Jak zaimplementować zasady systemowe dla komputerów klienckich opartych na systemie Windows XP, Windows 2000 i systemie Windows Server 2003 w środowiskach innych niż środowiska usługi Active Directory

Dotyczy: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows XP Professional

Podsumowanie


W tym artykule omówiono sposób implementacji zasad systemowych dla komputerów klienckich opartych na systemie Microsoft Windows XP, Microsoft Windows 2000 i Microsoft Windows Server 2003 w środowiskach nieaktywnych usług katalogowych.

WPROWADZENIE


Przed implementacją ustawień zasad grupy i usługi Active Directory w systemie Windows 2000 ustawienia zasad komputera i użytkownika zostały zaimplementowane jako system Microsoft Windows NT "Zasady systemowe". Zasady grupy systemu Windows NT miały następujące ograniczenia dotyczące ustawień zasad grupy usługi Active Directory:
  • Zasady zachowują się w profilu użytkownika do momentu cofnięcia określonych zasad lub zmiany odpowiedniego ustawienia rejestru. To zachowanie jest często nazywane "tatuażem" rejestru.
  • Zasady nie są bezpieczne.
  • Nie można odświeżyć zasad bez ponownego uruchamiania.
Zasady grupy obejmują funkcjonalność zasad systemu Windows NT 4,0. W zasadach grupy są również dostępne dodatkowe ustawienia zasad dla następujących elementów:
  • Skryptów
  • Instalacja i konserwacja oprogramowania
  • Ustawienia zabezpieczeń
  • Konserwacja programu Microsoft Internet Explorer
  • Przekierowanie folderu
W poniższej tabeli porównano zasady grupy i zasady systemowe systemu Windows NT 4,0.
PorównującZasady grupyZasady systemowe systemu Windows NT 4,0
Narzędzie używanePrzystawka Zasady grupy programu Microsoft Management Console (MMC)Edytor zasad systemowych (Poledit. exe)
Liczba ustawieńPonad 150 ustawień związanych z zabezpieczeniami i ponad 620 ustawień opartych na rejestrzeustawienia 72
Zastosowane doUżytkownicy lub komputery w określonym kontenerze usługi Active Directory (witrynie, domenie lub jednostce organizacyjnej) albo komputery i Użytkownicy lokalniDomeny lub komputery i Użytkownicy lokalni
ZabezpieczeńZabezpieczonąNiezabezpieczone
Rozszerzalne przezPliki programu MMC lub plików admpliki adm
ZostawW przypadku zmiany zasad obowiązujących w profilach użytkowników nie są pozostawiane ustawieniaStałe w profilach użytkowników do momentu cofnięcia określonych zasad lub zmiany rejestru
Zdefiniowane przezCzłonkostwo użytkownika lub komputera w grupach zabezpieczeńCzłonkostwo użytkownika w grupach zabezpieczeń
Główne zastosowaniaWdrożenie ustawień opartych na rejestrze w celu sterowania pulpitem i użytkownikiem. Konfigurowanie wielu typów ustawień zabezpieczeń. Stosowanie skryptów logowania, wylogowywania, uruchamiania i zamykania. Zaimplementuj instalację i konserwację oprogramowania IntelliMirror. Implementowanie zarządzania danymi i ustawieniami usługi IntelliMirror. Optymalizowanie i obsługa programu Internet Explorer. Implementowanie ustawień opartych na rejestrze, które kontrolują zachowanie aplikacji i składników systemu operacyjnego, takich jak menu Start.

Więcej informacji


Które narzędzie ma być używane dla określonego zadania zarządzania

W środowisku bez usługi Active Directory można zarządzać zasadami systemu za pomocą różnych narzędzi. Narzędzia, których można używać, obejmują następujące elementy:
  • Program Microsoft Systems Management Server (SMS) 2003 do zarządzania dystrybucją oprogramowania
  • Zestaw Internet Explorer Administration Kit umożliwiający zarządzanie ustawieniami programu Internet Explorer
  • Zasady systemowe do zarządzania ustawieniami opartymi na rejestrze
Ponadto każdy komputer lokalny ma własny lokalny obiekt zasad grupy, bez względu na to, czy komputer uczestniczy w domenie. Chociaż Administratorzy mogą konfigurować różne ustawienia, korzystając z lokalnego obiektu zasad grupy, zasady systemowe są łatwiejsze do wielu klientów. Lokalny obiekt zasad grupy jest przydatny, jeśli chcesz zastosować określone ustawienia do małej liczby klientów usługi Active Directory w domenie opartej na systemie Windows NT 4,0 lub w innych domenach nieaktywnych. W przypadku komputerów klienckich usługi Active Directory, które działają w innych środowiskach, na przykład w systemach Windows NT 4,0, UNIX, Novell lub mieszanych, funkcje i narzędzia do zarządzania komputerem mogą być różne. W poniższej tabeli podsumowano różnice między narzędziami i funkcjami zarządzania komputerami w środowiskach usługi Active Directory oraz w środowiskach innych niż usługi Active Directory.
Zadanie zarządzaniaUsługa Active DirectoryNie-Active Directory
Konfigurowanie ustawień opartych na rejestrze dla komputerów i użytkowników.Szablony administracyjne wdrożone przy użyciu zasad grupy. Szablony administracyjne wdrożone przy użyciu lokalnego obiektu zasad grupy. Zasady systemowe. Lokalny obiekt zasad grupy.
Zarządzanie lokalnym, domeną i zabezpieczeniami sieci.Ustawienia zabezpieczeń wdrożone przy użyciu zasad grupy. Ustawienia zabezpieczeń wdrożone przy użyciu lokalnego obiektu zasad grupy. Lokalny obiekt zasad grupy.
Centralne Instalowanie, aktualizowanie i usuwanie oprogramowania.Programem. Dystrybucja programowa na podstawie zasad grupy. Programem.
Zarządzaj ustawieniami konfiguracji programu Internet Explorer po wdrożeniu.Konserwacja programu Internet Explorer w przystawce MMC Zasady grupy. Konserwacja programu Internet Explorer została wdrożona przy użyciu lokalnego obiektu zasad grupy. Zestaw Internet Explorer Administration Kit (IEAK). Lokalny obiekt zasad grupy. Zestaw.
Stosowanie skryptów podczas logowania/wylogowywania użytkowników oraz podczas uruchamiania/zamykania komputera.Skrypty logowania/wylogowywania oraz uruchamiania/zamykania można konfigurować centralnie za pomocą zasad grupy lub niezależnie za pomocą lokalnego obiektu zasad grupy.Lokalny obiekt zasad grupy.
Centralne zarządzanie folderami użytkowników i plikami w sieci.Lokalny obiekt zasad grupy.Zasady systemowe. Manipulowanie ustawieniami rejestru za pomocą skryptów logowania.
Centralne zarządzanie ustawieniami użytkowników w sieci.Profile użytkowników mobilnych.Profile użytkowników mobilnych dla domen systemu Windows.
Za pomocą protokołów opartych na standardach, takich jak TCP/IP, Simple Network Management Protocol (SNMP), Telnet i Internetwork Packet Exchange (IPX) można także zarządzać pulpitami opartymi na systemie Microsoft Windows XP Professional w systemie UNIX i sieciach Novell. Aby włączyć administrację opartą na zasadach w systemie UNIX i sieciach Novell, Użyj lokalnego obiektu zasad grupy lub zasad systemu.

Konfigurowanie zasad systemowych

Narzędzie Poledit. exe

Zasady systemowe są tworzone przy użyciu narzędzia edytora zasad systemu Windows NT 4,0 (Poledit. exe) do tworzenia pliku zasad (Ntconfig. pol). Pole Poledit. Narzędzie exe jest instalowane z systemem Windows 2000 Server i z systemem Windows 2000 Advanced Server. za pomocą narzędzia Poledit. exe na komputerach z systemem Windows 2000 XP Professional możesz zainstalować pakiet Narzędzia administracyjne znajdujący się na komputerze z systemem Windows XP Professional i Windows 2000 Advanced Server CDs.To Instalowanie pakietu Narzędzia administracyjne na komputerze z systemem Windows XP Professional Otwórz folder I386 na odpowiednim dysku CD z systemem Windows 2000 Server , a następnie kliknij dwukrotnie plik Adminpak. msi. Postępuj zgodnie z instrukcjami wyświetlanymi w Kreatorze konfiguracji narzędzi administracyjnych. po zainstalowaniu pakietu narzędzi administracyjnych plik Poledit. exe oraz jego pomocnicze pliki adm (Winnt. adm, Windows. adm i Common. adm) są instalowane w folderze%systemroot%\System oraz w katalogu inf. Plik Poledit. exe nie jest dodawany do menu Start. Narzędzie można jednak uruchomić w wierszu polecenia.Uwagi
  • Edytor zasad systemu Windows NT 4,0 lub wcześniejsze wersje edytora zasad systemowych nie mogą odczytywać plików adm sformatowanych w standardzie Unicode, które zostały wysłane w systemie Windows 2000 lub nowszych wersjach. Musisz użyć wersji edytora zasad systemowych, która jest dostępna w systemie Windows 2000 lub nowszych wersjach. Ta wersja obsługuje kodowanie Unicode. Jeśli chcesz ponownie zapisać pliki adm jako pliki txt bez kodowania kodu Unicode, możesz użyć starszej wersji narzędzia Poledit. exe.
  • Narzędzie Poledit. exe nie jest dostępne w pliku Adminpak. msi systemu Windows Server 2003. Wersja narzędzia Poledit. exe dla systemu Windows 2000 jest niedostępna do pobrania z witryny sieci Web firmy Microsoft.

Szablony administracyjne

Narzędzie Poledit. exe używa plików, które są nazywane Szablonami administracyjnymi (plikami ADM), aby określić ustawienia rejestru, które można modyfikować, oraz ustawienia wyświetlane w edytorze zasad systemowych. ustawienia zasad systemowych są zapisywane w następujących lokalizacjach w rejestrze:
  • HKEY_CURRENT_USER \Software\Policies (Preferowana lokalizacja)
  • HKEY_LOCAL_MACHINE \Software\Policies (Preferowana lokalizacja)
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Klient usługi Active Directory przetwarza zasady systemowe, jeśli użytkownik, konto komputera lub oba konta znajdują się w domenie systemu Windows NT 4,0. Klient wyszukuje plik Ntconfig. pol używany przez zasady systemowe systemu Windows NT 4,0. Domyślnie klient wyszukuje ten plik w udziale Netlogon na kontrolerze domeny systemu Windows NT 4,0.Uwaga Obiekt konta komputera może istnieć w domenie systemu Windows NT 4,0, a obiekt konta użytkownika dla użytkownika tego komputera może znajdować się w domenie usługi Active Directory lub odwrotnie. Jednak w przypadku korzystania z takiego środowiska mieszanego Użytkownicy i komputery są trudne do zarządzania i mogą powodować nieprzewidywalne zachowanie. W celu zoptymalizowania centralnego zarządzania zaleca się przechodzenie z środowiska mieszanego do czystego środowiska usługi Active Directory.

Jak określić ścieżkę pliku zasad

Domyślnie klienci usługi Active Directory szukają pliku zasad w udziale Netlogon. Możesz jednak zmienić lokalizację tego pliku. Wpis rejestru UpdateMode wymusza, aby komputer pobierał plik zasad z określonej lokalizacji, która jest wyrażona jako ścieżka UNC (Universal Naming Convention), niezależnie od tego, który użytkownik loguje się. Wpis UpdateMode można ustawić przy użyciu edytora zasad systemowych i pliku System. adm. Użytkownik musi jednak mieć odpowiednie uprawnienia, aby zlokalizować i odczytać plik zasad. W przeciwnym razie zmiany w rejestrze, które zanotują nową lokalizację pliku zasad, nie będą obowiązywać. Aby zmodyfikować wpis UpdateMode, użyj jednej z następujących metod. (Metody są wymienione w kolejności preferencji).
  • Metoda 1: modyfikacja rejestru przy użyciu lokalnego obiektu zasad grupy.
  • Metoda 2: modyfikacja rejestru za pomocą edytora rejestru na każdym kliencie lub użycie programu reg. exe w skrypcie.
  • Metoda 3: modyfikacja rejestru przy użyciu narzędzia Poledit. exe. Ta metoda jest najmniej pożądana, ponieważ użytkownik wyznacza lokalizację pliku Ntconfig. pol w samym pliku.
Metoda 1: Modyfikowanie rejestru za pomocą lokalnego obiektu zasad grupy
  1. W menu plik kliknij polecenie Otwórz Rejestr, a następnie kliknij dwukrotnie pozycję komputer lokalny.
  2. W oknie dialogowym Właściwości rozwiń pozycjęSieć, a następnie rozwiń pozycję Aktualizacja zasad systemowych , aby wyświetlić opcję aktualizacji zdalnej.
  3. Kliknij, aby zaznaczyć pole Zdalna aktualizacja .
  4. Na liście Tryb aktualizacji kliknij, aby wybrać pozycjęręcznie (Użyj określonej ścieżki).
  5. W polu ścieżka do aktualizacji ręcznej wpisz ścieżkę UNC i nazwę pliku zasad, a następnie kliknij przyciskOK , aby zapisać zmiany.
Metoda 2: Modyfikowanie rejestru za pomocą edytora rejestru na każdym kliencie lub korzystanie z programu reg. exe w skrypcie
Ważne W tej sekcji, metodzie lub zadaniu przedstawiono procedurę modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak spowodować poważne problemy. Dlatego należy uważnie wykonać te czynności. Aby zwiększyć ochronę, przed zmodyfikowaniem rejestru Utwórz jego kopię zapasową. Po wystąpieniu problemu możesz przywrócić rejestr. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows
Aby upewnić się, że klienci mogą zlokalizować plik zasad systemowych, należy skonfigurować następujące klucze rejestru na stronie klienci:wartość UpdateModeten wpis rejestru określa sposób, w jaki klient będzie wyszukiwał plik Ntconfig. pol zawierający zasady. Ścieżka: HKEY_LOCAL_MACHINE wartość \System\CurrentControlSet\Control\Update: typ danych UpdateMode: REG_DWORD wartości:
WartośćOpis
0,4Zasady systemowe są wyłączone.
Tryb automatyczny wyszukuje w udziale Netlogon serwera uwierzytelniającego plik strategii o nazwie Ntconfig. pol. Jest to wartość domyślna.
Tryb ręczny wyszukuje określony plik zasad w lokalizacji określonej przez wartość NetworkPath. Jeśli dla pozycji UpdateMode jest ustawiona wartość 2, należy określić dodatkową wartość o nazwie NetworkPath, która określa ścieżkę i nazwę pliku lokalnego lub sieciowego.
Wartość NetworkPathUstawienie NetworkPath służy do identyfikowania lokalizacji pliku Ntconfig. pol używanego do określania zasad systemowych, jeśli wartość UpdateMode jest równa 2. Path: HKEY_LOCAL_MACHINE \System\CurrentControlSet\Control\Update Value Name: NetworkPath typ danych: REG_SZ wartości:
WartośćPrzykład
Ścieżka UNC\\Server_name\Share_name\File_name
Ścieżka lokalnaC:\Folder_name\File_name
Metoda 3: Modyfikowanie rejestru przy użyciu narzędzia Poledit. exe
Aby pobrać plik zasad z określonej lokalizacji, wykonaj następujące czynności:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz Poledit. exe, a następnie kliknij przyciskOK.
  2. Kliknij pozycję Opcje, kliknij pozycję szablon zasad, a następnie w oknie dialogowym Opcje szablonu zasadupewnij się, że na liście Bieżące szablony zasadjest wyświetlana lista System. adm . Jeśli na liście nie ma pozycji System. adm , kliknij pozycję Dodaj , aby dodać ten plik.
  3. Aby otworzyć domyślne zasady komputera, w menu plik kliknij polecenie nowe zasady , a następnie kliknij dwukrotnie pozycjękomputer domyślny na liście zasady .

Zachowanie klienta opartego na systemie Windows XP Professional

W systemie Windows XP Professional zmiany zasad są zapisywane lokalnie w rejestrze po pierwszym uruchomieniu następujących zdarzeń:
  • Klient został zmodyfikowany lokalnie przy użyciu edytora zasad systemowych.
  • Klient odbiera domyślny plik zasad systemowych od udziału Netlogon kontrolera domeny.
Następnie klient z systemem Windows XP Professional nie sprawdzi ponownie kontrolera domeny, aby znaleźć plik strategii. Wszystkie aktualizacje zasad korzystają z lokalizacji określonej ręcznie. Ta zmiana jest nieodwracalna, dopóki nie zmieni się pliku zasad w celu zresetowania opcji do automatycznego.

Jak utworzyć plik zasad (Ntconfig. pol)

  1. Usuń wszystkie #if wersje i instrukcje #endif z następujących plików adm, a następnie Zapisz pliki:
    • System.adm
    • Inetres.adm
    • Conf.adm
    Ten krok zapobiega niezamierzonemu ładowaniu tych plików za pomocą narzędzia Poledit. exe. Na przykład w pliku Inetres. adm Usuń następujące wiersze:
    • #if wersja <= 2
    • #endif
  2. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz Poledit. exe, a następnie kliknij przyciskOK.
  3. W oknie edytora zasad systemowych kliknij pozycję szablon zasad w menu Opcje .
  4. W oknie dialogowym Opcje szablonu zasad kliknij pozycję Dodaj, wybierz jeden z plików adm, które zmodyfikowano w kroku 1, a następnie kliknij przycisk OK.
  5. Określ odpowiednie ustawienia zasad opisane w pomocy edytora zasad systemu — pomoc.
  6. Zapisz plik jako Ntconfig. pol. Zapisz plik w udziale Netlogon kontrolera domeny systemu Windows NT 4,0.

Jak utworzyć plik Ntconfig. pol oparty na plikach adm w systemie Windows XP Professional

Można utworzyć plik Ntconfig. pol oparty na plikach adm w systemie Windows XP Professional, a następnie zastosować te ustawienia do klientów opartych na systemie Windows XP Professional. Aby to zrobić, użyj narzędzia Poledit. exe. Program Poledit. exe można zainstalować na komputerach klienckich opartych na systemie Windows XP Professional, instalując pakiet Narzędzia administracyjne dostępny na dyskach CD z systemem Windows 2000 Server i Windows 2000 Advanced Server.

Różne środowiska, w których są używane zasady systemowe

Grupy robocze i środowiska innych firm

Jeśli nie masz domeny opartej na systemie Windows NT 4,0, możesz skonfigurować klienta w celu wyszukania pliku Ntconfig. pol w określonej lokalizacji na komputerze lokalnym lub w dowolnej lokalizacji udziału SMB. Aby uzyskać więcej informacji na temat określania ścieżki pliku zasad, zobacz sekcję "jak określić ścieżkę pliku zasad".

Domeny systemu Windows NT 4,0

Klient usługi Windows Active Directory przetwarza zasady systemowe, jeśli konto użytkownika lub konto komputera istnieje w domenie systemu Windows NT 4,0. Gdy użytkownik loguje się do klienta usługi Windows Active Directory w domenie systemu Windows NT 4,0, a klient działa w trybie automatycznym, klient sprawdza udział Netlogon na kontrolerze domeny sprawdzającym plik Ntconfig. pol. Jeśli klient odnajdzie plik, klient pobierze i przeanalizuje plik. Klient analizuje plik danych dotyczących użytkownika, grupy i zasad komputera. Następnie Klient zastosuje odpowiednie ustawienia. Jeśli klient nie odnajdzie pliku zasad na kontrolerze domeny weryfikującym jego sprawdzanie, nie będzie on wyglądał w innym miejscu. Dlatego należy upewnić się, że plik Ntconfig. pol jest replikowany między kontrolerami domeny, które przeprowadzają uwierzytelnianie.

Informacje


Aby uzyskać więcej informacji, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
293655 Jak stosować zasady lokalne do wszystkich użytkowników z wyjątkiem administratorów w ustawieniu grupy roboczej w systemie Windows 2000 
274478 Zasady grupy dla klientów z systemem Windows 2000 Professional w domenie lub grupach roboczych systemu Windows NT 4,0 
225087 Tworzenie niestandardowych plików ADM dla edytora zasad systemu 
192794 Jak zastosować ustawienia zasad systemowych do serwera terminali 
897100 Jak utworzyć zasady systemowe dla systemu Windows NT 4,0 w celu zarządzania Zaporą systemu Windows w domenie systemu Windows NT 4,0 
814598 Jak utworzyć ustawienie zasad systemowych w systemie Microsoft Windows Server 2003 
268511 Importowanie niestandardowych plików adm w zestawie Internet Explorer Administration Kit 

Odwołania do zestawu zasobów

Część II zestawu Windows XP Resource Kit — rozdział 5: Zarządzanie pulpitamiZarządzanie pulpitami w różnych środowiskach sieciowychZarządzanie pulpitami bez usługi Active Directory

Inne zasoby

Przewodnik dotyczący wdrażania zmian i konfiguracji zarządzania

Zestaw Microsoft Internet Explorer Administration Kit (IEAK)

Informacje dotyczące ustawień zasad grupy dla systemu Windows i systemu Windows Server

Windows 2000 Server — temat zaawansowany: Tworzenie niestandardowych plików. adm

Plik adm definiuje sposób wyświetlania ustawień zasad grupy związanych z rejestrem w węzłach szablonów administracyjnych w interfejsie użytkownika zasad grupy. Ponadto plik adm określa lokalizacje rejestru, które muszą zostać zmodyfikowane, jeśli administrator musi wprowadzić zmianę. Aby pobrać tę dokumentację, odwiedź następującą witrynę firmy Microsoft w sieci Web:

Oficjalny dokument "Używanie plików szablonów administracyjnych z zasadami grupy opartymi na rejestrze"

Oficjalny dokument "Używanie plików szablonów administracyjnych z zasadami grupy opartymi na rejestrze" zawiera informacje dotyczące pojęć, architektury i szczegółów implementacji zasad grupy opartych na rejestrze w systemach operacyjnych Microsoft Windows. Ten dokument zawiera omówienie tworzenia niestandardowych plików szablonów administracyjnych (adm) i zawierających pełne informacje na temat języka. adm.

Szablon zasad zapory systemu Windows dla domen systemu Windows NT 4,0

Zastosowaniem tego szablonu można zarządzać zasadami zapory systemu Windows w domenach systemu Windows NT 4,0.

Pliki adm zasad grupy

Pliki szablonów administracyjnych są używane do uzupełniania ustawień interfejsu użytkownika w Edytorze obiektów zasad grupy. Administratorzy mogą za pomocą tych plików zarządzać ustawieniami zasad opartymi na rejestrze. Każdy kolejny system operacyjny Windows i dodatek Service Pack zawierają nowszą wersję tych plików adm.Wcześniej klienci mogli uzyskać najnowszy dodatek Service Pack lub system operacyjny tylko w celu uzyskania najnowszych plików adm. Teraz te pliki adm są dostępne bezpośrednio w następującej witrynie firmy Microsoft w sieci Web:Możesz uzyskać oryginalną wersję plików adm dołączonych do każdego systemu operacyjnego lub dodatku Service Pack. Każdy zestaw plików adm jest dostępny w pakiecie Instalatora systemu Microsoft Windows, który można pobrać.