Работа с предпочтениями групповой политики: как прекратить использовать конкретные устройства
Источник: technet.microsoft.com
Сейчас для бОльшей части пользователей уже не является секретом то, что любой компьютер состоит не только из "тиливизера" и "процессора", коим называли системный блок, но в нем укомплектовано приличное количество устройств, о которых для полноценного функционирования просто обязана знать операционная система. Более продвинутые пользователи также знают и о том, что, начиная с 90-х годов минувшего столетия, мир впервые узнал о таком ассоциируемом с Windows-системами понятии, как Plug and Play или, проще говоря, о PnP, что представляет собой технологию, позволяющую операционной системе автоматически выполнять некоторые конфигурационные настройки для подключенных устройств. Ну а для появления дополнительных возможностей и корректной работы подключенных устройств, конечно, следует устанавливать драйверы, разработанные производителями комплектующих. В свою очередь, такие драйверы администраторы могут устанавливать на целевые компьютеры различными методами: могут самостоятельно бегать по компьютерам с компакт- или DVD-дисками и инсталлировать такие драйверы; могут разместить их в общедоступной папке на файловых серверах и инсталлировать их при помощи скриптов; интегрировать драйверы в операционные системы при помощи таких средств, как Windows ADK; устанавливать драйверы при помощи Microsoft System Center Configuration Manager, а также многими другими методами. Но, по большому счету, данная статья не об этом. Иногда могут возникнуть такие ситуации, когда вам попросту нужно будет отключить на том или ином компьютере определённое устройство или, наоборот, заставить пользователей работать с конкретными девайсами. Чтобы выполнить такие операции вместо пользователя, причем не отключая (или, наоборот, принудительно не включая) навсегда такое устройство, вы можете воспользоваться определенным элементом предпочтения групповой политики, о котором далее в этой статье и пойдет речь.
Узел предпочтений групповой политики "Устройства"
Так как за задачу, связанную с управлением устройствами, отвечает один из элементов предпочтений групповой политики, такой элемент должен управляться определенной динамической библиотекой, которая просто обязана присутствовать как на компьютерах с серверной, так и с клиентской операционными системами. В принципе, как и в случае с большинством расширений клиентской стороны элементов предпочтений, за элемент "Устройства" отвечает библиотека gpprefcl.dll, которая, в свою очередь, привязана к идентификатору GUID {1A6364EB-776B-4120-ADE1-B63A406A76B5}. Данный элемент предпочтения, как я уже успел упомянуть немного выше, позволяет всего-навсего включать или отключать классы или типы тех или иных аппаратных устройств. Другими словами, установка, обновление, удаление драйверов - это не те задачи, которые можно было бы выполнить средствами данного расширения клиентской стороны. Однако, полагаю, что было бы крайне полезно и удобно, если бы Microsoft реализовали такую возможность к следующим релизам серверных операционных систем. Следовательно, так как возможности текущего расширения клиентской стороны крайне ограничены, в следующей процедуре я пошагово расскажу о том, каким образом можно отключить DVD-привод. Так как этот пример можно отнести к самым базовым, немного усложним задачу тем, что привод должен будет отключаться лишь на компьютерах, адреса которых относятся к определенному IP-диапазону. Итак, чтобы реализовать такую задачу, нужно будет выполнить следующие действия:
Для начала, естественно, в оснастке "Управление групповой политикой" (Group Policy Management) следует создать новый объект групповой политики (либо использовать уже существующий, который будет подходить для указанной выше цели), например, "Group Policy Preferences - 18", и, при необходимости, связать его с требуемым подразделением, а после этого выбрать из контекстного меню команду, позволяющую открыть для такого объекта редактор управления групповыми политиками. В моем случае, исключительно для простоты, такой объект был связан с уровнем всего домена, однако в производственной среде я не рекомендую выполнять таких действий;
В оснастке GPME перейдите к узлу Конфигурация компьютера\Настройка\Параметры панели управления\Устройства (Computer Configuration\Preferences\Control Panel Settings\Devices). Несмотря на то, что данный узел можно найти как в узле конфигурации компьютера, так и в узле конфигурации пользователей, чтобы определенные нами настройки распространялись на всех пользователей целевых компьютеров, был выбран именно первый узел. Теперь, находясь в текущем узле, нужно в области сведений вызвать контекстное меню и последовательно выбрать команды "Создать" и "Устройство" (New > Device), как видно на следующей иллюстрации:
Рис. 1. Создание нового элемента предпочтения
Здесь, как сразу видно на последующей иллюстрации, в отобразившемся диалоговом окне создания элемента предпочтения устройств для таких элементов вам практически не предоставляется возможности выбирать какие-либо свойства или параметры. Получается, из раскрывающегося списка "Действие" (Action) вы можете выбрать действие, позволяющее включить выбранный класс или тип устройств ("Использовать это устройство (включить)" (Use this device (enable))), либо, наоборот, отключить их (действие "Не использовать это устройство (выключить)" (Do not use this device (disable))). Так как в данном примере будет отключаться DVD-привод, из этого списка выбирается вторая опция. Скорее всего, единственное, на что следует обращать внимание при использовании данного расширения клиентской стороны, так это на следующие два текстовых поля. Текстовое поле "Класс устройства" (Device class) должно включать в себя наименование конкретного класса устройств, на который будет распространяться данная политика. Здесь сразу можно обратить внимание на то, что данное текстовое поле неподвластно внесению изменений вручную. То есть, чтобы выбрать существующий класс, вам нужно будет нажать на кнопку обзора (…), а затем из дополнительного диалогового окна "Выберите класс устройства или устройство" выбрать требуемый класс. В данном случае это "DVD-дисководы и дисководы компакт-дисков" (DVD/CD-ROM drives). В свою очередь, текстовое поле "Тип устройств" (Device type) позволяет вам вносить в него необходимую информацию, так как оно отвечает за имя определенного устройства, которое уже относится к выбранному вами в предыдущем текстовом поле классу. Как видно на следующей иллюстрации, выбранный класс у меня - класс DVD-дисководов, а вот тип я уже могу указать как "HL-DT-ST DVD-ROM GDR8164B ATA Device", который является моим реальным приводом. В том случае, если на целевых компьютерах дисководы будут отличаться, можно указать либо другой тип, либо вообще оставить это поле пустым, чтобы были отключены абсолютно все типы для выбранного вами класса устройств. Обязательно учтите, что список типов устройств вы сможете увидеть такой, который будет полностью совпадать со всеми устройствами, которые проинсталлированными на том компьютере, на котором вы в настоящее время используете оснастку GPME. Диалоговые окна создания элемента предпочтения и выбора типов устройств изображены ниже:
Рис. 2. Свойства элемента предпочтения и диалог выбора типов устройств
После того как все упомянутые выше настройки были выполнены (а их не так уж и много), следует задуматься о нацеливании на уровень элементов. Следовательно, нужно перейти на вкладку "Общие параметры" (Common Options), установить флажок на опции "Нацеливание на уровень элемента" (Item-level targeting) и нажать на кнопку "Нацеливание" (Targeting). Так как в данном примере нас интересует диапазон IP-адресов, в отобразившемся диалоговом окне редактора нацеливания из раскрывающегося списка создания элементов следует выбрать элемент "Диапазон IP-адресов" (IP address range). Здесь, как видно на следующей иллюстрации, в отличие от системы-предшественницы, Windows Server 2012, в версии R2 появилась возможность использования не только IPv4-диапазона адресов, но еще и, ввиду все большей популярности IPv6, - использования адресов шестой версии. Чтобы определить диапазон IPv6-адресов, следует установить флажок на опции "Использовать IPv6" (Use IPv6), а затем, в соответствующем текстовом поле ввести диапазон адресов в соответствующем формате. Несмотря на то, что у меня настроен только локальный адрес для канала, для примера укажем его в данном текстовом поле. И, помимо этого, на всякий случай еще добавим диапазон IPv4-адресов через оператор ИЛИ. В производственной среде это лучше делать в том случае, если еще у вас не везде внедрены IPv6-адреса. В приведенном примере диалоговое окно редактора нацеливания будет выглядеть следующим образом:
Рис. 3. Диалоговое окно редактора нацеливания
Когда все требуемые параметры и настройки будут внесены, можно закрывать редактор управления групповыми политиками и обновлять параметры политики на целевых компьютерах.
Осталось проверить в диспетчере устройств, получилось ли внести ожидаемые изменения. После того как вы на целевой машине откроете диспетчер устройств, сразу будет заметно, что несмотря на то, что тип устройства в элементе предпочтения не был определен, DVD-привод все равно отключился, так как был указан класс. Следовательно, все получилось. Рис. 4. Результат применения групповой политики
Заключение
Из этой статьи вы узнали о принципе работы очередного элемента предпочтения, отвечающего за состояние конкретных классов и типов устройств на целевых компьютерах. С приведением простейшего примера было продемонстрировано, каким образом можно отключить на всех компьютерах из определенного диапазона IP-адресов DVD-приводы. В следующей статье этого цикла мы с вами поговорим об очередном элементе предпочтения групповой политики, а именно о конфигурации сетевых параметров.