В принципе, в реестре все более-менее структурировано. Нужно отконфигурировать системные службы — один раздел, параметры проводника — другой, параметры IE — третий. Ассоциации файловых расширений — также можно их параметры обнаружить в специальном разделе. Конечно, по началу кажется, что все там крайне хаотично разбросано и ничего невозможно найти, но, на самом деле, если поискать параметры — все будет под рукой. Местами, правда :)
Да и, если что, всегда можно на скриптах «допилить» требуемые параметры или настройки :)
Именно по этой причине в редакторе нацеливания и указывается фильтр на соответствие файла. Файл есть – изменения вносятся, файла нет – ничего не трогаем. И, в большинстве случаев, даже если взять указанный в этом посте пример, программное обеспечение инсталлируют и настраивают чаще всего именно администраторы, а у конечных юзеров просто нет таких прав. По этой причине, часто уже известны конечные папки, в которых будут располагаться конфигурационные файлы. Хотя, тут ведь (при создании самих элементов предпочтений) никто никого ни в чем не ограничивает и тот способ, который был указан в статье является попросту одним из сотен примеров использования этой возможности :)
Естественно, никто никого не отменял и такое вряд ли произойдет в обозримом будущем :)
Как я описал в самом начале, можно чуть ли не что угодно менять скриптами, где привел в качестве примера Windows PowerShell и AutoIT. И это далеко не предел… Статья ведь идет исключительно по возможностям GPO и элемента предпочтений модификации INI-файлов в частности…
В этом цикле постов речь идет именно о технологии Dynamic Access Control, то есть «Динамический контроль доступа», а атрибуты и утверждения — немного разные вещи, если честно… Утверждения, они же, как я писал выше, в оригинале claims — основываются непосредственно на атрибутах, но не являются таковыми.
А для решения такой задачи можно выделить два метода:
1. В редакторе управления групповыми политиками следует перейти к узлу Конфигурация компьютера\Политики\Административные шаблоны\Панель управления\Персонализация и выбрать параметр политики «Запрет отображения экрана блокировки» (Do not display the lock screen). Включаете его и все, проблема решена :)
2. Открываете редактор реестра и переходите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization. В этом разделе создаете новый параметр типа DWORD «NoLockScreen» (без кавычек) и устанавливаете для него значение 1. Готово
Так, конечно, сделать можно, однако это не выход, т.к. дополнительные юзерские права могут только навредить как компьютеру самого пользователя, так и парку компьютеров компании в целом :)
В принципе, если данная тема будет интересна многим, можно будет сделать большой обучающий вебкаст, где я мог бы в более подробной форме показать, какие есть методы при использовании штатных средств, сторонних утилит, как можно скрыть от пользователей из конкретных групп определенные подразделения Active Directory и многое другое…
О размещении мастера инфраструктуры было написано в последнем разделе статьи. Кстати, на выходных постараюсь немного дополнить информацию о мастере инфраструктуры. В статье появятся дополнительные интересные моменты…
Да, статья получилась очень большая, мне хотелось максимально раскрыть эту несложную, но важнейшую тему. Если материал окажется интересным, то следующие статьи по Active Directory будут меньше по объему и, надеюсь, интереснее по содержанию ;)
Да и, если что, всегда можно на скриптах «допилить» требуемые параметры или настройки :)
Как я описал в самом начале, можно чуть ли не что угодно менять скриптами, где привел в качестве примера Windows PowerShell и AutoIT. И это далеко не предел… Статья ведь идет исключительно по возможностям GPO и элемента предпочтений модификации INI-файлов в частности…
1. В редакторе управления групповыми политиками следует перейти к узлу Конфигурация компьютера\Политики\Административные шаблоны\Панель управления\Персонализация и выбрать параметр политики «Запрет отображения экрана блокировки» (Do not display the lock screen). Включаете его и все, проблема решена :)
2. Открываете редактор реестра и переходите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization. В этом разделе создаете новый параметр типа DWORD «NoLockScreen» (без кавычек) и устанавливаете для него значение 1. Готово