Групові політики Windows Vista
Можливості групових політик у Windows Vista набагато ширші, ніж у попередніх версіях Windows. Давайте детальніше розглянемо деякі значні зміни у групових політиках.
У Windows Vista значно оновлено інфраструктуру групових політик. Коли організації по всьому світу почнуть активно використовувати Windows Vista, багато адміністраторів навіть не помітять різниці, оскільки всі численні зміни групових політик приховані. Однак адміністратори, безперечно, побачать, що можливості групових політик у Windows Vista™ набагато ширші, ніж у попередніх версіях.
До Windows Vista за обробку групових політик відповідав процес winlogon. Процес Winlogon відповідав за виконання багатьох завдань, у тому числі за вхід користувачів до системи та обслуговування групових політик. Тепер групові політики є окремою службою Windows. Більше того, ця служба має високий рівень захисту, що означає, що її не можна зупинити і адміністратор не може отримати права відключення групових політик. Ці зміни підвищують загальну надійність механізму групових політик.
І це лише початок. Давайте детальніше розглянемо деякі значні зміни у групових політиках.
Доступність розширеної інформації мережі
До появи Windows Vista механізм групових політик намагався визначити швидкість підключення до мережі. Ця інформація використовувалася для того, щоб визначити, які параметри політик слід застосовувати. При низькій швидкості зв'язку на комп'ютер користувача відправлялися не всі параметри політик, оскільки їхнє завантаження займало досить багато часу. У новій службі групових політик цю функцію також збережено. Однак змінено принцип розрахунку поточної швидкості мережі.
Раніше швидкість визначалася за допомогоюнадсилання пакетів ICMP ping на контролери домену. З використанням цього підходу виникало багато проблем. Насамперед багато адміністраторів відключають пакети ICMP на своїх маршрутизаторах. По-друге, розрахунки були ненадійними у випадках, коли з'єднання здійснювалося через канали з високим рівнем затримки (наприклад, супутникові канали). У таких ситуаціях механізм групових політик не міг визначити, чи є з'єднання справді швидким, чи ні.
Крім того, механізм групових політик не міг визначати випадки, коли комп'ютер підключався до мережі після тривалого простою. Також механізм групових політик було визначати і випадки, коли комп'ютер підключався до мережі після тривалого часу роботи у автономному режимі. На комп'ютерах під керуванням Windows XP або Windows 2000 користувач міг підключитися до мережі, перевірити електронну пошту та вимкнутись, і при цьому оновлення групових політик не виконувалося. Більшість адміністраторів хотіли б оновлювати групові політики на системах, які знову підключаються до мережі після тривалого простою або після тривалого періоду автономної роботи.
Нова служба групових політик Windows Vista розуміє основні аспекти підключення до мережі реального часу. Основна зміна полягає в тому, що тепер механізм групових політик використовує обробник NLA 2.0 Windows Vista. Служба NLA просто повідомляє службу групових політик про доступність контролера домену. Якщо контролер домену доступний, за потреби виконується оновлення групових політик.
Використання декількох локальних об'єктів GPO
До появи Windows Vista підтримувалося використання лише одного об'єкта локальної групової політики (GPO). Якщо ви набирали GPEDIT.MSC в командному рядку і вносили деякі зміниЦі зміни впливали на всіх користувачів та адміністраторів, які використовували цей комп'ютер. Це нерідко являло собою проблему, наприклад, у ситуаціях, коли потрібно видалити команду «Виконати» з меню «Пуск» для звичайних користувачів, але залишити її доступною для адміністраторів.
Можливість використання кількох локальних об'єктів GPO дозволяє вирішити цю проблему за допомогою багаторівневої системи GPO. Ця можливість буде в основному використовуватися на системах, які не входять до домену Active Directory. Однак вона може бути корисною і для кінцевих користувачів.
Нова багаторівнева система локальних об'єктів GPO може бути трохи складною (див. малюнок 1). За умовчанням локальний об'єкт GPO, як і раніше, діє в контексті локальної системи та впливає на всіх користувачів цієї системи. Цей об'єкт GPO визначає параметри комп'ютера та параметри користувача.
Другий рівень стосується або учасників локальної групи Адміністратори, або всіх інших користувачів. Обліковий запис користувача за визначенням не може перебувати в обох групах одночасно. Цей рівень визначає, чи користувач є адміністратором або звичайним користувачем локальної системи, а потім використовує відповідний об'єкт GPO (для адміністраторів або для інших користувачів). Третій рівень стосується конкретних облікових записів користувачів локальної системи.
Отже, ми перерахували три локальні об'єкти GPO, які можуть вплинути на будь-якого користувача комп'ютера. Наприклад, ви можете використовувати три рівні для налаштування параметрів для всіх користувачів комп'ютера, для налаштування додаткових параметрів, що діють лише дляадміністраторів, і для налаштування ще кількох параметрів, що діють лише одного користувача комп'ютера .
Зрозуміло, якщо система входить до домену Active Directory®, об'єкти групових політик Active Directory мають пріоритет щодо об'єктів локальних політик. Також слід зазначити, що адміністратори домену можуть вимкнути обробку всіх локальних об'єктів GPO у Windows Vista.
Повідомлення про помилки, пошук та усунення несправностей
У Windows Vista використовується нова система журналу подій. Механізм групових політик використовує цю нову систему під назвою Windows Eventing 6.0 (також звану журналом подій) і поділяє події на два журнали. Вже знайомий більшості фахівців системний журнал (тепер називається Адміністративний журнал) містить перелік проблем із груповими політиками. При виникненні помилки в механізмі групових політик ця помилка повинна публікуватися в системному журналі, при цьому слід зазначити, що джерелом помилки є служба групових політик (а не процес Userenv).