Сможет ли пользователь группы 7 напрямую редактировать файл
Обновлено: 21.11.2024
В этой статье описывается, как работают файлы ADM, параметры политики, доступные для управления их работой, и рекомендации по обработке распространенных сценариев управления файлами ADM.
Применимо к: Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер базы знаний: 816662
Мы рекомендуем использовать Windows Vista для управления инфраструктурой групповой политики с помощью центрального хранилища. Эта рекомендация остается в силе, даже если в среде есть сочетание клиентов и серверов более низкого уровня, таких как компьютеры под управлением Windows XP или Windows Server 2003. В Windows Vista используется новая модель, которая использует файлы ADMX и ADML для управления шаблонами групповой политики.
Для получения дополнительной информации посетите следующие веб-сайты:
Если вам необходимо использовать компьютеры под управлением Windows XP или Windows Server 2003 для управления инфраструктурой групповой политики, см. рекомендации в этой статье.
Введение в файлы ADM
Файлы ADM — это файлы шаблонов, которые используются групповыми политиками для описания того, где в реестре хранятся параметры политики на основе реестра. Файлы ADM также описывают пользовательский интерфейс, который администраторы видят в оснастке редактора объектов групповой политики. Редактор объектов групповой политики используется администраторами при создании или изменении объектов групповой политики (GPO).
Хранение файлов ADM и настройки по умолчанию
В папке Sysvol каждого контроллера домена каждый объект групповой политики домена поддерживает одну папку, и эта папка называется шаблоном групповой политики (GPT). GPT хранит все файлы ADM, которые использовались в редакторе объектов групповой политики при последнем создании или редактировании объектов групповой политики.
Каждая операционная система включает стандартный набор файлов ADM. Эти стандартные файлы являются файлами по умолчанию, загружаемыми редактором объектов групповой политики. Например, Windows Server 2003 включает следующие файлы ADM:
- System.adm
- Inetres.adm
- Conf.adm
- Wmplayer.adm
- Wuau.adm
Пользовательские файлы ADM
Специальные файлы ADM могут создаваться разработчиками программ или ИТ-специалистами, чтобы распространить использование параметров политики на основе реестра на новые программы и компоненты.
Программы и компоненты должны быть разработаны и закодированы таким образом, чтобы распознавать и реагировать на параметры политики, описанные в файле ADM.
Чтобы загрузить файлы ADM в редактор объектов групповой политики, выполните следующие действия:
Запустите редактор объектов групповой политики.
Щелкните правой кнопкой мыши "Административные шаблоны" и выберите "Добавить/удалить шаблоны".
Административные шаблоны доступны в разделе «Конфигурация компьютера» или «Конфигурация пользователя». Выберите конфигурацию, которая подходит для вашего пользовательского шаблона.
Нажмите "Добавить".
Выберите файл ADM, а затем нажмите кнопку "Открыть".
Нажмите "Закрыть".
Настраиваемые параметры политики файлов ADM теперь доступны в редакторе объектов групповой политики.
Обновить файлы и временные метки ADM
Каждая рабочая станция администратора, используемая для запуска редактора объектов групповой политики, хранит файлы ADM в папке %windir%\Inf. Когда объекты групповой политики создаются и редактируются в первый раз, файлы ADM из этой папки копируются в подпапку Adm в GPT. Сюда входят стандартные файлы ADM и любые пользовательские файлы ADM, добавленные администратором.
Создание объекта групповой политики без последующего редактирования этого объекта групповой политики создает объект групповой политики без каких-либо файлов ADM.
По умолчанию при редактировании объектов групповой политики редактор объектов групповой политики сравнивает временные метки файлов ADM в папке %windir%\Inf рабочей станции с теми, которые хранятся в папке GPT Adm. Если файлы рабочей станции новее, редактор объектов групповой политики копирует эти файлы в папку GPT Adm, перезаписывая все существующие файлы с таким же именем. Это сравнение происходит, когда узел «Административные шаблоны» (конфигурация компьютера или пользователя) выбран в редакторе объектов групповой политики, независимо от того, редактирует ли администратор объект групповой политики на самом деле.
Файлы ADM, хранящиеся в GPT, можно обновить, просмотрев объект групповой политики в редакторе объектов групповой политики.
Из-за важности меток времени для управления файлами ADM не рекомендуется редактировать системные файлы ADM. Если требуется новый параметр политики, Microsoft рекомендует создать пользовательский файл ADM. Это предотвращает замену системных файлов ADM при выпуске пакетов обновлений.
Консоль управления групповыми политиками
По умолчанию консоль управления групповыми политиками (GPMC) всегда использует локальные файлы ADM, независимо от их отметки времени, и никогда не копирует файлы ADM в Sysvol. Если файл ADM не найден, консоль управления групповыми политиками ищет файл ADM в GPT. Кроме того, пользователь консоли управления групповыми политиками может указать альтернативное расположение для файлов ADM. Если указано альтернативное местоположение, это альтернативное местоположение имеет приоритет.
Репликация объекта групповой политики
Служба репликации файлов (FRS) реплицирует GPT для объектов групповой политики по всему домену.В рамках GPT подпапка Adm реплицируется на все контроллеры домена в домене. Поскольку каждый объект групповой политики хранит несколько файлов ADM, и некоторые из них могут быть довольно большими, необходимо понимать, как файлы ADM, которые добавляются или обновляются при использовании редактора объектов групповой политики, могут влиять на трафик репликации.
Использовать параметры политики для управления обновлениями файла ADM
Доступны две области параметров политики, помогающие управлять файлами ADM. Эти параметры позволяют администратору настраивать использование файлов ADM для конкретной среды. Это параметры «Отключить автоматическое обновление файлов ADM» и «Всегда использовать локальные файлы ADM для редактора групповой политики».
Отключить автоматическое обновление файлов ADM
Этот параметр политики доступен в разделе Конфигурация пользователя\Административные шаблоны\Система\Групповая политика в Windows Server 2003, Windows XP и Windows 2000. Этот параметр можно применить к любому клиенту с включенной групповой политикой.
Всегда использовать локальные файлы ADM для редактора групповой политики
Этот параметр политики доступен в разделе Конфигурация компьютера\Административные шаблоны\Система\Групповая политика. Это новый параметр политики. Его можно успешно применить только к клиентам Windows Server 2003. Параметр может быть развернут на старых клиентах, но это не повлияет на их поведение. Если этот параметр включен, редактор объектов групповой политики всегда использует локальные файлы ADM в папке локальной системы %windir%\Inf при изменении объекта групповой политики.
Если этот параметр политики включен, подразумевается параметр политики Отключить автоматическое обновление файлов ADM.
Распространенные сценарии и рекомендации по проблемам многоязычного администрирования
В некоторых средах параметры политики могут быть представлены в пользовательском интерфейсе на разных языках. Например, администратор в США может захотеть просмотреть параметры политики для определенного объекта групповой политики на английском языке, а администратор во Франции может захотеть просмотреть тот же объект групповой политики, используя французский в качестве предпочитаемого языка. Поскольку GPT может хранить только один набор файлов ADM, вы не можете использовать GPT для хранения файлов ADM для обоих языков.
Для Windows 2000 использование локальных файлов ADM редактором объектов групповой политики не поддерживается. Чтобы обойти это, используйте параметр политики «Отключить автоматическое обновление файлов ADM». Поскольку этот параметр политики не влияет на создание новых объектов групповой политики, локальные файлы ADM будут загружены в GPT в Windows 2000, а создание объекта групповой политики в Windows 2000 фактически определяет «язык объекта групповой политики». Если параметр политики «Отключить автоматическое обновление файлов ADM» действует на всех рабочих станциях Windows 2000, язык файлов ADM в GPT будет определяться языком компьютера, который используется для создания объекта групповой политики. р>
Для администраторов, использующих Windows XP и Windows Server 2003, можно использовать параметр политики «Всегда использовать локальные файлы ADM для редактора групповой политики». Это позволяет французскому администратору просматривать параметры политики с помощью файлов ADM, установленных локально на его или ее рабочей станции (французский язык), независимо от файла ADM, хранящегося в GPT. При использовании этого параметра политики подразумевается, что параметр политики «Отключить автоматическое обновление файлов ADM» включен, чтобы избежать ненужных обновлений файлов ADM в GPT.
Кроме того, рассмотрите возможность стандартизации новейшей операционной системы Microsoft для рабочих станций администратора в многоязычной административной среде. Затем настройте параметры политики «Всегда использовать локальные файлы ADM для редактора групповой политики» и «Отключить автоматическое обновление файлов ADM».
Если используются рабочие станции Windows 2000, используйте параметр политики "Отключить автоматическое обновление файлов ADM" для администраторов и считайте файлы ADM в GPT эффективным языком для всех рабочих станций Windows 2000.
Рабочие станции Windows XP могут по-прежнему использовать свои локальные языковые версии.
Распространенные сценарии и рекомендации по проблемам с выпусками операционной системы и пакетов обновлений
Каждый выпуск операционной системы или пакета обновлений включает расширенный набор файлов ADM, предоставленных более ранними выпусками, включая параметры политики, относящиеся к операционным системам, которые отличаются от параметров нового выпуска. Например, файлы ADM, поставляемые с Windows Server 2003, включают все параметры политики для всех операционных систем, включая те, которые относятся только к Windows 2000 или Windows XP Professional. Это означает, что только просмотр объекта групповой политики с компьютера с новой версией операционной системы или пакета обновлений эффективно обновляет файлы ADM. Поскольку более поздние выпуски обычно представляют собой расширенный набор предыдущих файлов ADM, это обычно не создает проблем, если исходить из того, что используемые файлы ADM не редактировались.
В некоторых случаях выпуск операционной системы или пакета обновлений может включать подмножество файлов ADM, которые поставлялись с более ранними выпусками.Это потенциально может представить более раннее подмножество файлов ADM, в результате чего параметры политики больше не будут видны администраторам, когда они используют редактор объектов групповой политики. Однако параметры политики останутся активными в GPO. Затрагивается только видимость параметров политики в редакторе объектов групповой политики. Любые активные (включенные или отключенные) параметры политики не отображаются в редакторе объектов групповой политики, но остаются активными. Поскольку параметры не видны, администратор не может просматривать или изменять эти параметры политики. Чтобы обойти эту проблему, администраторы должны ознакомиться с файлами ADM, включенными в каждую операционную систему или выпуск пакета обновления, прежде чем использовать редактор объектов групповой политики в этой операционной системе, помня о том, что для обновления достаточно просмотра объекта групповой политики. файлы ADM в GPT, когда сравнение временных меток определяет необходимость обновления.
Чтобы запланировать это в вашей среде, Microsoft рекомендует:
Определите стандартную операционную систему/пакет обновлений, из которой будет осуществляться просмотр и редактирование объектов групповой политики, убедившись, что используемые файлы ADM включают параметры политики для всех платформ.
Используйте параметр политики «Отключить автоматическое обновление файлов ADM» для всех администраторов групповой политики, чтобы убедиться, что файлы ADM не перезаписываются в GPT каким-либо сеансом редактора объектов групповой политики, и убедитесь, что вы используете последнюю версию Файлы ADM, доступные в Microsoft.
Политика «Всегда использовать локальные файлы ADM для редактора групповой политики» обычно используется с этой политикой, если она поддерживается операционной системой, из которой запускается редактор объектов групповой политики.
Удалить файлы ADM из папки Sysvol
По умолчанию файлы ADM хранятся в GPT, и это может значительно увеличить размер папки Sysvol. Кроме того, частое редактирование объектов групповой политики может привести к значительному объему трафика репликации. Использование сочетания параметров политики «Отключить автоматическое обновление файлов ADM» и «Всегда использовать локальные файлы ADM для редактора групповой политики» может значительно уменьшить размер папки Sysvol и сократить трафик репликации, связанный с политикой, при значительном количестве изменений политики. произойти.
Если размер тома Sysvol или трафика репликации, связанного с групповой политикой, становится проблематичным, рассмотрите возможность реализации среды, в которой Sysvol не хранит файлы ADM. Или рассмотрите возможность сохранения файлов ADM на административных рабочих станциях. Этот процесс описан в следующем разделе.
Чтобы очистить папку Sysvol от файлов ADM, выполните следующие действия:
- Включите параметр политики «Отключить автоматическое обновление файлов ADM» для всех администраторов групповой политики, которые будут редактировать объекты групповой политики.
- Убедитесь, что эта политика применена.
- Скопируйте все пользовательские шаблоны ADM в папку %windir%\Inf.
- Измените существующие объекты групповой политики, а затем удалите все файлы ADM из GPT. Для этого щелкните правой кнопкой мыши "Административные шаблоны" и выберите "Добавить/удалить шаблон".
- Включите параметр политики "Всегда использовать локальные файлы ADM для редактирования объектов групповой политики" для рабочих станций администратора.
Поддерживать файлы ADM на рабочих станциях администратора
При использовании параметра политики «Всегда использовать локальные файлы ADM для редактора групповой политики» убедитесь, что на каждой рабочей станции установлена последняя версия стандартных и пользовательских файлов ADM. Если все файлы ADM недоступны локально, некоторые параметры политики, содержащиеся в объекте групповой политики, не будут видны администратору. Избегайте этого, внедрив стандартную версию операционной системы и пакета обновлений для всех администраторов. Если вы не можете использовать стандартную операционную систему и пакет обновления, внедрите процесс распространения последних файлов ADM на все административные рабочие станции.
Windows 8.1 Enterprise Windows 8.1 Windows 8.1 Pro Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows Server 2012 R2 Standard Windows 8 Enterprise Windows 8 Windows 8 Pro Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2012 Foundation Windows Server 2012 Standard Windows Server 2012 Standard Windows 7 Enterprise Windows 7 Professional Windows 7 Ultimate Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Foundation Windows Server 2008 R2 Standard Еще. Меньше
Симптомы
В этой статье описывается обновление, позволяющее настроить редактор групповой политики для использования локальных файлов ADMX вместо центрального хранилища.
Предположим, что вы используете обновленные файлы ADMX в центральном хранилище на SYSVOL для инструментов групповой политики на контроллере домена. Консоль управления групповыми политиками (GPMC) на клиентах использует файлы ADMX в центральном хранилище, а не в локальном.
В этом случае некоторые параметры нельзя настроить для компьютеров, использующих предыдущие версии файлов ADMX. Параметры отображаются в редакторе как «дополнительные параметры реестра». Новые файлы ADMX в центральном хранилище домена не содержат метаданных редактора для этих настроек.
Примечание. Настройки, сделанные до обновления центрального хранилища ADMX, применяются к клиентам, но их больше нельзя изменить.
Причина
Эта проблема возникает из-за того, что обновленные файлы ADMX могут не содержать некоторые параметры для более старых версий операционной системы.
Разрешение
Мы рекомендуем сохранить центральное хранилище с шаблонами ADMX для Windows 7 или Windows Server 2008 R2. Чтобы изменить новые политики для компьютеров с Windows 8, рекомендуется использовать отдельный компьютер с Windows Server 2012, на котором установлено это исправление.
Установите обновление 2919355 в Windows 8.1 или Windows Server 2012 R2.
Установите исправление, описанное в этой статье, в Windows 8, Windows Server 2012, Windows 7 или Windows Server 2008 R2.
Информация об обновлении для Windows 8.1 или Windows Server 2012 R2
Для получения дополнительных сведений о том, как получить обновление 2919355, щелкните следующий номер статьи базы знаний Майкрософт:
2919355 Обновление для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2, апрель 2014 г.
Информация об исправлениях для Windows 8, Windows Server 2012, Windows 7 или Windows Server 2008 R2
Поддерживаемое исправление можно получить в службе поддержки Microsoft. Однако это исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только к системам, в которых возникла проблема, описанная в этой статье. Это исправление может пройти дополнительное тестирование. Поэтому, если эта проблема не оказывает серьезного влияния на вас, мы рекомендуем дождаться следующего обновления программного обеспечения, содержащего это исправление.
Если исправление доступно для загрузки, в верхней части этой статьи базы знаний есть раздел «Исправление доступно для загрузки». Если этот раздел не отображается, обратитесь в службу поддержки клиентов Майкрософт, чтобы получить исправление.
Примечание. Если возникают дополнительные проблемы или требуется их устранение, вам может потребоваться создать отдельный запрос на обслуживание. Обычная стоимость поддержки будет применяться к дополнительным вопросам поддержки и проблемам, которые не подходят для этого конкретного исправления. Чтобы получить полный список номеров телефонов службы поддержки и обслуживания клиентов Майкрософт или создать отдельный запрос на обслуживание, перейдите на следующий веб-сайт Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме «Исправление доступно для загрузки» отображаются языки, для которых доступно исправление. Если вы не видите свой язык, это означает, что для него недоступно исправление.
Предпосылки
Чтобы применить это исправление, необходимо установить Windows 8, Windows Server 2012, Windows 7 с пакетом обновления 1 (SP1) или Windows Server 2008 R2 с пакетом обновления 1 (SP1).
Для получения дополнительных сведений о том, как получить пакет обновления для Windows 7 или Windows Server 2008 R2, щелкните следующий номер статьи базы знаний Майкрософт:
976932 Информация о пакете обновления 1 для Windows 7 и Windows Server 2008 R2
Информация о реестре
Важно!
Внимательно выполняйте действия, описанные в этом разделе. При неправильном изменении реестра могут возникнуть серьезные проблемы. Прежде чем изменять его, создайте резервную копию реестра для восстановления в случае возникновения проблем.
После установки исправления вы можете вручную включить использование локальных файлов ADMX. Конфигурация должна выполняться на компьютере, на котором выполняется редактор политик, который является либо контроллером домена, либо клиентом, на котором установлены средства удаленного администрирования сервера (RSAT).
Чтобы обойти центральное хранилище и вместо этого использовать файлы ADMX из локального хранилища, задайте для следующей записи реестра значение 1:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy\EnableLocalStoreOverrideType: REG_DWORD
Values:< /p>
0 — использовать PolicyDefinitions на Sysvol, если они есть (по умолчанию)
1 — всегда использовать локальные PolicyDefinitions
В этой статье описывается, как работают файлы ADM, параметры политики, доступные для управления их работой, и рекомендации по обработке распространенных сценариев управления файлами ADM.
Применимо к: Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер базы знаний: 816662
Мы рекомендуем использовать Windows Vista для управления инфраструктурой групповой политики с помощью центрального хранилища. Эта рекомендация остается в силе, даже если в среде есть сочетание клиентов и серверов более низкого уровня, таких как компьютеры под управлением Windows XP или Windows Server 2003. В Windows Vista используется новая модель, которая использует файлы ADMX и ADML для управления шаблонами групповой политики.
Для получения дополнительной информации посетите следующие веб-сайты:
Если вам необходимо использовать компьютеры под управлением Windows XP или Windows Server 2003 для управления инфраструктурой групповой политики, см. рекомендации в этой статье.
Введение в файлы ADM
Файлы ADM — это файлы шаблонов, которые используются групповыми политиками для описания того, где в реестре хранятся параметры политики на основе реестра. Файлы ADM также описывают пользовательский интерфейс, который администраторы видят в оснастке редактора объектов групповой политики. Редактор объектов групповой политики используется администраторами при создании или изменении объектов групповой политики (GPO).
Хранение файлов ADM и настройки по умолчанию
В папке Sysvol каждого контроллера домена каждый объект групповой политики домена поддерживает одну папку, и эта папка называется шаблоном групповой политики (GPT). GPT хранит все файлы ADM, которые использовались в редакторе объектов групповой политики при последнем создании или редактировании объектов групповой политики.
Каждая операционная система включает стандартный набор файлов ADM. Эти стандартные файлы являются файлами по умолчанию, загружаемыми редактором объектов групповой политики. Например, Windows Server 2003 включает следующие файлы ADM:
- System.adm
- Inetres.adm
- Conf.adm
- Wmplayer.adm
- Wuau.adm
Пользовательские файлы ADM
Специальные файлы ADM могут создаваться разработчиками программ или ИТ-специалистами, чтобы распространить использование параметров политики на основе реестра на новые программы и компоненты.
Программы и компоненты должны быть разработаны и закодированы таким образом, чтобы распознавать и реагировать на параметры политики, описанные в файле ADM.
Чтобы загрузить файлы ADM в редактор объектов групповой политики, выполните следующие действия:
Запустите редактор объектов групповой политики.
Щелкните правой кнопкой мыши "Административные шаблоны" и выберите "Добавить/удалить шаблоны".
Административные шаблоны доступны в разделе «Конфигурация компьютера» или «Конфигурация пользователя». Выберите конфигурацию, которая подходит для вашего пользовательского шаблона.
Нажмите "Добавить".
Выберите файл ADM, а затем нажмите кнопку "Открыть".
Нажмите "Закрыть".
Настраиваемые параметры политики файлов ADM теперь доступны в редакторе объектов групповой политики.
Обновить файлы и временные метки ADM
Каждая рабочая станция администратора, используемая для запуска редактора объектов групповой политики, хранит файлы ADM в папке %windir%\Inf. Когда объекты групповой политики создаются и редактируются в первый раз, файлы ADM из этой папки копируются в подпапку Adm в GPT. Сюда входят стандартные файлы ADM и любые пользовательские файлы ADM, добавленные администратором.
Создание объекта групповой политики без последующего редактирования этого объекта групповой политики создает объект групповой политики без каких-либо файлов ADM.
По умолчанию при редактировании объектов групповой политики редактор объектов групповой политики сравнивает временные метки файлов ADM в папке %windir%\Inf рабочей станции с теми, которые хранятся в папке GPT Adm. Если файлы рабочей станции новее, редактор объектов групповой политики копирует эти файлы в папку GPT Adm, перезаписывая все существующие файлы с таким же именем. Это сравнение происходит, когда узел «Административные шаблоны» (конфигурация компьютера или пользователя) выбран в редакторе объектов групповой политики, независимо от того, редактирует ли администратор объект групповой политики на самом деле.
Файлы ADM, хранящиеся в GPT, можно обновить, просмотрев объект групповой политики в редакторе объектов групповой политики.
Из-за важности меток времени для управления файлами ADM не рекомендуется редактировать системные файлы ADM. Если требуется новый параметр политики, Microsoft рекомендует создать пользовательский файл ADM. Это предотвращает замену системных файлов ADM при выпуске пакетов обновлений.
Консоль управления групповыми политиками
По умолчанию консоль управления групповыми политиками (GPMC) всегда использует локальные файлы ADM, независимо от их отметки времени, и никогда не копирует файлы ADM в Sysvol. Если файл ADM не найден, консоль управления групповыми политиками ищет файл ADM в GPT. Кроме того, пользователь консоли управления групповыми политиками может указать альтернативное расположение для файлов ADM. Если указано альтернативное местоположение, это альтернативное местоположение имеет приоритет.
Репликация объекта групповой политики
Служба репликации файлов (FRS) реплицирует GPT для объектов групповой политики по всему домену. В рамках GPT подпапка Adm реплицируется на все контроллеры домена в домене. Поскольку каждый объект групповой политики хранит несколько файлов ADM, и некоторые из них могут быть довольно большими, необходимо понимать, как файлы ADM, которые добавляются или обновляются при использовании редактора объектов групповой политики, могут влиять на трафик репликации.
Использовать параметры политики для управления обновлениями файла ADM
Доступны две области параметров политики, помогающие управлять файлами ADM. Эти параметры позволяют администратору настраивать использование файлов ADM для конкретной среды. Это параметры «Отключить автоматическое обновление файлов ADM» и «Всегда использовать локальные файлы ADM для редактора групповой политики».
Отключить автоматическое обновление файлов ADM
Этот параметр политики доступен в разделе Конфигурация пользователя\Административные шаблоны\Система\Групповая политика в Windows Server 2003, Windows XP и Windows 2000. Этот параметр можно применить к любому клиенту с включенной групповой политикой.
Всегда использовать локальные файлы ADM для редактора групповой политики
Этот параметр политики доступен в разделе Конфигурация компьютера\Административные шаблоны\Система\Групповая политика. Это новый параметр политики. Его можно успешно применить только к клиентам Windows Server 2003. Параметр может быть развернут на старых клиентах, но это не повлияет на их поведение. Если этот параметр включен, редактор объектов групповой политики всегда использует локальные файлы ADM в папке локальной системы %windir%\Inf при изменении объекта групповой политики.
Если этот параметр политики включен, подразумевается параметр политики Отключить автоматическое обновление файлов ADM.
Распространенные сценарии и рекомендации по проблемам многоязычного администрирования
В некоторых средах параметры политики могут быть представлены в пользовательском интерфейсе на разных языках. Например, администратор в США может захотеть просмотреть параметры политики для определенного объекта групповой политики на английском языке, а администратор во Франции может захотеть просмотреть тот же объект групповой политики, используя французский в качестве предпочитаемого языка. Поскольку GPT может хранить только один набор файлов ADM, вы не можете использовать GPT для хранения файлов ADM для обоих языков.
Для Windows 2000 использование локальных файлов ADM редактором объектов групповой политики не поддерживается. Чтобы обойти это, используйте параметр политики «Отключить автоматическое обновление файлов ADM». Поскольку этот параметр политики не влияет на создание новых объектов групповой политики, локальные файлы ADM будут загружены в GPT в Windows 2000, а создание объекта групповой политики в Windows 2000 фактически определяет «язык объекта групповой политики». Если параметр политики «Отключить автоматическое обновление файлов ADM» действует на всех рабочих станциях Windows 2000, язык файлов ADM в GPT будет определяться языком компьютера, который используется для создания объекта групповой политики. р>
Для администраторов, использующих Windows XP и Windows Server 2003, можно использовать параметр политики «Всегда использовать локальные файлы ADM для редактора групповой политики». Это позволяет французскому администратору просматривать параметры политики с помощью файлов ADM, установленных локально на его или ее рабочей станции (французский язык), независимо от файла ADM, хранящегося в GPT. При использовании этого параметра политики подразумевается, что параметр политики «Отключить автоматическое обновление файлов ADM» включен, чтобы избежать ненужных обновлений файлов ADM в GPT.
Кроме того, рассмотрите возможность стандартизации новейшей операционной системы Microsoft для рабочих станций администратора в многоязычной административной среде. Затем настройте параметры политики «Всегда использовать локальные файлы ADM для редактора групповой политики» и «Отключить автоматическое обновление файлов ADM».
Если используются рабочие станции Windows 2000, используйте параметр политики "Отключить автоматическое обновление файлов ADM" для администраторов и считайте файлы ADM в GPT эффективным языком для всех рабочих станций Windows 2000.
Рабочие станции Windows XP могут по-прежнему использовать свои локальные языковые версии.
Распространенные сценарии и рекомендации по проблемам с выпусками операционной системы и пакетов обновлений
Каждый выпуск операционной системы или пакета обновлений включает расширенный набор файлов ADM, предоставленных более ранними выпусками, включая параметры политики, относящиеся к операционным системам, которые отличаются от параметров нового выпуска. Например, файлы ADM, поставляемые с Windows Server 2003, включают все параметры политики для всех операционных систем, включая те, которые относятся только к Windows 2000 или Windows XP Professional. Это означает, что только просмотр объекта групповой политики с компьютера с новой версией операционной системы или пакета обновлений эффективно обновляет файлы ADM. Поскольку более поздние выпуски обычно представляют собой расширенный набор предыдущих файлов ADM, это обычно не создает проблем, если исходить из того, что используемые файлы ADM не редактировались.
В некоторых случаях выпуск операционной системы или пакета обновлений может включать подмножество файлов ADM, которые поставлялись с более ранними выпусками. Это потенциально может представить более раннее подмножество файлов ADM, в результате чего параметры политики больше не будут видны администраторам, когда они используют редактор объектов групповой политики. Однако параметры политики останутся активными в GPO. Затрагивается только видимость параметров политики в редакторе объектов групповой политики. Любые активные (включенные или отключенные) параметры политики не отображаются в редакторе объектов групповой политики, но остаются активными. Поскольку параметры не видны, администратор не может просматривать или изменять эти параметры политики.Чтобы обойти эту проблему, администраторы должны ознакомиться с файлами ADM, включенными в каждую операционную систему или выпуск пакета обновления, прежде чем использовать редактор объектов групповой политики в этой операционной системе, помня о том, что для обновления достаточно просмотра объекта групповой политики. файлы ADM в GPT, когда сравнение временных меток определяет необходимость обновления.
Чтобы запланировать это в вашей среде, Microsoft рекомендует:
Определите стандартную операционную систему/пакет обновлений, из которой будет осуществляться просмотр и редактирование объектов групповой политики, убедившись, что используемые файлы ADM включают параметры политики для всех платформ.
Используйте параметр политики «Отключить автоматическое обновление файлов ADM» для всех администраторов групповой политики, чтобы убедиться, что файлы ADM не перезаписываются в GPT каким-либо сеансом редактора объектов групповой политики, и убедитесь, что вы используете последнюю версию Файлы ADM, доступные в Microsoft.
Политика «Всегда использовать локальные файлы ADM для редактора групповой политики» обычно используется с этой политикой, если она поддерживается операционной системой, из которой запускается редактор объектов групповой политики.
Удалить файлы ADM из папки Sysvol
По умолчанию файлы ADM хранятся в GPT, и это может значительно увеличить размер папки Sysvol. Кроме того, частое редактирование объектов групповой политики может привести к значительному объему трафика репликации. Использование сочетания параметров политики «Отключить автоматическое обновление файлов ADM» и «Всегда использовать локальные файлы ADM для редактора групповой политики» может значительно уменьшить размер папки Sysvol и сократить трафик репликации, связанный с политикой, при значительном количестве изменений политики. произойти.
Если размер тома Sysvol или трафика репликации, связанного с групповой политикой, становится проблематичным, рассмотрите возможность реализации среды, в которой Sysvol не хранит файлы ADM. Или рассмотрите возможность сохранения файлов ADM на административных рабочих станциях. Этот процесс описан в следующем разделе.
Чтобы очистить папку Sysvol от файлов ADM, выполните следующие действия:
- Включите параметр политики «Отключить автоматическое обновление файлов ADM» для всех администраторов групповой политики, которые будут редактировать объекты групповой политики.
- Убедитесь, что эта политика применена.
- Скопируйте все пользовательские шаблоны ADM в папку %windir%\Inf.
- Измените существующие объекты групповой политики, а затем удалите все файлы ADM из GPT. Для этого щелкните правой кнопкой мыши "Административные шаблоны" и выберите "Добавить/удалить шаблон".
- Включите параметр политики "Всегда использовать локальные файлы ADM для редактирования объектов групповой политики" для рабочих станций администратора.
Поддерживать файлы ADM на рабочих станциях администратора
При использовании параметра политики "Всегда использовать локальные файлы ADM для редактора групповой политики" убедитесь, что на каждой рабочей станции установлена последняя версия стандартных и пользовательских файлов ADM. Если все файлы ADM недоступны локально, некоторые параметры политики, содержащиеся в объекте групповой политики, не будут видны администратору. Избегайте этого, внедрив стандартную версию операционной системы и пакета обновлений для всех администраторов. Если вы не можете использовать стандартную операционную систему и пакет обновления, внедрите процесс распространения последних файлов ADM на все административные рабочие станции.
сообщить об этом объявлении
Команда chown позволяет изменить владельца пользователя и/или группы для данного файла, каталога или символической ссылки.
В Linux все файлы связаны с владельцем и группой, и им назначаются права доступа для владельца файла, участников группы и других лиц.
В этом руководстве мы покажем вам, как использовать команду chown на практических примерах.
Прежде чем перейти к использованию команды chown, давайте начнем с изучения основного синтаксиса.
Выражения команды chown имеют следующую форму:
ПОЛЬЗОВАТЕЛЬ – это имя пользователя или идентификатор пользователя (UID) нового владельца. ГРУППА — это имя новой группы или идентификатор группы (GID). ФАЙЛ(ы) — это имя одного или нескольких файлов, каталогов или ссылок. Перед числовыми идентификаторами должен стоять символ +.
- ПОЛЬЗОВАТЕЛЬ. Если указан только пользователь, указанный пользователь станет владельцем данных файлов, принадлежность группы не изменится.
- ПОЛЬЗОВАТЕЛЬ: – если после имени пользователя следует двоеточие : , а имя группы не указано, пользователь становится владельцем файлов, а право собственности на группу файлов изменяется на группу входа пользователя.
- ПОЛЬЗОВАТЕЛЬ:ГРУППА – если указаны и пользователь, и группа (без пробела между ними), право собственности на файлы изменяется на данного пользователя, а право собственности на группу изменяется на данную группу.
- :GROUP – если пользователь не указан, а перед группой стоит двоеточие : , на данную группу изменяется только групповое владение файлами.
- : Если указано только двоеточие : без указания пользователя и группы, никаких изменений не производится.
По умолчанию в случае успеха chown ничего не выводит и возвращает ноль.
Используйте команду ls -l, чтобы узнать, кому принадлежит файл или к какой группе он принадлежит:
Обычные пользователи могут изменить группу файла, только если они владеют файлом, и только в группу, членом которой они являются. Пользователи с правами администратора могут изменить групповое владение всеми файлами.
Чтобы изменить владельца файла, используйте команду chown, за которой следует имя пользователя нового владельца и целевой файл в качестве аргумента:
Например, следующая команда изменит владельца файла с именем file1 на нового владельца с именем linuxize :
Чтобы изменить владельца нескольких файлов или каталогов, укажите их в виде списка, разделенного пробелами. Приведенная ниже команда изменяет владельца файла с именем file1 и каталога dir1 на нового владельца с именем linuxize :
Вместо имени пользователя можно использовать числовой идентификатор пользователя (UID). В следующем примере право собственности на файл с именем file2 будет изменено на нового владельца с UID 1000:
Если в качестве имени пользователя существует числовой владелец, право собственности будет передано этому имени пользователя. Чтобы избежать этого префикса ID с + :
Чтобы изменить владельца и группу файла, используйте команду chown, за которой следует новый владелец и группа, разделенные двоеточием (:) без пробелов, и целевой файл.
Следующая команда изменит владельца файла с именем file1 на нового владельца с именем linuxize и группу пользователей:
Если вы опустите имя группы после двоеточия ( : ), группа файла изменится на группу входа указанного пользователя:
Чтобы изменить только группу файла, используйте команду chown, за которой следует двоеточие ( : ), имя новой группы (без пробела между ними) и целевой файл в качестве аргумента:
Следующая команда изменит группу владельцев файла с именем file1 на www-data :
Еще одна команда, которую можно использовать для изменения группового владения файлами, — chgrp .
Если параметр recursive не используется, команда chown изменяет групповое владение файлами, на которые указывают символические ссылки, а не сами символические ссылки.
Например, если вы попытаетесь изменить владельца и группу символической ссылки symlink1, которая указывает на /var/www/file1, chown изменит владельца файла или каталога, на который указывает символическая ссылка:
Скорее всего, вместо изменения владельца цели вы получите сообщение об ошибке "невозможно разыменовать "symlink1": разрешение отклонено".
Эта ошибка возникает из-за того, что по умолчанию в большинстве дистрибутивов Linux символические ссылки защищены, и вы не можете работать с целевыми файлами. Этот параметр указан в /proc/sys/fs/protected_symlinks. 1 означает включено и 0 отключено. Мы рекомендуем не отключать защиту символических ссылок.
Чтобы изменить групповое владение самой символической ссылкой, используйте параметр -h:
Чтобы рекурсивно работать со всеми файлами и каталогами в данном каталоге, используйте параметр -R ( --recursive ):
В следующем примере право собственности на все файлы и подкаталоги в каталоге /var/www будет изменено на нового владельца и группу с именем www-data :
Если каталог содержит символические ссылки, укажите параметр -h:
Другие параметры, которые можно использовать при рекурсивном изменении владельца каталога: -H и -L .
Если аргумент, переданный команде chown, является символической ссылкой, указывающей на каталог, параметр -H заставит команду перейти по нему. -L указывает chown переходить по каждой символической ссылке к каталогу, который встречается. Как правило, вам не следует использовать эти параметры, так как вы можете испортить свою систему или создать угрозу безопасности.
Параметр --reference=ref_file позволяет изменить права пользователя и группы на заданные файлы, чтобы они были такими же, как и у указанного эталонного файла ( ref_file ). Если эталонный файл является символической ссылкой, chown будет использовать пользователя и группу целевого файла.
Например, следующая команда назначит пользователя и группу владельца файла1 файлу2
chown — это утилита командной строки Linux/UNIX для изменения прав пользователя и/или группы на файл.
Чтобы узнать больше о команде chown, посетите справочную страницу chown или введите man chown в своем терминале.
Если у вас есть какие-либо вопросы или отзывы, не стесняйтесь оставлять комментарии.
сообщить об этом объявлении
Дэнни Мерфи
Назначение разрешений для каждого файла и папки по отдельности может быть сложным и занимать много времени. Чтобы избежать неприятностей, связанных с изменением разрешений для группы папок по отдельности, мы можем использовать для этого групповую политику.В этой статье вы увидите процесс назначения прав доступа к файлам и папкам в домене через GPO. Эти инструкции могут быть чрезвычайно полезными и сэкономить ваше время, если вам нужно назначить разрешения для большого количества систем с общей настройкой. Далее в этой статье вы также увидите способ аудита изменений разрешений и аудита других изменений в файловом сервере с помощью Lepide File Server Auditor (часть Lepide Data Security Platform).
Шаги по назначению прав доступа к файлам/папкам
- Перейдите в меню "Пуск" -> "Администрирование" и нажмите "Управление групповыми политиками", чтобы получить доступ к его консоли.
- На левой панели «Консоли управления групповой политикой» необходимо создать новый объект групповой политики или отредактировать существующий объект групповой политики.
- Чтобы создать новый объект групповой политики, щелкните правой кнопкой мыши «Объекты групповой политики» и выберите «Создать» в контекстном меню. Он показывает окно «Новый GPO».
Рисунок 1. Создание нового объекта групповой политики - Введите имя для объекта групповой политики (GPO) (в данном случае это Assigning Folder Permissions), оставьте для параметра «Source Starter GPO» значение «(none)».
- Щелкните правой кнопкой мыши только что созданный объект групповой политики «Разрешения для папки пользователя» и выберите «Редактировать объект групповой политики». На экране появится окно редактора управления групповыми политиками
- Перейдите к «Конфигурация компьютера» -> «Политики» -> «Параметры Windows» -> «Параметры безопасности» -> «Файловая система»
Рис. 2. Перейдите к файловой системе - Щелкните правой кнопкой мыши «Файловая система» на левой панели и выберите «Добавить файл…». Появится следующее диалоговое окно.
Рисунок 3. Выберите файл или папку, которым вы хотите назначить разрешения - Найдите папку или файл, которым вы хотите назначить разрешения, и щелкните левой кнопкой мыши, чтобы выбрать его. Нажмите "ОК".
- На экране появляется окно «Безопасность базы данных»
Рис. 4: Окно «Безопасность базы данных» - Нажмите кнопку «Дополнительно», чтобы открыть окно «Дополнительные параметры безопасности». Оставайтесь на вкладке «Разрешения», которая появляется по умолчанию.
Рис. 5. Окно дополнительных параметров безопасности. - На этой вкладке либо выберите существующего пользователя и нажмите «Изменить…», либо нажмите «Добавить…», чтобы добавить нового пользователя к разрешениям.
- Откроется диалоговое окно «Ввод разрешений для…». Здесь вы увидите список разрешений, доступных для ваших пользователей, и вы также можете выбрать, где вы хотите применить эти разрешения.
Рисунок 6. Папки для ввода разрешений - Используйте раскрывающееся меню в поле "Применить к", чтобы назначить выбранные разрешения нужным папкам.
- Проверьте необходимые разрешения. Это говорит само за себя.
- Нажмите «ОК», чтобы применить разрешения. Вы вернетесь в окно «Дополнительная безопасность».
- Теперь перейдите на вкладку "Аудит". На этой вкладке вы можете настроить параметры аудита для папки, чтобы любые изменения, внесенные в эту папку или ее разрешение, проверялись. Настройте параметры аудита в соответствии с требованиями.
- Аналогичным образом вы можете настроить права собственности для папки на вкладке "Владелец".
- После того как вы настроили «Разрешения», «Аудит» и «Власть», нажмите «ОК», чтобы закрыть окно «Дополнительная безопасность…».
- Нажмите «ОК», чтобы закрыть окно «Безопасность базы данных…». Далее вы увидите окно «Добавить объект».
Рис. 7. Окно добавления объекта - В окне «Добавить объект» есть следующие параметры:
- Настроить этот файл или папку затем: выберите этот параметр, чтобы применить настройки. Он содержит следующие два параметра.
- Распространить наследуемые разрешения на все вложенные папки и файлы: выбор этого параметра означает, что все вложенные папки и файлы будут наследовать разрешения от родительской папки. В случае несоответствия или конфликта явные разрешения, назначенные вложенным папкам или файлам, переопределяют унаследованные разрешения.
- Заменить существующие разрешения для всех вложенных папок и файлов на наследуемые разрешения: этот параметр заменит все параметры для всех вложенных папок и файлов параметрами в родительской папке, поэтому в конечном итоге они будут иметь идентичные разрешения для родительской папки. ол>р>
Использование Lepide File Server Auditor для аудита изменений файлов и папок
Для аудита файлов и папок с помощью Lepide File Server Auditor сначала добавьте файловый сервер в приложение и настройте параметры аудита.
На следующем экране вы можете увидеть отчет обо всех изменениях, сделанных на файловом сервере, который показывает все изменения, внесенные в файлы и папки, включая их разрешения. Вся необходимая информация об аудите, например, кто что изменил, когда и где, отображается в одной записи. Панель сведений содержит дополнительную информацию о записи.
Рисунок 9: Все изменения на файловом сервере
Заключение
В этой статье вы узнали, как назначать права доступа к файлам и папкам с помощью GPO.Вы также видели аудит изменений, внесенных в файлы и папки, с помощью Lepide File Server Auditor. В решении есть предопределенные отчеты об изменении файлов и папок и разрешениях, которые делают предприятия безопасными и готовыми к соблюдению требований.
Читайте также:
- Настроить этот файл или папку затем: выберите этот параметр, чтобы применить настройки. Он содержит следующие два параметра.