пункта, если оно отключено.
Для ускорения работы Проводника Windows, чтобы повторно полностью не
344
344
344
загружать и обрабатывать файлы с целью создания их эскизов, создаются

кэш-файлы. Они позволяют при повторном обращении пользователя к пап-
ке быстро загрузить эскизы всех содержащихся там элементов. Функция кэ-
ширования эскизов файлов включена в операционной системе Windows 7 по
умолчанию, однако в некоторых случаях ее бывает необходимо отключить.
Дело в том, что если на компьютере обрабатывают определенную информа-
цию ограниченного доступа, то использование кэша может ставить ее кон-
фиденциальность под сомнение, поскольку сохраненный кэш может быть
легко прочитан другими пользователями.
На этот случай имеется следующий параметр групповой политики. Для от-
ключения кэширования эскизов выполните следующие действия:
3. Дважды щелкните мышью по параметру Отключить кэширование
эскизов изображений (Turn off the caching of thumbnail pictures). От-
тель в положение Включить (Enable).
После отключения кэширования эскизов работа с Проводником Windows
может стать заметно медленнее — такова расплата за повышение уровня без-
опасности системы.
Ïîëåçíûå ôóíêöèè
В рассматриваемом узле, помимо параметров групповых политик, направ-
ленных непосредственно на работу Проводника Windows, имеются также
параметры, решающие другие вопросы, напрямую не связанные с Прово-
дником. Многие из них могут оказаться действительно очень полезны адми-
нистратору системы, например, параметры политик, направленные на реше-
ние вопросов обеспечения безопасности системы.
345
345
345
ÂÎÏÐÎÑÛ ÎÁÅÑÏÅ÷ÅÍÈÿ ÁÅÇÎÏÀÑÍÎÑÒÈ ÑÈÑÒÅÌÛ

Существует огромное количество параметров групповых политик, пред-
назначенных для решения вопросов безопасности операционной системы.
Эти параметры разбросаны по множеству узлов оснастки, узел настройки
Проводника Windows — Конфигурация пользователя ⇒ Административ-
ные шаблоны ⇒ Компоненты Windows ⇒ Проводник Windows (User con-
figuration ⇒ Administrative Templates ⇒ Windows Components ⇒ Windows
Explorer) — не является в данном случае исключением.
Как правило, в наши дни на одном компьютере имеется более одного разде-
ла жесткого диска. Нередко пользователи наделяют различные разделы раз-
личными функциями: первый раздел может содержать операционную си-
стему и связанные с ней данные, второй — различное программное обеспече-
ние, третий — различные документы, четвертый — некоторую конфиденци-
альную информацию. Очевидно, что к первому и четвертому разделам жест-
кого диска желательно запретить доступ, а то и вовсе скрыть их от посторон-
них глаз. Данная задача может быть легко разрешима при помощи группо-
вой политики:
3. Если вы хотите:
• Скрыть некоторые разделы жесткого диска, то дважды щелкните
мышью по параметру Скрыть выбранные диски из окна «Мой ком-
пьютер» (Hide these specified drives in My Computer). Откроется ди-
алоговое окно редактирования параметра политики. Данный пара-
метр политики удаляет значки выбранных разделов дисков из про-
грамм Мой компьютер, Проводник Windows и стандартных диалого-
вых окон Открыть (Open), Сохранить (Save), Сохранить как (Save
As) (рис. 9.4).
• Запретить доступ к некоторым разделам жесткого диска, то дважды
щелкните мышью по параметру Запретить доступ к дискам через
«Мой компьютер» (Prevent access to drives from My Computer). От-
кроется диалоговое окно редактирования параметра политики. Дан-
ный параметр политики не удаляет значки выбранных разделов дис-
346
346
346
Рис. 9.4. Проводник Windows, в котором скрыты все разделы дисков, кроме D
ков из программ Мой компьютер, Проводник Windows и стандарт-

ных диалоговых окон Открыть (Open), Сохранить (Save), Сохра-
нить как (Save As), однако в случае обращения пользователя к за-
прещенным разделам системой будет выведено сообщение об ошиб-
ке, а доступ предоставлен не будет.
тель в положение Включить (Enable). Раскрывающийся список Вы-
берите одну из указанных комбинаций (Pick one of the following
combinations) области Параметры (Options) станет активным.
5. В раскрывающемся списке Выберите одну из указанных комбина-
ций (Pick one of the following combinations) выберите необходимую
комбинацию разделов жесткого диска. Пункт Ограничить доступ ко
всем дискам (Restrict all drives) запретит обращение пользователя к
любому разделу жесткого диска. Пункт Не ограничивать доступ к
дискам (Do not restrict drives) снимает все ограничения на доступ к
любому разделу жесткого диска.
347
347
347
Обратите внимание: данные параметры политик не запрещают получить до-

ступ к указанным разделам жесткого диска при помощи других программ и
методов. Например, можно обратиться к необходимому диску при помощи
диалогового окна Выполнить (Run).
Также при помощи групповой политики можно ограничить доступ только к
конкретным папкам. Реализуется это при помощи параметра политики От-
ключить известные папки (Disable Known Folders):
3. Дважды щелкните мышью по параметру Отключить известные пап-
ки (Disable Known Folders). Откроется диалоговое окно редактиро-
тель в положение Включить (Enable). Кнопка Показать (Show) об-
ласти Параметры (Options) станет активной.
5. Щелкните мышью по кнопке Показать (Show). Откроется диалого-
вое окно Вывод содержания (Show contents).
6. В диалоговом окне Вывод содержания (Show contents) (рис 9.5) в
полях ввода укажите имена папок, к которым необходимо ограни-
чить доступ. Имена можно указывать с помощью канонического
имени или идентификатора. Например, папка Образцы видео (Sam-
ple Videos) может иметь имена «SampleVideos» или «{440fcffd-a92b-
4739-ae1a-d4a54907c53f}».
Отключение известной папки запретит создавать в ней вложенные файлы и
папки с помощью API папки. Однако если вложенные файлы и папки уже
существовали до применения параметра политики, после применения пара-
метра они автоматически удалены не будут — политика блокирует лишь соз-
дание новых файлов и папок. При необходимости удалить уже существовав-
шие вложенные элементы можно вручную.
348
348
348
Примечание. При отключении известной папки приложения, работа которых за-

висит от существования этой папки, могут неправильно функционировать или во-
все прекратить свою работу.
Жесткие диски компьютера, подобно человеческому жилищу, требуют по-

рядка при работе и периодической уборки. Если оставить дело на самотек,
на компьютерах многих пользователей со временем становится непонятно,
что и где находится. Часто это бывает связано с тем, что файлы и папки соз-
даются в случайных местах. Особенно неприятно смотрится такой беспоря-
док в корневых каталогах. При помощи групповой политики можно запре-
тить пользователям сохранять файлы и папки в корневых каталогах с фай-
лами пользователя — это позволяет в некоторой степени помочь сохране-
нию порядка. Данная задача реализуется при помощи параметра полити-
ки Запретить пользователям добавлять файлы в корневую папку с фай-
лами пользователя (Prevent users from adding files to the root of their Users
Files folders), который можно найти в узле Конфигурация пользователя
ponents ⇒ Windows Explorer). Однако стоит заметить, что данный параметр
не запрещает пользователям сохранять файлы и папки в настоящую папку
профиля файловой системы, находящуюся в «%userprofile%».
Использование сочетаний клавиш с использованием клавиши Windows по-
зволяют быстро запустить многие важные приложения операционной си-
стемы. Так, например, для быстрого запуска Проводника Windows можно
349
349
349
использовать сочетание клавиш Windows+E, диалоговое окно Выполнить

(Run) можно вызвать сочетанием клавиш Windows+R, для быстрого досту-
па к функции поиска используется сочетание клавиш Windows+F. Отклю-
чить использование сочетаний клавиш с использованием клавиши Windows
можно при помощи групповой политики Отключить сочетания клавиш
Windows+X (Turn off Windows+X hotkeys) узла Конфигурация пользова-
теля ⇒ Административные шаблоны ⇒ Компоненты Windows ⇒ Прово-
дник Windows (User configuration ⇒ Administrative Templates ⇒ Windows
Components ⇒ Windows Explorer).
Параметр политики Отключить защищенный режим протокола оболочки
(Turn off shell protocol protected mode) определяет функциональные возмож-
ности протокола оболочки. Так, при использовании всех возможностей про-
токола оболочки приложения могут беспрепятственно обращаться к любым
файлам и папкам. В безопасном режиме приложения несколько ограничены
в правах: могут открыть только определенные папки, а также не смогут за-
пускать файлы.
По умолчанию протокол оболочки используется в защищенном режиме, что
позволяет повысить уровень безопасности операционной системы. При не-
обходимости можно отключить защищенный режим протокола оболочки,
включив параметр политики Отключить защищенный режим протокола
оболочки (Turn off shell protocol protected mode). Данный параметр может
быть найден в узле Конфигурация пользователя ⇒ Административные ша-
блоны ⇒ Компоненты Windows ⇒ Проводник Windows (User configura-
tion ⇒ Administrative Templates ⇒ Windows Components ⇒ Windows Ex-
plorer).
ÎÒÊËÞ÷ÅÍÈÅ ÔÓÍÊÖÈÈ ÎÒÑËÅÆÈÂÀÍÈÿ ÿÐËÛÊÎÂ ÎÁÎËÎ÷ÊÈ

ÏÐÈ ÏÅÐÅÌÅÙÅÍÈÈ
Использование ярлыков помогает существенно упростить работу с компью-

тером: достаточно пары щелчков мышью для запуска необходимого прило-
жения или открытия папки. Ярлыки содержат абсолютный путь к исходно-
му файлу ярлыка и относительный путь к текущему файлу. Если по какой-то
причине, например, в случае перемещения элемента, система не находит те-
кущий путь, по умолчанию производится поиск файла назначения на исхо-
дном пути. В случае если ярлык был перенесен с другого компьютера, исхо-
дный путь может указывать на удаленный компьютер, например, на некото-
рый сервер в Интернете.
Параметр политики Не отслеживать ярлыки оболочки при перемещении
(Do not track Shell shortcuts during roaming) определяет будет ли произво-
350
350
350
диться поиск источников ярлыков системой в случае, если объектов, на ко-

торый ссылается ярлык отсутствует на локальном компьютере. Данный па-
раметр может быть найден в узле Конфигурация пользователя ⇒ Адми-
нистративные шаблоны ⇒ Компоненты Windows ⇒ Проводник Windows
(User configuration ⇒ Administrative Templates ⇒ Windows Components ⇒
Windows Explorer). Если параметр включен, операционная система исполь-
зует только текущий путь назначения, а поиск по исходному пути не осу-
ществляется ни при каких обстоятельствах.
Íàñòðîéêè ôóíêöèè ïîèñêà

Каждый пользователь когда-нибудь пользовался функцией поиска: в наши
дни, когда компьютеры располагают огромными массивами памяти, поте-
рять на жестком диске необходимый файл не составляет труда. При этом
многие пользователи зачастую сталкиваются с определенными проблемами:
отыскать нужный файл бывает не так-то просто, а иногда функция поиска
может оказаться бесполезной, так как не способна ощутимо помочь. Прово-
дник Windows предоставляет большое количество настроек функции поис-
ка. Доступ к диалоговому окну настройки функции поиска можно получить,
выбрав пункт меню Упорядочить ⇒ Параметры папок и поиска (Organize
⇒ Folders and search options) Проводника Windows. В появившемся диа-
логовом окне Параметры папок (Folder options) содержатся различные на-
стройки Проводника, настройки функции поиска находятся на вкладке По-
иск (Search).
Многих пользователей данные настройки могут удовлетворить полностью.
Если вы не относитесь к их числу, то можете воспользоваться возможностя-
ми групповых политик и получить еще несколько ценных инструментов для
работы с функцией поиска.
ÑÏÅÖÈÔÈ÷ÅÑÊÈÅ ÍÀÑÒÐÎÉÊÈ ÔÓÍÊÖÈÈ ÏÎÈÑÊÀ ÏÐÎÂÎÄÍÈÊÀ

WINDOWS
После первой попытки поиска ключевых слов, в экране Проводника Win-
dows будет отображен список найденных файлов и папок. Вам также будет
предложено повторить поиск в другом месте. По умолчанию вы увидите три
кнопки для быстрого поиска: Компьютер (Computer), Другое (Custom) и
Интернет (Internet). Кнопка Компьютер (Computer) продолжит поиск сре-
ди всех индексированных, неиндексированных, системных и скрытых фай-
лов на компьютере. Кнопка Другое (Custom) позволяет настроить место по-
иска вручную — по ее нажатии будет вызвано диалоговое окно Выберите
351
351
351
место расположения для поиска (Choose search location), в котором поль-

зователь может точно определить области поиска. Кнопка Интернет (Inter-
net) позволяет продолжить поиск в глобальной сети Интернет, то есть вне
встроенных ресурсов компьютера. При этом будет открыт браузер Internet
Explorer.
Если вы не хотите, чтобы пользователи при повторном поиске не могли бы-
стро обратиться к поиску в Интернете, можно скрыть кнопку Интернет (In-
ternet). Для этого:
3. Дважды щелкните мышью по параметру Удалить ссылку «Повто-
рить поиск» при поиске в Интернете (Remove the Search the Internet
«Search again» link). Откроется диалоговое окно редактирования па-
По умолчанию данная политика отключена, программа Проводник Windows
позволяет осуществлять функцию поиска в Интернете непосредственно из
своего окна.
Если функция поиска в Интернете используется на компьютере довольно
часто, то при помощи групповых политик можно сделать поиск удобнее. Па-
раметр политики Прикрепить поисковые веб-сайты к ссылкам «Повторить
поиск» и меню «Пуск» (Pin Internet search sites to the «Search again» links
and the Start menu) позволяет добавить к стандартным ссылкам области По-
вторить поиск (Search again) Проводника Windows и меню кнопки Пуск
(Start) внешние веб-сайты и сайты локальной интрасети. При определении
параметра политики вы должны указать URL-адрес поискового веб-сайта и
его отображаемое имя. URL-адрес вводится в формате OpenSearch.
Итак, для того, чтобы добавить кнопку поискового веб-сайта к области По-
вторить поиск (Search again in):
352
352
352

3. Дважды щелкните мышью по параметру Прикрепить поисковые
веб-сайты к ссылкам «Повторить поиск» и меню «Пуск» (Pin In-
ternet search sites to the «Search again» links and the Start menu). От-
кроется диалоговое окно редактирования параметра политики (рис.
9.6).
тель в положение Включить (Enable). Поля ввода области Параме-
тры (Options) станут активными.
5. В поле ввода URL-адрес сайта (Site URL) необходимо ввести URL-
адрес сайта в формате OpenSearch с ключевыми словами в качестве
строки запроса. Например, вы можете ввести строку вида «http://
Рис. 9.6. Диалоговое окно редактирования политики Прикрепить поисковые

веб-сайты к ссылкам «Повторить поиск» и меню «Пуск»
353
353
353
www.example.com/results.aspx?q={ключевые слова}». В поле ввода

Имя сайта (Site Name) введите отображаемое имя поискового сай-
та. В общей сложности вы можете определить до 5 дополнительных
адресов. Данные ссылки являются общими для внешних веб-сайтов
и соединителей или библиотек поиска. При этом ссылки поиска в
Интернете имеют меньший приоритет, чем ссылки соединителей
или библиотек поиска.
Стоит отметить, что не все из указанных поисковых веб-сайтов будут ото-
бражены в меню кнопки Пуск (Start) — там вы увидите только несколько
первых ссылок, обычно их число равняется четырем.
При этом имеется следующий приоритет ссылок: если ссылка Еще резуль-
таты (See more results) не отключена групповой политикой, то она по умол-
чанию прикрепляется первой. Затем по приоритету следует ссылка Поиск в
Интернете (Search the Internet). Однако по умолчанию ее отображение от-
ключено, включить ее отображение можно при помощи соответствующей
групповой политики. Третьими по приоритету следуют пользовательские
ссылки поиска в Интернете, прикрепленные с помощью групповой полити-
ки. Ниже по приоритету идут прикрепленные внешние и локальные ссылки,
прикрепленные соединители и библиотеки поиска. Ссылки поиска в Интер-
нете и локальной интрасети имеют меньший приоритет, чем ссылки соеди-
нителей и библиотек поиска.
Помимо ссылок на поисковые веб-сайты, вы также можете прикрепить ссыл-
ки на библиотеки или соединители поиска к стандартным ссылкам области
Повторить поиск (Search again) Проводника Windows и меню кнопки Пуск
(Start). Задача реализуется параметром политики Прикрепить библиотеки
или соединители поиска к ссылкам «Повторить поиск» (Pin libraries and
Search Connectors to the «Search again» links and the Start menu), который вы
можете найти в том же узле, в котором находился последний рассмотренный
параметр политики.
Файлы библиотек документов имеют расширение «.library-ms», файлы сое-
динителей поиска имеют расширение «.searchConnector-ms». В диалоговом
окне редактирования параметра политики будет необходимо указать разме-
щение файла библиотеки или соединителя поиска — это необходимо сде-
лать в поле ввода Размещение (Location) области Параметры (Options).
Будьте внимательны при вводе: прикрепленная ссылка правильно сработа-
ет только в случае, если вы безошибочно укажете допустимый путь, а в ука-
354
354
354
занной папке окажется необходимый файл с расширением «.library-ms» или

«.searchConnector-ms». В общей сложности вы можете определить до 5 ссы-
лок.
ÎÒÊËÞ÷ÅÍÈÅ ÔÓÍÊÖÈÈ ÎÒÎÁÐÀÆÅÍÈÿ ÏÐÎØËÛÕ

ÇÀÏÐÎÑÎÂ ÏÎÈÑÊÀ
Довольно часто пользователь системы не желает по тем или иным причи-

нам, чтобы его запросы поиска были сохранены в памяти компьютера и ото-
бражались в будущем при обращении к функции поиска. Такая ситуация мо-
жет, например, возникнуть, если к одной учетной записи имеют доступ не-
сколько человек и необходимо скрыть поисковые запросы от других пользо-
вателей этой же учетной записи.
Итак, чтобы отключить функцию отображения прошлых запросов поиска:
3. Дважды щелкните мышью по параметру Отключить отображение
прошлых запросов поиска в поле поиска проводника Windows
(Turn off display of recent search entries in the Windows Explorer search
box). Откроется диалоговое окно редактирования параметра поли-
тики.
Когда пользователь вводит некоторые данные в поле ввода поиска, Прово-
дник Windows считывает данные прошлых введенных запросов поиска из
реестра операционной системы и выводит на их основе подходящие резуль-
таты (рис. 9.7). После применения данного параметра политики запросы,
введенные в поле ввода поиска, не будут сохраняться в реестре операцион-
ной системы.
355
355
355
Рис. 9.7. Функция отображения прошлых запросов поиска программы Проводник

Windows
Ðàáîòà ñ «Êîðçèíîé» Windows

В рассматриваемом узле имеются также параметры групповой политики,
отвечающие за работу «Корзины» Windows. Напомним, что при удалении
файлов и папок с помощью Проводника Windows их копия сохраняется в
«Корзине», для того, чтобы пользователь имел возможность в течение неко-
торого времени восстановить удаленную информацию.
Очевидно, что пока копии удаленных файлов находятся в «Корзине», они
занимают драгоценное место на вашем жестком диске. При удалении боль-
шого количества файлов из системы, размер «Корзины» может быть доволь-
но существенным. Не стоит говорить о ценности такого ресурса как память
— памяти много не бывает. Впрочем, при помощи групповых политик вы мо-
жете повлиять на работу операционной систему с «Корзиной».
Так, например, отключить ее использование. Для этого:
356
356
356

3. Дважды щелкните мышью по параметру Не перемещать удаляемые
файлы в «Корзину» (Do not move deleted files to the Recycle Bin).
Данный параметр политики не имеет дополнительных настроек, его
можно лишь включить или включить.
Настоятельно не рекомендуется отключать использование «Корзины»: при
необходимости вы попросту не сможете восстановить случайно удаленные
файлы. Конечно, есть специальные средства для восстановления оконча-
тельно удаленных из системы файлов и папок, но их использование не всег-
да приводит к положительным результатам, к тому же это довольно слож-
ный и утомительный процесс — гораздо проще пожертвовать немного места
на вашем жестком диске и тем самым обезопасить себя от нежеланных по-
терь.
Еще одним параметром политики, имеющим непосредственное отношение к
«Корзине» Windows, является параметр политики Запрашивать подтверж-
дение при удалении файлов (Display confirmation dialog when deleting files)
узла Административные шаблоны ⇒ Компоненты Windows ⇒ Проводник
Windows ⇒ (User configuration ⇒ Administrative Templates ⇒ Windows
Components ⇒ Windows Explorer). Данный параметр политики отвечает за
отображение диалогового окна подтверждения удаления файлов и папок.
Данное диалоговое окно отображается как при перемещении файлов и па-
пок в «Корзину» Windows, так и при полном их удалении.
Если данный параметр политики включен, то при удалении или перемеще-
нии в «Корзину» файлов и папок пользователь увидит диалоговое окно под-
тверждения удаления. Если параметр не определен или отключен, что явля-
ется положением по умолчанию, диалоговое окно отображено не будет.
Узел Административные шаблоны ⇒ Компоненты Windows ⇒ Прово-
дник Windows (Administrative Templates ⇒ Windows Components ⇒ Win-
357
357
357
dows Explorer) довольно объемен: он насчитывает несколько десятков пара-

метров политик, решающих вопросы настройки визуализации Проводника
Windows и различных компонентов операционной системы, работы функ-
ции поиска и «Корзины» Windows, а также некоторых специфических функ-
ций операционной системы. В данной главе были рассмотрены почти все па-
раметры политик узла Проводник Windows (Windows Explorer). Надеем-
ся, что материал главы показался вам довольно легким, и у вас не возникло
проблем при использовании его на практике: принцип работы большинства
параметров политик узла очевиден, поэтому их описание в главе было не-
сколько поверхностным. Если суть работы некоторых параметров политик
осталась вам не ясна, рекомендуем перечитать текст главы или обратиться к
разделу справочной информации данного параметра.
358
358
358
Ãëàâà 10.
Óïðàâëåíèå
ñåðòèôèêàòàìè
Данная глава во многом отличается от остальных глав книги. В первую оче-
редь отметим тот факт, что использование групповой политики здесь затро-
нуто не будет: глава посвящена использованию оснастки Сертификаты. Эта
оснастка позволяет управлять пользовательскими сертификатами, сертифи-
катами локального или удаленного компьютера, сертификатами удаленной
или локальной службы.
При помощи данной оснастки пользователи могут копировать, перемещать,
удалять, запрашивать, обновлять, находить и просматривать сертификаты —
оснастка Сертификаты выступает в роли основного средства для работы с
сертификатами для пользователей, компьютеров и служб системы.
Öèôðîâûå ñåðòèôèêàòû
Так что же вообще такое цифровые сертификаты и зачем необходимо ими
управлять? Сертификаты открытого ключа, чаще называемые цифровые
сертификаты или просто сертификаты, представляют собой документ с
цифровой подписью, этот документ позволяет определить, каким пользо-
вателям будет разрешен, а каким запрещен доступ к определенным сведе-
ниям. Важным преимуществом цифровых сертификатов является возмож-
ность их пользователям обойтись без использования паролей на узлах, для
предоставления доступа к которым необходимо пройти проверку подлинно-
сти. Вместо применения паролей используется другой процесс, в ходе кото-
рого узел просто устанавливает с поставщиком сертификата доверительные
отношения.
Цифровые сертификаты, как правило, содержат следующие сведения:
• Значение открытого ключа субъекта.
• Идентификационные сведения субъекта. Такими сведениями, на-
пример, являются имя и адрес электронной почты субъекта.
• Срок действия ключа. В течение этого срока сертификат является
действительным. По истечении срока сертификат необходимо об-
новить, в противном случае сертификат будет считаться недействи-
360
360
360
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
тельным. Каждый сертификат содержит четкие даты, определяющие

обе границы срока его действия: дату начала и дату конца действия.
• Идентификационные сведения поставщика сертификата. Данное
поле аналогично полю об идентификационных сведениях субъекта.
• Цифровая подпись поставщика сертификата. Цифровая подпись за-
веряет подлинность связи между общим ключом субъекта и сведени-
ями для его идентификации.
Сертификат формата X.509 содержит десять полей: шесть обязательных и
четыре опциональных. К обязательным полям относятся серийный номер
сертификата, идентификатор алгоритма подписи, имя издателя, период дей-
ствия, открытый ключ субъекта, имя субъекта сертификата.
В ходе своего использования цифровые сертификаты помогают решать це-
лый ряд задач. Вообще сертификаты используются для решения таких за-
дач, как:
• Проверка подлинности — помогает решать вопросы идентификации
кого-либо или чего-либо. Функция крайне важная для обеспечения
информационной безопасности сетевого подключения: она помогает
подтвердить, что пользователи являются именно теми, за кого себя
выдают. Также можно быть уверенным в подлинности других поль-
зователей. При этом стоит учитывать особую сложность подтверж-
дения подлинности пользователей при их взаимодействии по сети:
физически пользователи, устанавливающие соединение, не встреча-
ются, что оставляет множество путей злоумышленникам. Так, напри-
мер, можно перехватить чужое сообщение или выдать себя за другое
лицо. Использование цифровых сертификатов позволяет сделать
этот процесс для злоумышленников намного сложнее.
• Конфиденциальность — доступ к информации должен быть обеспе-
чен только определенному кругу лиц.
Шифрование — приведение информации на основании секретного ключа к
виду, в котором информация не может быть просто так прочитана. В случае
передачи по каналам связи информации ограниченного доступа ее шифро-
вание обязательно — в противном случае после перехвата информации злоу-
мышленник может с легкостью прочесть ее. Особенно важен данный вопрос
в связи с тем, что при использовании некоторых каналов связи перехват ин-
формации осуществить очень просто, например, при использовании беспро-
водных соединений. При перехвате зашифрованной информации злоумыш-
ленник не сможет прочесть ее — для этого необходимо иметь ключ, который
позволит преобразовать информацию к виду, в котором можно будет ее вос-
принимать.
361
361
361
Использование цифровых подписей — защита от подмены или изменения

информации в процессе хранения или передачи по каналам связи. Цифро-
вая подпись позволяет гарантировать целостность данных и соответствие их
подлинному источнику происхождения. В случае внесения малейших изме-
нений в данные, использование цифровой подписи позволит зафиксировать
факт нарушения целостности. Цифровые подписи активно используются
в сферах, где данные пересылаются в открытом незашифрованном виде, и
важнейшим фактором их безопасности является целостность. Например, от-
правка налоговых сведений или некоторых отчетов может осуществляться в
незашифрованном виде — доступ третьих лиц к этим документам в опреде-
ленных ситуациях не представляет опасности, однако изменение содержа-
ния этих документов может иметь ужасные последствия. Впрочем, можно
также совмещать цифровые подписи и шифрование данных, в этом случае
обеспечивается как конфиденциальность информации, так и ее целостность.
Следует отметить, что при использовании шифрования с открытым клю-
чом используется два ключа — один открытый для шифрования и один за-
крытый для расшифровки. При этом открытый ключ, которым данные шиф-
руются, может свободно передаваться другим субъектам в сети — он может
даже публиковаться в сертификате, расположенном в папке, доступной всем
пользователям организации. При помощи этого ключа невозможно расшиф-
ровать даже только что зашифрованную информацию, так как при таком
шифровании используются так называемые односторонние функции. Пре-
образовать полученные в результате сообщения данные можно, только имея
подходящий закрытый ключ и никак иначе. Закрытым ключом, как прави-
ло, владеет только получатель информации. Этот ключ необходимо хранить
в безопасности.
Существует четыре формата файлов сертификатов, которые поддерживают-
ся при экспорте и импорте цифровых сертификатов. Необходимый формат
файлов выбирается в соответствии с предъявляемыми к нему требованиями:
• PKCS #12 — файл обмена личной информацией. Данный формат
также иногда называется PFX. PKCS #12 поддерживает безопасное
хранение исходных сертификатов и всех сертификатов в пути серти-
фикации, а также закрытых ключей. Данный формат является един-
ственным форматом файла сертификатов, поддерживающим экс-
портирование сертификатов и его закрытого ключа.
• PKCS #7 — стандарт Cryptographic Message Syntax. PKCS #7 поддер-
живает безопасное хранение исходных сертификатов и всех серти-
фикатов в пути сертификации.
• DER-шифрованный файл X.509. Данный формат файла сертифика-
тов поддерживает только лишь хранение отдельного сертификата,
362
362
362
хранение сертификатов в пути сертификации и хранение закрытых

ключей не поддерживается.
• Base64-шифрованный формат X.509. Данный формат файла серти-
фикатов поддерживает только лишь хранение отдельного сертифи-
ката, хранение сертификатов в пути сертификации и хранение за-
крытых ключей не поддерживается.
Большинство широко используемых цифровых сертификатов основывают-
ся на стандарте сертификата X.509 третьей версии.
Таким образом, использование цифровых сертификатов является мощным
средством обеспечения информационной безопасности. В наши дни исполь-
зование цифровых сертификатов для отдельных компьютеров, корпоратив-
ных сетей и Интернета становится все популярнее. И хотя цифровые сер-
тификаты могут функционировать практически самостоятельно — без вме-
шательства пользователя — иногда бывает необходимо просмотреть содер-
жимое сертификата и управлять использованием сертификатов. Именно об
этом пойдет речь в этой главе.
Îñíàñòêà Ñåðòèôèêàòû
Для организации управления цифровыми сертификатами в операционной
системе Windows имеется специальная оснастка Сертификаты (рис. 10.1).
Она является удобным средством просмотра и управления цифровыми сер-
тификатами для пользователей, компьютеров и служб системы. При помо-
щи данной оснастки можно просматривать все цифровые сертификаты, хра-
нимые на компьютере, и получать о них исчерпывающую информацию, та-
кую как их место расположения и параметры конфигурации.
К тому же при помощи оснастки Сертификаты пользователь имеет доступ
к различным мастерам, помогающим быстро и просто решать ряд следую-
щих задач:
• Обновление существующих сертификатов.
• Отправка заявок на получение новых сертификатов.
• Поиск сертификатов.
• Импорт сертификатов.
• Экспорт сертификатов
• Архивация сертификатов.
363
363
363
Рис. 10.1. Оснастка Сертификаты в окне Консоли управления MMC
Однако сама технология цифровых сертификатов предполагает минималь-

ное участие пользователей в ходе использования сертификатов. Управление
сертификатами и хранилищами сертификатов может быть осуществлено ад-
министраторами системы при помощи различных параметров политики, а
также программами, использующими сертификаты.
Администраторы систем при помощи оснастки Сертификаты могут решать
широкий круг различных задач в сфере управления сертификатами, как в
своих личных хранилищах сертификатов, так и в любых других хранилищах
сертификатов компьютеров и служб, к которым эти администраторы име-
ют доступ.
Примечание. Для выполнения некоторых примеров, приведенных в данной главе,
в вашей сети должен работать центр сертификации.
Îòêðûòèå îñíàñòêè Ñåðòèôèêàòû

Получить доступ к оснастке Сертификаты можно несколькими способами.
При этом стоит отметить, что для различных объектов — таких как учетная
364
364
364
запись пользователя, учетная запись службы и учетная запись компьютера

— открываются отдельные оснастки. То есть если вы открыли оснастку для
учетной записи службы, то работать с учетной записью пользователя или
компьютера вы с ее помощью не сможете.
Итак, чтобы открыть оснастку Сертификаты в Консоли управления MMC
для текущей учетной записи пользователя:
1. Откройте Консоль управления MMC. Если вы не помните, как это
делается, перечитайте главу 1 данной книги.
(File ⇒ Add/Remove Snap-In). Появится диалоговое окно Добавле-
ние и удаление оснасток (Add or Remove Snap-Ins). Данное диало-
говое окно можно вызвать также одновременным нажатием клавиш
Ctrl+M.
явившегося диалогового окна найдите оснастку Сертификаты (Cer-
tificates) и щелкните по ней левой кнопкой мыши.
4. Нажмите кнопку Добавить (Add). Откроется диалоговое окно
Оснастка диспетчера сертификатов (Certificates Snap-in) (рис.
10.2), предлагающее вам выбрать объект администрирования.
Рис. 10.2. Диалоговое окно Оснастка диспетчера сертификатов
365
365
365
5. В диалоговом окне Оснастка диспетчера сертификатов (Certificates

Snap-in) установите переключатель в положение Моей учетной за-
писи пользователя (My user account), если хотите, чтобы объек-
том администрирования стала текущая учетная запись пользовате-
ля. Для продолжения нажмите кнопку Готово (Finish). Выбранная
оснастка добавится в список Выбранные оснастки (Selected snap-
ins), что находится в правой части диалогового окна.
6. Для продолжения нажмите кнопку Готово (Finish). Выбранная
оснастка добавится в список Выбранные оснастки (Selected snap-
ins), что находится в правой части диалогового окна.
7. Для продолжения нажмите кнопку ОК диалогового окна Добавле-
ние и удаление оснасток (Add or Remove Snap-Ins).
Для работы с оснасткой Сертификаты, если в роли объекта администриро-
вания выступает текущая учетная запись пользователя, существует отдель-
ная консоль. Вы можете запустить ее через командную строку операционной
системы, ее имя — certmgr.msc.
Несколько иначе реализуется запуск оснастки Сертификаты для работы с
такими объектами администрирования, как компьютер или службы:
1. Откройте Консоль управления MMC.
(File ⇒ Add/Remove Snap-In). Появится диалоговое окно Добавле-
ние и удаление оснасток (Add or Remove Snap-Ins). Данное диало-
говое окно можно вызвать также одновременным нажатием клавиш
Ctrl+M.
явившегося диалогового окна найдите оснастку Сертификаты (Cer-
tificates) и щелкните по ней левой кнопкой мыши.
4. Нажмите кнопку Добавить (Add). Откроется диалоговое окно
Оснастка диспетчера сертификатов (Certificates Snap-in), предла-
гающее вам выбрать объект администрирования.
5. В диалоговом окне Оснастка диспетчера сертификатов (Certificates
Snap-in) установите переключатель в положение:
• Учетной записи службы (Service account), если хотите, чтобы объек-
том администрирования стала служба.
• Учетной записи компьютера (Computer account), если хотите, чтобы
объектом администрирования стал компьютер.
366
366
366
Рис. 10.3. Диалоговое окно Выбор компьютера
6. Для продолжения нажмите кнопку Далее (Next). Откроется диало-

говое окно Выбор компьютера (Select computer) (рис. 10.3).
7. В диалоговом окне Выбор компьютера (Select computer) установите
переключатель в положение:
• Локальным компьютером (Local computer), если объект админи-
стрирования расположен на компьютере, на котором данная консоль
запущена непосредственно.
• Другим компьютером (Another computer), если объект администри-
рования расположен на другом удаленном компьютере. В данном
случае кнопка Обзор (Browse) станет доступной — по ее нажатии
вызывается диалоговое окно Выбор: Компьютер (Select computer),
в котором можно точно определить, к какому компьютеру будет при-
менено действие оснастки.
8. Для продолжения:
• Если вы выбрали вариант Учетной записи компьютера (Com-
puter account), нажмите кнопку Готово (Finish). Выбранная
оснастка добавится в список Выбранные оснастки (Selected
snap-ins), что находится в правой части диалогового окна.
367
367
367
• Если же вы выбрали вариант Учетной записи службы (Service

account), то процесс настройки оснастки еще не завершен — для
продолжения нажмите кнопку Далее (Next). Откроется диа-
логовое окно Оснастка диспетчера сертификатов (Certificates
Snap-in), в котором вы можете увидеть большой список доступ-
ных служб. Выберите необходимую службу при помощи мыши
и нажмите кнопку Готово (Finish). Выбранная оснастка доба-
вится в список Выбранные оснастки (Selected snap-ins), что на-
ходится в правой части диалогового окна.
9. Для продолжения нажмите кнопку ОК диалогового окна Добавле-
ние и удаление оснасток (Add or Remove Snap-Ins).
Напоминаем, что в одном окне Консоли управления MMC вы можете запу-
стить несколько оснасток, например, вы можете запустить одновременно все
три различные оснастки: для пользователя, компьютера и службы. Для из-
менения порядка расположения оснасток в окне Консоли управления MMC
воспользуйтесь кнопками Вверх (Move Up) и Вниз (Move Down) диалого-
вого окна Добавление и удаление оснасток (Add or Remove Snap-Ins).
Примечание. Для того, чтобы запустить оснастку Сертификаты для компьюте-
ра или службы, необходимо иметь учетную запись администратора — запуск под
непривилегированной учетной записью невозможен. Под непривилегированной
учетной записью оснастка может быть запущена только для объекта Моей учет-
ной записи пользователя (My user account) для получения доступа к хранилищу
сертификатов пользователей.
Ïîëó÷åíèå ñåðòèôèêàòîâ
Весь процесс работы с цифровыми сертификатами начинается, разумеется,
с получения сертификата. Для получения сертификата пользователь, ком-
пьютер или служба должны отправить соответствующий запрос. В зависи-
мости от настроек политики открытого ключа, пользователи, компьютеры и
службы могут отправлять запросы на получение сертификатов автоматиче-
ски без вмешательства пользователя.
Существует также еще несколько способов получения сертификатов: мож-
но отправлять запросы на получение сертификатов вручную при помощи
оснастки Сертификаты, можно воспользоваться мастером запроса сертифи-
катов, доступного также при помощи оснастки Сертификаты, также можно
запрашивать сертификаты через Интернет. Существует еще несколько спо-
собов получить сертификаты.
368
368
368
ÀÂÒÎÌÀÒÈ÷ÅÑÊÀÿ ÐÅÃÈÑÒÐÀÖÈÿ ÑÅÐÒÈÔÈÊÀÒÎÂ

Широкое применение в организациях нашло использование групповой по-
литики, позволяющей автоматизировать процесс подачи заявок на сертифи-
каты. При автоматической регистрации сертификатов пользователь может
видеть напоминания о выполнении процедуры регистрации сертификатов.
В определенных ситуациях администратор системы может захотеть прове-
рить, все ли отложенные запросы автоматической регистрации сертифика-
тов обрабатываются. Данная задача реализуется довольно просто, для ее вы-
полнения необходимо обладать учетной записью, состоящей как минимум в
группах Пользователи или Администраторы.
Итак, для автоматической регистрации сертификата с использованием
оснастки Сертификаты:
1. Запустите оснастку Сертификаты (Certificates). В роли объекта мо-
гут выступать пользователь или компьютер.
2. Если в роли объекта вы определили:
• пользователя, то при помощи мыши в дереве оснастки выделите
узел Сертификаты — текущий пользователь (Certificates — Current
User);
• компьютер, то при помощи мыши в дереве оснастки выделите узел
Сертификаты (Certificates).
3. В главном меню Консоли управления MMC выберите пункт Дей-
ствие ⇒ Все задачи ⇒ Автоматически регистрировать и извле-
кать сертификаты (Action ⇒ All Tasks ⇒ Automatically Enroll and
Retrieve Certificates). Откроется диалоговое окно Регистрация сер-
тификатов (Certificate Enrollment).
4. Прежде чем запрашивать сертификат, убедитесь, что данный ком-
пьютер подключен к сети и имеется доступ к необходимым учетным
данным, которые могут быть использованы для подтверждения пра-
ва на получение сертификата. Для продолжения нажмите кнопку
Далее (Next).
5. Выберите необходимые сертификаты, которые необходимо полу-
чить, из списка и нажмите кнопку Заявка (Enroll).
6. Когда процесс регистрации сертификатов будет завершен, нажмите
кнопку Готово (Finish).
Получение сертификатов пользователя может осуществляться как под учет-
ной записью администратора, так и под учетной записью пользователя. По-
369
369
369
лучать сертификаты компьютера или служб может только администратор

системы.
ÇÀÏÐÎÑ ÑÅÐÒÈÔÈÊÀÒÎÂ ÏÐÈ ÏÎÌÎÙÈ ÌÀÑÒÅÐÀ

ÇÀÏÐÎÑÀ ÑÅÐÒÈÔÈÊÀÒÎÂ
Если вам доводилось работать с различными приложениями операционной

системы Windows, то вы наверняка оценили удобства использования раз-
личных мастеров этих приложений — они помогают сделать многие зада-
чи, требующие чуткого выполнения определенной последовательности дей-
ствий, намного проще. Мастер запроса сертификатов, доступный в оснастке
Сертификаты, может помочь выполнить следующие задачи:
• Выбрать центр сертификации, которому будут направляться запро-
сы на получение сертификатов.
• Выбрать шаблон сертификата, используемый для создания новых
сертификатов. Использование шаблонов при создании новых сер-
тификатов позволит сэкономить ваше время: шаблоны сертифика-
та представляют собой заранее определенные распространенные на-
стройки запроса сертификата и описывают цель, для достижения ко-
торой данный сертификат используется. Список доступных шабло-
нов сертификатов может варьироваться на основании настроек цен-
тра сертификации и наличия прав доступа к шаблонам сертифика-
тов. Права доступа к шаблонам сертификатов определяет админи-
стратор системы.
• Выбрать поставщика службы криптографии.
• Запросить новый сертификат в центре сертификации с помощью
уже существующей пары ключей, связанной с другими сертифика-
тами.
При помощи оснастки Сертификаты можно отправить запрос на получение
любого типа сертификата, заранее определенного и сделанного доступным
администратором центра сертификации, к которому направляется запрос.
Чтобы выполнить запрос сертификата при помощи мастера:
• пользователя, то в дереве оснастки разверните узел Сертифи-
каты — текущий пользователь (Certificates — Current User);
370
370
370
• компьютер, то в дереве оснастки разверните узел Сертифика-

ты (Certificates).
3. При помощи мыши в дереве оснастки выделите узел Личное (Per-
sonal).
ствие ⇒ Все задачи ⇒ Запросить новый сертификат (Action ⇒ All
Tusks ⇒ Request New Certificate). Откроется диалоговое окно Реги-
страция сертификатов (Certificate Enrollment).
Далее (Next).
6. Выберите необходимые сертификаты, которые необходимо полу-
чить, из списка. Процесс выбора различных сертификатов может не-
сколько различаться. Для завершения процедуры нажмите кнопку
Заявка (Enroll).
Данным образом осуществлять запрос сертификатов можно только у центра
сертификации вашего предприятия. Если вы хотите получить сертификат
некоторого изолированного центра сертификации, то вам придется восполь-
зоваться для этого веб-страницами. Веб-страницу, необходимую для центра
сертификации, находящегося под управлением операционной системы Win-
dows, вы можете найти по адресу http://imyaservera/certsrv, где «imyaser-
vera» — имя сервера, обслуживающего центр сертификации.
ÑÎÇÄÀÍÈÅ ÏÎËÜÇÎÂÀÒÅËÜÑÊÎÃÎ ÇÀÏÐÎÑÀ ÑÅÐÒÈÔÈÊÀÒÀ

Как правило, основной объем используемых в организациях цифровых сер-
тификатов основывается на предварительно настроенных шаблонах. Одна-
ко иногда возникает необходимость создания особого сертификата или соз-
дания нового шаблона сертификата на основе старого. В этом случае можно
использовать специальные запросы сертификата, иначе называемые пользо-
вательские запросы.
Чтобы создать специальный запрос сертификата:
371
371
371
• пользователя, то в дереве оснастки разверните узел Сертифи-

каты — текущий пользователь (Certificates — Current User);
• компьютер, то в дереве оснастки разверните узел Сертифика-
ты (Certificates).
3. В дереве оснастки дважды щелкните по узлу Личное (Personal). При
помощи мыши выделите узел Сертификаты (Certificates).
ствие ⇒ Все задачи ⇒ Дополнительные операции ⇒ Создать на-
страиваемый запрос (Action ⇒ All Tasks ⇒ Advanced Options ⇒
Create Custom Request). Откроется диалоговое окно Регистрация
сертификатов (Certificate Enrollment) (рис. 10.4).
Рис. 10.4. Диалоговое окно Регистрация сертификатов

Далее (Next).
6. В диалоговом окне Регистрация сертификатов (Certificate Enroll-
ment) (рис. 10.4) в списке в разделе Шаблоны (Templates):
372
372
372
• при помощи мыши выберите подходящий шаблон сертификата, если

вы хотите принять параметры конфигурации по умолчанию и вам
известно, какой тип сертификата вам требуется;
• Ключ CNG (CNG key) или Старый ключ (Legacy key), если хоти-
те создать полностью настраиваемый сертификат без шаблона. Сто-
ит отметить, что ключи CNG могут быть несовместимы с некоторы-
ми приложениями.
7. Выберите формат файла, который будет использоваться для запро-
са сертификата: PKSC #10 или CMC. Формат CMC может исполь-
зоваться для запросов, передаваемых в центр сертификации, отлич-
ный от центра сертификации Microsoft. Для продолжения нажмите
кнопку Далее (Next).
8. Нажмите кнопку Подробности (Details), чтобы получить подроб-
ные сведения о запросе сертификата. Если необходимо определить
дополнительные параметры, нажмите кнопку Свойства (Properties).
В появившемся диалоговом окне Свойства сертификата (Certificate
Properties) настройте необходимые параметры. Для продолжения
нажмите кнопку Далее (Next).
9. Введите имя файла и укажите путь к нему. Нажмите кнопку Готово
(Finish).
Специальные запросы сертификата также могут применяться для сохране-
ния запроса сертификата во внешний файл. В дальнейшем этот файл может
быть обработан на другом компьютере.
ÐÅÃÈÑÒÐÀÖÈÿ ÑÅÐÒÈÔÈÊÀÒÎÂ ÎÒ ËÈÖÀ ÄÐÓÃÈÕ ÏÎËÜÇÎÂÀÒÅËÅÉ

Далеко не всегда пользователь самостоятельно может подать заявку на по-
лучение сертификата. Например, могут возникнуть проблемы с подачей за-
явки на сертификат смарт-карты пользователя. В операционной системе
Windows 7 по умолчанию установлено, что разрешение на запрос сертифи-
катов от лица пользователя предоставляется только администраторам доме-
на. Эту задачу для пользователя, не являющегося администратором домена,
можно решить, предоставив ему разрешение стать агентом регистрации. Для
того чтобы пользователь стал агентом регистрации, он должен подать соот-
ветствующую заявку на получение сертификата агента регистрации.
Чтобы подать заявку на сертификат от лица других пользователей:
1. Запустите оснастку Сертификаты (Certificates). В роли объекта вы-
берите пользователя.
373
373
373
2. В дереве оснастки разверните узел Сертификаты — текущий поль-

зователь (Certificates — Current User).
ствие ⇒ Все задачи ⇒ Дополнительные операции ⇒ Зарегистри-
роваться от имени (Action ⇒ All Tasks ⇒ Advanced Operations ⇒
Enroll on Behalf of). Откроется диалоговое окно Регистрация серти-
фикатов (Certificate Enrollment).
Далее (Next).
6. Выберите сертификат агента регистрации, который будет использо-
ваться для подписи обрабатываемого запроса сертификата. Нажми-
те кнопку Далее (Next).
7. Выберите необходимые типы запрашиваемого сертификата, по окон-
чании нажмите кнопку Заявка (Enroll). Чтобы закончить работу, на-
жмите кнопку Закрыть (Close).
Однако к этой системе необходимо относиться с повышенным вниманием:
пользователь, завладев сертификатом агента регистрации, может подавать
заявки на получение сертификатов и создавать смарт-карты от имени лю-
бого пользователя в составе организации. Смарт-карта, полученная в ходе
такой операции, позволяет пользователю осуществить вход в сеть под име-
нем другого пользователя без его ведома. Поэтому в организациях для сер-
тификатов агента регистрации необходимо придерживаться строгой поли-
тики безопасности.
Îáíîâëåíèå ñåðòèôèêàòîâ
Как уже было сказано выше, каждый сертификат имеет строго определен-
ный срок действия. Как и любой документ, по истечении срока действия он
теряет свою силу и больше не может выступать в роли приемлемого удосто-
верения личности в сети. Поэтому сертификаты, срок действия которых ис-
текает, необходимо обновлять.
Обновить сертификат можно при помощи оснастки Сертификаты, которая
предоставляет для этих целей удобное средство — мастер обновления серти-
374
374
374
фикатов. Обновить сертификат можно как по истечении срока его действия,

так и заблаговременно, пока сертификат еще не потерял свою силу. Второй
вариант предпочтительнее, так как гарантирует большую стабильность ра-
Еще один вопрос, которым задается пользователь: какой набор ключей ис-
пользовать для обновленного сертификата. Можно использовать старый на-
бор ключей, а можно получить новый набор ключей: выбор зависит от ряда
факторов, например от срока действия сертификата, длины ключей, значи-
мости данных.
Также перед тем, как приступать к процессу обновления сертификата, необ-
ходимо знать, к какому центру сертификации необходимо обращаться и кто
является поставщиком службы криптографии, если вы используете услуги
криптографии. Поставщик службы криптографии предоставляет пары клю-
чей, если для обновления сертификата необходимы новые открытый и за-
крытый ключи.
Когда срок действия цифровых сертификатов подходит к концу, операцион-
ная система Windows 7, как правило, выведет предупреждение о необходи-
мости обновления. Впрочем, в большинстве случаев обновление сертифика-
тов происходит автоматически при первом же доступе к центру сертифика-
ции.
ÎÁÍÎÂËÅÍÈÅ ÑÅÐÒÈÔÈÊÀÒÀ Ñ ÈÑÏÎËÜÇÎÂÀÍÈÅÌ ÑÒÀÐÎÃÎ ÊËÞ÷À

Обновление сертификата с использованием старого ключа обеспечивает
максимальную совместимость и стабильность работы. Однако использова-
ние одних и тех же ключей в течение долгого времени может ставить под со-
мнение безопасность таких сертификатов.
Для того чтобы обновить сертификат с использованием прежнего ключа:
1. Запустите оснастку Сертификаты (Certificates).
2. В дереве оснастки разверните узел:
• Сертификаты — текущий пользователь (Certificates — Current
User), если в роли объекта администрирования вы выбрали пользо-
вателя.
• Сертификаты (Certificates), если в роли объекта администрирова-
ния вы выбрали компьютер.
• Сертификаты — служба (Certificates — Service), если в роли объекта
администрирования вы выбрали службу.
375
375
375

4. В области сведений консоли при помощи мыши выберите сертифи-
кат, который необходимо обновить.
ствие ⇒ Все задачи ⇒ Дополнительные операции ⇒ Обновить
сертификат с тем же ключом (Action ⇒ All Tasks ⇒ Advanced Op-
tions ⇒ Renew this Certificate with the Same Key). Откроется диало-
говое окно Запрос сертификатов (Request Certificates).
6. Если в диалоговом окне Запрос сертификатов (Request Certificates)
отображается несколько сертификатов, выберите тот, который хоти-
те обновить.
7. Если вы хотите изменить параметры обновления сертификата, на-
жмите кнопку Подробности (Details), затем нажмите кнопку Свой-
ства (Properties). Укажите необходимые параметры обновления сер-
тификата.
8. Когда все подготовительные действия будут завершены, нажмите
кнопку Заявка (Enroll). После завершения процесса обновления на-
жмите кнопку Готово (Finish).
Обновление сертификатов пользователя может осуществляться как под
учетной записью администратора, так и под учетной записью пользователя.
Обновить сертификаты компьютера или служб может только администра-
тор системы.
ÎÁÍÎÂËÅÍÈÅ ÑÅÐÒÈÔÈÊÀÒÀ Ñ ÈÑÏÎËÜÇÎÂÀÍÈÅÌ ÍÎÂÎÃÎ ÊËÞ÷À

Обновление сертификата с использованием новой пары ключей позволяет
продолжить использование существующего сертификата и связанных с ним
данных без изменений. Данный способ гарантирует необходимый уровень
безопасности сертификатов: использование одних и тех же ключей в тече-
ние долгого времени может ставить под сомнение безопасность сертифика-
тов, поэтому рекомендуется регулярно менять пары ключей.
Для того чтобы обновить сертификат с использованием новой пары ключей:
• Сертификаты — текущий пользователь (Certificates — Current
User), если в роли объекта администрирования вы выбрали пользо-
вателя.
376
376
376
• Сертификаты (Certificates), если в роли объекта администрирова-

ния вы выбрали компьютер.
• Сертификаты — служба (Certificates — Service), если в роли объекта
администрирования вы выбрали службу.
кат, который необходимо обновить.
ствие ⇒ Все задачи ⇒ Дополнительные операции ⇒ Обновить
сертификат с новым ключом (Action ⇒ All Tasks ⇒ Advanced Op-
tions ⇒ Renew Certificate with New Key).
6. Если вы хотите изменить параметры обновления сертификата, на-
жмите кнопку Подробности (Details), затем нажмите кнопку Свой-
ства (Properties). Укажите необходимые параметры обновления сер-
тификата. Данная процедура не рекомендуется для неопытных поль-
зователей.
7. Когда все подготовительные действия будут завершены, нажмите
кнопку Заявка (Enroll). После завершения процесса обновления на-
жмите кнопку Готово (Finish).
После выполнения процесса обновления старая версия сертификата будет
заархивирована.
Данным образом осуществлять обновление сертификатов можно только у
центра сертификации вашего предприятия. Если вы хотите обновить серти-
фикат некоторого изолированного центра сертификации, то вам придется
воспользоваться для этого веб-страницами. Веб-страницу, необходимую для
центра сертификации под управлением операционной системы Windows, вы
можете найти по адресу http://imyaservera/certsrv, где «imyaservera» —
имя обслуживающего центр сертификации сервера.
Ïðîñìîòð ñåðòèôèêàòîâ
Одной из важнейших функций оснастки Сертификаты является возмож-
ность просмотра сертификатов и хранилищ сертификатов в удобном для
пользователя виде.
Хранилища сертификатов позволяют организовать в структуру все серти-
фикаты, хранимые на компьютере, сделать процесс их поиска и работы с
377
377
377
ними проще и логичнее. По умолчанию сертификаты в оснастке отобража-

ются по логическим хранилищам, однако можно использовать также ото-
бражение сертификатов по назначению.
Для того чтобы переключить режим отображения хранилищ сертификатов:
1. Запустите оснастку Сертификаты (Certificates) для любого объекта
администрирования.
3. В главном меню Консоли управления MMC выберите пункт Вид ⇒
Параметры (View ⇒ Options). Откроется диалоговое окно Параме-
тры просмотра (View Options).
4. В диалоговом окне Параметры просмотра (View Options) установи-
те переключатель в положение:
• По назначению (Certificate purpose), чтобы сгруппировать сер-
тификаты в зависимости от их назначения.
• По логическим хранилищам (Logical certificate stores), чтобы
сгруппировать сертификаты по логическим хранилищам. Дан-
ное положение установлено в оснастке по умолчанию.
5. Для подтверждения нажмите кнопку ОК.
Если был выбран режим отображения хранилищ сертификатов По логиче-
ским хранилищам (Logical certificate stores), то вы сможете видеть следую-
щие узлы в дереве консоли:
• Личное (Personal). Здесь хранятся сертификаты с определенными
закрытыми ключами, к которым обеспечен доступ. Эти сертификаты
были выданы объектам администрирования — таким как ваша учет-
ная запись, текущий компьютер или служба — для которых управле-
нием сертификатов занимаетесь именно вы.
• Доверенные корневые центры сертификации (Trusted Root Certifi-
cation Authorities). Здесь хранятся сертификаты, полученные из не-
явно доверенных центров сертификации, хранилищ корневых цен-
тров сертификации независимых поставщиков, а также корневые
сертификаты вашей организации и корпорации Microsoft. Данное
хранилище может быть использовано администратором для распро-
странения доверенных корневых сертификатов в организации: для
этого можно при помощи групповой политики добавить в это храни-
лище сертификаты стороннего центра сертификации для всех ком-
пьютеров домена Active Directory.
378
378
378
• Доверительные отношения в предприятии (Enterprise Trust). Дан-

ное хранилище выступает в роли списка доверия сертификатов: по-
зволяет установить доверительные отношения к сертификатам от
других организаций и установить ограничения назначений для этих
сертификатов.
• Промежуточные центры сертификации (Intermediate Certification
Authorities). Здесь хранятся сертификаты, выданные подчиненным
центрам сертификации.
• Объект пользователя Active Directory (Active Directory User Ob-
ject). Здесь хранятся сертификаты, опубликованные в доменных
службах Active Directory и связанные с объектом пользователя.
• Доверенные издатели (Trusted Publishers). Здесь хранятся сертифи-
каты, выданные центрами сертификации, к которым выражено до-
верие с точки зрения политик ограниченного использования про-
грамм.
• Сертификаты, к которым нет доверия (Untrusted Certificates). Хра-
нилище сертификатов, к которым в системе было выражено явное
недоверие. Пометить сертификат как запрещенный можно двумя
способами: при помощи политик ограниченного использования про-
грамм или посредством выбора параметра Не доверять этому сер-
тификату (Do not trust this certificate) в браузере или почтовой про-
грамме.
• Сторонние корневые центры сертификации (Third-party Root Cer-
tification Authorities). Здесь хранятся сертификаты, выданные дове-
ренными центрами сертификации, отличными от центра сертифика-
ции вашей организации или корпорации Microsoft. Обратите внима-
ние: передача сюда сертификатов при помощи групповой политики
невозможна.
• Доверенные лица (Trusted People). Здесь хранятся сертификаты,
которые были выданы конечным субъектам, к которым у системы
выражено явное доверие.
• Запросы заявок на сертификат (Certificate Enrollment Requests).
Здесь хранятся неутвержденные — еще не рассмотренные или откло-
ненные — запросы на получение сертификата.
Если был выбран режим отображения хранилищ сертификатов По назначе-
нию (Certificate purpose) (рис. 10.5), то вы увидите несколько десятков узлов
в дереве консоли: рассматривать их всех в рамках данной книги не представ-
ляется возможным, поэтому рассмотрим только несколько основных:
379
379
379
Рис. 10.5. Оснастка Сертификаты в режиме отображения хранилищ

сертификатов По назначению
• Проверка подлинности сервера (Server Authentication). В этом узле

размещены сертификаты, с помощью которых программы сервера
доказывают программам клиента свою подлинность.
• Проверка подлинности клиента (Client Authentication). В этом узле
размещены сертификаты, с помощью которых программы клиента
доказывают программам сервера свою подлинность.
• Подписывание кода (Code Signing). В этом узле размещены серти-
фикаты, связанные с парой ключей, используемой для подписи ак-
тивного содержимого.
• Защищенная электронная почта (Secure Email). В этом узле разме-
щены сертификаты, связанные с парой ключей, используемой для
подписи сообщений электронной почты.
• Шифрующая файловая система EFS (Encrypting File System). В
этом узле размещены сертификаты, связанные с парой ключей, ис-
пользуемой для работы с шифрующей файловой системой EFS.
• Восстановление файлов (File Recovery). В этом узле размещены
сертификаты, связанные с парой ключей, используемой для шифро-
380
380
380
вания симметричного ключа, используемого для восстановления за-

шифрованных при помощи EFS данных.
Стоит отметить, что организация сертификатов по хранилищам выполня-
ется не только для удобства пользователя: многие приложения используют
данную структуру в своей работе. Поэтому важно соблюдать порядок в хра-
нилище сертификатов, в противном случае вас могут ждать неприятные по-
следствия.
ÏÐÎÑÌÎÒÐ ÑÂÅÄÅÍÈÉ ÑÅÐÒÈÔÈÊÀÒÎÂ

Для того чтобы просмотреть сведения сертификата, достаточно найти его в
дереве консоли в соответствующем узле и дважды щелкнуть по нему мы-
шью. Откроется диалоговое окно Сертификат (Certificate) (рис. 10.6). Дан-
ное диалоговое окно содержит три вкладки: Общие (General), Состав (De-
tails), Путь сертификации (Certification Path).
Рис. 10.6. Диалоговое окно Сертификат
На вкладке Общие (General) вы можете получить базовые сведения о сер-

тификате:
381
381
381
• Кому был выдан сертификат. Имя получателя сертификата: пользо-

вателя, компьютера, службы или центра сертификации.
• Кем был выдан сертификат. Имя центра сертификации, выдавшего
данный сертификат.
• Срок действия сертификата определяет время жизни сертификата.
По истечении данного срока сертификат подлежит обновлению, в
противном случае он будет признан недействительным.
• Предназначение сертификата. Здесь вы можете узнать, какую функ-
цию выполняет данный сертификат, какими приложениями исполь-
зуется и некоторые другие сведения.
• Заявление поставщика. Для получения дополнительных сведений о
сертификате нажмите кнопку Заявление поставщика (Issuer State-
ment) вкладки Общие (General) диалогового окна Сертификат (Cer-
tificate).
На вкладке Состав (Details) можно получить огромное количество инфор-
мации по указанному сертификату. Для удобства пользователя существует
раскрывающийся список Показать (Show) — он позволяет отфильтровать
сведения о сертификате по определенному признаку, например, отображать
только свойства или только критические расширения.
В центральной части диалогового окна на вкладке Состав (Details) вы може-
те увидеть список полей, сведения по которым вы сейчас можете получить.
Если выделить некоторое поле при помощи мыши, соответствующие сведе-
ния будут отображены в поле в нижней части диалогового окна.
Итак, доступны следующие поля:
• Версия (Version). Здесь хранится номер версии протокола X.509.
Например, это может быть «V1».
• Серийный номер (Serial number). Серийный номер устанавливает-
ся для сертификата центром сертификации. Данный номер уника-
лен для всех сертификатов, выданных определенным центром сер-
тификации.
• Алгоритм подписи (Signature algorithm). Алгоритм, используемый
центром сертификации для цифровой подписи сертификата. Напри-
мер, это может быть «md2RSA».
• Алгоритм хэширования подписи (Signature hash algorithm). По дан-
ному алгоритму формируется сводка данных для цифровых подпи-
сей. Например, это может быть «md2».
382
382
382
• Издатель (Issuer). Сведения о центре сертификации, выдавшем дан-

ный сертификат.
• Действителен с (Valid from). Точная начальная дата срока действия
сертификата.
• Действителен по (Valid to). Точная конечная дата срока действия
сертификата. По истечении данного срока сертификат считается не-
действительным, если не пройдет обновление.
• Субъект (Subject). Поле содержит имя субъекта, которому был вы-
дан данный сертификат. В зависимости от центра сертификации, вы-
давшего сертификат, значение поля может значительно различаться.
• Открытый ключ (Public key). Открытый ключ, связанный с серти-
фикатом. Также приведен его тип и длина.
• Отпечаток (Thumbprint). Сводка данных сертификата.
• Понятное имя (Friendly name). Данное поле является необязатель-
ным. Оно содержит удобное имя, которое будет использоваться вме-
сто имени, указанного в поле Субъект (Subject).
• Улучшенный ключ (Key usage). Данное поле является необязатель-
ным. Оно содержит сведения о целях, в которых может использо-
ваться данный сертификат.
Для третьей версии протокола X.509 имеется также ряд дополнительных
расширений, которые могут использоваться в сертификате. Если они име-
ются, то вы увидите их среди остальных полей.
На вкладке Путь сертификации (Certification Path) приведен полный путь
от данного сертификата до центра сертификации, который занимается его
выдачей. Как правило, путь сертификации включает корневой сертификат
и пару промежуточных сертификатов. Для получения информации об ин-
тересующем сертификате центра сертификации в этом пути выделите его
при помощи мыши и нажмите кнопку Просмотреть сертификат (View Cer-
tificate). В поле Состояние сертификата (Certificate status) можно получить
сведения о действительности данного сертификата.
Èçìåíåíèå ñâîéñòâ ñåðòèôèêàòîâ

Процесс использования сертификатов, как было неоднократно сказано, тре-
бует минимального вмешательства пользователей, необходимость измене-
ния свойств сертификатов возникает, как правило, довольно редко. Однако
в некоторых ситуациях такое желание все же возникает, например, если не-
383
383
383
обходимо добавить или изменить отображаемое имя сертификата, помогаю-

щее отличить данный сертификат от других подобных. Также иногда бывает
необходимо указать места загрузки перекрестных сертификатов или изме-
нить назначение сертификата.
Итак, для изменения свойств сертификата:
• Сертификаты — текущий пользователь (Certificates — Cur-
rent User), если в роли объекта администрирования вы выбра-
ли пользователя.
• Сертификаты (Certificates), если в роли объекта администри-
рования вы выбрали компьютер.
• Сертификаты — служба (Certificates — Service), если в роли
объекта администрирования вы выбрали службу.
кат, свойства которого необходимо изменить.
ствие ⇒ Свойства (Action ⇒ Properties). Откроется диалоговое
окно Свойства (Root Agency Properties) (рис. 10.7). Это диалоговое
окно также можно открыть через контекстное меню сертификата.
6. В появившемся диалоговом окне:
• В поле ввода Понятное имя (Friendly name) вкладки Общие
(General) введите новое отображаемое имя сертификата.
• В поле ввода Описание (Description) вкладки Общие (General)
введите новое описание сертификата.
• Установите переключатель Назначения сертификата (Certifi-
cate purposes) вкладки Общие (General) в положение Разре-
шить все назначения для этого сертификата (Enable all
purposes for this certiﬁcate), чтобы разрешить все назначе-
ния данного сертификата.
cate purposes) вкладки Общие (General) в положение Запре-
384
384
384
Рис. 10.7. Диалоговое окно Свойства
тить все назначения для этого сертификата (Disable all

purposes for this certiﬁcate), чтобы запретить все доступ-
ные назначения данного сертификата.
cate purposes) вкладки Общие (General) в положение Разре-
шить только следующие назначения (Enable only the
following purposes), чтобы разрешить только определен-
ные назначения данного сертификата. Установите соответ-
ствующие этим назначениям флажки.
7. Чтобы закончить редактирование свойств сертификата, нажмите
кнопку ОК.
Изменять свойства сертификатов пользователя можно как под учетной за-
писью администратора, так и под учетной записью пользователя. Изменять
свойства сертификатов компьютера или служб может только администра-
тор системы.
385
385
385
Óäàëåíèå ñåðòèôèêàòîâ
Иногда возникают ситуации, в которых необходимо удалить цифровой сер-
тификат. Это бывает, например, в случае, если сертификат устарел и был за-
менен новым сертификатом. Также удалению подлежат поврежденные сер-
тификаты, переставшие выполнять свои функции, и сертификаты, к кото-
рым получили доступ посторонние лица.
Примечание. Даже после удаления цифрового сертификата соответствующий
ему закрытый ключ не удаляется.
Для того чтобы удалить сертификат:

4. В области сведений консоли при помощи мыши выберите серти-
фикат, который необходимо удалить. Если необходимо удалить не-
сколько сертификатов, выберите все интересующие.
ствие ⇒ Удалить (Action ⇒ Delete).
6. Подтвердите удаление сертификата, нажав кнопку Да (Yes).
Удалять цифровые сертификаты может пользователь, имеющий учетную за-
пись, состоящую как минимум в группе Пользователи или Администрато-
ры.
Удаляя сертификат, убедитесь, что он не потребуется вам в дальнейшем, на-
пример, для открытия документов, зашифрованных при помощи данного
сертификата.
386
386
386
Ïîèñê ñåðòèôèêàòîâ
С течением времени на компьютере может накопиться большое количе-
ство цифровых сертификатов. Когда возникнет необходимость обратиться
к какому-то конкретному сертификату через оснастку вручную, найти его
среди остальных сертификатов бывает непросто. Для решения задачи поис-
ка сертификатов в оснастке Сертификаты предусмотрена соответствующая
функция.
Чтобы воспользоваться функцией поиска нужного сертификата:
ствие ⇒ Поиск сертификатов (Action ⇒ Find Certificates). Откро-
ется диалоговое окно Поиск сертификатов (Find Certificates) (рис.
10.8).
4. В раскрывающемся списке Искать в (Find in) диалогового окна По-
иск сертификатов (Find Certificates) выберите, в каком хранилище
сертификатов будет осуществляться поиск. Выберите Все храни-
лища сертификатов (All certificate stores), если необходимо осуще-
ствить поиск среди всех хранилищ сертификатов системы.
5. В раскрывающемся списке Искать в поле (Look in Field) диалого-
вого окна Поиск сертификатов (Find Certificates) выберите, каки-
ми полями сертификата ограничится поиск. При этом вам доступны
следующие варианты:
• Кем выдан (Issued By). Поиск осуществляется в имени постав-
щика сертификата.
• Кому выдан (Issued To). Поиск осуществляется в имени
субъекта-владельца сертификата.
• Серийный номер (Serial Number). Поиск осуществляется в се-
рийном номере цифрового сертификата.
387
387
387
Рис. 10.8. Диалоговое окно Поиск сертификатов
• Хэш MD5 (MD5 Hash). Поиск осуществляется в значении от-

печатка хэша MD5, используемого для сертификата.
• Хэш SHA1 (SHA1 Hash). Поиск осуществляется в значении от-
печатка хэша SHA1, используемого для сертификата.
6. В поле ввода Содержит (Contains), в зависимости от информации,
определенной в раскрывающемся списке Искать в поле (Look in
Field), введите ключевые слова поиска. Например, если в раскрыва-
ющемся списке Искать в поле (Look in Field) вы выбрали Кем выдан
(Issued By), то в поле ввода Содержит (Contains) необходимо ука-
зать имя или часть имени поставщика сертификата.
7. Чтобы приступить к процессу поиска сертификата, нажмите кноп-
ку Найти (Find Now). Имена сертификатов, удовлетворяющих усло-
виям поиска, будут отображены в нижней части диалогового окна.
Если имя нужного вам сертификата уже отобразилось, а процесс по-
иска еще продолжается, вы можете остановить дальнейший поиск
сертификатов, нажав кнопку Остановить (Stop). Кнопка Новый по-
иск (New Search) позволит быстро сбросить все текущие настройки
поиска, после чего вы можете определить новые.
388
388
388
Использовать функции поиска цифровых сертификатов может пользова-

тель, имеющий учетную запись, состоящую как минимум в группе Пользо-
ватели или Администраторы.
Ðåçåðâíîå êîïèðîâàíèå è èìïîðò

ñåðòèôèêàòîâ
Роль цифровых сертификатов делает их довольно важными учетными дан-
ными, ведь их повреждение или потеря могут нанести существенный ущерб
организации. Поэтому в оснастке Сертификаты предусмотрена функция ре-
зервного копирования сертификатов, тем самым вы можете обезопасить сер-
тификаты от потери даже в случае сбоев системы. Также заархивированные
сертификаты можно переносить на другие компьютеры.
Для того чтобы создать резервную копию сертификатов:
кат, резервную копию которого вы хотите создать.
ствие ⇒ Все задачи ⇒ Экспорт (Action ⇒ All Tasks ⇒ Export). От-
кроется диалоговое окно Мастер экспорта сертификатов (Certifi-
cate Export Wizard).
6. В появившемся диалоговом окне нажмите кнопку Нет, не экспор-
тировать закрытый ключ (No, do not export private key), если вы не
хотите экспортировать закрытый ключ. Возможность экспортирова-
ния закрытого ключа доступна, только если закрытый ключ помечен
как экспортируемый и к нему обеспечен доступ.
389
389
389
7. В зависимости от используемого формата файла сертификата уста-

новите переключатель в соответствующее положение.
8. Если вы хотите использовать пароли для шифрования экспортиру-
емого закрытого ключа, то в полях ввода Пароль (Password) и Под-
тверждение (Confirm Password) введите пароль для шифрования.
Если вы экспортируете сертификат без использования закрытого
ключа, то предложения ввести пароль не поступит. Для продолже-
ния нажмите кнопку Далее (Next).
9. В поле ввода Имя файла (File name) укажите имя файла сертифи-
ката, в который будет сохранен заархивированный сертификат. Ука-
жите путь к сохраняемому файлу и нажмите кнопку Далее (Next).
10. Для завершения процедуры нажмите кнопку Готово (Finish).
После того, как резервная копия указанного сертификата успешно создана,
исходный сертификат по-прежнему остается на своем месте в хранилище
сертификатов. При необходимости его можно удалить вручную.
Использовать функции резервного копирования цифровых сертификатов
может пользователь, имеющий учетную запись, состоящую как минимум в
группе Пользователи или Администраторы.
Созданные подобным образом резервные копии сертификатов можно за-
тем легко импортировать. Процесс импорта сертификатов подобен процес-
су экспорта, однако в главном меню Консоли управления MMC необходи-
мо выбрать пункт Действие ⇒ Все задачи ⇒ Импорт (Action ⇒ All Tasks
⇒ Import).
Примечание. При создании копий сертификатов для последующего их импорта
на компьютер с другой операционной системой Windows настоятельно рекомен-
дуется использовать формат файла сертификатов PKCS #7.
Ïåðåìåùåíèå ñåðòèôèêàòîâ
Для удобства навигации хранилище сертификатов операционной системы
разбито на несколько более мелких хранилищ. В общем случае это очень
удобно, найти необходимый сертификат в большинстве случаев можно
очень быстро, не прибегая к функции поиска. Однако данный механизм мо-
жет стать причиной проблем: многие приложения ищут необходимый серти-
фикат только в одном хранилище сертификатов, игнорируя все остальные.
Если же сертификат был случайно помещен не в то хранилище сертифика-
тов, то он может быть попросту потерян такими приложениями.
390
390
390
Эту проблему можно решить очень просто: перенести сертификат из одно-

го хранилища сертификатов в другое. Перемещением цифровых сертифика-
тов может заниматься лишь пользователь, имеющий учетную запись, состо-
ящую, как минимум, в группе Пользователи или Администраторы.
Для того чтобы переместить сертификат из одного хранилища сертифика-
тов в другое:
4. Откройте хранилище сертификатов, в котором находится сертифи-
кат, подлежащий перемещению.
кат, который необходимо переместить в другое хранилище сертифи-
катов. Если необходимо переместить несколько сертификатов, выбе-
рите все интересующие.
ствие ⇒ Вырезать (Action ⇒ Cut).
7. Откройте хранилище сертификатов, в которое необходимо переме-
стить сертификат.
ствие ⇒ Вставить (Action ⇒ Paste).
Подобным способом можно перемещать сертификаты только между различ-
ными хранилищами сертификатов: вы не можете переместить сертификат
во внешнюю папку. Для того чтобы сохранить сертификат во внешней пап-
ке, используйте функцию экспортирования сертификатов.
391
391
391
В наши дни использование цифровых сертификатов стремительно набирает
обороты, поэтому уважающий себя системный администратор обязан иметь
навыки работы с ними. Надеемся, данная глава помогла вам в решении этого
вопроса, и при необходимости вы сможете воспользоваться оснасткой Сер-
тификаты: если необходимо найти конкретный сертификат, вы воспользу-
етесь функцией поиска, знаете, как получить необходимые сведения о сер-
тификате и как изменить его свойства, знаете, как организовано хранилище
сертификатов, и имеете представление о том, как послать запрос в центр сер-
тификации на получение или обновление сертификата… Список можно про-
должать еще долго: в данной главе вопрос управления сертификатами был
рассмотрен довольно глубоко. Если что-то из перечисленного вы упустили
— ничего страшного: данная тема довольно сложна и имеет множество нюан-
сов, не все запоминается сразу. К тому же вы всегда можете перечитать главу.
392
392
392
Ïðèëîæåíèå 1. Êàíîíè÷åñêèå èìåíà
ýëåìåíòîâ ïàíåëè óïðàâëåíèÿ â Windows 7
393
393
393
Нижеперечисленные канонические имена определяют элементы Панели

управления в Windows 7. Не все элементы панели управления могут исполь-
зоваться на всех вариантах Windows, некоторые элементы Панели управле-
ния могут использоваться только тогда, когда будет обнаружено соответ-
ствующее устройство. Канонические имена не изменяются при наличии
других языков. Они всегда указываются на английском языке, даже если
язык системы отличается от английского.
Элемент Панели управления Каноническое имя
iSCSI Инициатор (iSCSI Initiator) Microsoft.iSCSIInitiator
Microsoft.WindowsAnytimeUp-
Windows Anytime Upgrade
grade
Windows CardSpace Microsoft.CardSpace
Windows Mobility Center Microsoft.MobilityCenter
Windows SideShow Microsoft.WindowsSideShow
Автозапуск (AutoPlay) Microsoft.AutoPlay
Автономные файлы (Offline Files) Microsoft.OfflineFiles
Администрирование (Administrative Tools) Microsoft.AdministrativeTools
Архивация и восстановление (Backup and

Microsoft.BackupAndRestore
Restore)
Биометрические устройства (Biometric De-

Microsoft.BiometricDevices
vices)
Брандмауэр Windows (Windows Firewall) Microsoft.WindowsFirewall
Восстановление (Recovery) Microsoft.Recovery
Гаджеты рабочего стола (Desktop Gadgets) Microsoft.DesktopGadgets
Дата и время (Date and Time) Microsoft.DateAndTime
Датчик расположения и другие датчики Microsoft.LocationAndOther-

(Location and Other Sensors) Sensors
Диспетчер устройств (Device Manager) Microsoft.DeviceManager
Домашняя группа (HomeGroup) Microsoft.HomeGroup
Защитник Windows (Windows Defender) Microsoft.WindowsDefender
Звук (Sound) Microsoft.Sound
394
394
394
ПРИЛОЖЕНИЕ
Значки области уведомлений (Notification

Microsoft.NotificationAreaIcons
Area Icons)
Игровые устройства (Game Controllers) Microsoft.GameControllers
Инфракрасная связь (Infrared) Microsoft.Infrared
Клавиатура (Keyboard) Microsoft.Keyboard
Менеджер кредитных карт (Credential Man-

Microsoft.CredentialManager
ager)
Местоположение по умолчанию (Default

Microsoft.DefaultLocation
Location)
Мышь (Mouse) Microsoft.Mouse
Панель задач и меню «Пуск» (Taskbar and Microsoft.TaskbarAndStart-

Start Menu) Menu
Параметры индексирования (Indexing Op-

Microsoft.IndexingOptions
tions)
Параметры папок (Folder Options) Microsoft.FolderOptions
Параметры планшетного компьютера

Microsoft.TabletPCSettings
(Tablet PC Settings)
Перо и сенсорные устройства (Pen and

Microsoft.PenAndTouch
Touch)
Персонализация (Personalization) Microsoft.Personalization
Подключения к удаленным рабочим сто-

Microsoft.RemoteAppAnd-
лам и приложениям RemoteApp (Remote-
DesktopConnections
App and Desktop Connections)
Получение программ (Get Programs) Microsoft.GetPrograms
Приступая к работе (Getting Started) Microsoft.GettingStarted
Программы и компоненты (Programs and Microsoft.ProgramsAndFea-

Features) tures
Программы по умолчанию (Default Pro-

Microsoft.DefaultPrograms
grams)
Распознавание речи (Speech Recognition) Microsoft.SpeechRecognition
Родительский контроль (Parental Controls) Microsoft.ParentalControls
Свойства обозревателя (Internet Options) Microsoft.InternetOptions
395
395
395
Система (System) Microsoft.System
Microsoft.ScannersAndCam-
Сканеры и камеры (Scanners and Cameras)
eras
Соседние пользователи (People Near Me) Microsoft.PeopleNearMe
Средства производительности (Perfor- Microsoft.PerformanceInfor-

mance Information and Tools) mationAndTools
Текст в речь (Text to Speech) Microsoft.TextToSpeech
Телефон и модем (Phone and Modem) Microsoft.PhoneAndModem
Управление цветом (Color Management) Microsoft.ColorManagement
Устранение неполадок (Troubleshooting) Microsoft.Troubleshooting
Устройства и принтеры (Devices and Print-

Microsoft.DevicesAndPrinters
ers)
Учетные записи пользователей (User Ac-

Microsoft.UserAccounts
counts)
Центр обновления Windows (Windows Up-

Microsoft.WindowsUpdate
date)
Центр поддержки (Action Center) Microsoft.ActionCenter
Центр синхронизации (Sync Center) Microsoft.SyncCenter
Центр специальных возможностей (Ease of

Microsoft.EaseOfAccessCenter
Access Center)
Центр управления сетями и общим досту- Microsoft.NetworkAndSharing-

пом (Network and Sharing Center) Center
Шифрование диска BitLocker (BitLocker Microsoft.BitLockerDriveEn-

Drive Encryption) cryption
Шрифты (Fonts) Microsoft.Fonts
Экран (Display) Microsoft.Display
Электропитание (Power Options) Microsoft.PowerOptions
Язык и региональные настройки (Region

Microsoft.RegionAndLanguage
and Language)
396
396
396
Группа подготовки издания:
Зав. редакцией компьютерной литературы: М. В. Финков
Редактор: М. А. Финкова
Корректор: А. В. Громова
ООО «Наука и Техника»

Лицензия №000350 от 23 декабря 1999 года.
198097, г. Санкт-Петербург, ул. Маршала Говорова, д. 29.
Подписано в печать 20.09.2012. Формат 70х100 1/16.
Бумага писчая. Печать офсетная. Объем 25 п. л.
Тираж 1500. Заказ
Отпечатано по технологии CtP в ИПК «ООО «Ленинградское издательство»

194044, г. Санкт-Петербург, ул. Менделеевская, 9.

Матвеев М.Д. и Др. - Администрирование Windows 7. Практическое Руководство и Справочник Администратора 2013

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Матвеев М.Д. и Др. - Администрирование Windows 7. Практическое Руководство и Справочник Администратора 2013

Загружено:

Авторское право:

Доступные форматы

серия — САМОУЧИТЕЛЬ — серия

АДМИНИСТРИРОВАНИЕ WINDOWS 7. ПРАКТИЧЕСКОЕ РУКОВОДСТВО И СПРАВОЧНИК

Под редакцией Финкова М.В.

Контактные телефоны издательства:

© Прокди Р. Г., 2013

ВВЕДЕНИЕ. О ЧЕМ И ДЛЯ КОГО ЭТА КНИГА ............................................................ 17

Ãëàâà 1. КОНСОЛЬ УПРАВЛЕНИЯ MMC ...................................................20

НАСТРОЙКА ИНТЕРФЕЙСА ПРОГРАММЫ ............................................................... 30

ОБЗОР СТАНДАРТНЫХ ОСНАСТОК ........................................................................ 36

Ãëàâà 2. ИСПОЛЬЗОВАНИЕ ОСНАСТКИ “ГРУППОВАЯ ПОЛИТИКА” ...............41

НАЧАЛО РАБОТЫ В РЕДАКТОРЕ ЛОКАЛЬНОЙ ГРУППОВОЙ ПОЛИТИКИ ........................ 46

ФИЛЬТРАЦИЯ ПАРАМЕТРОВ ПОЛИТИК.................................................................. 52

Ãëàâà 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7:

УПРАВЛЕНИЕ ПАРАМЕТРАМИ ПАНЕЛИ ЗАДАЧ WINDOWS И МЕНЮ ПУСК ...................... 60

Сокрытие значков в области уведомлений ................................. 62

НАСТРОЙКИ РАБОЧЕГО СТОЛА ............................................................................ 91

УПРАВЛЕНИЕ МИНИ-ПРИЛОЖЕНИЯМИ НА РАБОЧЕМ СТОЛЕ ....................................100

Ãëàâà 4. ТОНКАЯ НАСТРОЙКА ПАНЕЛИ УПРАВЛЕНИЯ .............................. 105

УПРАВЛЕНИЕ ЭЛЕМЕНТОМ «ПРОГРАММЫ И КОМПОНЕНТЫ» ...................................117

Сокрытие компоненты Программы и компоненты .............................. 117

РАБОТА С ПРИНТЕРАМИ ....................................................................................120

НАСТРОЙКА ЯЗЫКОВЫХ И РЕГИОНАЛЬНЫХ СТАНДАРТОВ .......................................122

Ãëàâà 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7 ... 127

НАСТРОЙКА ОКНА БЕЗОПАСНОСТЬ WINDOWS .......................................................139

ДЕЙСТВИЯ ПРИ ВХОДЕ В СИСТЕМУ .....................................................................141

Установка домена для входа .................................................... 144

ГРУППОВЫЕ ПОЛИТИКИ ....................................................................................147

УПРАВЛЕНИЕ ЗАПОМИНАЮЩИМИ УСТРОЙСТВАМИ ...............................................155

УПРАВЛЕНИЕ ПРОФИЛЯМИ ПОЛЬЗОВАТЕЛЕЙ ......................................................158

Изменение максимального времени

ЯЗЫКОВЫЕ СТАНДАРТЫ ...................................................................................173

РАБОТА СО СЦЕНАРИЯМИ ..................................................................................175

УСТАНОВКА ДРАЙВЕРОВ ...................................................................................181

УСТАНОВКА УСТРОЙСТВ ....................................................................................182

ПАРАМЕТРЫ СВЯЗИ ЧЕРЕЗ ИНТЕРНЕТ .................................................................190

Центра обновления Windows .................................................... 198

НАСТРОЙКА ФУНКЦИЙ ДИАГНОСТИКИ .................................................................199

УПРАВЛЕНИЕ ЭЛЕКТРОПИТАНИЕМ ......................................................................215

Ãëàâà 6. КОНФИГУРИРОВАНИЕ WINDOWS 7 ........................................... 224

КОМПОНЕНТ ЛОКАЛЬНОЙ ГРУППОВОЙ ПОЛИТИКИ ПОЛИТИКА РАЗРЕШЕНИЯ ИМЕН ...229

КОМПОНЕНТ ЛОКАЛЬНОЙ ГРУППОВОЙ ПОЛИТИКИ НАСТРОЙКА

Общая характеристика компонента Настройка Internet Explorer 232

Ãëàâà 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ

ПОЛИТИКИ ОТКРЫТОГО КЛЮЧА .........................................................................256

ПОЛИТИКИ ПАРОЛЕЙ УЧЕТНЫХ ЗАПИСЕЙ ............................................................262

ПОЛИТИКА БЛОКИРОВКИ УЧЕТНЫХ ЗАПИСЕЙ ......................................................267

ПОЛИТИКИ АУДИТА ..........................................................................................268

НАЗНАЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЯ....................................................................270

ПАРАМЕТРЫ БЕЗОПАСНОСТИ ............................................................................276

ФУНКЦИЯ УПРАВЛЕНИЯ ПРИЛОЖЕНИЯМИ APPLOCKER ..........................................290

БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ .......................297

КОНФИГУРАЦИЯ РАСШИРЕННОЙ ПОЛИТИКИ АУДИТА .............................................304

Ãëàâà 8. УПРАВЛЕНИЕ КОНФИГУРАЦИЯМИ INTERNET EXPLORER .............. 312

ПАРАМЕТРЫ ЖУРНАЛА БРАУЗЕРА .......................................................................318

СРЕДСТВА БЕЗОПАСНОСТИ ...............................................................................319

ДОСТУП К ЭЛЕМЕНТАМ УПРАВЛЕНИЯ ACTIVEX ......................................................322

ПАНЕЛЬ УПРАВЛЕНИЯ БРАУЗЕРОМ .....................................................................325

Ãëàâà 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7

НАСТРОЙКИ ОТОБРАЖЕНИЯ ПРОВОДНИКА WINDOWS ............................................334

ПОЛЕЗНЫЕ ФУНКЦИИ .......................................................................................345

НАСТРОЙКИ ФУНКЦИИ ПОИСКА .........................................................................351

РАБОТА С «КОРЗИНОЙ» WINDOWS .......................................................................356

Ãëàâà 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ ........................................... 359

ОСНАСТКА СЕРТИФИКАТЫ .................................................................................363