Стремясь упростить управление групповыми политиками, специалисты Майкрософт удалили средства управления из инструментария Active Directory и переместили их в консоль Управление групповой политикой (Group Policy Management, GPMC). Консоль GPMC добавляется в Windows Server 2008 при помощи мастера добавления компонентов. Она также включена в комплект Windows Vista и доступна для загрузки на веб-сайте Майкрософт. После установки GPMC на сервере команда для ее вызова помещается в меню Администрирование (Administrative Tools).
Если вы хотите отредактировать GPO в GPMC, консоль открывает Редактор управления групповыми политиками (Group Policy Management Editor), который применяется для управления параметрами политик. Если бы в Майкрософт остановились на двух этих инструментах, мы получили бы замечательную и простую в использовании среду для управления политиками. К сожалению, существует еще несколько почти идентичных редакторов, в том числе:
• Редактор GPO инициирующей программы групповой политики (Group Policy Starter GPO Editor) Редактор для создания стартовых объектов политики и управления ими. Как следует из названия, стартовый GPO призван стать отправной точкой для разработки объектов политики в вашей организации. Создавая новый объект политики, вы можете указать на стартовый GPO в качестве его основы.
• Редактор объектов локальной групповой политики (Local Group Policy Object Editor) Редактор для создания объектов политики на локальном компьютере и управления ими. Как следует из названия, локальные GPO содержат параметры политик для конкретного компьютера, а не для сайта, домена или подразделения.
Если вам приходилось работать в предыдущих версиях Windows, в частности, в Windows Server 2003, то вы знакомы также с Редактором объектов групповой политики (Group Policy Object Editor, GPOE), который был в них основным инструментом редактирования объектов политики. Редакторы Group Policy Object Editor, Group Policy Management Editor, Group Policy Starter GPO Editor и Local Group Policy Object Editor практически идентичны. Разница лишь в наборе объектов политики, доступ к которым они предоставляют. По этой причине в дальнейшем я не буду их различать, используя обобщающий термин «редакторы политики», при необходимости упоминая о различиях. Иногда я будут также использовать для обозначения редакторов политики сокращение GPOE.
Параметрами политик Windows Vista и Windows Server 2008 можно управлять только с компьютеров, работающих под управлением Windows Vista и Windows Server 2008. Это связано с появлением в Windows Vista и Windows Server 2008 усовершенствованных версий GPOE и GPMC, работающих с новым форматом административных шаблонов на базе XML — ADMX.
Для перехода па новый формат у Майкрософт было много причин. Главная из них — потребность в большей гибкости и расширяемости. Поскольку ADMX-файлы создаются при помощи XML, они четко структурированы, что упрощает и ускоряет их разбор при инициализации. Это повышает производительность обработки групповой политики при запуске и остановке ОС, входе и выходе пользователя из системы, а также при обновлении политики. Кроме того, четкая структура ADMX-файлов отвечает намерениям Майкрософт в области интернационализации.
Файлы ADMX делятся на файлы, не зависящие от языка, с расширением .admx и файлы для конкретных языков с расширением .adml. Независимые от языка файлы гарантируют идентичность ключевых политик GPO. Языковые файлы позволяют просматривать и редактировать политики на различных языках — один пользователь может редактировать политики на английском языке, другой — на испанском и пр. Выбор языка определяется тем, какой языковой пакет установлен на конкретном компьютере.
Когда вы запускаете редактор политик, он автоматически считывает ADMX-файлы из папки с определениями политик. Чтобы при редактировании GPO получить доступ к нужным ADMX-файлам, скопируйте их в соответствующую папку. Если в момент копирования редактор был запущен, перезапустите его.
В доменах ADMX-файлы можно хранить в центральном хранилище — общей доменной папке в каталоге Sysvol (%SystemRoot%\Sysvol\Domain\ Policies). Если вы используете центральное хранилище, административные шаблоны уже не хранятся с каждым GPO. Вместо этого в GPO хранится только текущее состояние параметров, а файлы ADMX хранятся централизованно. В результате сокращается использование дискового пространства, а также объем данных, которые нужно реплицировать. Если вы редактируете GPO средствами Windows Vista или Windows Server 2008, ни файлы ADM, ни файлы ADMX внутри GPO не хранятся.
В доменном режиме Windows Server 2008 реализован новый механизм репликации групповой политики — служба репликации DFS. Он способен реплицировать только изменения в GPO, избавляя от необходимости после внесения изменений реплицировать GPO целиком.
В отличие от Windows Server 2003, в Windows Server 2008 для изоляции обработки и уведомлений групповой политики от процесса входа Windows используется служба клиента групповой политики. Разделение групповой политики и процесса входа Windows сокращает объем ресурсов, необходимых для фоновой обработки политики, повышает общую производительность и делает применение новых файлов групповой политики частью процесса обновления без необходимости перезапуска.
В Windows Server 2008 не применяется функциональность журналов трассировки в userenv.dll. События групповой политики записываются в системный журнал. На смену журналу Userenv пришел операционный журнал групповой политики. Разбираясь с проблемами групповой поли гики, читайте именно операционный журнал. В консоли Просмотр событий (Event Viewer) вы найдете его в узле Журналы приложений и служб\Місго50гг\ Windows\GroupPolicy (Applications And Services Logs\Microsoft\Win-dows\GroupPolicy ).
Вместо протокола ICM P (ping) в Windows Server 2008 применяется служба сетевого расположения (Network Location Awareness, NLA). Благодаря ей компьютер знает, к сети какого типа он в данный момент подключен и способен реагировать на изменения состояния системы или сетевой конфигурации. При помощи NLA клиент групповой политики определяет состояние компьютера, состояние сети и скорость сетевого соединения для выявления медленных подключений.
Добавить компонент . Выберите компонент Управление групповой политикой в диалоговом окне Мастер добавления компонентов и следуйте инструкциям мастера. По завершению установки закройте мастер установки. Также есть альтернативный способ установки данного компонента использование командной строки и утилиты управления конфигурацией сервера. В командной строке, запущенной с правами администратора введите ServerManagerCmd -install gpmc . При желании вы можете вывести результат установки в xml файл, используя параметр resultPath .