Академический Документы
Профессиональный Документы
Культура Документы
Наука и Техника
Санкт-Петербург
2013
Матвеев М.Д., Прокди Р.Г. и др.
Администрирование
Windows 7
ПРАКТИЧЕСКОЕ РУКОВОДСТВО
И СПРАВОЧНИК
АДМИНИСТРАТОРА
Наука и Техника
Санкт-Петербург
2013
Матвеев М. Д., Прокди Р. Г. и др.
Серия “Самоучитель“
Данная книга посвящена администрированию Windows 7 на основе использо-
вания групповых политик. Групповые политики представляют собой набор
правил, обеспечивающий инфраструктуру, в которой администраторы локальных
компьютеров могут централизованно управлять настройками операционной
системы. Используя групповые политики, вы можете ограничить доступ к различным
элементам системы, настроить параметры безопасности, сконфигурировать
пользовательский интерфейс, а также решить огромное множество других задач.
Например, используя групповые политики, администратор системы способен с
легкостью установить в организации на компьютеры определенные тематические
неизменяемые фоновые рисунки рабочего стола, запретить изменение
визуализации системы, заблокировать доступ к реестру, командной строке,
панели управления. По сути, практически все элементы операционной системы
Windows доступны для настройки посредством локальных групповых политик.
К тому же, после того, как операционная система будет настроена при помощи
локальных групповых политик, вы сможете сохранить эти настройки в отдельный
файл и перенести их на другой компьютер или другого пользователя операционной
системы. Это удобно, если администратору необходимо единообразно настроить
все компьютеры, которые он обслуживает.
Книга написана простым и доступным языком опытными авторами. Много
наглядных и полезных примеров, пошаговых инструкций. По ходу изложения
поясняются все необходимые термины и понятия.
ЗАКЛЮЧЕНИЕ .............................................................................................. 40
ЗАКЛЮЧЕНИЕ .............................................................................................. 58
55
5
СОДЕРЖАНИЕ
6 6
6
СОДЕРЖАНИЕ
ЗАКЛЮЧЕНИЕ .............................................................................................104
ПЕРСОНАЛИЗАЦИЯ ..........................................................................................111
Запрещение изменения оформления ...................................... 111
Применение выбранной темы .................................................. 113
Управление параметрами заставки компьютера ...................... 114
77
7
СОДЕРЖАНИЕ
ЗАКЛЮЧЕНИЕ .............................................................................................126
8 8
8
СОДЕРЖАНИЕ
99
9
СОДЕРЖАНИЕ
1010
10
СОДЕРЖАНИЕ
ЗАКЛЮЧЕНИЕ .............................................................................................223
11
11
11
СОДЕРЖАНИЕ
1212
12
СОДЕРЖАНИЕ
ЗАКЛЮЧЕНИЕ .............................................................................................311
ЗАКЛЮЧЕНИЕ .............................................................................................332
13
13
13
СОДЕРЖАНИЕ
ЗАКЛЮЧЕНИЕ .............................................................................................357
1414
14
СОДЕРЖАНИЕ
ЗАКЛЮЧЕНИЕ .............................................................................................392
15
15
15
Ââåäåíèå. Î ÷åì è äëÿ êîãî ýòà êíèãà
Операционные системы семейства Microsoft Windows на сегодняшний день
являются самыми популярными в мире. И это неудивительно: разработчики
системы сделали все возможное, чтобы сделать компьютер как можно бли-
же и доступнее любому человеку. Операционная система Windows обладает
интуитивно понятным и приятным глазу интерфейсом. На освоение работы
с ней у пользователя уходит гораздо меньше времени, чем на освоение рабо-
ты в других операционных системах. Однако, несмотря на свою очевидную
простоту для пользователя, операционные системы семейства Windows име-
ют действительно внушительные возможности для настройки.
Рядовой пользователь операционной системы нередко работает с простей-
шими ее настройками, такими как изменение разрешения экрана, располо-
жения элементов управления, параметров визуализации — стилей, фоново-
го рисунка рабочего стола, хранителя экрана. Некоторые пользователи ра-
ботают с Панелью управления Windows, которая обеспечивает доступ к раз-
личным системным настройкам. Как правило, дальше этого дело не захо-
дит, а ведь это лишь самая вершина айсберга настроек операционной систе-
мы Windows. Многие инструменты конфигурации операционной системы
скрыты и недоступны рядовому пользователю. В руках неумелого пользова-
теля ввиду своей мощности они способны серьезно навредить системе. По-
этому целесообразно, чтобы только опытный пользователь имел к ним до-
ступ.
Именно о таком средстве и пойдет речь в этой книге — о локальных груп-
повых политиках Windows. Использование опытным специалистом данно-
го инструмента позволяет творить с системой чудеса: одним единственным
средством вы можете контролировать практически все элементы операци-
онной системы. В руках же неопытного пользователя использование данно-
го инструмента может представлять серьезную опасность для операционной
системы. Поэтому заранее предупредим читателя: во избежание нежелатель-
ных последствий не производите никаких действий, окончательный резуль-
тат которых вам не известен. Прежде чем произвести то или иное действие,
17
17
17
АДМИНИСТРИРОВАНИЕ WINDOWS 7
сначала четко представьте, что после этого произойдет с системой, ведь не-
гативные последствия некоторых ваших действий могут быть необратимы.
Так или иначе, если вы не знаете, для чего нужен тот или иной элемент
управления, лучше его не трогать — в противном случае вы делаете это на
ваш страх и риск. В процессе обучения вы наверняка будете много экспе-
риментировать с применением локальных групповых политик, прежде чем
примените полученные знания в реальных условиях. Поэтому в период об-
учения целесообразно будет воспользоваться виртуальной машиной — спе-
циальной программой, позволяющей эмулировать работу другого реального
компьютера. Так, вы можете установить на виртуальную машину вашу опе-
рационную систему Windows 7 или Windows Server 2008: можно будет про-
изводить над ней эксперименты с локальными групповыми политиками и
не бояться при этом навредить вашей основной системе. Существует мно-
жество виртуальных машин различных разработчиков. Бесплатным реше-
нием от разработчика Sun Microsystems является программа VirtualBox, вы
можете ознакомиться с ней по адресу www.virtualbox.org. Также эффектив-
ным может оказаться создание точек восстановления операционной систе-
мы каждый раз прежде, чем в систему будут внесены серьезные изменения.
В случае если система будет повреждена, вы сможете восстановить ее рабо-
тоспособность, воспользовавшись сохраненной точкой восстановления.
Групповые политики представляют собой набор правил, обеспечивающий
инфраструктуру, в которой администраторы локальных компьютеров мо-
гут централизованно управлять настройками операционной системы. Ис-
пользуя групповые политики, вы можете ограничить доступ к различным
элементам системы, настроить параметры безопасности, сконфигурировать
пользовательский интерфейс, а также решить огромное множество других
задач. Например, используя групповые политики, администратор систе-
мы способен с легкостью установить в организации на компьютеры опреде-
ленные тематические неизменяемые фоновые рисунки рабочего стола, за-
претить изменение визуализации системы, заблокировать доступ к реестру,
командной строке, панели управления. По сути, практически все элементы
операционной системы Windows доступны для настройки посредством ло-
кальных групповых политик.
К тому же, после того, как операционная система будет настроена при помо-
щи локальных групповых политик, вы сможете сохранить эти настройки в
отдельный файл и перенести их на другой компьютер или другого пользова-
теля операционной системы. Это удобно, если администратору необходимо
единообразно настроить все компьютеры, которые он обслуживает.
Предполагается, что доступ к групповым политикам должен предоставлять-
ся только опытным пользователям, имеющим представление о том, что это и
1818
18
ВВЕДЕНИЕ
для чего нужно. Доступ новичкам должен быть затруднен, ведь неумелое об-
ращение с групповыми политиками может представлять опасность для ра-
ботоспособности системы. Поэтому разработчики операционной системы
Windows 7 исключили возможность работы с групповыми политиками для
некоторых редакций этой операционной системы. Это редакции Windows 7
Домашняя базовая и Windows 7 Домашняя расширенная. Предполагается,
что ими пользуются только начинающие пользователи, которым данный ин-
струмент не требуется. Если вы хотите работать с групповыми политиками,
необходимо приобрести более серьезную редакцию Windows 7.
Большое количество групповых политик соответствует настройкам реестра
Windows. Первоначально, в ранних версиях операционной системы Win-
dows, предшественники групповых политик — системные политики — от-
ражали только параметры реестра. В дальнейшем функционал этого ин-
струмента рос, и на сегодняшний день в операционных системах Windows
7 и Windows Server 2008/2012 посредством групповых политик можно по-
лучить доступ к огромному числу различных настроек системы. Конечно,
для работы с этими настройками можно пользоваться различными средства-
ми, такими как, например, Редактор реестра Windows. Однако при работе с
групповыми политиками вы имеете удобный редактор с графическим ин-
терфейсом. К тому же при помощи одного единственного инструмента мож-
но работать практически со всеми настройками системы — ни один другой
инструмент не может предложить этого. Даже редактор реестра Windows не
может предложить такой широты охвата функций. К тому же работа в Ре-
дакторе реестра Windows сложна даже для опытного пользователя: огром-
ное количество плохо структурированных записей могут запутать каждого.
Материал, предложенный читателю в данной книге, может быть полезен в
первую очередь системным администраторам, желающим навести порядок
на компьютерах в обслуживаемой ими сети. Конечно же, навыки работы с
групповыми политиками окажутся полезны любому пользователю, который
хочет сделать работу со своим компьютером более удобной и познать воз-
можности своей операционной системы.
19
19
19
Ãëàâà 1.
Êîíñîëü óïðàâëåíèÿ
MMC
Доступ к средствам администрирования операционных систем Windows 7,
таким как групповые политики Windows, можно получить через Консоль
управления MMC. Консоль управления MMC группирует все средства ад-
министрирования, используемые для управления сетями, компьютерами,
службами и другими системными компонентами. При этом администра-
тор работает в единой удобной графической среде, поэтому освоить работу с
консолью управления MMC особенно важно, ведь в этом случае работа с лю-
бым системным компонентом будет для вас привычна и комфортна.
Оснастка является основным компонентом консоли и предоставляет до-
ступ к определенным средствам администрирования. Например, получить
доступ к локальным групповым политикам можно при помощи оснастки Ре-
дактор объектов групповой политики. При этом работа с оснасткой возмож-
на только из консоли управления, запуск оснастки без запуска консоли не
представляется возможным. Вы можете создавать свои собственные оснаст-
ки консоли управления, как на базе уже существующей оснастки, так и пол-
ностью самостоятельно.
21
21
21
АДМИНИСТРИРОВАНИЕ WINDOWS 7
2222
ГЛАВА 1. КОНСОЛЬ УПРАВЛЕНИЯ MMC
23
23
АДМИНИСТРИРОВАНИЕ WINDOWS 7
2424
ГЛАВА 1. КОНСОЛЬ УПРАВЛЕНИЯ MMC
25
25
АДМИНИСТРИРОВАНИЕ WINDOWS 7
2626
ГЛАВА 1. КОНСОЛЬ УПРАВЛЕНИЯ MMC
27
27
АДМИНИСТРИРОВАНИЕ WINDOWS 7
ÐÀÁÎÒÀ Ñ «ÈÇÁÐÀÍÍÛÌ»
Как правило, все оснастки консоли управления содержат огромное множе-
ство элементов. Так, например, оснастка Редактор объектов групповой по-
литики содержит сотни узлов и тысячи параметров политик. Когда адми-
нистратору системы при постоянной работе приходится каждый раз искать
одни и те же параметры политик для редактирования, это занимает немало
времени. В данной ситуации будет полезна функция создания и использова-
ния «Избранного»: она позволяет отсеять от огромного множества элемен-
тов наиболее интересные, вы можете сгруппировать их по папкам и всегда
иметь к ним быстрый доступ.
Для того чтобы добавить элемент в «Избранное»:
1. Выделите интересующий вас элемент в дереве консоли при помощи
мыши.
2. Выберите команду меню Избранное ⇒ Добавить в избранное
(Favorites ⇒ Add to Favorites). Откроется диалоговое окно Добав-
ление в папку «Избранное» (Add to Favorites).
3. В поле ввода Имя (Name) введите название, которое будет отобра-
жаться вместо того имени элемента, которое отображается в дереве
консоли — зачастую имена элементов довольно громоздкие, вы же
можете заменить их удобными и короткими на свой вкус.
4. Возможно, со временем ваш список «Избранного» приобретет до-
вольно большие размеры. Чтобы в нем не потеряться, можно разбить
его на смысловые узлы, иными словами, создать папки для «Избран-
ного». Для этого нажмите кнопку Создать папку (New Folder). В по-
явившемся диалоговом окне введите название для узла и нажмите
кнопку ОК.
Теперь в панели инструментов программы Консоль управления MMC при
выборе пункта Избранное (Favorites) вы увидите ваш список элементов,
разбитый на узлы в соответствии с вашим планом. Выбрать любой из них вы
можете простым щелчком мыши.
Если в свое время вы пренебрегли созданием удобной структуры для ваших
«Избранных» элементов или просто решите изменить состав списка, то в
любой момент вы можете все привести в порядок. Для этого:
1. Выберите команду меню Избранное ⇒ Упорядочить избранное
(Favorites ⇒ Organize Favorites). Откроется диалоговое окно Упо-
рядочить избранное (Organize Favorites) (рис. 1.3).
2. В центральной части окна вы увидите список «Избранных» элемен-
2828
ГЛАВА 1. КОНСОЛЬ УПРАВЛЕНИЯ MMC
29
29
АДМИНИСТРИРОВАНИЕ WINDOWS 7
3030
ГЛАВА 1. КОНСОЛЬ УПРАВЛЕНИЯ MMC
31
31
АДМИНИСТРИРОВАНИЕ WINDOWS 7
3232
ГЛАВА 1. КОНСОЛЬ УПРАВЛЕНИЯ MMC
33
33
АДМИНИСТРИРОВАНИЕ WINDOWS 7
вам доступны:
• Крупные (Large Icons). Значки имеют крупный размер, элементы
распределены максимально плотно по всему пространству области
сведений.
• Мелкие (Small Icons). Значки имеют мелкий размер, элементы рас-
пределены максимально плотно по всему пространству области све-
дений.
• Список (List). Значки имеют мелкий размер, каждый элемент ото-
бражен в области сведений на отдельной строке.
• Таблица (Detail). Данный способ отображения схож с предыдущим,
но дополнительно отображаются также параметры элементов, кото-
рые можно настроить через команду меню Вид ⇒ Добавить или уда-
лить столбцы (View ⇒ Add/Remove Columns). Подробный меха-
низм был описан выше. Этот способ отображения установлен по
умолчанию.
Некоторые оснастки предоставляют пользователю дополнительные инстру-
менты настройки отображения. Надеемся, при необходимости разобраться с
ними не составит для вас особого труда.
3434
ГЛАВА 1. КОНСОЛЬ УПРАВЛЕНИЯ MMC
35
35
АДМИНИСТРИРОВАНИЕ WINDOWS 7
3636
ГЛАВА 1. КОНСОЛЬ УПРАВЛЕНИЯ MMC
37
37
АДМИНИСТРИРОВАНИЕ WINDOWS 7
3838
ГЛАВА 1. КОНСОЛЬ УПРАВЛЕНИЯ MMC
39
39
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Çàêëþ÷åíèå
В этой главе были рассмотрены приемы работы в Консоли управления
MMC. Теперь вы умеете открывать Консоль управления, добавлять и уда-
лять стандартные оснастки, создавать и сохранять собственные оснастки,
производить настройку отображения программы. Полученные знания будут
крайне полезны в дальнейшем при работе с групповыми политиками и сер-
тификатами Windows.
Навыки работы в Консоли управления MMC делают администратора систе-
мы на голову выше своих коллег. По сути это все, что нужно для гибкого и
всестороннего управления операционной системой.
4040
Ãëàâà 2.
Èñïîëüçîâàíèå îñíàñòêè
“Ãðóïïîâàÿ ïîëèòèêà”
Из всего множества оснасток Консоли управления MMC особого внима-
ния заслуживает Редактор объектов групповой политики. В этой главе бу-
дут приведены основные сведения о групповых политиках Windows, также
вы познакомитесь с методами работы с оснасткой Редактор объектов груп-
повой политики.
Групповые политики Windows являются мощнейшим инструментом, по-
зволяющим производить всестороннюю настройку операционной системы,
а также некоторых программ. Помимо своей силы действия и охвата груп-
повые политики отличаются также высокой гибкостью применения: вы мо-
жете определять индивидуальные политики, как для отдельных пользовате-
лей, так и для групп пользователей. При этом полученные в результате еди-
ножды системы политик удобно переносить на другие компьютеры.
Напоминаем, что оснастка Редактор объектов групповой политики не до-
ступна в младших редакциях операционной системы Windows 7 — Домаш-
няя базовая и Домашняя расширенная. Предполагается, что в конечном сче-
те таким решением разработчики операционной системы позаботились о
пользователях, лишив их возможности навредить системе. Позаботьтесь,
чтобы в вашей редакции Windows 7 проблем с оснасткой Редактор объектов
групповой политики не возникало, в противном случае вы не сможете опро-
бовать полученные из книги знания на практике.
Из предыдущей главы книги вы должны были отметить для себя, что Кон-
соль управления MMC предоставляет пользователю большое количество
стандартных оснасток. Причем некоторые из оснасток частично или полно-
стью перекрывают друг друга — то есть включают в себя функционал дру-
гой оснастки. Оснастка Редактор объектов групповой политики в этом пла-
не сильно отличилась: освоив навыки работы в ней, запомнив расположение
важных узлов, вы сможете полностью отказаться от использования боль-
шинства других оснасток, даже если вам приходится реализовывать слож-
нейшие административные задачи на компьютере.
4242
42
ГЛАВА 2. ИСПОЛЬЗОВАНИЕ ОСНАСТКИ “ГРУППОВАЯ ПОЛИТИКА”
43
43
43
АДМИНИСТРИРОВАНИЕ WINDOWS 7
4444
ГЛАВА 2. ИСПОЛЬЗОВАНИЕ ОСНАСТКИ “ГРУППОВАЯ ПОЛИТИКА”
45
45
45
АДМИНИСТРИРОВАНИЕ WINDOWS 7
4646
ГЛАВА 2. ИСПОЛЬЗОВАНИЕ ОСНАСТКИ “ГРУППОВАЯ ПОЛИТИКА”
47
47
47
АДМИНИСТРИРОВАНИЕ WINDOWS 7
что основная масса политик обоих узлов совпадает, однако сходство это не
абсолютное: некоторые политики существуют для применения только на
пользователя или только на компьютер.
Все используемые вами политики применяются каждый раз при загрузке
операционной системы, внесении изменений в оснастке, а также обновляют-
ся каждые полтора-два часа в фоновом режиме.
В каждом из основных узлов оснастки находится по три дочерних: Конфи-
гурация Windows (Windows Settings), Конфигурация программ (Software
Settings), Административные шаблоны (Administrative Templates). Данные
узлы будут подробно рассмотрены в книге, но для начала приведем их крат-
кую характеристику.
В узле Конфигурация Windows (Windows Settings) содержатся средства
настройки учетной записи и безопасности компьютера. В составе данного
узла вы можете увидеть пять дочерних:
• Политика разрешения имен (Name Resolution Policy). Этот узел мо-
жет быть найден только в составе основного узла Конфигурация
компьютера (Computer Configuration), в основном узле Конфигура-
ция пользователя (User Configuration) он отсутствует. Узел Полити-
ка разрешения имен (Name Resolution Policy) позволяет управлять
расширением таблицы политик разрешения имен, содержащей пара-
метры конфигурации для безопасности DNS.
• Сценарии (Scripts). Настройка сценариев автозапуска и заверше-
ния работы операционной системы. Операционная система Windows
предоставляет широкие возможности работы со сценариями: вы мо-
жете использовать сценарии ActiveX, пакетные файлы и сценарии
PowerShell (рис. 2.3).
• Развернутые принтеры (Deployed Printers). Политики данного узла
помогают настроить совместное использование принтеров.
• Параметры безопасности (Security Settings). Политики узла пред-
назначены для обеспечения безопасности системы.
• QoS на основе политики (Policy-based QoS). Политики данного
узла определяют настройки проводных сетей: приоритеты трафика,
управление скоростью передачи данных и другие.
• Настройки Internet Explorer (Internet Explorer Maintenance). Управ-
ление различными параметрами стандартного браузера операцион-
ной системы Windows, а также некоторыми настройками сетей. Дан-
ный узел доступен только в основном узле Конфигурация пользова-
теля (User Configuration).
4848
ГЛАВА 2. ИСПОЛЬЗОВАНИЕ ОСНАСТКИ “ГРУППОВАЯ ПОЛИТИКА”
49
49
49
АДМИНИСТРИРОВАНИЕ WINDOWS 7
5050
ГЛАВА 2. ИСПОЛЬЗОВАНИЕ ОСНАСТКИ “ГРУППОВАЯ ПОЛИТИКА”
51
51
51
АДМИНИСТРИРОВАНИЕ WINDOWS 7
5252
ГЛАВА 2. ИСПОЛЬЗОВАНИЕ ОСНАСТКИ “ГРУППОВАЯ ПОЛИТИКА”
53
53
53
АДМИНИСТРИРОВАНИЕ WINDOWS 7
5454
ГЛАВА 2. ИСПОЛЬЗОВАНИЕ ОСНАСТКИ “ГРУППОВАЯ ПОЛИТИКА”
55
55
55
АДМИНИСТРИРОВАНИЕ WINDOWS 7
5656
ГЛАВА 2. ИСПОЛЬЗОВАНИЕ ОСНАСТКИ “ГРУППОВАЯ ПОЛИТИКА”
57
57
57
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Çàêëþ÷åíèå
Из этой короткой главы вы должны были получить все необходимые знания
о приемах работы с оснасткой Редактор локальной групповой политики: те-
перь вы знаете несколько различных способов запуска оснастки, ориентиру-
етесь в интерфейсе программы и дереве политик, знаете, как отфильтровать
из огромного числа политик необходимые именно вам. Наверное, вы заме-
тили, что работа с оснасткой не представляет трудностей и вообще лишена
особых премудростей.
В следующих главах мы детально разберем различные групповые политики
операционной системе Windows 7. Если что-то из только что прочитанного
осталось вам непонятным или вы не уверены, что все запомнили, — рекомен-
дуем перечитать главу, ведь без этих знаний вы не сможете продолжить чте-
ние книги, это необходимый теоретический и практический базис.
Использование локальных политик для настройки пользовательского окру-
жения в операционной системе Windows 7 открывает широкие возможно-
сти как перед системным администратором, так и перед простым пользова-
телем операционной системы. В следующей главе мы с вами познакомимся
с основными параметрами, помогающими настроить интерфейс операцион-
ной системы — панель задач, меню Пуск (Start), пространство рабочего сто-
ла и слой дополнительных гаджетов.
5858
Ãëàâà 3.
Àäìèíèñòðèðîâàíèå íàñòðîåê
èíòåðôåéñà Windows 7:
ìåíþ Ïóñê è Ïàíåëè çàäà÷
Использование локальных политик для настройки пользовательского окру-
жения в операционной системе Windows 7 открывает широкие возможности
как перед системным администратором, так и перед простым пользователем
операционной системы. В этой главе мы с вами познакомимся с основны-
ми параметрами, помогающими настроить интерфейс операционной систе-
мы — панель задач, меню Пуск (Start), пространство рабочего стола и мини-
приложения.
6060
60
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
После этого, при попытке изменения положения панели задач при помощи
контекстного меню, пользователь увидит, что в контекстном меню, вызывае-
мом при щелчке правой кнопки мыши по панели задач, пункт Закрепить па-
нель задач (Lock the Taskbar) не только активирован, но и недоступен для
редактирования.
61
61
61
АДМИНИСТРИРОВАНИЕ WINDOWS 7
6262
62
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
63
63
63
АДМИНИСТРИРОВАНИЕ WINDOWS 7
6464
64
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
65
65
65
АДМИНИСТРИРОВАНИЕ WINDOWS 7
6666
66
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
67
67
67
АДМИНИСТРИРОВАНИЕ WINDOWS 7
6868
68
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
69
69
69
АДМИНИСТРИРОВАНИЕ WINDOWS 7
7070
70
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
71
71
71
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Рис 3.1. Диалоговое окно Свойства панели задач и меню «Пуск» при запрете
изменения настроек панели задач
7272
72
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
73
73
73
АДМИНИСТРИРОВАНИЕ WINDOWS 7
После этого в правой нижней части меню «Пуск», между кнопкой заверше-
ния работы и пунктом Справка и поддержка (Help and Support) появится
пункт Выполнить (Run).
Стоит помнить, что в том случае, если активирована политика Удалить ко-
манду «Выполнить» из меню «Пуск» (Remove Run link from Start Menu),
включение политики Добавить команду «Выполнить» в меню «Пуск»
(Add the run command to the Start Menu) будет игнорироваться операцион-
ной системой.
Для того, чтобы включить запрет на использование команды Выполнить
(Run), следуйте инструкции:
1. Перейдите в узел Конфигурация пользователя ⇒ Административ-
ные шаблоны ⇒ Меню «Пуск» и панель задач (User Configuration ⇒
Administrative Templates ⇒ Menu and Taskbar).
2. Дважды щелкните мышью по параметру Удалить команду «Выпол-
нить» из меню «Пуск» (Add the run command to the Start Menu). От-
кроется одноименное окно для редактирования данной политики.
3. Установите переключатель в положение Включить (Enabled).
4. Нажмите кнопку ОК в правой нижней части окна для сохранения ре-
зультатов настройки.
После этого, помимо запрета добавления команды Выполнить (Run) в меню
Пуск (Start), для операционной системы Windows будет выполняться еще
ряд функциональных ограничений:
• При попытке вызова диалогового окна Выполнить (Run) с помо-
щью сочетания клавиш Win+R пользователь будет видеть диалого-
вое окно с информацией о запрете использования данной функции;
• Станет неактивной кнопка Новая задача (New Task), расположен-
ная в правой нижней части окна Диспетчер задач (Windows Task
Manager);
• В адресной строке браузера Internet Explorer система запретит вво-
дить путь к локальным дискам, папкам и сетевым ресурсам, исполь-
зующим UNC-путь.
Однако вы можете запускать программы любым другим способом. Данный
параметр не влияет на сам запуск программ.
7474
74
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
75
75
75
АДМИНИСТРИРОВАНИЕ WINDOWS 7
7676
76
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
77
77
77
АДМИНИСТРИРОВАНИЕ WINDOWS 7
7878
78
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
79
79
79
АДМИНИСТРИРОВАНИЕ WINDOWS 7
8080
80
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
81
81
81
АДМИНИСТРИРОВАНИЕ WINDOWS 7
8282
82
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
Рис 3.2. Меню Пуск при активированной политике Отключить папки программ
в меню «Настройка»
Тем не менее стоит обратить внимание на то, что активация политики От-
ключить папки программ в меню «Настройка» (Remove programs on Set-
tings menu) лишь скрывает ярлыки в меню Пуск (Start), а не блокирует до-
ступ к соответствующим папкам. Используя другие пути, пользователь смо-
жет добраться до содержимого элементов меню Настройка (Settings).
Если же вы хотите удалить не все элементы из меню Настройка (Settings), а
лишь некоторые из них, вам нужно будет изменить соответствующие пара-
метры в редакторе групповых политик.
Примечание. Включенный параметр, запрещающий отображение всех элементов
меню Настройка (Settings), является более приоритетным, чем параметры, скры-
вающие отдельные пункты.
83
83
83
АДМИНИСТРИРОВАНИЕ WINDOWS 7
8484
84
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
85
85
85
АДМИНИСТРИРОВАНИЕ WINDOWS 7
8686
86
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
87
87
87
АДМИНИСТРИРОВАНИЕ WINDOWS 7
После включения данного параметра в меню Пуск (Start) будет очищен спи-
сок ранее запускавшихся программ, который формировался в зависимости
от частоты их использования. Теперь для размещения ярлыка приложения
в области с недавно использовавшимися программами вам придется доба-
вить его вручную.
В операционной системе Windows 7 (как и в Windows Server 2008) вы може-
те использовать несколько иные политики. Так, если вы хотите, чтобы для
каждого нового пользователя операционной системы Windows список не-
давно использованных программ очищался, используйте параметр Очист-
ка списка недавно использовавшихся программ для новых пользователей
(Clear the recent programs list for new users):
1. Перейдите в узел Конфигурация пользователя ⇒ Административ-
ные шаблоны ⇒ Меню «Пуск» и панель задач (User Configuration ⇒
Administrative Templates ⇒ Menu and Taskbar).
2. Дважды щелкните мышью по параметру Очистка списка недавно ис-
пользовавшихся программ для новых пользователей (Clear the recent
programs list for new users). Откроется одноименное окно для редакти-
рования данной политики.
3. Установите переключатель в положение Включить (Enabled).
4. Нажмите кнопку ОК в правой нижней части окна для сохранения ре-
зультатов настройки.
Также доступна возможность отключения функции слежения операцион-
ной системы за открываемыми пользователем файлами. Если вы хотите,
чтобы операционная система по окончании каждого сеанса работы очищала
список недавно открытых документов, вы можете активировать данную воз-
можность с помощью редактора групповых политик:
1. Перейдите в узел Конфигурация пользователя ⇒ Административ-
ные шаблоны ⇒ Меню «Пуск» и панель задач (User Configuration ⇒
Administrative Templates ⇒ Menu and Taskbar).
2. Дважды щелкните мышью по параметру Очищать журнал недавно от-
крывавшихся документов при выходе (Clear history of recently opened
documents on exit). Откроется одноименное окно для редактирования
данной политики.
3. Установите переключатель в положение Включить (Enabled).
4. Нажмите кнопку ОК в правой нижней части окна для сохранения ре-
зультатов настройки.
После активации данного параметра у вас в меню Пуск (Start) содержимое
8888
88
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
89
89
89
АДМИНИСТРИРОВАНИЕ WINDOWS 7
9090
90
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
91
91
91
АДМИНИСТРИРОВАНИЕ WINDOWS 7
вок нужного окна, а затем, зажав и не отпуская левую кнопку мыши, потря-
сти окно. Кому-то функция Aero Shake пришлась по нраву, а кому-то меша-
ет работать. Для второй группы пользователей разработчики операционной
системы Windows 7 предусмотрели отключение функции Aero Shake при по-
мощи редактора групповых политик. Сделать это можно следующим обра-
зом:
1. Перейдите в узел Конфигурация пользователя ⇒ Административ-
ные шаблоны ⇒ Рабочий стол (User Configuration ⇒ Administrative
Templates ⇒ Desktop).
2. Дважды щелкните мышью по параметру Отключить сворачивание окна
Aero Shake жестом мышью (Turn off Aero Shake window minimizing
mouse gesture). Откроется одноименное окно для редактирования дан-
ной политики.
3. Установите переключатель в положение Включить (Enabled).
4. Если вы документируете все свои действия в отношении групповых по-
литик, оставьте примечания в поле ввода Комментарий (Comments).
5. Нажмите кнопку ОК в правой нижней части окна для сохранения ре-
зультатов настройки.
После изменения параметра ни случайно, ни намеренно, жестом свернуть
окна не удастся.
9292
92
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
93
93
93
АДМИНИСТРИРОВАНИЕ WINDOWS 7
9494
94
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
95
95
95
АДМИНИСТРИРОВАНИЕ WINDOWS 7
9696
96
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
ÏÅÐÅÌÅÙÅÍÈÅ ÏÎËÜÇÎÂÀÒÅËÜÑÊÈÕ
ÏÀÏÎÊ
97
97
97
АДМИНИСТРИРОВАНИЕ WINDOWS 7
9898
98
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
99
99
99
АДМИНИСТРИРОВАНИЕ WINDOWS 7
лей операционных систем Windows 7 и Windows Server 2008. Кроме того, су-
ществует возможность для ограничения загружаемых на рабочий стол изо-
бражений по определенным критериям.
Для того чтобы установить на рабочий стол изображение, а также запретить
его смену пользователями самостоятельно, нужно изменить настройки па-
раметра Фоновые рисунки рабочего стола (Desktop Wallpaper):
1. Перейдите в узел Конфигурация пользователя ⇒ Администра-
тивные шаблоны ⇒ Рабочий стол ⇒ Active Directory (User
Configuration ⇒ Administrative Templates ⇒ Desktop ⇒ Active
Directory).
2. Дважды щелкните мышью по параметру Фоновые рисунки рабоче-
го стола (Desktop Wallpaper). Откроется одноименное окно для ре-
дактирования данной политики.
3. Установите переключатель в положение Включить (Enabled) и в
поле ввода Имя фонового рисунка (Wallpaper Name) укажите путь к
фоновому изображению с расширением .bmp или .jpg, которое вы хо-
тите разместить на рабочем столе.
Можно ввести локальный путь, такой как C:\Windows\web\wallpaper\home.
jpg, или UNC-путь, такой как \\Server\Share\Corp.jpg. Если при входе в си-
стему указанный файл недоступен, то никакой фоновый рисунок не отобра-
жается.
4. Укажите параметры отображения рисунка, выбрав из раскрывающе-
гося списка Стиль фонового рисунка (Wallpaper style) подходящий
вариант.
5. Нажмите кнопку ОК в правой нижней части окна для сохранения
результатов настройки.
После этого изображение рабочего стола для всех пользователей изменится
на указанное в настройках политики.
Óïðàâëåíèå ìèíè-ïðèëîæåíèÿìè íà
Ðàáî÷åì ñòîëå
Вместе с боковой панелью, появившейся в Windows Vista, в семействе опе-
рационных систем Windows появились и мини-приложения, которые по-
зволяют сделать рабочий стол более информативным, стереть грань между
локальной и удаленной информацией. В операционной системе Windows 7
100
100
100
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
101
101
101
АДМИНИСТРИРОВАНИЕ WINDOWS 7
102
102
102
ГЛАВА 3. АДМИНИСТРИРОВАНИЕ НАСТРОЕК ИНТЕРФЕЙСА WINDOWS 7
103
103
103
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Çàêëþ÷åíèå
На этом знакомство с возможностями настройки меню Пуск (Start), пане-
ли задач и Рабочего стола заканчивается. Как вы смогли убедится, редактор
групповых политик предлагает очень гибкие возможности по настройке ра-
бочего пространства пользователя.
В следующей главе мы перейдем к детальной настройке панели управления.
104
104
104
Ãëàâà 4.
106
106
106
ГЛАВА 4. ТОНКАЯ НАСТРОЙКА ПАНЕЛИ УПРАВЛЕНИЯ
107
107
107
АДМИНИСТРИРОВАНИЕ WINDOWS 7
108
108
108
ГЛАВА 4. ТОНКАЯ НАСТРОЙКА ПАНЕЛИ УПРАВЛЕНИЯ
109
109
109
АДМИНИСТРИРОВАНИЕ WINDOWS 7
110
110
110
ГЛАВА 4. ТОНКАЯ НАСТРОЙКА ПАНЕЛИ УПРАВЛЕНИЯ
Ïåðñîíàëèçàöèÿ
В этом разделе вы узнаете о том, как ограничить доступ к настройкам интер-
фейса операционной системы Windows.
111
111
111
АДМИНИСТРИРОВАНИЕ WINDOWS 7
112
112
112
ГЛАВА 4. ТОНКАЯ НАСТРОЙКА ПАНЕЛИ УПРАВЛЕНИЯ
113
113
113
АДМИНИСТРИРОВАНИЕ WINDOWS 7
ментов темы, таких как фон рабочего стола, заставка, цвет окон и систем-
ные звуки.
Параметр Применить конкретный файл стиля оформления или классиче-
ский стиль (Force a specific visual style file or force Windows Classic) позволя-
ет применить файл стиля оформления, указанный в параметре. После выбо-
ра стиля оформления пользователи, изменяя тему, не смогут применять дру-
гие стили оформления. Для того чтобы включить параметр, выполните сле-
дующие шаги:
1. Откройте узел Конфигурация пользователя ⇒ Административ-
ные шаблоны ⇒ Панель управления ⇒ Персонализация (User
configuration ⇒ Administrative Templates ⇒ Control Panel ⇒
Personalization).
2. Дважды щелкните мышью по параметру Применить конкретный
файл стиля оформления или классический стиль (Force a specific
visual style file or force Windows Classic). Откроется диалоговое окно
редактирования параметра политики.
3. Установите переключатель в положение Включить (Enable).
4. В области Параметры (Options) в поле ввода Путь к файлу сти-
ля оформления (Path to Visual Style) укажите путь к файлу стиля
оформления. Файл может быть расположен как на локальном ком-
пьютере (aero.msstyles), так и на удаленном сервере. Если файл рас-
положен на удаленном сервере, то указывается UNC-путь в форма-
те \\сервер\общий_ресурс\aero.msstyles. Чтобы выбрать классиче-
ский стиль Windows — оставьте поле пустым.
5. Нажмите кнопку ОК.
После включения параметра пользователи смогут менять темы оформления
Windows, но стиль оформления применяться не будет.
114
114
114
ГЛАВА 4. ТОНКАЯ НАСТРОЙКА ПАНЕЛИ УПРАВЛЕНИЯ
115
115
115
АДМИНИСТРИРОВАНИЕ WINDOWS 7
116
116
116
ГЛАВА 4. ТОНКАЯ НАСТРОЙКА ПАНЕЛИ УПРАВЛЕНИЯ
Óïðàâëåíèå ýëåìåíòîì
«Ïðîãðàììû è êîìïîíåíòû»
В этом разделе вы узнаете, как ограничить для пользователя возможности
использования элемента Программы и компоненты (Programs and Features)
панели управления.
117
117
117
АДМИНИСТРИРОВАНИЕ WINDOWS 7
118
118
118
ГЛАВА 4. ТОНКАЯ НАСТРОЙКА ПАНЕЛИ УПРАВЛЕНИЯ
119
119
119
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Ðàáîòà ñ ïðèíòåðàìè
В этом разделе мы расскажем о том, как ограничить возможности установ-
ки и удаления принтеров, а также изменить адрес в службе Active Directory,
с которого начинается поиск принтеров.
120
120
120
ГЛАВА 4. ТОНКАЯ НАСТРОЙКА ПАНЕЛИ УПРАВЛЕНИЯ
121
121
121
АДМИНИСТРИРОВАНИЕ WINDOWS 7
122
122
122
ГЛАВА 4. ТОНКАЯ НАСТРОЙКА ПАНЕЛИ УПРАВЛЕНИЯ
ÑÊÐÛÒÈÅ ÏÀÐÀÌÅÒÐÎÂ
Для того чтобы из панели управления Язык и региональные стандарты (Re-
gion and Language Options) скрыть вкладку Дополнительно (Administrative),
в которую входят интерфейсы для задания системных языковых стандартов
и копирования параметров для пользователя по умолчанию, включите пара-
метр Скрыть параметры управления в панели «Язык и региональные стан-
дарты» (Hide Regional and Language Options administrative options), распо-
ложенный в папке Язык и региональные стандарты (Region and Language
Options). Для этого активируйте следующий параметр:
1. Откройте узел Конфигурация пользователя ⇒ Административные ша-
блоны ⇒ Панель управления ⇒ Язык и региональные стандарты (User
Configuration Administrative ⇒ Templates ⇒ Control Panel ⇒ Regional
and Language Options).
2. Дважды щелкните мышью по параметру Скрыть параметры управления
в панели «Язык и региональные стандарты» (Hide Regional and Lan-
guage Options administrative options). Откроется диалоговое окно редак-
тирования параметра политики.
3. Установите переключатель в положение Включить (Enable).
4. Если вы документируете все свои действия в отношении групповых по-
литик, оставьте примечания в поле ввода Комментарий (Comments).
5. Нажмите кнопку ОК.
После этого вкладка Дополнительно (Administrative) будет скрыта. Если
параметр отключен или не задан, то вкладка будет отображаться, однако не-
которые включенные параметры могут помешать изменению параметров,
расположенных в этой вкладке.
Аналогичным способом скрываются нижеперечисленные параметры.
Чтобы скрыть вкладку Расположение (Location) в панели управления
Язык и региональные стандарты (Region and Language), включите пара-
метр Скрыть параметр географического положения (Hide the geographic
location option). Вкладка Расположение (Location) позволяет указать теку-
щее расположение пользователя, исходя из которого некоторые программы
будут предлагать дополнительную местную информацию (например, ново-
сти или прогноз погоды). Если параметр отключен или не задан, то вкладка
будет отображаться, однако некоторые включенные параметры могут поме-
шать изменению параметров, расположенных в этой вкладке.
Чтобы скрыть кнопку Установить или удалить язык (Install/uninstall lan-
guages), расположенную во вкладке Языки и клавиатуры (Keyboard and
123
123
123
АДМИНИСТРИРОВАНИЕ WINDOWS 7
124
124
124
ГЛАВА 4. ТОНКАЯ НАСТРОЙКА ПАНЕЛИ УПРАВЛЕНИЯ
Çàêëþ÷åíèå
Прочитав эту небольшую главу, вы получили все необходимые знания
о том, как настроить панель управления в Редакторе локальной группо-
вой политики: теперь вы знаете, как ограничить отображение и функ-
циональность элементов панели управления, заблокировать уста-
новку и удаление принтеров, программ и системных компонентов.
В следующих главах мы детально разберем различные групповые политики
операционных систем Windows 7.
126
126
126
Ãëàâà 5.
Àäìèíèñòðèðîâàíèå
ñèñòåìíûõ ýëåìåíòîâ
Windows 7
В этой главе вы узнаете, как настроить параметры системных элементов в
Редакторе локальных групповых политик: запретить запуск определенных
программ, запретить использование определенных компонентов системы
(например, командной строки или системного реестра), изменить параме-
тры входа в систему и выход из нее, режимы энергопотребления, параме-
тры диагностики системы, обновления системы и функционирования справ-
ки Microsoft.
128
128
128
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
129
129
129
АДМИНИСТРИРОВАНИЕ WINDOWS 7
130
130
130
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
ствия:
1. Откройте узел Конфигурация компьютера ⇒ Административные
шаблоны ⇒ Система (Computer Configuration ⇒ Administrative
Templates ⇒ System).
2. Дважды щелкните мышью по параметру Запретить использование
командной строки (Prevent access to the command prompt). Откроет-
ся диалоговое окно редактирования параметра политики.
3. Установите переключатель в положение Включить (Enabled).
4. В области Параметры (Options) в раскрывающемся списке Запре-
тить также обработку сценариев в командной строке? (Disable
the command prompt script processing also?) выберите необходимый
пункт:
• Да (Yes) — пакетные файлы на компьютере выполняться не бу-
дут.
• Нет (No) — пакетные файлы будут выполняться.
5. Нажмите кнопку ОК.
Теперь попытки запустить окно командной строки будут заканчиваться не-
удачей (рис. 5.1).
131
131
131
АДМИНИСТРИРОВАНИЕ WINDOWS 7
132
132
132
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
133
133
133
АДМИНИСТРИРОВАНИЕ WINDOWS 7
134
134
134
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
135
135
135
АДМИНИСТРИРОВАНИЕ WINDOWS 7
136
136
136
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
137
137
137
АДМИНИСТРИРОВАНИЕ WINDOWS 7
138
138
138
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
139
139
139
АДМИНИСТРИРОВАНИЕ WINDOWS 7
140
140
140
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
141
141
141
АДМИНИСТРИРОВАНИЕ WINDOWS 7
142
142
142
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
143
143
143
АДМИНИСТРИРОВАНИЕ WINDOWS 7
144
144
144
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
145
145
145
АДМИНИСТРИРОВАНИЕ WINDOWS 7
146
146
146
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
Ãðóïïîâûå ïîëèòèêè
В этом разделе будут рассмотрены параметры, которые располагаются в узле
Групповая политика (Group Policy). Вы сможете определить, какое подклю-
чение система будет идентифицировать как медленное, каким образом будет
происходить обработка различных политик (например, политики реестра),
сколько времени системе будет отведено под обработку политик и некото-
рые другие параметры.
147
147
147
АДМИНИСТРИРОВАНИЕ WINDOWS 7
148
148
148
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
149
149
149
АДМИНИСТРИРОВАНИЕ WINDOWS 7
ÎÁÐÀÁÎÒÊÀ ÏÎËÈÒÈÊ
Для того чтобы включить обработку политик пользователей различных ле-
сов и перемещаемых профилей пользователей, активируйте следующий па-
раметр:
150
150
150
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
151
151
151
АДМИНИСТРИРОВАНИЕ WINDOWS 7
152
152
152
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
Этот параметр задаёт, как долго групповая политика должна ожидать уве-
домлений о доступности сети во время обработки политики загрузки. Если
обработка политики загрузки была синхронизирована, то компьютер блоки-
руется до момента доступности сети или истечения времени ожидания, за-
данного по умолчанию.
Если обработка политики загрузки была асинхронна, то компьютер не будет
заблокирован, и обработка политики будет идти в фоновом режиме. В лю-
бом случае, настройка этого параметра политики перекрывает любое время
ожидания, вычисленное системой.
Для того чтобы использовать значение времени ожидания вместо значений,
которые были заданы по умолчанию или вычислены системой:
1. Откройте узел Конфигурация пользователя ⇒ Административные
шаблоны ⇒ Система ⇒ Групповая политика (User Configuration ⇒
Administrative Templates ⇒ System ⇒ Group Policy).
2. Дважды щелкните мышью по параметру Время ожидания при об-
работке политики загрузки (Startup policy processing wait time). От-
кроется диалоговое окно редактирования параметра политики.
3. Установите переключатель в положение Включить (Enabled).
4. В области Параметры (Options) в поле Время ожидания (Amount of
time to wait) установите значение ожидания (в секундах).
5. Нажмите кнопку ОК.
По умолчанию групповая политика использует 30 секунд ожидания.
153
153
153
АДМИНИСТРИРОВАНИЕ WINDOWS 7
154
154
154
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
Óïðàâëåíèå çàïîìèíàþùèìè
óñòðîéñòâàìè
В этом разделе мы рассмотрим параметры, запрещающие выполнение дей-
ствий с определенными съемными устройствами, а также другие политики,
связанные с работой съемных запоминающих устройств.
Для того чтобы запретить чтение данных с компакт-дисков и DVD-дисков,
активируйте следующий параметр:
1. Откройте узел Конфигурация пользователя ⇒ Административные
шаблоны ⇒ Система ⇒ Доступ к съемным запоминающим устрой-
ствам (User Configuration ⇒ Administrative Templates ⇒ System ⇒
Removable Storage Access).
2. Дважды щелкните мышью по параметру Компакт диски и DVD-
диски: Запретить чтение (CD and DVD: Deny read access). Откроет-
ся диалоговое окно редактирования параметра политики.
3. Установите переключатель в положение Включить (Enabled). Если
вы документируете все свои действия в отношении групповых по-
литик, оставьте примечания в поле ввода Комментарий (Comments).
4. Нажмите кнопку ОК.
Теперь при попытке считать информацию с компакт-диска или DVD-диска
будет появляться диалоговое окно, информирующее пользователя о блоки-
ровке доступа к запоминающему устройству (рис. 5.7).
155
155
155
АДМИНИСТРИРОВАНИЕ WINDOWS 7
диски: Запретить запись (CD and DVD: Deny write access). Откроет-
ся диалоговое окно редактирования параметра политики.
3. Установите переключатель в положение Включить (Enabled).
4. Нажмите кнопку ОК.
Аналогичным образом вы можете запретить чтение и запись данных с (на)
накопителей на гибких дисках, активировав параметры Накопители на гиб-
ких дисках: Запретить чтение (Floppy Drives: Deny read access) и Накопи-
тели на гибких дисках: Запретить запись (Floppy Drives: Deny write access);
съемных дисков (Съемные диски: Запретить чтение (Removable Drives:
Deny read access) и Съемные диски: Запретить запись (Removable Drives:
Deny write access)); ленточных накопителей (Ленточные накопители: За-
претить чтение (Tape Drives: Deny read access) и Ленточные накопители:
Запретить запись (Tape Drives: Deny write access)) WPD-устройств (Win-
dows Portable Device) (WPD-устройства: Запретить чтение (WPD Devices:
Deny read access) и WPD-устройства: Запретить запись (WPD Devices:
Deny write access)).
Для того чтобы запретить чтение данных с нестандартных съемных запоми-
нающих устройств, активируйте параметры Специальные классы: Запре-
тить чтение (Custom Classes: Deny read access) и Специальные классы: За-
претить запись (Custom Classes: Deny write access).
156
156
156
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
Если параметр отключен или не задан, то запись и чтение данных будет раз-
решены для запоминающих устройств любого класса.
Для того чтобы установить период времени, после которого система выпол-
нит перезагрузку для принудительного применения изменений в правах до-
ступа к съемным запоминающим устройствам, выполните следующие шаги:
1. Откройте узел Конфигурация пользователя ⇒ Административные
шаблоны ⇒ Система ⇒ Доступ к съемным запоминающим устрой-
ствам (User Configuration ⇒ Administrative Templates ⇒ System ⇒
Removable Storage Access).
2. Дважды щелкните мышью по параметру Время (в секундах) до
принудительной перезагрузки (Time (in seconds) to force reboot).
Откроется диалоговое окно редактирования параметра политики.
3. Установите переключатель в положение Включить (Enabled).
4. В области Параметры (Options) в поле Время (Time) укажите ко-
личество секунд, которое система будет ожидать до принудительной
перезагрузки.
5. Нажмите кнопку ОК.
Без принудительной перезагрузки права доступа не вступят в действие до
перезапуска системы.
Для того чтобы предоставить обычным пользователям прямой доступ к
съемным запоминающим устройствам в удаленных сеансах, настройте сле-
дующую политику:
1. Откройте узел Конфигурация пользователя ⇒ Административные
шаблоны ⇒ Система ⇒ Доступ к съемным запоминающим устрой-
ствам (User Configuration ⇒ Administrative Templates ⇒ System ⇒
Removable Storage Access).
2. Дважды щелкните мышью по параметру Все съемные запоминаю-
щие устройства: разрешение прямого доступа в удаленных сеан-
сах (All Removable Storage: Allow direct access in remote sessions). От-
кроется диалоговое окно редактирования параметра политики.
3. Установите переключатель в положение Включить (Enabled).
4. Нажмите кнопку ОК.
Если параметр отключен или не настроен, то удаленным пользователям не
будет предоставляться прямой доступ к съемным запоминающим устрой-
ствам в удаленных сеансах.
157
157
157
АДМИНИСТРИРОВАНИЕ WINDOWS 7
158
158
158
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
159
159
159
АДМИНИСТРИРОВАНИЕ WINDOWS 7
160
160
160
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
161
161
161
АДМИНИСТРИРОВАНИЕ WINDOWS 7
162
162
162
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
163
163
163
АДМИНИСТРИРОВАНИЕ WINDOWS 7
164
164
164
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
165
165
165
АДМИНИСТРИРОВАНИЕ WINDOWS 7
166
166
166
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
на данном компьютере (Set roaming profile path for all users logging
onto this computer). Откроется диалоговое окно редактирования па-
раметра политики.
3. Установите переключатель в положение Включить (Enabled).
4. В области Параметры (Options), в поле ввода введите с клавиату-
ры путь для перемещаемых профилей. Путь вводится в следующем
формате: \\имя_компьютера\имя_общего_ресурса\. Рекомендует-
ся добавить к пути %USERNAME% для того, чтобы у каждого поль-
зователя существовала своя индивидуальная папка, в противном
случае у всех пользователей будет одна и та же папка.
5. Нажмите кнопку ОК.
Теперь все пользователи, входящие на компьютер, будут использовать путь
к перемещаемым профилям, указанный в этой политике.
Если параметр отключен или не задан, то пользователи при входе в систему
будут использовать локальные копии профиля или стандартный перемеща-
емый профиль пользователя.
167
167
167
АДМИНИСТРИРОВАНИЕ WINDOWS 7
168
168
168
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
169
169
169
АДМИНИСТРИРОВАНИЕ WINDOWS 7
170
170
170
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
171
171
171
АДМИНИСТРИРОВАНИЕ WINDOWS 7
задает передачу файла реестра в шесть часов вечера, то на самом деле пере-
дача будет выполняться в случайный момент между шестью и семью часа-
ми вечера.
Если параметр отключен или не задан, то файл реестра перемещаемого про-
филя не будет передаваться в фоновом режиме при входе пользователя в си-
стему.
172
172
172
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
ßçûêîâûå ñòàíäàðòû
В этом разделе мы рассмотрим настройку параметров, расположенных в
узле Службы языковых стандартов (Locale Services): запрет выбора поль-
зовательских языковых стандартов, ограничение языковых стандартов, за-
прет изменения географического положения и запрет переопределения язы-
кового стандарта.
173
173
173
АДМИНИСТРИРОВАНИЕ WINDOWS 7
174
174
174
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
Ðàáîòà ñî ñöåíàðèÿìè
В этом разделе мы рассмотрим параметры выполнения сценариев входа, вы-
хода и загрузки, расположенные в узле Сценарии (Scripts).
175
175
175
АДМИНИСТРИРОВАНИЕ WINDOWS 7
176
176
176
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
ред тем, как будет запущен Проводник Windows и создан рабочий стол, вы-
полните следующие шаги:
1. Откройте узел Конфигурация пользователя ⇒ Административ-
ные шаблоны ⇒ Система ⇒ Сценарии (User Configuration ⇒
Administrative Templates ⇒ System ⇒ Scripts).
2. Дважды щелкните мышью по параметру Выполнять сценарии вхо-
да синхронно (Run logon scripts synchronously). Откроется диалого-
вое окно редактирования параметра политики.
3. Установите переключатель в положение Включить (Enabled).
4. Нажмите кнопку ОК.
Если этот параметр включен, Проводник Windows не будет запущен, пока не
завершится выполнение сценариев входа. Обеспечивается завершение обра-
ботки сценариев до начала работы пользователя, но возможна задержка соз-
дания рабочего стола.
Если параметр отключен или не задан, то сценарии входа и Проводник
Windows не будут синхронизироваться и смогут выполняться одновремен-
но.
Для того чтобы разрешить выполнение пользовательских сценариев входа
в систему, когда не настроены перекрестный лес входов и DNS-суффиксы,
а также отключены NetBIOS или WINS, следует выполнить данные шаги:
1. Откройте узел Конфигурация пользователя ⇒ Административ-
ные шаблоны ⇒ Система ⇒ Сценарии (User Configuration ⇒
Administrative Templates ⇒ System ⇒ Scripts).
2. Дважды щелкните мышью по параметру Разрешение сценариев
входа в систему при отключенных NetBIOS или WINS (Allow log-
on scripts when NetBIOS or WINS is disabled). Откроется диалоговое
окно редактирования параметра политики.
3. Установите переключатель в положение Включить (Enabled).
4. Нажмите кнопку ОК.
Если параметр отключен или не задан, то при отключенных NetBIOS или
WINS, а также ненастроенных DNS-суффиксах, вход в перекрестный лес бу-
дет невозможен для любой учетной записи пользователя.
177
177
177
АДМИНИСТРИРОВАНИЕ WINDOWS 7
178
178
178
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
179
179
179
АДМИНИСТРИРОВАНИЕ WINDOWS 7
180
180
180
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
Óñòàíîâêà äðàéâåðîâ
В этом разделе описаны настройки, связанные с установкой драйверов: где
искать драйвера устройств и каким пользователям разрешено устанавливать
драйвера устройств.
181
181
181
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Óñòàíîâêà óñòðîéñòâ
В этом разделе мы рассмотрим параметры, связанные с установкой
устройств: установка порядка поиска драйверов устройств, сколько систе-
ме будет отведено времени на установку устройств, возможность отключить
уведомление об обнаружении нового устройства, настройку удаленного до-
ступа к Plug and Play и некоторые другие параметры.
182
182
182
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
183
183
183
АДМИНИСТРИРОВАНИЕ WINDOWS 7
184
184
184
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
185
185
185
АДМИНИСТРИРОВАНИЕ WINDOWS 7
186
186
186
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
187
187
187
АДМИНИСТРИРОВАНИЕ WINDOWS 7
188
188
188
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
189
189
189
АДМИНИСТРИРОВАНИЕ WINDOWS 7
190
190
190
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
ÑÏÐÀÂÊÀ È ÏÎÄÄÅÐÆÊÀ
По умолчанию пользователи могут выставлять рейтинги для справочной
системы. Рейтинг справочной системы предназначен как элемент обратной
связи для оценки качества и пользы представленной справочной информа-
ции пользователю. Возможно отключение оценки справочной информации.
Для того чтобы это сделать, активируйте следующий параметр:
1. Откройте узел Конфигурация пользователя ⇒ Административные
шаблоны ⇒ Система ⇒ Управление связью через Интернет ⇒ Па-
раметры связи через Интернет (User Configuration ⇒ Administrative
Templates ⇒ System ⇒ Internet Communication Management ⇒
Internet Communications settings).
2. Дважды щелкните мышью по параметру Отключение рейтинга
справки (Turn off Help Ratings). Откроется диалоговое окно редак-
тирования параметра политики.
3. Установите переключатель в положение Включить (Enabled). Если
вы документируете все свои действия в отношении групповых по-
литик, оставьте примечания в поле ввода Комментарий (Comments).
4. Нажмите кнопку ОК.
Теперь оценка справочной информации будет недоступна.
Также можно запретить пользователю участвовать в программе по улуч-
шению справочной информации, для чего включите параметр Отключение
программы улучшения справки (Turn off Help Experience Improvement Pro-
gram).
Пользователи, которые имеют доступ в Интернет, могут просматривать
справочную информацию из Интернета, используя центр справки и под-
держки Windows. Это позволяет Microsoft информировать пользователя са-
мыми последними вариантами справочной информации. Однако если вклю-
чить параметр Отключение «Windows в Интернете» (Turn off Windows
Online), пользователи не смогут получить доступ к обновленной справоч-
ной информации.
Пользователи, которые работают с планшетными компьютерами, имеют
возможность автоматической отправки отчетов об ошибках распознавания
рукописного текста. В случае возникновения проблем с распознаванием тек-
ста немедленно создается отчет, который отправляется в корпорацию Micro-
soft. Корпорация Microsoft, анализируя полученные отчеты, дорабатывает
средство распознавания текста и исправляет недоработки. Если включить
параметр Отключить отчеты об ошибках распознавания рукописного тек-
191
191
191
АДМИНИСТРИРОВАНИЕ WINDOWS 7
192
192
192
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
ÑÎÏÎÑÒÀÂËÅÍÈÅ ÔÀÉËÎÂ
Если в операционной системе Windows попытаться открыть файл c незаре-
гистрированным расширением, то появится диалоговое окно выбора спосо-
ба сопоставления неизвестного расширения с приложением. На выбор два
варианта:
• Поиск соответствия в Интернете (Use the Web service to find the cor-
rect program) — использование интернет-сервиса сопоставления рас-
ширения с приложением.
• Выбор программы из списка установленных программ (Select a pro-
gram from a list of installed programs) — выбор одной из установлен-
ных на компьютере программ, в котором откроется текущий файл, а
также в котором будут открываться другие файлы того же расшире-
ния.
Чтобы это диалоговое окно не появлялось, а сразу открывалось диалоговое
окно выбора установленной программы, выполните следующие шаги:
1. Откройте узел Конфигурация пользователя ⇒ Административные
шаблоны ⇒ Система ⇒ Управление связью через Интернет ⇒ Па-
раметры связи через Интернет (User Configuration ⇒ Administrative
Templates ⇒ System ⇒ Internet Communication Management ⇒
Internet Communications settings).
2. Дважды щелкните мышью по параметру Отключить службу сопо-
ставления файлов Интернета (Turn off Internet File Association ser-
vice). Откроется диалоговое окно редактирования параметра поли-
тики.
193
193
193
АДМИНИСТРИРОВАНИЕ WINDOWS 7
ÂÅÁ-ÏÓÁËÈÊÀÖÈÈ
Операционная система Windows загружает и обновляет список поставщи-
ков, выполняющих запросы на веб-публикацию и заказы отпечатков. Ис-
пользуя этот список, можно выбрать одну из предоставленных компаний и
воспользоваться предоставляемыми ими услугами: хранение информации
или распечатка фотографий. Возможно отключение загрузки списка постав-
щиков. Для этого выполните следующие действия:
1. Откройте узел Конфигурация пользователя ⇒ Административные
шаблоны ⇒ Система ⇒ Управление связью через Интернет ⇒ Па-
раметры связи через Интернет (User Configuration ⇒ Administrative
Templates ⇒ System ⇒ Internet Communication Management ⇒
Internet Communications settings).
2. Дважды щелкните мышью по параметру Отключить загрузку из Ин-
тернета для мастеров веб-публикаций и заказа отпечатков (Turn off
Internet download for Web publishing and online ordering wizards). От-
кроется диалоговое окно редактирования параметра политики.
3. Установите переключатель в положение Включить (Enabled).
4. Нажмите кнопку ОК.
Новые поставщики не будут загружены в список поставщиков, однако это не
значит, что загруженные ранее поставщики не будут отображаться.
Для того чтобы полностью отключить возможность заказа отпечатков через
Интернет, включите параметр Отключить заказ отпечатков через Интернет
в списке задач для изображений (Turn off the “Publish to web” picture task).
После чего в списке задач для изображений будет скрыта эта возможность.
Возможно скрытие пунктов Опубликовать в вебе, Опубликовать эту папку
в вебе и Опубликовать выделенные объекты в вебе среди задач для файлов
и папок в окне проводника Windows. Для этого активируйте параметр От-
ключить веб-публикацию в списке задач для файлов и папок (Turn off the
“Publish to Web” task for files and folders).
Если параметр отключен, то образцы рукописного ввода будут отсылаться в
корпорацию Microsoft автоматически, если параметр не задан, то пользова-
тели могут включать и отключать отправку образцов самостоятельно.
194
194
194
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
195
195
195
АДМИНИСТРИРОВАНИЕ WINDOWS 7
196
196
196
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
197
197
197
АДМИНИСТРИРОВАНИЕ WINDOWS 7
198
198
198
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
199
199
199
АДМИНИСТРИРОВАНИЕ WINDOWS 7
200
200
200
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
201
201
201
АДМИНИСТРИРОВАНИЕ WINDOWS 7
202
202
202
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
203
203
203
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Для того чтобы определить режим работы средства для диагностики быстро-
действия завершения работы Windows, настройте следующую политику:
1. Откройте узел Конфигурация компьютера ⇒ Административ-
ные шаблоны ⇒ Система ⇒ Диагностика ⇒ Диагностика быстро-
действия завершения работы Windows (Computer Configuration
⇒ Administrative Templates ⇒ System ⇒ Troubleshooting and
Diagnostics ⇒ Windows Shutdown Performance Diagnostics).
2. Дважды щелкните мышью по параметру Настройки режима запу-
ска сценария (Configure Scenario Execution Level). Откроется диа-
логовое окно редактирования параметра политики.
3. Установите переключатель в положение Включить (Enabled).
4. В области Параметры (Options) в раскрывающемся списке Уровень
выполнения сценария (Configure Scenario Execution Level) выбери-
те необходимый уровень:
• Определение, установление причин ошибок и их устранение
(Detection, Troubleshooting and Resolution) — служба политики
будет обнаруживать проблемы быстродействия завершения ра-
боты Windows и пытаться определить причины возникновения
проблем. Если причина найдена, то будет предпринята попыт-
ка устранения неполадки или будет уведомление пользователя о
том, как эту проблему устранить.
• Только определение и установление причин ошибок (Detection
and Troubleshooting Only) — проблемы быстродействия заверше-
ния работы будут определяться, а при обнаружении причин воз-
никновения проблем они будут записаны в журнал ошибок. Ни-
каких действий по устранению проблем предпринято не будет.
5. Нажмите кнопку ОК.
Если параметр отключен, то система не сможет обнаруживать и устранять
неполадки. Если параметр не задан, то будет использоваться значение по
204
204
204
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
206
206
206
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
207
207
207
АДМИНИСТРИРОВАНИЕ WINDOWS 7
208
208
208
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
209
209
209
АДМИНИСТРИРОВАНИЕ WINDOWS 7
210
210
210
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
211
211
211
АДМИНИСТРИРОВАНИЕ WINDOWS 7
212
212
212
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
214
214
214
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
Óïðàâëåíèå ýëåêòðîïèòàíèåì
В этом разделе мы рассмотрим параметры, связанные с управлением элек-
тропитанием, такими как: запрос пароля при выходе из энергосберегающе-
го режима, выбор схемы управления питанием, настройки уведомлений об
энергосбережении (например, низкой зарядке батарей), параметры электро-
питания жесткого диска, действия при нажатии кнопок, отвечающих за пи-
тание, и некоторые другие параметры.
215
215
215
АДМИНИСТРИРОВАНИЕ WINDOWS 7
216
216
216
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
ключит жесткий диск. Для того чтобы указать период отсутствия активно-
сти, выполните следующие действия:
1. Откройте узел Конфигурация компьютера ⇒ Административные
шаблоны ⇒ Система ⇒ Управление электропитанием ⇒ Параме-
тры жесткого диска (Computer Configuration ⇒ Administrative Tem-
plates ⇒ System ⇒ Power Management ⇒ Hard Disk Settings).
2. Дважды щелкните мышью по параметру:
• Отключить жесткий диск (Питание от сети) (Turn Off the Hard
Disk (Plugged In)) — для настройки компьютера, работающего от
электросети (настольный компьютер).
• Отключить жесткий диск (Питание от батареи) (Turn Off the
Hard Disk (On Battery)) — для настройки компьютера, работаю-
щего от батареи (ноутбуки, TabletPC).
3. Установите переключатель в положение Включить (Enabled).
4. В области Параметры (Options), в поле Отключить жесткий диск
(Turn Off the Hard Disk) укажите период отсутствия активности, по-
сле которого жесткий диск будет отключен. Период измеряется в се-
кундах.
5. Нажмите кнопку ОК.
217
217
217
АДМИНИСТРИРОВАНИЕ WINDOWS 7
218
218
218
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
Для того чтобы указать период ожидания перехода системы в режим сна, на-
стройте следующую политику:
1. Откройте узел Конфигурация компьютера ⇒ Административные
шаблоны ⇒ Система ⇒ Управление электропитанием ⇒ Параме-
тры режимов сна (Computer Configuration ⇒ Administrative Tem-
plates ⇒ System ⇒ Power Management ⇒ Sleep Settings).
2. Дважды щелкните мышью по параметру:
• Укажите время ожидания перехода в режим сна (Питание от
сети) (Specify the System Sleep Timeout (Plugged In)) — для на-
стройки периода перехода в режим сна, если компьютер работает
в режиме питания от электросети.
• Укажите время ожидания перехода в режим сна (Питание от
батареи) (Specify the System Sleep Timeout (On Battery) — для
настройки периода перехода в режим сна, если компьютер рабо-
тает от батареи.
3. Установите переключатель в положение Включить (Enabled).
4. В области Параметры (Options), в поле Время ожидания перехода
системы в режим сна (System Sleep Timeout) укажите период ожи-
дания перехода системы в режим сна, указывается в секундах.
5. Нажмите кнопку ОК.
Если система будет не активна в течение указанного времени, то компьютер
перейдет в режим сна. Используйте параметр Укажите время ожидания для
перехода в режим гибернации (Specify the System Hibernate Timeout) для
указания периода бездействия перед тем, как система перейдет в режим ги-
бернации.
Используйте параметр Укажите время ожидания автоматического перехо-
да в режим сна (Specify the Unattended Sleep Timeout) для указания периода
бездействия перед тем, как Windows автоматически перейдет в спящий ре-
жим, если пользователь будет отсутствовать у компьютера. При включении
этого параметра нужно ввести значение, указывающее время отсутствия ак-
тивности в секундах. Если указать 0 секунд, то система не будет автоматиче-
ски переходить в спящий режим.
219
219
219
АДМИНИСТРИРОВАНИЕ WINDOWS 7
220
220
220
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
221
221
221
АДМИНИСТРИРОВАНИЕ WINDOWS 7
222
222
222
ГЛАВА 5. АДМИНИСТРИРОВАНИЕ СИСТЕМНЫХ ЭЛЕМЕНТОВ WINDOWS 7
Çàêëþ÷åíèå
Прочитав эту главу, вы должны были получить необходимые знания о том,
как настроить параметры системных элементов Windows, используя Редак-
тор локальной групповой политики: теперь вы знаете, как ограничить ис-
пользование определенных компонентов системы, как настроить параметры
профилей пользователей, параметры энергопотребления, как настроить па-
раметры групповых политик и многое другое.
223
223
223
Ãëàâà 6.
Êîíôèãóðèðîâàíèå
Windows 7
В этой главе мы рассмотрим приемы настройки и назначения сценариев в
операционной системе Windows, а также углубимся в параметры браузера
Internet Explorer, находящиеся в узле Конфигурация Windows (Windows
Settings). Эти параметры отличны от описываемых в главе 8, посвященной
настройке Internet Explorer.
225
225
225
АДМИНИСТРИРОВАНИЕ WINDOWS 7
226
226
226
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
Рис. 6.1. Окно для работы с файлами, которое открывается по нажатии кнопки
Показать файлы в диалоговом окне Свойства: Выход из системы
228
228
228
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
229
229
229
АДМИНИСТРИРОВАНИЕ WINDOWS 7
230
230
230
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
231
231
231
АДМИНИСТРИРОВАНИЕ WINDOWS 7
232
232
232
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
233
233
233
АДМИНИСТРИРОВАНИЕ WINDOWS 7
234
234
234
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
235
235
235
АДМИНИСТРИРОВАНИЕ WINDOWS 7
236
236
236
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
237
237
237
АДМИНИСТРИРОВАНИЕ WINDOWS 7
238
238
238
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
239
239
239
АДМИНИСТРИРОВАНИЕ WINDOWS 7
кальной сети (Local Area Network (LAN) Settings) установить флажок Ав-
томатическое определение параметров (Automatically detect Settings), вы
включите первую возможность. А если в этом диалоговом окне установить
флажок Использовать сценарий автоматической настройки (Use automatic
Configuration script) и заполнить поле Адрес (Address), доступным станет
второй вариант автонастройки.
Чтобы задействовать эти возможности в локальной групповой политике,
сделайте следующее:
1. Откройте узел Конфигурация пользователя ⇒ Конфигурация
Windows ⇒ Настройка Internet Explorer ⇒ Подключение (User
Configuration ⇒ Windows Settings ⇒ Internet Explorer Maintenance
⇒ Connection).
2. Дважды щелкните мышью по параметру Автоматическая настройка
обозревателя (Automatic Browser Configuration). Откроется диало-
говое окно редактирования параметра политики.
3. Если необходимо активировать первую разновидность автоматиче-
ской настройки браузера, установите флажок Автоматически опре-
делять параметры настройки (Automatically detect Configuration
Settings).
4. Если необходимо активировать вторую разновидность автоматиче-
ской настройки браузера, установите флажок Разрешить автомати-
ческую настройку (Enable Automatic Configuration). Это сделает до-
ступными остальные элементы управления диалогового окна. Вве-
дите в них URL-адреса, по которым браузер будет получать настрой-
ки, и промежуток времени, через который автонастройка должна по-
вторяться.
5. Нажмите кнопку OK.
Теперь автоматическая настройка обозревателя будет сконфигурирована
единообразно у всех пользователей, для которых была сформулирована дан-
ная политика.
240
240
240
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
242
242
242
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
243
243
243
АДМИНИСТРИРОВАНИЕ WINDOWS 7
244
244
244
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
245
245
245
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Maintenance ⇒ URLs).
2. Дважды щелкните мышью по параметру Важные адреса URL (Im-
portant URLs). Откроется диалоговое окно редактирования параме-
тра политики.
3. Установите флажок Изменить адрес домашней страницы (Custom-
ize Home page URL). Это сделает доступным поле для ввода адреса.
4. Введите в поле URL-адрес домашней страницы (Home page URL)
необходимое значение. Учитывайте, что адрес в данном случае дол-
жен обязательно начинаться с указателя протокола. Например, про-
грамма отвергнет вариант www.ya.ru, необходимо ввести http://
www.ya.ru.
5. Нажмите кнопку OK.
246
246
246
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
Рис. 6.6. Диалоговое окно, выводимое обозревателем Internet Explorer при попытке
обращения к запрещенному интернет-узлу
247
247
247
АДМИНИСТРИРОВАНИЕ WINDOWS 7
248
248
248
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
249
249
249
АДМИНИСТРИРОВАНИЕ WINDOWS 7
250
250
250
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
251
251
251
АДМИНИСТРИРОВАНИЕ WINDOWS 7
252
252
252
ГЛАВА 6. КОНФИГУРИРОВАНИЕ WINDOWS 7
253
253
253
АДМИНИСТРИРОВАНИЕ WINDOWS 7
254
254
254
Ãëàâà 7.
Àäìèíèñòðèðîâàíèå
ïàðàìåòðîâ áåçîïàñíîñòè
Windows 7
Компоненты, обеспечивающие безопасность, являются одними из важней-
ших в современных операционных системах. Обычно по умолчанию эти
компоненты настроены так, чтобы обеспечивать приемлемый уровень безо-
пасности и не оказывать заметного влияния на производительность и удоб-
ство работы. Но иногда такого среднего уровня безопасности оказывается
недостаточно, и в отдельных случаях операционная система настраивается
таким образом, чтобы обеспечивалась максимальная безопасность, зачастую
не только в ущерб удобству работы, но и ценой заметного снижения про-
изводительности системы. Конечно, рядовому пользователю такой уровень
безопасности не нужен, но в некоторых случаях изменение всего нескольких
параметров системы, отвечающих за безопасность могут заметно усилить за-
щиту системы, практически никак не повлияв на удобство и скорость рабо-
ты.
В операционной системе Windows имеется множество компонентов, отвеча-
ющих за ее безопасность, но не многие знают, как найти тот или иной ком-
понент или ключ реестра. С помощью групповых политик можно получить
доступ практически ко всем параметрам безопасности системы. За безопас-
ность отвечают политики, расположенные в узле Конфигурация компью-
тера ⇒ Конфигурация Windows ⇒ Параметры безопасности (Computer
Configuration ⇒ Windows Settings ⇒ Security Settings). Работу с ними мы
и рассмотрим в этой главе. Основная часть этих политик расположена в
оснастке Политика «Локальный компьютер» (Local Computer Policy), рас-
сматриваемой нами по всей книге, поэтому, если не указаны другие оснаст-
ки, далее по тексту будет описываться работа с политиками именно этой
оснастки.
256
256
256
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
257
257
257
АДМИНИСТРИРОВАНИЕ WINDOWS 7
258
258
258
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
259
259
259
АДМИНИСТРИРОВАНИЕ WINDOWS 7
260
260
260
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
261
261
261
АДМИНИСТРИРОВАНИЕ WINDOWS 7
262
262
262
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
По умолчанию в поле Вести журнал для (Keep password history for) указа-
но значение 0 (ноль). Это означает, что журнал паролей не ведется, и поль-
зователь может два и более раз подряд устанавливать один и тот же пароль
для входа в систему. Увеличив это значение, например, до трех, вы зададите
количество уникальных паролей, которые нужно будет установить, прежде
чем захотите вернуться к ранее использовавшемуся паролю.
3. В поле Вести журнал для (Keep password history for) введите нужное
количество паролей, которые будут храниться в журнале.
4. Нажмите кнопку ОК, чтобы применить изменения и закрыть диало-
говое окно.
Теперь, если вы, не использовав указанное количество уникальных паролей,
попытаетесь задать ранее использовавшийся пароль, на экране появится со-
общение о том, что указанный пароль не соответствует установленным тре-
бованиям политики паролей (рис. 7.4).
263
263
263
АДМИНИСТРИРОВАНИЕ WINDOWS 7
264
264
264
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
кущий пароль, прежде чем изменить его. Например, если установить мини-
мальный срок действия пароля сроком на 7 дней, пользователь не сможет из-
менить пароль ранее, чем через семь дней.
Диалоговое окно данной настройки вызывается при двойном щелчке мы-
шью по настройке Минимальный срок действия пароля (Minimum password
age), расположенной в узле Политика паролей (Passwords policy).
В поле со счетчиком указывается минимальный срок действия пароля (в
днях) от 1 до 998. Если в данном поле указать значение 0 (ноль), пользо-
ватель может изменять пароль в любое время без каких-либо ограничений.
Если пользователь попытается сменить пароль ранее указанного минималь-
ного срока (отсчет ведется от последней смены пароля), на экране появит-
ся сообщение о том, что указанный пароль не соответствует установленным
требованиям политики паролей.
265
265
265
АДМИНИСТРИРОВАНИЕ WINDOWS 7
266
266
266
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
267
267
267
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Ïîëèòèêè àóäèòà
Политики аудита расположены в узле Конфигурация компьютера ⇒ Кон-
фигурация Windows ⇒ Параметры безопасности ⇒ Локальные политики
⇒ Политики аудита (Computer Configuration ⇒ Windows Settings ⇒ Secu-
rity Settings ⇒ Local Policies ⇒ Audit Policy). В данном узле содержится не-
сколько настроек, и каждая из них определяет, будет ли фиксироваться в си-
стеме то или иное событие. Тип события как раз и определяется конкретной
настройкой. Все настройки в данном узле содержат одинаковые диалоговые
окна, в которых присутствуют два флажка: Успех (Success) и Отказ (Failure)
(рис. 7.5).
Если установлен флажок Успех (Success), будет фиксироваться успешное,
то есть выполненное событие. Если же установить флажок Отказ (Failure),
то фиксироваться будет так же незаконченное, то есть невыполненное со-
бытие, но при условии, что пользователь пытался выполнить это событие.
Например, если установить флажок Успех (Success) в диалоговом окне на-
стройки Аудит входа в систему (Audit account logon events), система будет
фиксировать (администратор сможет просмотреть эти события) успешные
входы и выходы пользователей в Windows. Неудачные попытки входа (на-
пример, в случае неправильно набранного пароля) фиксироваться не будут.
268
268
268
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
269
269
269
АДМИНИСТРИРОВАНИЕ WINDOWS 7
270
270
270
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
271
271
271
АДМИНИСТРИРОВАНИЕ WINDOWS 7
272
272
272
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
273
273
273
АДМИНИСТРИРОВАНИЕ WINDOWS 7
275
275
275
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Ïàðàìåòðû áåçîïàñíîñòè
В узле Конфигурация компьютера ⇒ Конфигурация Windows ⇒ Пара-
метры безопасности ⇒ Локальные политики ⇒ Параметры безопасности
(Computer Configuration ⇒ Windows Settings ⇒ Security Settings ⇒ Local
Policies ⇒ Security Options) сосредоточено огромное количество различных
политик, отвечающих за безопасность данных и работы на компьютере. Диа-
логовые окна настройки политик достаточно просты и в большинстве случа-
ев содержат единственный элемент управления: переключатель, раскрываю-
щийся список, поле ввода или поле со счетчиком (рис. 7.8).
276
276
276
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
277
277
277
АДМИНИСТРИРОВАНИЕ WINDOWS 7
278
278
278
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
279
279
279
АДМИНИСТРИРОВАНИЕ WINDOWS 7
280
280
280
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
281
281
281
АДМИНИСТРИРОВАНИЕ WINDOWS 7
282
282
282
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
283
283
283
АДМИНИСТРИРОВАНИЕ WINDOWS 7
284
284
284
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
285
285
285
АДМИНИСТРИРОВАНИЕ WINDOWS 7
286
286
286
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
287
287
287
АДМИНИСТРИРОВАНИЕ WINDOWS 7
288
288
288
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
289
289
289
АДМИНИСТРИРОВАНИЕ WINDOWS 7
290
290
290
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
291
291
291
АДМИНИСТРИРОВАНИЕ WINDOWS 7
292
292
292
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
293
293
293
АДМИНИСТРИРОВАНИЕ WINDOWS 7
294
294
294
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
В появившемся окне задается имя для созданного правила, а также его опи-
сание. Имя правила может быть любым понятным пользователю или адми-
нистратору, например Запрет на запуск игры Паук. Описание тоже может
быть любым. В нем можно привести более подробную информацию о пра-
виле.
12. Укажите имя для созданного правила в поле Имя (Name).
13. При необходимости укажите описание для правила в поле Описа-
ние (Description).
14. Нажмите кнопку Создать (Create). Автоматически будет создано не-
сколько правил общего характера и правило с заданными вами усло-
виями (рис. 7.15).
Созданные вами правила располагаются в списке, который отображается
при выделении соответствующей группы в узле AppLocker.
Ранее созданное правило можно изменить. Для этого нужно дважды щел-
кнуть мышью по пункту, соответствующему правилу, которое вы хотите из-
менить. При этом появится диалоговое окно свойств правила (рис. 7.16).
295
295
295
АДМИНИСТРИРОВАНИЕ WINDOWS 7
296
296
296
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
В левой части окна мастера создания правила приведен список шагов, кото-
рые нужно выполнить для создания правила. Переход к следующему шагу
осуществляется с помощью кнопки Далее (Next).
На первой странице мастера создания правила предлагается выбрать тип
правила. Правило можно создать для программы, порта, а также предопре-
деленное (готовое решение) или настраиваемое. Мы настраиваем правило
для программы.
• Выберите тип правила с помощью переключателя в окне мастера соз-
дания правила. Мы выберем положение Для программы (Program).
• Нажмите кнопку Далее (Next). Появится вторая страница мастера
создания правила (рис. 7.18).
298
298
298
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
299
299
299
АДМИНИСТРИРОВАНИЕ WINDOWS 7
300
300
300
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
301
301
301
АДМИНИСТРИРОВАНИЕ WINDOWS 7
302
302
302
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
303
303
303
АДМИНИСТРИРОВАНИЕ WINDOWS 7
304
304
304
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
ÏÎÄÐÎÁÍÎÅ ÎÒÑËÅÆÈÂÀÍÈÅ
В эту группу входят четыре политики, позволяющие настраивать регистра-
цию событий, относящихся к активности отдельных программ:
1. Аудит активности DPAPI (Audit DPAPI Activity). При включении
данного параметра будут регистрироваться все запросы к интерфей-
су защиты данных DPAPI, используемому для защиты конфиденци-
альных данных пользователя.
2. Аудит создания процессов (Audit Process Creation). Данный пара-
метр отвечает за регистрацию создания процессов и имен создавших
их пользователей или названий программ. С помощью этого параме-
тра можно следить за активностью пользователей и использовани-
ем компьютера.
3. Аудит завершения процессов (Audit Process Termination). Данный
параметр позволяет регистрировать завершение процессов.
305
305
305
АДМИНИСТРИРОВАНИЕ WINDOWS 7
ÂÕÎÄ/ÂÛÕÎÄ
Политики данной группы предназначены для настройки аудита событий,
возникающих при локальном или удаленном входе в систему, и могут ис-
пользоваться для мониторинга активности пользователей и выявления атак
на сетевые ресурсы. Группа содержит девять политик:
• Аудит блокировки учетных записей (Audit Account Lockout). Поли-
тика позволяет настроить регистрацию попыток входа под заблоки-
рованной учетной записью пользователя.
• Аудит расширенного режима IPsec (Audit IPsec Extended Mode).
Политика позволяет настроить аудит событий, возникающих при
согласовании расширенного режима протоколов IPsec и IKE.
306
306
306
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
• Аудит основного режима IPsec (Audit IPsec Main Mode). Аудит со-
бытий, возникающих при согласовании основного режима протоко-
лов IPsec и IKE, таких как установка и разрыв соединения.
• Аудит быстрого режима IPsec (Audit IPsec Quick Mode). Параметр
аналогичен двум предыдущим, но применим для быстрого режима
протоколов.
• Аудит выхода из системы (Audit Logoff). Параметр позволяет реги-
стрировать выход пользователя из системы.
• Аудит входа в систему (Audit Logon). Политика позволяет отслежи-
вать события, связанные с входом в систему, такие как удачный и не-
удачный вход, запрет на вход в систему и другие.
• Аудит сервера политик в сети (Audit Network Policy Server). Поли-
тика позволяет регистрировать события, возникающие при выполне-
нии запросов на доступ пользователей по протоколам Radius и NAP.
• Аудит специального входа (Audit Special Logon). Параметр позво-
ляет фиксировать события специального входа, например входа
пользователя с правами, аналогичными правам администратора. По-
скольку такие пользователи могут вносить изменения в систему, ре-
комендуется следить за их активностью.
• Аудит других событий входа и выхода (Audit Other Logon/Logoff
Events). Эта политика позволяет настроить аудит событий, связан-
ных с входом и выходом из системы и не попавших в перечислен-
ные выше политики. К таким событиям относятся подключение и
отключение терминальной сессии, предоставление доступа к прово-
дной или беспроводной сети и другие.
ÄÎÑÒÓÏ Ê ÎÁÚÅÊÒÀÌ
Политики данной группы позволяют настраивать аудит доступа к различ-
ным объектам сети и локального компьютера. Группа содержит двенадцать
политик.
1. Аудит событий, создаваемых приложениями (Audit Application
Generated). Данный параметр позволяет настроить аудит собы-
тий, создаваемых программами, использующими функции аудита
Windows, для регистрации событий, связанных с их работой в жур-
налах операционной системы.
2. Аудит служб сертификации (Audit Certification Services). Данная
политика позволяет регистрировать события, создаваемые служба-
307
307
307
АДМИНИСТРИРОВАНИЕ WINDOWS 7
308
308
308
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
ÈÇÌÅÍÅÍÈÅ ÏÎËÈÒÈÊÈ
В данной группе содержится шесть политик, позволяющих настроить аудит
событий, связанных с изменением или попытками изменения следующих
политик безопасности:
• Аудит изменения политики аудита (Audit Audit Policy Change).
• Аудит изменения политики проверки подлинности (Audit Authenti-
cation Policy Change).
• Аудит изменения политики авторизации (Audit Authorization Policy
Change).
• Аудит изменения политики платформы фильтрации (Audit Filtering
Platform Policy Change).
• Аудит изменения политики на уровне правил MPSSVC (Audit
MPSSVC Rule-Level Policy Change).
• Аудит других событий изменения политики (Audit Other Policy
Change Events).
Последний параметр позволяет регистрировать события, не попадающие в
перечисленные выше категории, такие как Операции поставщиков служб
шифрования (Cryptographic provider operations), Самотестирование шиф-
рования в режиме ядра (Kernel-mode cryptographic self tests) и другие.
Отслеживание событий перечисленных категорий является одной из со-
ставляющих управления безопасностью локальной сети.
ÈÑÏÎËÜÇÎÂÀÍÈÅ ÏÐÀÂ
Группа содержит три политики, позволяющие настроить аудит событий,
309
309
309
АДМИНИСТРИРОВАНИЕ WINDOWS 7
ÑÈÑÒÅÌÀ
В данную группу входят политики, позволяющие настроить аудит событий
системного уровня, не входящих в другие группы политик узла, но также от-
носящихся к безопасности. Группа содержит следующие политики:
• Аудит драйвера IPsec (Audit IPsec Driver). Аудит запуска и останов-
ки службы IPsec, сброса пакетов данных с открытым текстом или на-
рушенной целостностью и других событий, возникающих при рабо-
те драйвера IPsec.
• Аудит других системных событий (Audit Other System Events). По-
литика позволяет отслеживать запуск, остановку и обработку поли-
тики безопасности встроенным брандмауэром, операции миграции и
операции с ключами шифрования.
• Аудит изменения состояния безопасности (Audit Security State
Change). Аудит событий при изменении состояния безопасности
компьютера — запуск и выключение компьютера, изменение си-
стемного времени, восстановление системы администратором при
CrashOnAuditFail.
• Аудит расширения системы безопасности (Audit Security System
Extension). Политика позволяет вести аудит установки служб и за-
310
310
310
ГЛАВА 7. АДМИНИСТРИРОВАНИЕ ПАРАМЕТРОВ БЕЗОПАСНОСТИ WINDOWS 7
Çàêëþ÷åíèå
Политики, рассмотренные кратко в этой главе, влияют в первую очередь на
безопасность вашего компьютера, а если он включен в локальную сеть, то и
на безопасность других компьютеров, особенно если компьютер исполняет
роль сервера. Неправильная настройка этих политик может отрицательно
сказаться не только на защите, но и на функциональности операционной си-
стемы. В связи с этим рекомендуется перед настройкой какой-либо полити-
ки как минимум внимательно прочитать ее описание, а лучше найти допол-
нительную информацию по интересующим вас параметрам. Описания неко-
торых политик содержат ссылки на дополнительные источники информа-
ции по настраиваемым параметрам. Также материалы по политикам можно
найти на сайте technet.microsoft.com.
311
311
311
Ãëàâà 8.
Óïðàâëåíèå êîíôèãóðàöèÿìè
Internet Explorer
При настройке параметров операционной системы особое внимание уделя-
ется браузеру. Связано это не только с тем, что практически на любом со-
временном компьютере браузер является одной из основных рабочих про-
грамм, но и с тем, что именно эта программа чаще остальных контактирует с
потенциально опасными ресурсами, расположенными в Интернете. Браузер
Internet Explorer поставляется вместе с операционной системой Windows и
довольно тесно с ней интегрирован, и через него основная масса вредонос-
ных программ попадает в систему. Частично это происходит из-за того, что
Internet Explorer является наиболее распространенным браузером и боль-
шинство вредоносных программ используют ошибки в его программном
коде для проникновения на компьютер, но чаще всего из-за неосторожных
действий пользователей, посещающих сомнительные ресурсы или изменя-
ющих настройки безопасности браузера, тем самым снижая эффективность
защиты.
В этой главе рассмотрим политики, применяемые для управления браузе-
ром Internet Explorer. Хотя некоторые политики можно использовать для
настойки интерфейса, все же большинство этих политик служат для огра-
ничения функциональности браузера или запрещают изменение настроек и
обычно используются как один из элементов усиления безопасности опера-
ционной системы Windows.
Поскольку политик, отвечающих за конфигурацию браузера, довольно мно-
го, то в качестве примеров рассмотрим лишь часть политик, отвечающих за
интерфейс и безопасность браузера.
Как уже упоминалось ранее, политики будут применяться либо к компью-
теру, независимо от того, какой пользователь за ним работает, либо к теку-
щему пользователю или группе пользователей, в зависимости от того, в ка-
кой оснастке консоли и в каком кусте производятся изменения. В дальней-
ших примерах будут использоваться две оснастки: Политика «Локальный
компьютер» (Local Computer Policy) для настройки политик компьюте-
ра и учетной записи администратора и Политика «Локальный компьютер\
Не администраторы» (Local Computer\Non-Administrators Policy) для на-
стройки политик пользователей, не являющихся администраторами.
313
313
313
АДМИНИСТРИРОВАНИЕ WINDOWS 7
ÍÀÑÒÐÎÉÊÀ ÌÅÍÞ
За настройку меню браузера отвечает узел Меню браузера (Browser menus).
Этот узел располагается только в кусте Конфигурация пользователя (User
Configuration), поэтому данные политики могут применяться только к кон-
кретным пользователям или группам пользователей.
С помощью узла Меню браузера (Browser menus) можно отключать отдель-
ные команды меню браузера. Как правило, политики этого узла используют-
ся для того, чтобы пользователи не могли совершать определенные действия
с помощью команд меню браузера, например, сохранять веб-страницы кор-
поративного сайта на локальный диск.
Поскольку политики рассчитаны на работу с различными версиями браузе-
ров, некоторые названия команд в политиках могут отличаться от названий
пунктов меню браузера, например, политика Меню Файл: Отключить пункт
«Создать» (File menu: Disable New menu options) отключает не только ука-
занную команду в скрытом по умолчанию классическом меню, но и команду
на панели команд Страница ⇒ Новое окно (Page ⇒ New Window).
В качестве примера отключим возможность сохранять просматриваемые
веб-страницы на жесткий диск пользователям, не входящим в группу адми-
нистраторов.
1. Откройте консоль управления и выберите оснастку Политика «Ло-
кальный компьютер\Не администраторы» (Local Computer\Non-
Administrators Policy).
314
314
314
ГЛАВА 8. УПРАВЛЕНИЕ КОНФИГУРАЦИЯМИ INTERNET EXPLORER
315
315
315
АДМИНИСТРИРОВАНИЕ WINDOWS 7
316
316
316
ГЛАВА 8. УПРАВЛЕНИЕ КОНФИГУРАЦИЯМИ INTERNET EXPLORER
317
317
317
АДМИНИСТРИРОВАНИЕ WINDOWS 7
318
318
318
ГЛАВА 8. УПРАВЛЕНИЕ КОНФИГУРАЦИЯМИ INTERNET EXPLORER
Рис. 8.3. Диалоговое окно Удаление истории обзора с неактивным пунктом Журнал
Ñðåäñòâà áåçîïàñíîñòè
Параметров, отвечающих за безопасность браузера, в Internet Explorer пред-
усмотрено достаточно много, а политик, обеспечивающих ее, еще больше.
Часть политик, отвечающих за обеспечение безопасности, собрана в узле
Средства безопасности (Security Features). Этот узел есть и в кусте Кон-
фигурация компьютера (Computer Configuration), и в кусте Конфигура-
ция пользователя (User Configuration). В зависимости от того, с какой це-
лью выполняются настройки, следует использовать различные кусты. Отме-
чу также, что количество политик узла в обоих кустах неодинаково — куст
Конфигурация компьютера (Computer Configuration) содержит дополни-
тельный параметр Отключить предотвращение выполнения данных (Turn
off Data Execution Prevention), отвечающий за работу функции предотвра-
щения выполнения данных DEP для браузера.
Большая часть политик этого узла настраивается однотипно и содержит три
параметра, отвечающих за различные области применения политики:
319
319
319
АДМИНИСТРИРОВАНИЕ WINDOWS 7
320
320
320
ГЛАВА 8. УПРАВЛЕНИЕ КОНФИГУРАЦИЯМИ INTERNET EXPLORER
321
321
321
АДМИНИСТРИРОВАНИЕ WINDOWS 7
322
322
322
ГЛАВА 8. УПРАВЛЕНИЕ КОНФИГУРАЦИЯМИ INTERNET EXPLORER
323
323
323
АДМИНИСТРИРОВАНИЕ WINDOWS 7
324
324
324
ГЛАВА 8. УПРАВЛЕНИЕ КОНФИГУРАЦИЯМИ INTERNET EXPLORER
ÂÊËÀÄÊÀ «ÄÎÏÎËÍÈÒÅËÜÍλ
В этом узле располагается ряд параметров, которые заметно влияют на безо-
пасность как браузера, так и операционной системы в целом. Ниже перечис-
лены параметры, которые рекомендуется изменить:
• Проверять, не отозван ли сертификат сервера (Check for server cer-
tificate revocation) — этот параметр желательно включить в качестве
дополнительной защиты от мошенничества, поскольку по умолча-
нию проверка действительности электронного сертификата веб-
сервера не производится.
• Запретить сброс параметров Internet Explorer (Do not allow reset-
ting Internet Explorer settings) — включение данного параметра сде-
лает кнопку Сброс (Reset) на вкладке Дополнительно (Advanced)
диалогового окна Свойства обозревателя (Internet Options) неак-
тивной, и пользователи не смогут случайно или намеренно сбросить
настройки браузера на первоначальные.
• Проверка подписи для загруженных программ (Check for signa-
tures on downloaded programs) и Разрешать установку или выпол-
нение программ с недействительной цифровой подписью (Allow
325
325
325
АДМИНИСТРИРОВАНИЕ WINDOWS 7
326
326
326
ГЛАВА 8. УПРАВЛЕНИЕ КОНФИГУРАЦИЯМИ INTERNET EXPLORER
327
327
327
АДМИНИСТРИРОВАНИЕ WINDOWS 7
328
328
328
ГЛАВА 8. УПРАВЛЕНИЕ КОНФИГУРАЦИЯМИ INTERNET EXPLORER
329
329
329
АДМИНИСТРИРОВАНИЕ WINDOWS 7
330
330
330
ГЛАВА 8. УПРАВЛЕНИЕ КОНФИГУРАЦИЯМИ INTERNET EXPLORER
331
331
331
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Çàêëþ÷åíèå
Описанные в этой главе политики составляют весьма небольшую часть от
имеющихся в редакторе. Большая часть не рассмотренных в этой главе по-
литик, относящихся к настройке браузера, имеет довольно подробное опи-
сание и рекомендации по использованию, понятные даже неспециалисту. С
этими описаниями настоятельно рекомендуется внимательно ознакомить-
ся перед изменением настроек, даже если название политики четко говорит
о ее назначении, поскольку действие некоторых политик распространяется
только на старые версии браузера, а иногда и операционной системы.
332
332
332
Ãëàâà 9.
Àäìèíèñòðèðîâàíèå ñðåäû
Windows 7 (Ïðîâîäíèê è ò.ä.)
Проводник Windows представляет собой удобное средство, реализующее
графический интерфейс доступа к файлам и папкам операционной систе-
мы, то есть Проводник Windows является стандартным файловым менед-
жером операционной системы Windows. В Редакторе локальной группо-
вой политики имеется специальный узел Административные шаблоны ⇒
Компоненты Windows ⇒ Проводник Windows (Administrative Templates
⇒ Windows Components ⇒ Windows Explorer), в котором можно найти не-
сколько десятков параметров политик, позволяющих произвести настрой-
ку Проводника Windows и компонентов операционной системы, использу-
ющих Проводник. Также в этом узле находятся параметры политик, напря-
мую не связанные с работой Проводника Windows, решающие более гло-
бальные вопросы, например вопросы безопасности операционной системы.
В данной главе будут рассмотрены параметры политик узла Проводник
Windows (Windows Explorer). Даже если при работе с компьютером вы не
используете Проводник Windows, а пользуетесь файловым менеджером сто-
роннего производителя, рекомендуется не пропускать эту главу, ведь в ука-
занном узле содержится множество интересных и важных параметров поли-
тик, имеющих к Проводнику Windows неочевидное отношение. Знания, по-
лученные в данной главе, помогут повысить уровень безопасности операци-
онной системы и сделать работу с компьютером удобнее.
334
334
334
ГЛАВА 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7
335
335
335
АДМИНИСТРИРОВАНИЕ WINDOWS 7
336
336
336
ГЛАВА 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7
(Turn off the display of thumbnails and only display icons on network folders)
можно отключить отображение эскизов только для сетевых папок, при этом
для всех остальных папок эскизы отображаться будут, тем самым не снижа-
ется удобство работы с локальными ресурсами. Данный параметр политики
располагается в том же узле, что и предыдущий.
Многие пользователи, перейдя с Windows 2000 и более ранней версии опе-
рационной системы семейства Windows на более новые, ощущали некото-
рый дискомфорт при работе с именами файлов в программе Проводник
Windows. Одной из причин неудобств оказалось то, что в старых версиях
операционных систем использовалось алфавитное упорядочивание число-
вых имен, то есть каждый разряд числа распознавался как отдельный сим-
вол, сравнение имен происходило посимвольно. Так, получалось, что файл
с именем «10.jpg» отображался в папке раньше, чем файл «9.jpg» (рис. 9.1).
Конечно, большинству пользователей это создавало некоторые неудобства,
поэтому в новых версиях операционных систем семейства Windows исполь-
зуется числовое упорядочивание числовых имен. То есть сравнение число-
вых имен осуществляется не посимвольно, а по увеличению значения числа.
То есть файл с именем «9.jpg» отображается в папке раньше, чем файл «10.
jpg».
337
337
337
АДМИНИСТРИРОВАНИЕ WINDOWS 7
338
338
338
ГЛАВА 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7
339
339
339
АДМИНИСТРИРОВАНИЕ WINDOWS 7
340
340
340
ГЛАВА 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7
метить, что данный параметр политики запрещает только лишь вызов кон-
текстных меню. Пользователь по-прежнему может получить доступ други-
ми способами к функциям, заключенным в пунктах этих контекстных меню.
В ранних версиях операционных систем семейства Windows не существова-
ло встроенного программного средства записи компакт-дисков, что создава-
ло пользователям немало проблем: после приобретения соответствующего
устройства необходимо было покупать дополнительное дорогостоящее про-
граммное обеспечение, позволяющее использовать функции записи. В со-
временных операционных системах семейства Windows Проводник имеет
встроенную функцию записи компакт-дисков. Однако многие пользователи
считают возможности записи компакт-дисков Проводника Windows доволь-
но бедными и предпочитают ему платные альтернативы.
Скрыть возможности записи компакт-дисков Проводника Windows очень
просто: достаточно включить параметр политики Удалить возможности за-
писи компакт-дисков (Remove CD Burning features) узла Конфигурация
пользователя ⇒ Административные шаблоны ⇒ Компоненты Windows
⇒ Проводник Windows (User configuration ⇒ Administrative Templates
⇒ Windows Components ⇒ Windows Explorer). При этом стоит заметить,
что данный параметр политики не запрещает запись и перезапись компакт-
дисков в данной операционной системе — он всего лишь скрывает эти воз-
можности в Проводнике Windows, записывать компакт-диски можно будет
по-прежнему, воспользовавшись любым другим программным средством с
данной функцией.
Рассмотрим еще три параметра политики узла Конфигурация пользователя
⇒ Административные шаблоны ⇒ Компоненты Windows ⇒ Проводник
Windows (User configuration ⇒ Administrative Templates ⇒ Windows Com-
ponents ⇒ Windows Explorer): Удалить вкладку «Оборудование» (Remove
Hardware tab), Удалить вкладку DFS (Remove DFS tab) и Удалить вкладку
«Безопасность» (Remove Security tab). Данные параметры политики пред-
назначены, в некоторой степени, помочь администратору в организации по-
литики безопасности системы.
Параметр политики Удалить вкладку «Оборудование» (Remove Hardware
tab) удаляет вкладку Оборудование (Hardware) из диалоговых окон Мышь
(Mouse), Клавиатура (Keyboard) и Звуки и аудиоустройства (Audio Devic-
es) Панели управления, а также из диалогового окна Свойства (Properties)
всех локальных дисков, включая жесткие диски, дискеты и компакт-диски.
Вкладка Оборудование (Hardware) данных диалоговых окон предоставля-
ет пользователю доступ к списку устройств и свойств этих устройств. Так-
же при помощи кнопки Устранение неполадок (Troubleshoot) диалогово-
го окна Оборудование (Hardware) можно искать и устранять связанные с
341
341
341
АДМИНИСТРИРОВАНИЕ WINDOWS 7
342
342
342
ГЛАВА 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7
343
343
343
АДМИНИСТРИРОВАНИЕ WINDOWS 7
344
344
344
ГЛАВА 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7
Ïîëåçíûå ôóíêöèè
В рассматриваемом узле, помимо параметров групповых политик, направ-
ленных непосредственно на работу Проводника Windows, имеются также
параметры, решающие другие вопросы, напрямую не связанные с Прово-
дником. Многие из них могут оказаться действительно очень полезны адми-
нистратору системы, например, параметры политик, направленные на реше-
ние вопросов обеспечения безопасности системы.
345
345
345
АДМИНИСТРИРОВАНИЕ WINDOWS 7
346
346
346
ГЛАВА 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7
Рис. 9.4. Проводник Windows, в котором скрыты все разделы дисков, кроме D
348
348
348
ГЛАВА 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7
349
349
349
АДМИНИСТРИРОВАНИЕ WINDOWS 7
350
350
350
ГЛАВА 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7
351
351
351
АДМИНИСТРИРОВАНИЕ WINDOWS 7
352
352
352
ГЛАВА 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7
353
353
353
АДМИНИСТРИРОВАНИЕ WINDOWS 7
354
354
354
ГЛАВА 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7
355
355
355
АДМИНИСТРИРОВАНИЕ WINDOWS 7
356
356
356
ГЛАВА 9. АДМИНИСТРИРОВАНИЕ СРЕДЫ WINDOWS 7
Çàêëþ÷åíèå
Узел Административные шаблоны ⇒ Компоненты Windows ⇒ Прово-
дник Windows (Administrative Templates ⇒ Windows Components ⇒ Win-
357
357
357
АДМИНИСТРИРОВАНИЕ WINDOWS 7
358
358
358
Ãëàâà 10.
Óïðàâëåíèå
ñåðòèôèêàòàìè
Данная глава во многом отличается от остальных глав книги. В первую оче-
редь отметим тот факт, что использование групповой политики здесь затро-
нуто не будет: глава посвящена использованию оснастки Сертификаты. Эта
оснастка позволяет управлять пользовательскими сертификатами, сертифи-
катами локального или удаленного компьютера, сертификатами удаленной
или локальной службы.
При помощи данной оснастки пользователи могут копировать, перемещать,
удалять, запрашивать, обновлять, находить и просматривать сертификаты —
оснастка Сертификаты выступает в роли основного средства для работы с
сертификатами для пользователей, компьютеров и служб системы.
Öèôðîâûå ñåðòèôèêàòû
Так что же вообще такое цифровые сертификаты и зачем необходимо ими
управлять? Сертификаты открытого ключа, чаще называемые цифровые
сертификаты или просто сертификаты, представляют собой документ с
цифровой подписью, этот документ позволяет определить, каким пользо-
вателям будет разрешен, а каким запрещен доступ к определенным сведе-
ниям. Важным преимуществом цифровых сертификатов является возмож-
ность их пользователям обойтись без использования паролей на узлах, для
предоставления доступа к которым необходимо пройти проверку подлинно-
сти. Вместо применения паролей используется другой процесс, в ходе кото-
рого узел просто устанавливает с поставщиком сертификата доверительные
отношения.
Цифровые сертификаты, как правило, содержат следующие сведения:
• Значение открытого ключа субъекта.
• Идентификационные сведения субъекта. Такими сведениями, на-
пример, являются имя и адрес электронной почты субъекта.
• Срок действия ключа. В течение этого срока сертификат является
действительным. По истечении срока сертификат необходимо об-
новить, в противном случае сертификат будет считаться недействи-
360
360
360
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
361
361
361
АДМИНИСТРИРОВАНИЕ WINDOWS 7
362
362
362
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
Îñíàñòêà Ñåðòèôèêàòû
Для организации управления цифровыми сертификатами в операционной
системе Windows имеется специальная оснастка Сертификаты (рис. 10.1).
Она является удобным средством просмотра и управления цифровыми сер-
тификатами для пользователей, компьютеров и служб системы. При помо-
щи данной оснастки можно просматривать все цифровые сертификаты, хра-
нимые на компьютере, и получать о них исчерпывающую информацию, та-
кую как их место расположения и параметры конфигурации.
К тому же при помощи оснастки Сертификаты пользователь имеет доступ
к различным мастерам, помогающим быстро и просто решать ряд следую-
щих задач:
• Обновление существующих сертификатов.
• Отправка заявок на получение новых сертификатов.
• Поиск сертификатов.
• Импорт сертификатов.
• Экспорт сертификатов
• Архивация сертификатов.
363
363
363
АДМИНИСТРИРОВАНИЕ WINDOWS 7
364
364
364
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
365
365
365
АДМИНИСТРИРОВАНИЕ WINDOWS 7
366
366
366
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
367
367
367
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Ïîëó÷åíèå ñåðòèôèêàòîâ
Весь процесс работы с цифровыми сертификатами начинается, разумеется,
с получения сертификата. Для получения сертификата пользователь, ком-
пьютер или служба должны отправить соответствующий запрос. В зависи-
мости от настроек политики открытого ключа, пользователи, компьютеры и
службы могут отправлять запросы на получение сертификатов автоматиче-
ски без вмешательства пользователя.
Существует также еще несколько способов получения сертификатов: мож-
но отправлять запросы на получение сертификатов вручную при помощи
оснастки Сертификаты, можно воспользоваться мастером запроса сертифи-
катов, доступного также при помощи оснастки Сертификаты, также можно
запрашивать сертификаты через Интернет. Существует еще несколько спо-
собов получить сертификаты.
368
368
368
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
369
369
369
АДМИНИСТРИРОВАНИЕ WINDOWS 7
370
370
370
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
371
371
371
АДМИНИСТРИРОВАНИЕ WINDOWS 7
372
372
372
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
373
373
373
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Îáíîâëåíèå ñåðòèôèêàòîâ
Как уже было сказано выше, каждый сертификат имеет строго определен-
ный срок действия. Как и любой документ, по истечении срока действия он
теряет свою силу и больше не может выступать в роли приемлемого удосто-
верения личности в сети. Поэтому сертификаты, срок действия которых ис-
текает, необходимо обновлять.
Обновить сертификат можно при помощи оснастки Сертификаты, которая
предоставляет для этих целей удобное средство — мастер обновления серти-
374
374
374
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
375
375
375
АДМИНИСТРИРОВАНИЕ WINDOWS 7
376
376
376
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
Ïðîñìîòð ñåðòèôèêàòîâ
Одной из важнейших функций оснастки Сертификаты является возмож-
ность просмотра сертификатов и хранилищ сертификатов в удобном для
пользователя виде.
Хранилища сертификатов позволяют организовать в структуру все серти-
фикаты, хранимые на компьютере, сделать процесс их поиска и работы с
377
377
377
АДМИНИСТРИРОВАНИЕ WINDOWS 7
378
378
378
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
379
379
379
АДМИНИСТРИРОВАНИЕ WINDOWS 7
380
380
380
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
381
381
381
АДМИНИСТРИРОВАНИЕ WINDOWS 7
382
382
382
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
383
383
383
АДМИНИСТРИРОВАНИЕ WINDOWS 7
384
384
384
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
385
385
385
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Óäàëåíèå ñåðòèôèêàòîâ
Иногда возникают ситуации, в которых необходимо удалить цифровой сер-
тификат. Это бывает, например, в случае, если сертификат устарел и был за-
менен новым сертификатом. Также удалению подлежат поврежденные сер-
тификаты, переставшие выполнять свои функции, и сертификаты, к кото-
рым получили доступ посторонние лица.
Примечание. Даже после удаления цифрового сертификата соответствующий
ему закрытый ключ не удаляется.
386
386
386
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
Ïîèñê ñåðòèôèêàòîâ
С течением времени на компьютере может накопиться большое количе-
ство цифровых сертификатов. Когда возникнет необходимость обратиться
к какому-то конкретному сертификату через оснастку вручную, найти его
среди остальных сертификатов бывает непросто. Для решения задачи поис-
ка сертификатов в оснастке Сертификаты предусмотрена соответствующая
функция.
Чтобы воспользоваться функцией поиска нужного сертификата:
1. Запустите оснастку Сертификаты (Certificates).
2. В дереве оснастки разверните узел:
• Сертификаты — текущий пользователь (Certificates — Cur-
rent User), если в роли объекта администрирования вы выбра-
ли пользователя.
• Сертификаты (Certificates), если в роли объекта администри-
рования вы выбрали компьютер.
• Сертификаты — служба (Certificates — Service), если в роли
объекта администрирования вы выбрали службу.
3. В главном меню Консоли управления MMC выберите пункт Дей-
ствие ⇒ Поиск сертификатов (Action ⇒ Find Certificates). Откро-
ется диалоговое окно Поиск сертификатов (Find Certificates) (рис.
10.8).
4. В раскрывающемся списке Искать в (Find in) диалогового окна По-
иск сертификатов (Find Certificates) выберите, в каком хранилище
сертификатов будет осуществляться поиск. Выберите Все храни-
лища сертификатов (All certificate stores), если необходимо осуще-
ствить поиск среди всех хранилищ сертификатов системы.
5. В раскрывающемся списке Искать в поле (Look in Field) диалого-
вого окна Поиск сертификатов (Find Certificates) выберите, каки-
ми полями сертификата ограничится поиск. При этом вам доступны
следующие варианты:
• Кем выдан (Issued By). Поиск осуществляется в имени постав-
щика сертификата.
• Кому выдан (Issued To). Поиск осуществляется в имени
субъекта-владельца сертификата.
• Серийный номер (Serial Number). Поиск осуществляется в се-
рийном номере цифрового сертификата.
387
387
387
АДМИНИСТРИРОВАНИЕ WINDOWS 7
389
389
389
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Ïåðåìåùåíèå ñåðòèôèêàòîâ
Для удобства навигации хранилище сертификатов операционной системы
разбито на несколько более мелких хранилищ. В общем случае это очень
удобно, найти необходимый сертификат в большинстве случаев можно
очень быстро, не прибегая к функции поиска. Однако данный механизм мо-
жет стать причиной проблем: многие приложения ищут необходимый серти-
фикат только в одном хранилище сертификатов, игнорируя все остальные.
Если же сертификат был случайно помещен не в то хранилище сертифика-
тов, то он может быть попросту потерян такими приложениями.
390
390
390
ГЛАВА 10. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ
391
391
391
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Çàêëþ÷åíèå
В наши дни использование цифровых сертификатов стремительно набирает
обороты, поэтому уважающий себя системный администратор обязан иметь
навыки работы с ними. Надеемся, данная глава помогла вам в решении этого
вопроса, и при необходимости вы сможете воспользоваться оснасткой Сер-
тификаты: если необходимо найти конкретный сертификат, вы воспользу-
етесь функцией поиска, знаете, как получить необходимые сведения о сер-
тификате и как изменить его свойства, знаете, как организовано хранилище
сертификатов, и имеете представление о том, как послать запрос в центр сер-
тификации на получение или обновление сертификата… Список можно про-
должать еще долго: в данной главе вопрос управления сертификатами был
рассмотрен довольно глубоко. Если что-то из перечисленного вы упустили
— ничего страшного: данная тема довольно сложна и имеет множество нюан-
сов, не все запоминается сразу. К тому же вы всегда можете перечитать главу.
392
392
392
Ïðèëîæåíèå 1. Êàíîíè÷åñêèå èìåíà
ýëåìåíòîâ ïàíåëè óïðàâëåíèÿ â Windows 7
393
393
393
АДМИНИСТРИРОВАНИЕ WINDOWS 7
Microsoft.WindowsAnytimeUp-
Windows Anytime Upgrade
grade
394
394
394
ПРИЛОЖЕНИЕ
395
395
395
Элемент Панели управления Каноническое имя
Microsoft.ScannersAndCam-
Сканеры и камеры (Scanners and Cameras)
eras
396
396
396
Группа подготовки издания:
Зав. редакцией компьютерной литературы: М. В. Финков
Редактор: М. А. Финкова
Корректор: А. В. Громова