20. Применение системных политик Windows


Когда пользователи запускают сеанс на сервере MetaFrame XP, они по умолчанию имеют доступ ко всем файлам, функциям и приложениям сервера. Это дает возможность отдельным нехорошим пользователям оказывать пагубное воздействие на остальных пользователей сервера MetaFrame XP. Чтобы предотвратить такое поведение, вам следует изолировать среду с помощью политик.

Политика представляет собой набор значений реестра, которые определяют, какие ресурсы компьютера доступны индивидуальным пользователям и группам. Политики задают ранообразные аспекты среды рабочего стола, которыми вынужден управлять системный администратор - какие приложения доступны, как они должны выглядеть на рабочем столе пользователя, какие опции должны находиться в главном меню, кто может менять оформление рабочего стола, а кто нет и т.п. Системные политики можно применять к отдельным пользователям, группам, компьютерам или для всех пользователей.

В следующих разделах я поясню, как применять политики в среде Microsoft NT 4.0, Novell Netware и Windows 2000 Active Directory. Вы также найдете административный шаблон (MIAB.ADM), который включает в себя большинство описанных здесь изменений. Файл включен в архив MIAB3.ZIP

20.1. Обзор административного шаблона MIAB.ADM

Чтобы упростить жизнь, один хороший человек, Тахир Салим, создал удивительный административный шаблон (MIAB.ADM) для настройки сервера MetaFrame XP. Этот шаблон позволяет настроить следующее:

Важно: Административный шаблон MIAB написан только для групповых политик Windows 2000 Active Directory.

; Project In A Box
; Terminal Server tunings.
; Version: 1.0
; By Tahir Saleem, NettSpesialisten
; saleem@nettspes.no
#if version <= 2

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
CLASS USER   ;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

CATEGORY !!GPOnly
    POLICY !!GPOnlyPolicy
        KEYNAME "Software\Policies"

        PART !!GPOnly_Tip1  TEXT
        END PART

        PART !!GPOnly_Tip2  TEXT
        END PART

        PART !!GPOnly_Tip3  TEXT
        END PART

        PART !!GPOnly_Tip4  TEXT
        END PART

        PART !!GPOnly_Tip5  TEXT
        END PART
    END POLICY
END CATEGORY


;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
CLASS MACHINE   ;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

CATEGORY !!GPOnly
    POLICY !!GPOnlyPolicy
        KEYNAME "Software\Policies"

        PART !!GPOnly_Tip1  TEXT
        END PART

        PART !!GPOnly_Tip2  TEXT
        END PART

        PART !!GPOnly_Tip3  TEXT
        END PART

        PART !!GPOnly_Tip4  TEXT
        END PART

        PART !!GPOnly_Tip5  TEXT
        END PART
    END POLICY
END CATEGORY

#endif

#if version  >= 3

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
 CLASS USER   ;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

CATEGORY !!PIAB

	POLICY !!HideDrives
		EXPLAIN !!HideDrives_Help
		KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
		PART !!HideDrives_txt NUMERIC 
		VALUENAME "NoDrives" MAX 1000000000
		DEFAULT "0"
		END PART
	END POLICY
	
	POLICY !!ConfigServerWizard
		KEYNAME "Software\Microsoft\Windows NT\CurrentVersion\Setup\Welcome"
		EXPLAIN !!ConfigServerWizard_Help
		ACTIONLISTON
			VALUENAME "srvwiz"
			VALUE NUMERIC "0"
		END ACTIONLISTON
	END POLICY
	
	POLICY !!DisableICW
		EXPLAIN !!DisableICW_Help
		KEYNAME "Software\Microsoft\Internet Connection Wizard"
		VALUENAME "Completed"
	END POLICY
	
	POLICY !!Console
		KEYNAME "Console"
		EXPLAIN !!Console_Help
		ACTIONLISTON
			VALUENAME "ScreenBufferSize"
			VALUE NUMERIC "19660880" 			;300 Lines
			VALUENAME "WindowSize"
			VALUE NUMERIC "2621520"			;40 Lines
			VALUENAME "QuickEdit"
			VALUE NUMERIC "1"
			VALUENAME "InsertMode"
			VALUE NUMERIC "1"
		END ACTIONLISTON
	END POLICY
	
		CATEGORY !!SAP
    			POLICY !!SAPVisual
				KEYNAME "Software\SAP\General\Enjoy"
 				EXPLAIN !!SAPVisual_Help
 				PART !!SAPGUIch          DROPDOWNLIST REQUIRED
        			VALUENAME "Active"
				ITEMLIST
          			NAME Off VALUE "Off" DEFAULT
	  			NAME On VALUE "On"
        			END ITEMLIST
      				END PART
    			END POLICY
    		
    			POLICY !!SAPAnimation
    				KEYNAME "SOFTWARE\SAP\General\Appearance"
    				EXPLAIN !!SAPAnimation_Help
    				PART !!SAPAnich		DROPDOWNLIST REQUIRED
    				VALUENAME "Animation"
	    			ITEMLIST
	    			NAME Off VALUE "Off" Default
	    			NAME On VALUE "On"
	    			END ITEMLIST
	    			END PART
	    		END POLICY
    		
	    		POLICY !!SAPSplash
	    			KEYNAME "SOFTWARE\SAP\General\Appearance"
	    			EXPLAIN !!SAPSplash_Help
	    			PART !!SAPSplach	DROPDOWNLIST REQUIRED
	    			VALUENAME "SplashOff"
	    			ITEMLIST
	    			NAME Off VALUE NUMERIC 1
	    			NAME On VALUE NUMERIC 0
	    			END ITEMLIST
	    			END PART
	    		END POLICY
    				
		END CATEGORY ;SAP
END CATEGORY ;PIAB

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
 CLASS MACHINE   ;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

CATEGORY !!PIAB

	POLICY !!SourcePath
		EXPLAIN !!SourcePath_Help
		KEYNAME "Software\Microsoft\Windows NT\Currentversion"
		PART !!SourcePath EDITTEXT
			VALUENAME "SourcePath"
			DEFAULT "\\Servername\I386"
		END PART
	END POLICY
	
	POLICY !!CompletionChar
	KEYNAME "Software\Microsoft\Command Processor"
		EXPLAIN !!CompletionChar_Help
		ACTIONLISTON
			VALUENAME "CompletionChar"
			VALUE NUMERIC 9
			VALUENAME "PathCompletionChar"
			VALUE NUMERIC 9
		END ACTIONLISTON
		ACTIONLISTOFF
			VALUENAME "CompletionChar"
			VALUE NUMERIC 64
			VALUENAME "PathCompletionChar"
			VALUE NUMERIC 64
		END ACTIONLISTOFF
	END POLICY
	
	POLICY !!InternetMIB
		EXPLAIN !!InternetMIB_Help
		KEYNAME "System\CurrentControlSet\Services\SNMP\Parameters\RFC1156Agent"
		ACTIONLISTON		
			VALUENAME "sysServices"
			VALUE NUMERIC 72
		END ACTIONLISTON
		PART !!ContactName	EDITTEXT REQUIRED
			VALUENAME sysContact
		END PART

		PART !!Location 	EDITTEXT REQUIRED
			VALUENAME sysLocation
		END PART
	END POLICY
	
	POLICY !!CachedCridentials
		KEYNAME "software\Microsoft\Windows NT\CurrentVersion\Winlogon"
		EXPLAIN !!CachedCridentials_Help
		ACTIONLISTON
			VALUENAME "ReportControllerMissing"
			VALUE "TRUE"
		END ACTIONLISTON
	END POLICY
	
	POLICY !!DefaultDomain
		KEYNAME "software\Microsoft\Windows NT\CurrentVersion\Winlogon"
		EXPLAIN !!DefaultDomain_Help
		PART !!DefaultDomain_TXT EDITTEXT
			VALUENAME DefaultDomainName
		END PART
	END POLICY
	
		POLICY !!TCPKeepAlive
		KEYNAME "System\CurrentControlSet\Services\Tcpip\Parameters"
		EXPLAIN !!TCPKeepAlive_Help
			PART !!KeepAliveTime	NUMERIC
				VALUENAME KeepAliveTime MAX 100000
				DEFAULT "60000"
			END PART
			
			PART !!KeepAliveInterval NUMERIC
				VALUENAME KeepAliveInterval
				DEFAULT "1000"
			END PART
	END POLICY
	
	POLICY !!ICAKeepAlive
		KEYNAME "SYSTEM\CurrentControlSet\Control\Citrix"
		EXPLAIN !!ICAKeepAlive_Help
			VALUENAME "IcaEnableKeepAlive"
			VALUEON NUMERIC 1
			VALUEOFF NUMERIC 0
							
			PART !!ICAKeepAliveInterval NUMERIC
				VALUENAME "IcaKeepAliveInterval"
				DEFAULT "60"
			END PART
	END POLICY
	
	POLICY !!DisablePagingExecutive
		KEYNAME "SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"
		EXPLAIN !!DisablePagingExecutive_Help
		VALUENAME "DisablePagingExecutive"
		VALUEON    NUMERIC 1
               	VALUEOFF   NUMERIC 0
               END POLICY
               
        POLICY !!DrWatson
               	KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug" 
               	EXPLAIN !!DrWatson_Help
               	PART !!drWatson_TXT EDITTEXT
               		VALUENAME "Debugger"
               		DEFAULT ""
               	END PART
        END POLICY
        
        POLICY !!Printer_Beeps
		EXPLAIN !!Printer_Beeps_Help
		KEYNAME "SYSTEM\CurrentControlSet\Control\Print"
		VALUENAME "BeepEnabled"
		VALUEON NUMERIC 0
		VALUEOFF NUMERIC 1
	END POLICY
	
	POLICY !!Printer_Pop-up_message
	EXPLAIN !!Printer_Pop-up_message_Help
		KEYNAME "SYSTEM\CurrentControlSet\Control\Print\Providers"
		VALUENAME "NetPopup"
		VALUEON NUMERIC 0
		VALUEOFF NUMERIC 1
	END POLICY
	
	POLICY !!Print_EventLog
	EXPLAIN !!Print_EventLog_Help
		KEYNAME "SYSTEM\CurrentControlSet\Control\Print\Providers"	
		VALUENAME "EventLog"
		VALUEON NUMERIC 0
		VALUEOFF NUMERIC 1
	END POLICY
	
	POLICY !!ErrorMode
		EXPLAIN !!ErrorMode_Help
		KEYNAME "SYSTEM\CurrentControlSet\Control\Windows"
		VALUENAME "ErrorMode"
		VALUEON NUMERIC 2
		VALUEOFF NUMERIC 0
	END POLICY

	POLICY !!IdleWinStation
	EXPLAIN !!IdleWinStation_Help
		KEYNAME "SYSTEM\CurrentControlSet\Control\Terminal Server"
		PART !!IdleWinStationPoolCount NUMERIC
			VALUENAME "IdleWinStationPoolCount"
			DEFAULT "2"
		END PART
	END POLICY
	
	CATEGORY !!UserOverride
			POLICY !!UserOverride_Desktop
			EXPLAIN !!UserOverride_Desktop_Help
				KEYNAME "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ICA-tcp\UserOverride\Control Panel\Desktop"
					ACTIONLISTON
					VALUENAME "AutoEndTasks" 
					VALUE "1"
					VALUENAME "CursorBlinkRate"
					VALUE "1200"
					VALUENAME "DragFullWindows" 
					VALUE "0"
					VALUENAME "MenuShowDelay" 
					VALUE "10"
					VALUENAME "WaitToKillAppTimeout" 
					VALUE "20000"
					VALUENAME "SmoothScroll" 
					VALUE NUMERIC "0"
					VALUENAME "Wallpaper" 
					VALUE "(None)"
					END ACTIONLISTON
			END POLICY
	
			POLICY !!UserOverride_WindowMetric
			EXPLAIN !!UserOverride_WindowMetric_Help			
				KEYNAME "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ICA-tcp\UserOverride\Control Panel\Desktop\WindowMetrics"	
				VALUENAME "MinAnimate" 
				VALUEON "1"	
			END POLICY
			
			POLICY !!ActiveTitleICA
			EXPLAIN !!ActiveTitleICA_Help
				KEYNAME "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ICA-tcp\UserOverride\Control Panel\Colors"
				PART !!ActiveTitleICA EDITTEXT
					VALUENAME "ActiveTitle" 
				END PART
			END POLICY
			
			POLICY !!ActiveTitleRDP
			EXPLAIN !!ActiveTitleRDP_Help
				KEYNAME "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp\UserOverride\Control Panel\Colors"
				PART !!ActiveTitleRDP EDITTEXT
					VALUENAME "ActiveTitle" 
				END PART
			END POLICY
	
		END CATEGORY ;UserOverride
	
	POLICY !!RemoveOutlookExpress
	EXPLAIN !!RemoveOutlookExpress_Help
		KEYNAME "SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}"
		ACTIONLISTON
		VALUENAME "StubPath"
		VALUE ""
		END ACTIONLISTON
	END POLICY	
	
	POLICY !!LastAccess
	EXPLAIN !!LastAccess_Help
		KEYNAME "System\CurrentControlSet\Control\FileSystem"
		VALUENAME "NtfsDisableLastAccessUpdate"
		VALUEON NUMERIC 1
		VALUEOFF NUMERIC 0
	END POLICY
	
	POLICY !!IRPStackSize
	EXPLAIN !!IRPStackSize_Help
		KEYNAME "SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
		PART !!IRPStackSizeText NUMERIC
			VALUENAME "IRPStackSize"
			DEFAULT "15"
		END PART
	END POLICY
	
	POLICY !!CommandPromptHere
	KEYNAME "Software\Classes\Directory\shell"
	EXPLAIN !!CommandPromptHere_Help
		ACTIONLISTON
			KEYNAME "Software\Classes\Directory\shell\CommandPrompt"
			VALUENAME ""
			VALUE "Command Prompt Here..."
			KEYNAME "Software\Classes\Directory\shell\CommandPrompt\Command"
			VALUENAME ""
			VALUE !!CommandPromptHere_Value
			KEYNAME "Software\Classes\Drive\Shell\CommandPrompt"
			VALUENAME ""
			VALUE "Command Prompt Here..."
			KEYNAME "Software\Classes\Drive\Shell\CommandPrompt\Command"
			VALUENAME ""
			VALUE !!CommandPromptHere_Value
		END ACTIONLISTON
	END POLICY
	
	POLICY !!Notepad
	KEYNAME "Software\Classes\*\Shell\Notepad"
	EXPLAIN !!Notepad_Help
		ACTIONLISTON
			VALUENAME ""
			VALUE "Open in Notepad..."
			KEYNAME "Software\Classes\*\Shell\Notepad\Command"
			VALUENAME ""
			VALUE !!Notepad_Value
		END ACTIONLISTON
	END POLICY
	
	POLICY !!SetIMInstallDisk
	EXPLAIN !!SetIMInstallDisk_Help
		KEYNAME "SOFTWARE\Citrix\AppCloning\Agent\Symbols"
		ACTIONLISTON
			VALUENAME "APPINSTALLDISK"
			VALUE "D:"
			KEYNAME "SOFTWARE\Citrix\AppCloning\Agent\Installer\Symbols"
			VALUENAME "APPINSTALLDISK"
			VALUE "D:"
		END ACTIONLISTON
		ACTIONLISTOFF
			VALUENAME "APPINSTALLDISK"
			VALUE "C:"
			KEYNAME "SOFTWARE\Citrix\AppCloning\Agent\Installer\Symbols"
			VALUENAME "APPINSTALLDISK"
			VALUE "C:"
		END ACTIONLISTOFF
	END POLICY
	
	POLICY !!SetDefaultLicenseServer
		EXPLAIN !!SetDefaultLicenseServer_Help
		KEYNAME SYSTEM\CurrentControlSet\Services\TermService\Parameters
		PART !!SetDefaultLicenseServer_txt EDITTEXT
			VALUENAME "DefaultLicenseServer"
		END PART
	END POLICY
	
	POLICY !!TcpMaxDataRetransmissions
		EXPLAIN !!TcpMaxDataRetransmissions_Help
		KEYNAME "SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"
		PART !!TcpMaxDataRetransmissions NUMERIC
			VALUENAME "TcpMaxDataRetransmissions"
			DEFAULT 10
		END PART
	END POLICY
	
END CATEGORY ;PIAB

[strings]
GPOnly_Tip1="The PIAB.adm file you have loaded requires Group Policy"
GPOnly_Tip2="in Windows 2000.  You cannot use the System Policy Editor"
GPOnly_Tip3="to display Windows 2000 Group Policy settings."
GPOnly_Tip4="  "
GPOnly_Tip5="Enabling or disabling this policy has no effect."
GPOnly="Unsupported Administrative Templates"
GPOnlyPolicy="The PIAB.adm"

PIAB="Project In A Box v.1.0"

UserOverride="User Override on Win Station"

HideDrives="Hide Specified drives"
HideDrives_Help="Use hide calc to specify the value.\nDefault 0 show all drives.\nValue 15 hides dirve A, B, C, and D."
HideDrives_txt="Enter the result from the hidecal.xls"

DisableICW="Disable Internet Connection Wizard"
DisableICW_Help="Disable the Internet Connection Wizard. This policy prevents users from getting error message when they try to start Internet Explorer for the first time.\nRecommend to enable this policy"

CompletionChar="File Name Completion"
CompletionChar_Help="File name completion enabled in command prompt"

SourcePath="Source Path"
SourcePath_Help="Source Path for windows installation"

InternetMIB="SNMP Contact"
InternetMIB_Help="Set Contact Name and Location"
ContactName="Contact Name:"
Location="Location:"

CachedCridentials="Report Cached Cridentials"
CachedCridentials_help="When logged on with Cached Cridentials report this to the user"

DefaultDomain="Default Logon Domain"
DefaultDomain_Help="Sets the Default Logon Domain to the specified value. In a trusted enviroment this may be useful."
DefaultDomain_TXT="Set default domain to:"

Notepad="Open In Notepad"
Notepad_Help="When right clicking on a file you will have the option to open it in Notepad"
Notepad_Value="notepad.exe "%1""

TCPKeepAlive="Configure TCP Keep Alives"
TCPKeepAlive_Help="In inconsistent networks that are subject to periodic intervals of high network latency, ICA Clients may time out when connected to a session. When users attempt to reconnect to a dropped session, they receive a new session instead of being reconnected to their previous session. This is due to the server not being aware that the previous session was dropped.\nYou can remedy this problem by enabling TCPKeepAlive for ICA sessions that are connected through TCP. Modification of the TCPKeepAlive parameter helps to make the host server aware of any sessions dropped due to network problems. For more information about TCP parameters, see the Microsoft Knowledge Base article Q120642."
KeepAliveTime="TCP Keep Alive Time in milliseconds (Recommended 60000): "
KeepAliveInterval="TCP Keep Alive Interval in milliseconds (Recommended 1000): "

ICAKeepAlive="Enable ICA Keep Alives"
ICAKeepAlive_Help="Enable ICA Keep Alives. Because of the default parameters of the TCP/IP protocol stack in NT, sessions may have problems reliably going into a disconnected state when a connection is unexpectedly disrupted..\By This behavior ca be tuned to bring relibility back by enabling this policy"
ICAKeepAliveInterval="ICA Keep Alive Interval in milliseconds (Recommended 60): "

DisablePagingExecutive="Disable Paging of NTExecutive"
DisablePagingExecutive_Help="User-mode and kernel-mode drivers and kernel-mode system code is usually written to be either pageable or non-pageable. In cases where drivers or system code is pageable, you can use the following registry entry to keep this pageable code in RAM, but this is only advisable on systems with extremely large amounts of RAM."

DrWatson="Disable Dr. Watson"
DrWatson_Help="Citrix recommendation. Enable this policy and remove to the value to disable DrWatson.\nTo enable Dr.Watson type following into to the value filed:\ndrwtsn32 -p %ld -e %ld -g"
DrWatson_TXT="Value:"

Printer_Beeps="Disable Printer Beeps"
Printer_Beeps_Help="The Beep can decrease printing performance while deing transmitted to the client."

Printer_Pop-up_message="Disable Printer Pop-up message"
Printer_Pop-up_message_Help="Printer Dialogue can hang server while awaiting user input.\nBy default, each print job logs two informational messages to the System log. On MetaFrame servers with many users, this feature generates numerous events and fills up the log faster.\nBy enabling this policy following registry values are changeg:\nNetPopup = 0 \nEventLog = 0"

Print_EventLog="Disable logging of Print events in Event Log"
Print_EventLog_Help=""

ErrorMode="Disable System Hard Error Messages"
ErrorMode_Help="System Hard Error Messages\nMessages generated by system hard errors appear on the server console. If left unanswered on an unattended console, messages can cause ICA sessions to hang. You can configure System hard errors to create an entry in the System log instead of displaying a message on the console. Disabling the display of messages to the console decreases the likelihood of hung ICA sessions, but increases the need to monitor the event log for these types of errors. For more information, see Microsoft Knowledge Base articles Q124873 and Q229012.\nEnable this Policy to disable System Hard Error Messages."

IdleWinStation="Increase Idle Connections to handle peak logon periods"
IdleWinStation_Help="The default of 2 idle connections minimize memory used, but may not be suffcient to handle peak logon traffic. Increasing the counts helps ensure availability during peak logon periods."
IdleWinStationPoolCount=" Number of IdleWinStation (Default 2): "

UserOverride_Desktop="Set Win Station User Overrides on Desktop"
UserOverride_Desktop_Help="A feature that enables you to set some overides on some of the entries in HKEY_Current_User.\nThis Policy sets following setting:\nAutoEndTasks to 1\nCursorBlinkRate to 1200\nDragFullWindows to 0\nMenuShowDelay to 10\nWaitToKillAppTimeout to 2000\nSmoothScroll to 0\nWallpaper to none"
UserOverride_WindowMetric="Minimize graphics use"
UserOverride_WindowMetric_Help="To control users' desktops to minimize graphics use. Also see Q226931 - How to minimize Graphics Use with Terminal Server."

ActiveTitleICA="Active Title Bar color for ICA connection:"
ActiveTitleICA_Help="Color example:\n10 36 106 - Blue (Orignal)\n0 128 128 - NT 4.0 Green\n0 128 0 - Dark Green\n128 0 0 - Dark Red\n255 0 0 - Strong Red"
ActiveTitleRDP="Active Title Bar color for RDP connection:"
ActiveTitleRDP_Help="Color example:\n10 36 106 - Blue (Orignal)\n0 128 128 - NT 4.0 Green\n0 128 0 - Dark Green\n128 0 0 - Dark Red\n255 0 0 - Strong Red"

RemoveOutlookExpress="Remove Outlook Express from the Quick Launch bar and Start Menu."
RemoveOutlookExpress_Help="This is a little UI clean-up tip."

LastAccess="Prevent last access time stamp from being updated on NTFS partitions"
LastAccess_Help="For an increase performance boost in the drive subsystem, you can turn of this default behavior by enabling this policy."

IRPStackSize="Set IRPStackSize"
IRPStackSize_Help="In Windows 2000, the valid range has changed. The valid values range from 0xB to 0x14 (11 to 20). The default value is 15"
IRPStackSizeText="Set IRPStacksize (Default 15): "

CommandPromptHere="Command Prompt Here"
CommandPromptHere_Help="When right clicking on a drive or directory you will have the option to open a Command Promt at that location"
CommandPromptHere_Value="cmd.exe /k cd "%1""

SetIMInstallDisk="Change IM 2.0 default install drive"
SetIMInstallDisk_Help="To control the drive that Installation Manager 2.0 would install all applications to.\This policy set this to D:"
SetIMInstallDiskText="Set the installation drive"

Console="Command Prompt settings"
Console_Help="Sets the following command prompt options: \nScreenBuffer is set to 300 lines.\nWindowSize is set to 40 lines.\nQuickEdit and InsertMode is Enabled."

SetDefaultLicenseServer="Set Default License Server"
SetDefaultLicenseServer_Help="Configuring Terminal Services Servers to Request License Key Packs from a Specific License Server. Enter NetBIOS name of the designated License Server. If it is located on a remote subnet, confirm that the Terminal Services-based computer can resolve the NetBIOS name of the specified server using Windows Internet Naming Services (WINS) or Lmhosts name resolution."
SetDefaultLicenseServer_txt="Enter Default License server name:"

TcpMaxDataRetransmissions="Set TcpMaxDataRetransmissions"
TcpMaxDataRetransmissions_Help="On highly variable performing network links, it is possible to modify the behavior of the TCP Protocol stack to make the server more accepting of link inconsistency.\nFor More information see Citrix article CTX757449, Q120642 and Q170359.\n Value 10 is recommended by Citrix"

SAP="SAP"
SAPVisual="Enable/Disable New Visual Design "
SAPVisual_Help="With this policy you can enable/disable the New Visual Design.\n To disable the New Visual Design, change the value to Off"
SAPGUIch="New Visual Design"
SAPAnimation="Disable Animation"
SAPAnimation_Help="With this policy you enable/disable the New Visual Design.\n To disable the New Visual Design, change the value to off"
SAPAnich="Animation"
SAPSplash="Disable Splash Screen"
SAPSplash_Help="With this policy you enable/disable SAP Splash screen.\n To disable the spalsh screen, change the value to off"
SAPSplach="Splash Screen"

ConfigServerWizard="Disable the Configure Server Wizard"
ConfigServerWizard_Help="Disables the configure server wizard"

20.2 Как создать административный шаблон для скрытия дисков

Чтобы предотвратить обзор дисков сервера MetaFrame XP со стороны пользователей, вы можете спрятать эти диски от пользователей посредством системных политик. Это можно сделать несколькими способами, но самый простой из них заключается в использовании утилиты HideCalc для создания административных шаблонов (шаблонов политики).

HideCalc - это замечательная утилита, созданная Sean Hegarty, которая позволяет сделать всю работу за вас. Ниже показано, как создать административный наблон для сокрытия серверных дисков:

  1. Распакуйте архив hidecalc.zip и дважды щелкните на файле hidecalc.exe.
  2. Укажите папку, куда будут сохранен шаблон, и щелкните кнопку Doit.
  3. Выберите буквы сервера, которые вы хотите скрыть от пользователей и щелкните Create ADM file.
  4. Щелкните OK.

Теперь вы можете импортировать созданный шаблон. Если ваши серверы являются членами домена Windows NT 4.0, вам нужно импортировать файл .ADM в утилиту Policy Editor utility.Если ваши серверы являются членами домена Active Directory, то вам нужно импортировать шаблон .ADM в объект групповой политики.

20.3. Примерение групповых политик Windows 2000 Active Directory

Групповые политики предоставляют средства управления тем, что могут делать пользователи и компьютеры после входа. Вы можете управлять рабочим столом, сетевыми соединениями и пользовательским интерфейсом. Это делается для того, чтобы дать пользователям то, что им необходимо для выполнения своей работы и одновременно не дать им возможности повредить или неправильно настроить свою среду.

Групповые политики применяются к пользователям и компьютерам способом, который зависит от того, где эти пользователи и компьютеры находятся в Active Directory. Однако, в среде MetaFrame XP вам необходимо прменять политики лишь к серверам MetaFrame XP и конечным пользователям, которые регистрируются на них. Вы можете использовать особенность Group Policy loopback для применения объекта групповых политики (GPO), зависящего от того, на каком компьютере регистрируется пользователь. Эта политика указывает системе применить набор GPO для этого компьютера для любого пользователя, который будет на нем регистрироваться. С помощью Group Policy loopback вы можете указать два других режима получения списка GPO для любого пользователя компьютеров в некотором OU.

Замечание: Loopback поддерживается только в чистой среде Windows 2000. Учетные записи компьютера и пользователя должны находиться в Active Directory. Если одна из учетных записей управляется контроллером домена Windows NT 4.0, loopback не будет работать. Компьютер клиента должен выполнять Windows 2000.

Подробнее см. на сайте Microsoft документ Step-by-Step Guide to Understanding the Group Policy Feature Set

20.3.1 Подготовка Active Directory

Если серверы MetaFrame XP находятся в домене Windows 2000 Active Directory, администратор домена должен создать объекты групповых политик (GPO), которые будут применяться только к серверам MetaFrame XP. Ниже описан рекомендуемый процесс применения GPO к серверам MetaFrame XP без оказывания неблагоприятного воздействия на остальные серверы Windows 2000 и рабочие станции, находящиеся в сети.

В первую очередь необходимо создать подразделение (organizational unit, OU) специально для серверов MetaFrame XP. Это подразделение позволяет применять GPO только к серверам MetaFrame XP и компьютерам, имеющим отношение к MetaFrame XP, не затрагивая остальные серыверы и рабочие станции. Это OU не должно соедржать пользователей или других компьютеров. OU можно делегировать для управления подчиненным группам, например, операторам серверов или отдельным пользователям.

Для создания нового подразделения (OU) выполните следующее:

  1. Щелкните Start -> Programs -> Administrative Tools -> Active Directory Users and Computer -> Action -> New Organizational Unit.
  2. Введите наименование нового OU, например "Citrix Servers", и щелкните OK.
  3. Теперь вам следует переместить серверы MetaFrame XP в новый OU. Найдите нужные серверы (расположенные в папке OU "Servers" или "Computers"). Щелкните на нужном сервере и выберите Move.
  4. Щелкните новый созданный OU и щелкните OK.
  5. На консоли сервера MetaFrame XP, добавленного в новый OU, щелкните Start -> Run -> введите: MMC и щелкните OK.
  6. Щелкните Add/Remove Snap-In…
  7. В окне Add/Remove Snap-In щелкните Add.
  8. Выберите Group Policy и щелкните Add.
  9. Щелкните Finish.
  10. Щелкните Close.
  11. Щелкните OK.
  12. Откройте Local Computer Policy и спуститесь вниз по дереву: Computer Configuration -> Administrative Templates -> System -> папка Group Policy -> дважды щелкните в правой панели User Group Policy loopback processing mode.
  13. Выберите Enabled и щелкните OK.
  14. Повторите шаги 3 и 4 на каждом сервере MetaFrame XP.

Теперь вы готовы к созданию групповых политик.

20.3.2 Добавление и изменение групповых политик

В нашем примере мы рассмотрим, как создать групповую политику с использованием файла MIAB.ADM.

  1. Щеклкните правой кнопкой на созданном выше OU и выберите Properties
  2. Щелкните New
  3. Присвойте новому объекту политики имя.
  1. Щелкните Properties и назначьте пользователей.
  2. Щелкните OK.
  3. Дважды щелкните на созданном GPO для открытия свойств.
    Большинство настроек находятся в Computer Configuration, Security Settings или Local Policies. Например, справа в User Rights Assignment вы найдете право Log on Locally, которое необходимо для входа в сеансы Terminal Services; а также вы найдете Access this computer from the network, необходимое для доступа к сеансу MetaFrame XP извне.
  4. Если вы добавляете или удаляете административный шаблон, вам следует щелкнуть правой кнопкой на Administrative Templates и щелкнуть Add/Remove Templates.
  5. В окне Add/Remove Templates вы можете добавить или удалить шаблоны. В нашем примере мы добавим шаблон MIAB.ADM. Щелкните кнопку Add.
  6. Выберите файл MIAB.ADM и щелкните Open.
  7. Щелкните Close.
  8. Снова откройте Group Policy и щелкните папку Administrative Templates в разделе User Configuration. В меню Actions выберите View и отключите опцию Show Polices Only.
  9. Из-а ошибки в Users and Computer вам следует закрыть политику и снова открыть ее.
  10. Вы увидите раздел Project in a Box v.2.0 в разделахComputer Configuration и User Configuration.
    + Computer Configuration -> Administrative Templates -> Project in a Box v.2.0

    + Computer Configuration -> Administrative Templates -> Project in a Box v2.0 -> User Override on Win Station

    + User Configuration -> Administrative Templates -> Project in a Box v2.0
  11. Внесите необходимые изменения в GPO и закройте политику.

Вы успешно добавили MIAB.ADM. Я рекомендую сделать то же самое для сокрытия дисков сервера.

20.4. Применение политик Windows NT 4.0 TSE

Серверы MetaFrame XP, являющиеся членами доменов Microsoft NT 4.0 и/или среды Novell Netware, применяют системные политики посредством файлов, настраиваемых редактором системных политик (System Policy Editor).

System Policy Editor является графическим редактором, входящим в комплект Windows, который позволяет легко обновлять настройки реестра и изолировать отдельных пользователей и группы. System Policy Editor создает файл, который содержит значения реестра, которые впоследствии записываются в разделы реестра, относящиеся к пользователям и компьютерам.

Как создать папку общего доступа для хранения системной политики

По умолчанию, червер ссылается на файл Ntconfig.pol, находящийся в папке общего доступа Netlogon. Эта ссылка содержится в реестре:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Control\Update

Чтобы создать специфические политики для серверов MetaFrame XP, необходимо изменить это значение реестра, чтобы оно указывало на файл, специально предназначенный для политик MetaFrame XP. Для изменения этого значения я рекомендую использовать System Policy Editor и изменить раздел, находящийся в разделе network свойств машины. Шаблон Common.adm определяет значения реестра, как показано ниже.

  1. Щелкните Start -> Run -> введите: poledit и щелкните OK. Щелкните File -> Open Registry
  2. Дважды щелкните значок Local Computer.
  3. Раскройте ветвь Network и найдите Remote update. Из списка Update mode выберите Manual (use specific path) и затем введите путь UNC к системной политике (ntconfig.pol). По завершении щелкните OK.
  4. Повторите шаги 1 - 4 для каждого сервера MetaFrame XP

20.4.1 Как добавить в редактор политик административный шаблон

  1. Щелкните Start -> Run -> введите: poledit и щелкните OK.
  2. Щелкните Options -> Policy Template.
  3. Щелкните кнопку Add.
  4. Выберите шаблон и щелкните Open.

20.4.2 Как создать системную политику

  1. Щелкните Start -> Run -> введите: poledit и щелкните OK.
  2. Щелкните Edit-> Add Group.
  3. Появится диалог Add Group. Щелкните Browse для выбора группы.
  4. Выберите группы и щелкните OK.

    Замечание: Я рекомендую добавить группу Domain Admins.
  5. Появляется политика, которая в нашем примере состоит из групп Default Computer, Default User, CTX Users и Domain Admins.. Дважды щелкните CTX Users для открытия политики.
  6. Появится окно свойств CTX Users Properties, в котором вы можете настраивать политику.
  7. Поскольку вы импортировали шаблон HideCalc, вам следует разрешить эту политику. Раскройте политику Hidcalc и выключите опцию Hide Drives as defined by Hidcalc. Вы также можете сделать здесь другие настройки, но помните, что они могут оказать негативное влияние на группу Domain Admins. Щелкните OK по завершении.
  8. Теперь стоит настроить группу Domain Admins, чтобы вы не изолировали сами себя.
  9. Отключите все политики, включенные на этапе 7.

    Замечание: Отключенная опция означает, что политика не вколючена. Серая опция означает, что будет заимствовать настройки текущей примененной политики, а включенная опция розначает, что политика включена.
  10. Щелкните OK.
  11. Щелкните File -> Save.
  12. Сохраните политику в папку общего доступа, которую вы создали выше.

Теперь вы можете проверить политику и настроить ее согласно вашим требованиям.


Лицензирование Microsoft Terminal Services Содержание MetaFrame Password Manager