Совет недели по групповым политикам 6 – Настройка персонализации

Продолжая цикл небольших советов, по использованию функционала групповых политик, на этой неделе мы с вами поговорим о настройках оформления рабочих столов ваших пользователей. В большинстве случаев не стоит ограждать своих пользователей от настроек персонализации своей пользовательской учетной записи, но в некоторых случаях вам необходимо задать жесткие ограничения, предотвращающие возможности изменения фонового изображения рабочего стола, экранной заставки и другие возможности персонализации учетной записи. Например, подобные ограничения лучше всего устанавливать на компьютерах, которые расположены в конференц-залах. На собрании ваших директоров или проведении важной презентации с партнерами, вашему начальству не сильно понравится, если на рабочем столе будут красоваться новые фотографии Евы Мендес или целая фотосессия из премьеры новых «Сумерек 15» вместе с курсорами в виде динозавриков. Так как указанные выше настройки распространяются непосредственно на учетную запись пользователя, целесообразно проводить их при помощи функционала групповых политик.

Параметры политик, позволяющие настраивать персонализацию рабочего стола, вы можете найти в узле конфигурации пользователя. Для того чтобы установить жесткие настройки оформления рабочего стола при помощи групповых политик, выполните следующие действия:

  1. В том случае, если вы настраиваете групповые политики на локальном компьютере не входящем в домен, откройте оснастку «Редактор локальной групповой политики». Если же вам нужно настроить конкретную группу компьютеров, которые входят в домен Active Directory, на контроллере домена, откройте оснастку «Управление групповой политикой», в дереве консоли разверните узел «Лес: %имя леса%», узел «Домены», затем узел с названием вашего домена, после чего узел «Объекты групповой политики». В узле «Объекты групповой политики» создайте объект GPO, выберите его, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить». Также, в том случае, если настраиваете данные параметры политики в доменном окружении, на компьютеры, расположенные в конференц-залах могут заходить пользователи, которые расположены в разных подразделениях и в этом случае целесообразно применять обработку замыкании политики;
  2. В этом примере параметры групповой политики настраиваются на локальном компьютере, поэтому в оснастке «Редактор локальной групповой политики», в дереве консоли перейдите в узел Конфигурация пользователяАдминистративные шаблоныПанель управленияПерсонализация, как показано ниже:
    ttw6-01

    Рис. 1. Узел «Персонализация»

  3. Первым делом, запретите своим пользователям изменять фоновое изображение при помощи окна «Персонализация». Для этого вам стоит открыть параметр политики «Запретить изменение фона рабочего стола», который позволяет скрыть страницу «Фоновый рисунок рабочего стола» в окне персонализации. Стоит отметить, что данный параметр политики не распространяется на программное обеспечение, разработанное третьими лицами, при помощи которых можно устанавливать изображение в качестве фона рабочего стола. В диалоговом окне свойств данного параметра установите переключатель на опцию «Включить», это можно увидеть на следующей иллюстрации:
    ttw6-02

    Рис. 2. Запрещаем пользователям изменять фоновое изображение рабочего стола штатными средствами системы

  4. Следующим делом стоит запретить вашим пользователям изменять экранную заставку, так как какая-то шутка ваших сотрудников может на важном совещании отобразиться в самый неподходящий момент. Для этого откройте параметр «Запретить изменение заставки» и в соответствующем диалоговом окне установите переключатель на опцию «Включить»;
  5. Теперь запретим вашим пользователям возможность установки курсоров в виде динозавров или выполнения прочих «крайне полезных» шалостей. Для этого откройте параметр политики «Запретить изменение указателей мыши» и установите переключатель на опцию «Включить»;
  6. Также я рекомендую на таких рабочих станциях отключить возможность изменять звуки и цвета окон при помощи окна «Персонализация». Откройте параметры политик «Запретить изменение звуков» и «Запретить изменение цвета и оформления окон» и установите в каждой из этих политик переключатель на опцию «Включить», а затем нажмите на кнопку «ОК», как показано ниже:
    ttw6-03

    Рис. 3. Запрещение изменения цвета окон

  7. Предположим, что на компьютере в вашем конференц-зале установлена операционная система Windows 7, следующим делом имеет смысл настроить тему. Тема, указанная при помощи следующего параметра политики будет применяться к пользовательской учетной записи каждый раз при выполнении пользователем входа в систему. Для этого откройте параметр политики «Загрузить указанную тему», установите переключатель на опцию «Включить» и в текстовом поле «Путь к файлу темы» введите полный путь к файлу с темой оформления, например: «%Userprofile%AppDataRoamingMicrosoftWindowsThemesNASAHiddenUniverse.themepack», как показано ниже:
    ttw6-04

    Рис. 4. Принудительно указываем файл темы

    После того как вы укажите тему, запретите пользователям вручную изменять темы при помощи параметра политики «Запретить изменение темы».

  8. Последние параметры политики, которые сегодня будут рассмотрены – это параметры, предназначенные для указания экранной заставки, которая будет применяться на данном компьютере, а также для установки времени простоя, по истечении которого будет отображаться данная заставка. Для того чтобы указать промежуток времени, через который при бездействии системы будет вызываться экранная заставка, откройте параметр политики «Таймаут заставки» и установите переключатель на опцию «Включить» и в управляющем элементе «Время ожидания в секундах перед включением заставки» укажите через сколько секунд должна запускаться экранная заставка. Чтобы указать заставку, которая будет выполняться, откройте параметр политики «Применить указанную заставку», установите переключатель на опцию «Включить» и в текстовом поле «Применить указанную заставку» укажите имя файла заставки, которых хранится в папке %SystemRoot%System32, например, Bubbles.scr, как показано на следующей иллюстрации:
    ttw6-05

    Рис. 5. Применение определенной заставки

После того как пользователь выполнит вход в систему, для его учетной записи сразу применится указанная вами тема, а также в окне персонализации будет запрещено изменять тему, фоновое изображение рабочего стола, экранную заставку, цветовую схему окон, а также звуковую схему. Окно персонализации пользователя изображено на следующей иллюстрации:

ttw6-06

Рис. 6. Окно персонализации пользователя после внесения изменений в параметры групповых политик

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)

  1. Все равно, как вы написали ниже, пользователь сможет изменить фон рабочего стола при помощи левых программ, или, в Windows XP, с помощью программы просмотра изображений и факсов.
    Я исправлял эту проблему тем, что перенаправлял рабочий стол на сетевую папку, а там ограничивал запись.
    Вы как-нибудь справлялись с этой проблемой?

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
    1. Согласен, перемещаемые профили — отличное решение данной проблемы. Я, кстати, относительно недавно у себя на блоге публиковал две статьи по перемещаемым профилям…

      VA:F [1.9.22_1171]
      Rating: 0 (from 0 votes)
      1. Я не совсем перемещаемые профили сделал, конечно. Мои документы нужно было хранить локально, но с рабочим столом получилось только так. Еще можно запретить запись в папке Desktop скриптом в автозагрузке и еще, как вариант, очищать файл Desktop.ini (или параметр реестра, где хранится путь к картинке).
        Короче, через лазейки сделать можно, а через ГП — не нашел. А хотелось бы.

        VA:F [1.9.22_1171]
        Rating: 0 (from 0 votes)
  2. В принципе, можно указать путь к картинке через групповые политики, а запретить изменения в папке Desktop, действительно, можно или через узел «Сценарии» в оснастке редактирования GPO или через предпочитаемые групповые политики.
    Т.е. получится примерно следующее: через GPO устанавливается картинка при каждом логоне пользователя, а пользователь не может внести изменения в папку Desktop, так как запрещается туда записывать. Также можно установить NTFS ограничения на некоторые пользовательские папки…
    Это похоже на единственный вариант с запретом изменения фона сторонними приложениями, хотя, немного жесткий 🙂

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
    1. Вот вот. Я думал с приходом 2008 Р2 появится такой параметр.

      VA:F [1.9.22_1171]
      Rating: 0 (from 0 votes)
      1. К сожалению, такого параметра нет ни в 2008R2, а также не будет в 2008R2 SP1 и придется все еще использовать различные костыли… Вероятно, данная задача не является приоритетной для команды разработчиков GPO или за рубежом никто не меняет фон рабочего стола при помощи сторонних приложений 🙂

        VA:F [1.9.22_1171]
        Rating: 0 (from 0 votes)
  3. А как «сторонние приложения» появятся на пользовательских компьютерах?) поставьте ограничение на установку.

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
    1. Не все приложения требуют установку, к сожалению)

      VA:F [1.9.22_1171]
      Rating: 0 (from 0 votes)
  4. Дмитрий, подскажите пожалуйста, а как с помощью политик, можно жестко ограничить пользователей в правах при входе через удаленный рабочий стол на контроллер домена? Если создать политику по ограничению, например, визуальному и применить ее к пользователям домена, то и у них на компьютерах она будет действовать (что мне не нужно), а если задать, что применять политику только для контроллера домена (сервера), то политика сработает и для администратора. Как поступить в данном случае?

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
    1. Иван, а что у Вас указано в фильтрах безопасности для объекта GPO, привязанного к подразделнию с контроллером домена?

      VA:F [1.9.22_1171]
      Rating: 0 (from 0 votes)
  5. Дмитрий, а как мне их найти? В редакторе объектов групповых политик такого пункта нет.

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
    1. Напишите, пожалуйста, в следующем комментарии, какие именно параметры политики Вы настраиваете в редакторе управления групповыми политиками? Можно скриншотом..

      VA:F [1.9.22_1171]
      Rating: 0 (from 0 votes)
  6. Я создал групповую политику, в редакторе политик сервера, и настроил в ней визуальные ограничения после входа на сервер. Если я применю эту политику только к машине (серверу), то такая политика затронет и администратора, что мне не нужно. Если я применю ее к пользователям, то и на любой машине, куда они зайдут через RDP, они получат пустой рабочий стол. Как мне настроить применение данной политики так, чтобы она работала лишь в случае входа пользователями на сервер (домен), но не касалась администратора. При этом, при входе пользователем на другой компьютер (не сервер) через RDP, никакие панели у него не исчезали?

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
  7. т.е. вопрос даже не в том, как мне скрыть то и то, а в том, как эти ограничения применить к узкому числу пользователей и только для определенной машины?

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
  8. Решил настроить политику для пользователей удаленного рабочего стола, т.к. в данном случае, делать замыкание политики самой на себя + создание еще двух-трех групповых политик для работоспособности моей задачи, дело слишком долгое и не красиво выглядящее с технической стороны.

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
  9. Добрый день. Я создал политику в домене, прилинковал ее к группе безопасности с тестовыми пользователями. Для начала задал значение параметра «Загрузить указанную тему» в «%userprofile%AppDataRoamingMicrosoftWindowsThemesaero7.themepack», но после перелогона у пользователей как была классическая тема, так и осталась. Как быть? Нужно ли еще где-то «подкрутить», чтоб все заработало?

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
  10. Добрый день! А как (через GPO) запретить добавление объектов на рабочий стол?

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
  11. Дмитрий Буланов, привет! Мне не совсем понятно п. 7. поясню ситуацию:
    — у меня все пользователи в АД, с помощью ГПО хочу назначить конкретную тему.
    — у всех стоит Win7,
    — сравнив путь указанный в тобой в примере, где находится темы и путь, где они располагаются в Win7 — имеют отличия. В Win7 они находятся тут:
    C:WindowsResourcesThemesaero.theme

    Указываю твой путь (в п. 7) — тема не применяется, указываю путь С:Win…_и_т._д. (см. выше) — тема не применяется. Подскажи, пжлста, как правильно прописать путь?

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
  12. Дмитрий, спс за оперативный ответ! А без скриптов можно сделать? Дело в том, что смысл тогда в этой политике, раз она без скриптов не работает? Верно я понимаю?

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
    1. В этом параметре политики следует указывать точный путь к теме, которая расположена уже в конечном расположении, с чем, иногда, могут быть некоторые проблемы…

      VA:F [1.9.22_1171]
      Rating: 0 (from 0 votes)
  13. здравствуйте, помогите пожалуйста, имею сервер на 2008р2 с доменом, клиенты с виндовс хр сп3 которые к нему подключаются. задача назначить одинаковые обои всем клиентам домена, назначил через гп, все как полагается, но при авторизации клиентов в домене изображение фона появляется на 2-3 сек, а затем экран становится то белым, то синем, зависит от цветовой схемы. вот статья http://support.microsoft.com/kb/977944/ru, по которой попробовал сделать, точнее подгрузил исправление но не помогло.

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *