A Quick Tip To Update Group Policy Settings On Remote Computers

http://www.windowsnetworking.com/kbase/WindowsTips/Windows2000/AdminTips/ActiveDirectory/AQuickTipToUpdateGroupPolicyOnRemoteComputers.html

This article explains a single command you can use to update the Group Policy settings on remote computers. Please note this applies to Windows 2000 Computers only!.

Windows 2000 ships with a command line tool to refresh the Group Policy settings on a local computer. But what if you need to refresh Group Policy settings on 100 Windows 2000 machines? You either need to create a script to do so or visit each computer individually. To eliminate this, you can use the below steps to accomplish the task:

Steps:

• Create a Text file named Servers.txt
• Paste all the computer names in txt file.
• Run the following commands from a Windows 2000 computer:

To refresh user policy:

• Psexec.exe -@Servers.txt secedit.exe /refreshpolicy user_policy

To refresh machine policy

• Psexec.exe -@Servers.txt secedit.exe /refreshpolicy machine_policy

active directory And group pollicy

http://www.scribd.com/doc/9068957/active-directory-And-group-pollicy-

Q. What is Active Directory?

A Windows-based directory service. Active Directory stores information about objects on a network and makes this information usable to users and network administrators. Active Directory gives network users access to permitted resources anywhere on the network using a single logon process. It provides net-work administrators with an intuitive, hierarchical view of the network and a single point of administration for all network objects.

Q. What is domain?

A collection of computer, user, and group objects defined by the administrator. These objects share a common

directory database, security policies, and security relationships with other domains.

Q. What is forest?

One or more Active Directory domains that share the same class and attribute definitions (schema), site, and replication information (configuration), and forest-wide search capabilities (global catalog). Domains in the same forest are linked with two-way, transitive trust relationships.

Q. What is organizational unit (OU)?

An Active Directory container object used within domains. An OU is a logical container into which users, groups, computers, and other OUs are placed. It can contain objects only from its parent domain. An OU is the smallest scope to which a GPO can be linked, or over which administrative authority can be delegated.

Q. What is site?

One or more well-connected (highly reliable and fast) TCP/IP subnets. A site allows administrators to configure

Active Directory access and replication topology to take advantage of the physical network.

Q. How is a directory service different from a directory?

A directory service differs from a directory in that it is both the source of the information and the mechanism that

makes the information available to the users.

Q. How is Active Directory scalable?

Active Directory enables you to scale the directory to meet business and network requirements through the configuration of domains and trees, and the placement of domain controllers. Active Directory allows millions of objects per domain and uses indexing technology and advanced replication techniques to speed performance.

Q. What is multimaster replication?

Multimaster replication is a replication model in which any domain controller accepts and replicates directory changes to any other domain controller. Because multiple domain controllers are employed, replication continues, even if any single domain controller stops working.

Q. Name the Active Directory components used to represent an organization’s logical structure.?

The Active Directory components used to represent an organization’s logical structure are domains, organizational

units (OUs), trees, and forests.

Q. Name the physical components of Active Directory.

The physical components of Active Directory are sites and domain controllers.

Q. What is the function of the global catalog?

The global catalog has two main functions: (1) it enables a user to log on to a network by providing universal group membership information to a domain controller when a logon process is initiated, and (2) it enables finding directory information regardless of which domain in the forest actually contains the data.

Групповые политики (Group Policy)

Original Site: http://forum.ru-board.com/topic.cgi?forum=8&topic=8921#1

смотрите также: Общие вопросы по Active Directory (AD) [?]

» Групповые политики Active Directory (Статья)

» Структура объекта групповой политики [?]

http://www.gpanswers.com/

Windows Server Group Policy Home

Не работают групповые политики

Не работают групповые политики [?]
Не работает групповая политика в Win2000 [?]
Group Policy: Не применяются групповые политики [?]
Не применяется групповая политика в домене Win2000 [?]
Удаленная подсеть (VPN): не применяются групповые политики [?](решение не найдено)

Безопасность

Настройка безопасности с пом. групповой политики, WinXP [?]
Использование политики групповой безопасности в Win2000 [?]
GPO: групповые и локальные политики паролей, безопасности [?]
domain security policy [?]
» как запретить кэширование имени юзера в login screen? [?]

Восстановление политик

Групповая политика Win2000: вернуть первоначальные значения [?]
group policy в Win2003: как восстановить групповые политики [?]
Экспорт-импорт групповых политик, домен Win2000, AD [?]
Копирование настроек GPO в AD на server 2000 » создать новую GP из существующей, не связывая их [?]

Групповые политики + Internet Explorer (IE)

Настройки Internet Explorer через Group Policy [?]
Group Policy и настройки прокси в IE [?]
Установка домашней страницы IE с помощью групповой политики [?]
Групповыми политиками домена запретить всплывающие окна в IE [?]

Другие вопросы по групповым политикам

КАК применить политику именно к нужной группе? (GPO) [?]
»Как применить GPO к пользователю на одном компе в домене [?]
Приоритеты, роли групповых политик и параметров безопасности [?]
Отключение USB через GPO (групповые политики) [?]
Проблемы с GPO: Некорректная работа DC после настройки NAT [?]
не применяется полностью GPO (групп. политики) Win2003 [?]
настройка Gpo для компьютеров а не для пользоватей [?]
Копирование настроек GPO в AD на Win2000 server » создать новую GP из существующей, не связывая их [?]
Недостаточно прав для доступа к оснастке GPO AD, Win2003 [?]
Проблемы с GPO (групповыми политиками) и Office 2000 [?]
Group Policy (групповые политики) Win2000 и Win2003 [?]
Ошибка в работе PDC: Failed ot open the Group Policy Object [?]
Group Policy: распространение софта [?]
Group Policy: разрешить инсталляцию программ пользователями [?]
Group Policy: Folder Redirection на WinXP Pro [?]
GroupPolicy (групповые политики): административные шаблоны [?]
Групповые политики доступа к настройкам сетевого окружения [?]
Экспорт-импорт групповых политик, домен Win2000, AD [?]
Групповая политика домена на локального администратора [?]
Не применяется групповая политика на клиентах WinXP [?]
Установка приложений через групповые политики »  Error - EventId:102, Source: Application Management [?]
Кто как делает групповые политики ? [?]
Применение групповой политики к ОГП, Win [?]
Добавление ключа в реестр через групповые политики, Win2000 [?]
Проблема с групповой политикой после drive remapping'a [?] (решение не найдено)
Групповая Политика на WinXP Pro: разделить настройки группам [?]
Win2003, AD и групповые политики » Error 1006 [?]
Настроить firewall WinXP в Win2000 домене через групповые политики [?]
запрет на запуск любых программ кроме указанных [?]
Груп. политики: применить к пользователю на комп., как? [?]
GPO пропала [?]
Не открываются GPO [?]
установка ПО через Групповые политики (GPO) [?]
Установка Visual Studio 6.0 через AD [?] (решение не найдено)
Недостаточно прав для доступа к оснастке GPO AD, Win2003 [?]
Как на раб. станции отменить групповую политику (GPO) [?]
Групповая Политика на WinXP Pro: разделить настройки группам [?]
GPO - запретить пользователю доступ к шарам [?]
Как на раб. станции отменить групповую политику (GPO) [?]
GPO: Блокировать рабочую станцию при простое  [?]
Как применить GPO к пользователю на одном компе в домене [?]
КАК применить политику именно к нужной группе? (GPO) [?]
» Групповая политика для ПК на 3C940(P4C800) [?](Есть материнская плата P4C800 с сетевой 3C940. Не применяется групповая политика для компьютера. Netlogon дает ошибку, а через несколько секунд операционная система подключает сетевой адаптер.)
Экспорт/Импорт групповых политик под WindowsXP [?](без домена).
Win2000, GP. Как сделать один беспарольный аккаунт? [?]
» Как правильно сделать Rederiction папок через AD для группы? [?]
» Перемещение папок в групповой политике [?](клиент очень долго входит в домен после включения политики)
Win2003 проблемы со сценариями входа [?]
Как создать такую группу в AD? [?] (Restricted Groups)
добавить группу в local admins [?]
Логон скрипт [?] (»  Как запустить скрипт, при логоне пользователя)
Распространение файлов (ключей) реестра через AD. [?]
» Проблема с MSIServer [?] (Ошибка 1202 в журнале событий).
» Проверка доп. условий при установке ПО через Group Policy GP [?]

Документация

Англоязычная:

http://www.gpanswers.com/

* Group Policy
* Frequently Asked Questions About Group Policy
* How Core Group Policy Works - Management Services: Windows Server 2003
* Understanding Group Policy on Windows Server 2003 Part 1
* Managing Group Policy
* How To Configure Group Policies to Set Security for System Services
* Writing Custom ADM Files for System Policy Editor
* Creating custom .adm files
*Recommendations for managing Group Policy administrative template (.adm) files
*Group Policy Series: Group Policy Administrative Templates(FAQ)
*Group Policy Settings Reference for .adm files and Security Settings included with Windows XP Professional Service Pack 2

*Managing Windows XP Service Pack 2 Features Using Group Policy
*Enterprise Management with the Group Policy Management Console

*Group Policy Components
*How Security Settings Extension Works
*Group Policy Collection
*HOW TO: Use Group Policy to Remotely Install Software in Windows 2000
*Group Policy startup scripts do not run as expected on a computer that is running Windows 2000, Windows XP Service Pack 1, or Windows XP Service Pack 2
*User policies are not applied when you log on to a computer that is running Windows 2000 SP4 (Crossed Forest Roaming Profiles are disabled. Windows did not load your Roaming Profile and is logging you on with the local Profile. Changes to the Profile will not be copied to the Server when you log off. Contact your Administrator.)
*HOW TO: Apply Local Policies to All Users Except Administrators on Windows Server 2003 in a Workgroup Setting
*Updates to Restricted Groups ("Member of") Behavior of User-Defined Local Groups (With the Restricted Groups Member of functionality, you can now add domain groups to local groups. )
*Applying Group Policy causes Userenv errors and events to occur on your computers that are running Windows Server 2003, Windows XP, or Windows 2000
Русскоязычная:
* Управление групповой политикой Часть 1
* Точная регулировка групповой политики (Управление групповой политикой. Часть 2)
* Применение правил групповой политики для контроллеров домена
* Динамическое создание безопасных перенаправленных папок с помощью политики <Перенаправление папки> в Windows 2000
* При настройке перенаправления папок с помощью групповой политики в журнал событий могут заноситься сообщения с кодами (ID) 101 и 1000
* Как настроить автоматическое обновление с помощью групповой политики и параметров реестра
*Параметры политики для меню <Пуск> в Windows XP
* Управление надстройками Internet Explorer в Windows XP с пакетом обновления 2 (SP2)
* Применение политик ограниченного использования программ в Windows Server 2003
* Описание параметра политики "Ограничения указания и печати" из состава Windows Server 2003 и Windows XP
* Как расширить возможности "Консоли восстановления" при помощи групповой политики в Microsoft Windows XP Professional
* Не удается получить доступ к объектам групповой политики: зарегистрированы коды событий 1000 и 1001
* Настройки соединения изменяются после применения компонента настройки Microsoft Internet Explorer из групповой политики
* PRB: На компьютере, оборудованном устройством Gigabit Ethernet, не удается подключиться к контроллеру домена и применить групповую политику
* Чтобы получить возможность удаленного администрирования поставщика результирующей политики (RSoP) или удаленно изменять объекты групповой политики в Windows XP с пакетом обновления 2 (SP2), необходимо настроить определенные параметры групповой политики
* Групповые политики применяются неверно, а в журнале приложений появляются записи о событиях с кодами 1058 и 1030
* При входе в систему на компьютере под управлением Windows 2000 с пакетом обновления 4 (SP4) не применяются политики пользователей
* Попытка удаленного администрирования компьютера под управлением Windows XP с пакетом обновления 2 (SP2) приводит к появлению сообщения об ошибке <Отказано в доступе> или <Не найден сетевой путь>
* Редактирование системных политик (для Win98)
* Программа Gpresult не отображает результирующую политику безопасности
* Инсталляция приложений с помощью групповых политик
*Отключение клиента DFS приводит к появлению событий с кодом 1001 (SceCli) и 1000 (UserEnv)
*Не удается получить доступ к объектам групповой политики: зарегистрированы коды событий 1000 и 1001
*Каждые 5 минут в журнале событий приложений регистрируется событие с кодом 1000 или 1001
*Как подготовить старые приложения к работе с Windows Installer с помощью WinINSTALL LEСоздание файлов .msi
*Управление терминальными серверами в среде AD
*Статья по ADM и ADMX

Windows Vista & Windows Server 2008

*Windows Vista Group Policy (September 28, 2006 chat transcript)
*Deploying Group Policy Using Windows Vista
*Group Policy Settings Reference Windows Vista (download .xls)
*Group Policy Settings Reference Windows Server 2008 Beta 3 (download .xls)
*Managing Group Policy ADMX Files Step by Step Guide.doc
Пост подготовлен: G14

Инсталляция приложений с помощью групповых политик

http://www.oszone.net/177/

Если вы управляете большой фермой терминальных серверов или нуждаетесь в быстром расширении фермы, вы можете использовать технологию автоматизированной установки программного обеспечения. В среде AD вы можете использовать групповые политики для назначения приложений вашим серверам. При загрузке сервера обрабатываются машинные политики и инсталлируются все назначенные приложения.

Чтобы использовать групповые политики, приложения должны быть в формате MSI. Групповые политики также поддерживают скрипты в формате ZAP, которые могут запускать инсталляторы, отличные от MSI. Однако, использование этого формата на терминальных серверах не рекомендуется, поскольку такие приложения не поддерживают advertising, и ваши пользователи не получат необходимые ключи реестра HKEY_CURRENT_USER.

Вы можете переупаковать приложение в MSI используя сторонние утилиты, например, Wise for Windows Installer. Обязательно проверьте приложение на терминальном сервере до и после перепаковки, чтобы выяснить, нужны ли какие-то модификации для обеспечения совместимости с Terminal Services.

Основные шаги, требуемые для инсталляции программ с помощью групповых политик, таковы:

• Создайте папку общего доступа для хранения ваших пакетов MSI.
• Создайте административные инсталляции ваших пакетов MSI и поместите их в эту общую папку.
• Добавьте пакеты в GPO, которые применяются к компьютерам терминальных серверов в AD.
• Модифицируйте права доступа к пакетам в GPO, если вы хотите, чтобы пакеты инсталлировались на отдельных серверах.
• Перезагрузите терминальные серверы.

Создание папки общего доступа

Для назначения или публикации приложений с помощью групповых политик вам необходимо центральное место для исходных файлов приложений. Путь к этому месту должен быть доступен для всех компьютеров, к которым применяется данная политика. Простейший способ состоит в создание папки общего доступа на файловом сервере и копировании в нее исходных файлов.

Убедитесь, учетные записи машин ваших терминальных серверов имеют право чтения и выполнения в этой папке. Группы Authenticated Users и Everyone включают машинные учетные записи.

Создание административных инсталляций

Пакеты MSI обычно включают в себя все требуемые файлы, упакованные в файлы CAB. Для оптимизации установки программ, заблаговременно распакуйте эти файлы, создав административную инсталляцию.

Для создания административной инсталляции, запустите Windows Installer Service с опцией “/a” и укажите путь к пакету MSI, который вы хотите распаковать.:

msiexec /a d:proplus.msi

Появится мастер, похожий на рисунке, который запрашивает каталог для административной инсталляции. Если приложение требует лицензионного ключа, мастер его запросит. Ключ будет зашифрован и включен в административную инсталляцию, поэтому в дальнейшем он не будет спрашиваться.

По завершении административной инсталляции, скопируйте новые исходные файлы в общую папку.

Добавление пакетов в GPO

В главе 4 мы создали OU для терминальных серверов и прикрепили к ней три объекта групповых политик. Один из них - это Terminal Server Machine Policy. Этот объект содержит машинную конфигурацию ваших терминальных серверов, поэтому он уже готов для применения к терминальным серверам. Вы можете добавить программные пакеты к этому GPO, и они будут проинсталлированы на всех компьютерах, входящих в OU "TerminalServers".

Для добавления пакета в GPO, откройте редактор политик, раскройте Computer Configuration, Software Settings. Щелкните правой кнопкой на Software installation, и выберите New, Package:

Укажите имя пакета MSI, который вы хотите добавить. Затем у вас спросят, хотите ли вы назначить пакет или открыть интерфейс расширенных настроек. В большинстве случаев вы можете выбрать Assign и принять опции по умолчанию. Однако, если вам необходимо указать трансформу, выберите Advanced.

Транформа (файл MST) определяет опции или вносит изменения в значения по умолчанию файла пакета Windows Installer (файла MSI). Вы можете создать трансформы используя Microsoft Office Custom Installation Wizard или другую утилиту.

Фильтрация приложений

Вы можете использовать единый GPO, который применяется ко всем серверам, но отфильтровать приложения, которые будут установлены на каждый сервер, используя фильтры безопасности на пакетах в GPO. Следующий рисунок показывает GPO, содержащий три пакета - Adobe Acrobat Reader 6, Office XP и Microsoft Group Policy Management Console.

 

Допустим, что вы хотите инсталлировать Acrobat Reader и Office XP на всех терминальных серверах, к которым применяется GPO, а консоль - только на тех серверах, которые используются администраторами. По умолчанию пакеты наследуют настройки безопасности из GPO, поэтому все компьютеры, которые имеют право чтения на этот GPO будут также иметь право чтения пакета, и как следствие, установят приложение при загрузке.

Вы можете изменить права к пакету и ограничить право чтения только для отдельной группы компьютеров. Тогда все компьютеры в OU смогут обрабатывать политику, но только те, которые имеют право чтения для пакета, смогут его установить.

 

Чтобы этот фильтр безопасности мог работать, вы должны создать группу Domain Security - например, Admin Terminal Servers, - и поместить в нее те серверы, на которых хотите установить консоль.

Для изменения разрешений к пакету, вы должны отключить наследование разрешений GPO. Для этого щелкните Advanced и уберите флажок Allow inheritable permissions. Вы можете затем выбрать копирование существующих разрешений и использовать их в качестве отправной точки для модификаций.

Перезагрузка терминальных серверов

Основной недостаток инсталляции при помощи групповых политик состоит в том, что они обрабатываются только во время загрузки. Если вы добавляете новый пакет, то для его инсталляции вы должны перезагрузить сервер. Преимуществ инсталляции с помощью GPO состоит в том, что новые серверы, помещенные в OU "Terminal Servers", автоматически проинсталлируют необходимые пакеты, экономя ваше время и усилия.

Вы можете использовать GPO и для деинсталляции программ. Подробнее см. книгу Darren MarElia’s The Definitive Guide to Windows 2000 Group Policy (http://www.realtimepublishers.com/)

Существуют также системы управления программным обеспечением, позволяющие устанавливать программы по расписанию и не требующие перезагрузки. К ним относятся Microsoft Systems Management Server и компонент Installation Manager в Citrix MetaFrame XPe.

Group Policy links

Windows 2000 Group Policy Resources from LabMice.net

The Definitive Guide to Building a Windows Server 2008 Infrastructure

Free Download Group Policy Ebooks Files

The Definitive Guide to Windows 2000 Group Policy

Групповая политика – wikipedia

Групповые политики (Group Policy, GPO) - Компьютерный форум Ru.Board

Инструменты Group Policy - № 04, 2008

Microsoft Форум Group Policy

Windows XP: Your Definitive Lockdown Guide

 

You'll find additional Group Policy information at these sites:

www.gpanswers.com - The home of Group Policy guru and MVP Jeremy Moskowitz, check out the community there too!
TechNet Group Policy Forum - A brand new Group Policy forum on Microsoft TechNet
The Group Policy Team - The home of the Microsoft Group Policy Team
Jakob H. Heidelberg blog - My own blog, mostly about Group Policy and Security
www.heidelbergit.dk - My website with blog RSS, certifications, LinkedIn info etc.

 

Group Policy Preference Client Side Extensions are now available for download!

These are the links:
GPP CSEs for Windows Vista (KB943729)
GPP CSEs for Windows Vista x64 Edition (KB943729)
GPP CSEs for Windows Server 2003 (KB943729)
GPP CSEs for Windows Server 2003 x64 Edition (KB943729)
GPP CSEs for Windows XP (KB943729)
GPP CSEs for Windows XP x64 Edition (KB943729)

Windows 7 - What’s New in Group Policy

Отличная статья Джереми Московица о Group Policy в Windows 7 и Windows Server 2008 на родном всем компьютерщикам английском языке.

What’s New in Group Policy for Windows 7 and Windows Server 2008 R2

Jeremy Moskowitz

 

At a Glance:

• Updated RSAT filters
• Automated GPO handling with Windows PowerShell
• Tabless interface for ADM and ADMX
• Built-in Starter GPOs and new policy settings

  Contents

Updated Group Policy Core Features
Beyond the Core Features
Learn More

I get e-mail almost every day from people asking me, "What's coming for Group Policy in the new version of Windows?" In this question, I can feel an eagerness to know what the new features and changes will mean for IT professionals.

I know that change can sometimes be stressful, but I can say confidently that the news is all good: Some powerful, neat Group Policy changes are included in Windows 7 and Windows Server 2008 R2, but nothing too radical or different. IT professionals will benefit from some updates, some new features and some user interface tweaks, for example, but without the headaches associated with steep learning curves.

The Group Policy changes can be divided into two broad categories. First are the items the Group Policy team delivers: core functionality, including the Group Policy engine and new and updated features in the Group Policy editing system (Group Policy Management Console, or GPMC, and Group Policy Management Editor, or GPME). Second are items that other teams provide to manage their components using Group Policy: updated policy settings and feature controls inside GPME that we all use to manage the new and updated functions on our target machines. In this article, I cover both kinds of changes.

Updated Group Policy Core Features

For Windows 7 and Windows Server 2008 R2, the Group Policy team has come through with a smorgasbord of features and updates. Here's the nonscientific breakdown of what is delivered in the most recent update of Windows: one big fix, one big update, one big new feature, one big user interface change and one big in-the-box addition.

The Big Fix: Updated Filters

The updated filters in the updated GPMC (available for Windows 7 and Windows Server 2008 R2) are welcome changes. The fixes squash a bug that's been around since Windows Vista shipped. In Figure 1, you can see one of my favorite features that's been available since the updated GPMC, contained within the Remote Server Administration Toolkit (RSAT): the Filter Options dialog box.

Figure 1 Filter Options dialog box. (Click the image for a larger view)

RSAT's job is simple: to let you use a Vista (or later) machine to control various aspects of your network from the machine you use and to provide the tools you need to do so, including the updated GPMC. This updated GPMC has some neat features; one of them is the ability to use filters to define the criteria you want to use to find just the Administrative Templates Group Policy settings you want. The problem was that when Vista and its corresponding RSAT came out, the filters didn't work, a bug that plagued many administrators.

Let me explain the bug in a little more detail. Figure 1 shows the Enable Requirements Filters section of the Filters dialog box. The goal of this section is simple: to help you figure out which Administrative Templates policy settings are valid for specific operating systems.

One mode within Enable Requirements Filters is "Include settings that match all of the selected platforms." The other is "Include settings that match any of the selected platforms. At first glance, the two modes seem very similar. But the difference between "all" and "any" is substantial. Here is what each mode is supposed to do once you select it and specify some criteria:

• "Include settings that match all of the selected platforms" should show policy settings that are valid only on the types of machines specified. So if you select Windows XP Service Pack (SP) 2 and Vista, the result should be policy settings that work only on Windows XP SP2 and Vista.
• "Include settings that match any of the selected platforms" should show settings that apply to any of the selected operating systems. So if you select both Windows XP SP2 and Vista, all settings that apply to Windows XP SP2 and all settings that apply to Vista should be displayed.

These filters are both as useful as they sound. The only problem is that with the Vista and Windows Server 2008 version of RSAT, neither of them worked properly. If you selected "Include settings that match all of the selected platforms," the result was often a mere fraction of valid settings that were actually applicable to target machines. And if you selected "Include settings that match any of the selected platforms," no results were ever displayed.

According to my friends in the Group Policy team, this fix should be part of the final downloadable version of RSAT for Windows 7 and the in-the-box RSAT for Windows Server 2008 R2.

The Big Update: Deploying Windows PowerShell Scripts to Target Machines

Unless you're living under a rock, you know that Windows PowerShell is gaining popularity with system administrators. But one issue has blocked some administrators from adopting PowerShell. There hasn't been a simple way for them to leverage their newfound PowerShell muscle over an area in which they need the most control: user and computer scripts.

The RSAT in Windows 7 and Windows Server 2008 R2 allows administrators to specify PowerShell scripts as either logon or logoff scripts (for the user) and startup or shutdown scripts (for the computer). Figure 2 shows the Startup Properties dialog box in the GPME, in which the administrator can specify the order in which PowerShell scripts run and also which type of scripts should run first: PowerShell scripts or the non-PowerShell scripts (which are not shown but are located within the Scripts tab in the Startup Properties dialog box).

Figure 2 Windows PowerShell Scripts tab in the Startup Properties dialog box. (Click the image for a larger view)

To use this feature, you need to create or edit your Group Policy Objects (GPOs) from a Windows 7 or Windows Server 2008 R2 machine with the corresponding RSAT tools (which contain an updated GPMC to support this new functionality). In addition, the target machine must be Windows 7 or Windows Server 2008 R2 for the PowerShell scripts to run. Older machines (even with PowerShell loaded) are not valid targets and do not run Power­Shell logon, logoff, startup or shutdown scripts. Some third-party solutions that can deploy PowerShell scripts to non-Windows 7 machines are available if you need this capability.

The Big Feature: Manipulating Registry Settings with PowerShell Cmdlets

Lots of system administrators like to automate their world. This a good thing. Indeed, you can think of leveraging Group Policy in your environment as the mass automation of your client machines (so you don't have to run around and push buttons). To take your administration to the next level, you might want to automate the handling of your GPOs themselves.

Some administrators have leveraged the existing Group Policy GPMC sample scripts to automate key Group Policy tasks.

Windows 7 and Windows Server 2008 R2 allow you to use PowerShell to perform many of these functions. What was possible in the GPMC sample scripts is now possible using PowerShell: creating, linking, renaming, backing up, copying and deleting GPOs as well as much more.

The ability to configure the contents of a GPO using a scriptable method, however, is totally new and now available only when you use PowerShell as your scripting method. Before you get too excited, I should mention that not all 39 areas of Group Policy are scriptable. Indeed, only two are: Registry Policy and Registry Preference. Even so, it's a terrific start.

In Figure 3, you can see how I'm using the built-in Power­Shell in Windows 7 to first install the Group Policy-specific cmdlets using the cmdlet import-module grouppolicy and then create a new GPO with the new-gpo cmdlet.

Figure 3 Creating a new GPO using Group Policy cmdlets built into Windows 7. (Click the image for a larger view)

The Group Policy team's blog has an array of items regarding Windows PowerShell integration. You can view all of them at one glance by checking out the the Group Policy Team Blog.

The Big User Interface Change: Updated ADM and ADMX User Interface

One of the most striking Group Policy changes is in the Administrative Templates section of the GPME.

A new "tabless" interface, shown in Figure 4, puts all the content you need for creating new or manipulating existing policy settings in a one-stop-shop page.

Figure 4 Windows Firewall: Allow ICMP Exceptions dialog box. (Click the image for a larger view)

Administrators can now configure a policy setting as Not Configured, Enabled or Disabled, make comments about a policy setting, see the Supported On information, view the Help (Explaintext), and manipulate any configurable settings within Options.

The goal of this change is to make the policy-setting experience more intuitive, integrate help and take away all the tabs so administrators don't have to click from place to place anymore.

The Big In-the-Box Addition: Built-in Starter GPOs

The ability to create and use Starter GPOs first became available in the Vista version of the GPMC. The idea behind a Starter GPO is that an administrator can create a starting point for other administrators to use when creating their GPOs. The fundamental architecture and functionality hasn't changed much in this new update, but one new distinction is notable.

Specifically, when you use a Windows 7 or Windows Server 2008 R2 machine to create the Starter GPO's container, the container is automatically populated with some built-in Starter GPOs. These Starter GPOs follow Microsoft best practices and map to the Windows Server 2008 Security Guide. For example, one of these built-in Starter GPOs is for an average Enterprise Client (EC) and another, with a more locked-down approach, is called Specialized Security Limited Functionality (SSLF).

Windows 7 and Windows Server 2008 R2 include Starter GPOs for both the user and computer sides. These Microsoft-created Starter GPOs are also available (in slightly older form) for Vista and Windows XP SP2.

Beyond the Core Features

Now let's talk about some of the areas of additional control you get when you're working with Windows 7 or Windows Server 2008 R2 as a client. And when I say "client" here, I mean "the computer receiving Group Policy directives" (even if it's a Windows Server 2008 R2 machine).

One great addition is about 300 new policy settings, of which 90 or so are meant just for Internet Explorer 8 (which is available for Vista and Windows XP machines). Other changes include new and updated settings management for BitLocker, BitLocker To Go, an updated taskbar, Remote Desktop Services (which used to be called Terminal Services), BranchCache, Windows Remote Management (WinRM) and heaps of other controls. I won't be able to explore all the new controls in this article, but I will give you an up close and personal look at some of my favorites.

Updated Group Policy Preferences for Power Options

One of the key reasons IT geeks fall in love with Group Policy is the amount of control it allows them to exert on desktops. When the main focus of Group Policy is settings delivery, however, these control-freak IT geeks can sometimes have difficulty explaining to managers why Group Policy has value in raw "dollars and sense." In one area of Group Policy, though, real cost savings can be promised (if utilized properly): power settings.

By properly configuring the power settings of desktops and laptops, IT administrators can usually save their companies thousands of dollars annually. Group Policy makes such configuring easy.

Figure 5 shows the power options available in the Windows 7 (and Windows Server 2008 R2) GPMC.

Figure 5 New Power Plan (Windows Vista and later) Properties dialog box. (Click the image for a larger view)

Look closely at the title of the dialog box in Figure 5. You'll notice that it says New Power Plan (Vista and later) Properties. That is to say, these settings are valid for both Vista and Windows 7. Here's the caveat: Windows 7 and Windows Server 2008 R2 client machines will know what to do with these directives right away; Vista will not. Vista will simply ignore the directives (even though the feature is clearly labeled as Windows Vista and later). That's because Vista needs a soon-to-be-released update to the client-side extensions of its underlying Group Policy Preferences. Once available and applied, Vista machines will embrace these newly available directives.

Updated Group Policy Preferences for Scheduled Tasks

Similar to the updated Power Plan settings just mentioned is additional task-scheduling functionality within the GPMC in Windows 7 and Windows Server 2008 R2. Figure 6 shows the new options for scheduling tasks: Scheduled Task (Windows Vista and later) and Immediate Task (Windows Vista and later).

Figure 6 New GPMC task-scheduling options in Windows 7. (Click the image for a larger view)

Like the Power Plan settings, Windows 7 computers are ready to use these settings. Vista machines will need to wait for an update that will allow them to utilize these settings.

Updated Software Restriction Policies: AppLocker

The under-the-hood name for AppLocker is Software Restriction Policies version 2, or SRPv2. In the Group Policy interface (and in the documentation), however, you'll see this new feature called simply AppLocker.

Briefly, the goal of AppLocker is to help modern IT organizations dictate which software should and shouldn't run on their Windows 7 (and later) machines. The original Software Restriction Policies (SRP) did a decent job, but AppLocker takes software restrictions to the next level. One key new AppLocker ability is to allow or restrict software based on the software's publisher. To take advantage of this new feature, the software you want to allow or restrict must be digitally signed (for more information on AppLocker, see Greg Shields' Geek of All Trades column, "AppLocker: IT's First Panacea?").

Then, using the Create Executable Rules Dialog Box, you set up rules for various publishers. For example, you can create a rule specifying that it's OK to run Adobe Reader as long as the version is 9.0 or higher. You can move up the vertical slider to specify that all versions, filenames, and/or products or publishers can be valid on target systems. Or you can be specific with the Use custom values check box.

Learn More

As you can see, Windows 7 and Windows Server 2008 R2 bring a lot of enhancements to Group Policy. From the 300 new policy settings, to the two updated Group Policy Preferences, to the integration of Windows PowerShell—there's a lot to love. To learn more about Group Policy in Windows 7 and Windows Server 2008 R2, you can check out the Group Policy team blog, as well as my blog and training resources at GPanswers.com.

Jeremy Moskowitz is a Group Policy MVP. He runs GPanswers.com, a community forum for Group Policy, and trains hundreds of administrators each year in his Group Policy Master Classes. Jeremy is also founder of PolicyPak Software (PolicyPak.com), which makes an innovative add-on to control third-party applications using Group Policy.

Оригинал статьи (с картинками) на сайте Тechnet:
Windows 7: What’s New in Group Policy for Windows 7 and Windows Server 2008 R2

Дополнения к Windows Server 2003 (GPMC, WSRM, Shadow Copy, WSUS, ADS, ADMT, FRS, IIS, RDC)

среда, 11 ноября 2009 г.

Помните Windows 95? Помните головную боль администрирования различных версий платформы в своей сети? Была версия 4.00.950, версия 4.00.950А, версия 4.00.950В, версия 4.00.950В (2.1), версия 4.00.950С. Возможно, их было даже больше...
У Microsoft была привычка по несколько раз выпускать обновленные версии уже существующих продуктов, добавляя в них новые возможности. Но с приходом Windows Server 2003 все изменилось. Вместо выпуска цельных новых версий, Microsoft просто выпускает новые дополнения по мере их появления. И таковых уже много, несмотря на то, что продукту всего лишь год.
Очевидно, Microsoft теперь даже и не пытается сразу выпустить завершенный продукт, решив делать релиз по графику, а уже после – латать дырки. Некоторые из дополнений следовало бы включить в релиз Windows Server 2003, и если вы до сих пор еще их не установили, то вы работаете с незаконченным продуктом.
В этой статье я рассмотрю некоторые дополнения, называемые feature packs («наборы дополнений»), которые могут вам пригодиться при развертывании Windows Server 2003 в вашей сети. Полный список доступных feature packs можно взять тут:http://www.microsoft.com/windowsserver2003/downloads/featurepacks/default.mspx.
Group Policy Management Console
Первый набор дополнений, который вы должны скачать, — это новая Group Policy Management Console (GPMC, Консоль Управления Групповой Политикой) –http://www.microsoft.com/downloads/details.aspx?FamilyId=C355B04F-50CE-42C7-A401-30BE1EF647EA&displaylang=en. Почему? Потому, что стандартный набор инструментов Windows 2000 для работы с Групповой Политикой достаточно запутанный.
Скажите, какую консоль службы Active Directory мне использовать, чтобы сконфигурировать Group Policy Object (GPO, Объект Групповой Политики)? Я редактирую сам GPO или ссылку на него? Как мне узнать, позволят ли выбранные мной настройки достичь ожидаемого результата? Инструменты для работы с Групповой Политикой настолько запутанны, что большинство администраторов не могут в полной мере воспользоваться преимуществами Групповых Политик для облегчения управления своими сетями.
GPMC решает все эти проблемы – или «почти решает». В оригинальной версии GPMC имелись некоторые проблемы, особенно с Результирующей Политикой (Resultant Set of Policy, RSoP), но они были исправлены в SP1, и теперь у вас есть один единственный объект для управления всеми GPO с одной консоли (рис. 1). Инструмент несовершенен – ссылки на GPO отличаются от самих GPO лишь иконками ярлыков, а не словом «links», которое бы лучше подошло по смыслу – но все равно это в разы лучше стандартного набора инструментов Windows 2000.
GPMC работает под Windows XP и Windows Server 2003 и позволяет вам управлять Групповой Политикой на машинах с Windows 2000, Windows XP и Windows Server 2003. Обратите внимание, что версия из первого сервис-пака больше не требует серверной лицензии на Windows Server 2003 (сойдет лицензия на Windows 2000 Server).
Рис 1. Новая Group Policy Management Console (GPMC).
Remote Control Add-on for Active Directory Users and Computers
Для простоты я буду называть это RCAOFADUC (http://www.microsoft.com/downloads/details.
aspx?FamilyID=0a91d2e7-7594-4abb-8239-7a7eca6a6cb1&DisplayLang=en). Эта маленькая полезная штучка добавляет функциональности консоли «Active Directory – Пользователи и Компьютеры». Вы можете щелкнуть правой кнопкой по компьютеру и, выбрав Удаленное Управление («Remote Control») из всплывающего меню, создать соединение Remote Desktop («Дистанционное Управление Рабочим Столом») с выбранным компьютером (рис. 2)
Дополнение работает на компьютерах под управлением Windows Server 2003, терминальных серверах под Windows 2000 или Windows Server 2003, а также WindowsXP-машинах с включенной возможностью удаленного управления рабочим столом.
Вам нужно лишь скачать самораспаковывающийся файл, запустить программу установки (r_Control_Setup.exe) на своей машине и скопировать клиента (r_Control.exe) в каталог %SystemRoot% каждой машины, которой вы хотите управлять таким образом.
Рис. 2. RCAOFADUC: называйте это как хотите :)
Shadow Copy Client
Служба Теневого Копирования Томов (Volume Shadow Copy Service, VSS) – новая возможность Windows Server 2003, автоматически создающая одномоментные копии файлов в общих папках. Это позволяет пользователям самостоятельно восстанавливать документы, которые были случайно переписаны или удалены, а не звонить в службу поддержки и не просить восстановить их из бэкапа (рис. 3). Однако, для того, чтобы это работало, на десктоп-системы Winodws XP и Windows 2000 потребуется установить клиент теневого копирования (http://www.microsoft.com/downloads/details.aspx?familyid=E382358F-33C3-4DE7-ACD8-A33AC92D295E&displaylang=en).
Рис. 3. Восстановление предыдущей версии файла при помощи теневых копий.
Windows System Resource Manager
(WSRM, Менеджер Системных Ресурсов Windows) – дополнение, позволяющее вам выделять процессорные ресурсы и память для серверных процессов. Это может оказаться хорошим подспорьем для случая, когда на сервере запущено несколько критичных для бизнеса приложений, и вы хотите быть уверенным в том, что каждому будет выделено достаточно ресурсов. WRSM распределяет ресурсы при помощи стандартной MMC-консоли, позволяющей вам создавать политики распределения ресурсов, основанные на соответствии параметров процесса неким вами заданным критериям. Например, на рис. 4, политика DayTimePolicy распределяет ресурсы CPU по трем процессам: BizCrit (критичное для бизнеса CRM-приложение), Batch (ПО для учета, работающее в пакетном режиме) и Default (все остальные приложения, запускаемые на сервере). Обратите внимание: BizCrit отведено 70% времени CPU, чтобы гарантировать его доступность пользователям в дневное время, в кто время как у Batch – всего 25% процессорного времени, так как в основном работа этих приложений происходит ночью.
Рис. 4. Консоль Windows System Resource Manager
Несколько вещей на заметку. Во-первых, устанавливаемые лимиты не строги, так что когда Batch не работает, BizCrit сможет эффективно использовать 100% процессора, если другие приложения не будут выполняться. Во-вторых, в случае превышении нестрогого лимита, WSRM регистрирует событие в журналах событий (event logs) и также может отправить e-mail сообщение администратору. И, наконец, на процессы ядра системы, вроде lsass.exe и winlogon.exе, не действуют ограничения по ресурсам, также исключаются многие процессы svchost.exe в пользовательском режиме, хотя список исключений для процессов пользовательского режима может быть изменен.
WSRM включает календарь, монитор ресурсов и возможность учета (аccounting). Календарь позволяет указать, какую политику в какое время и в какой день использовать. Например, можно определить политику NightTimePolicy, которая даст Batch приоритет по использованию процессора в нерабочие часы. Монитор ресурсов это, по существу, интегрированный системный монитор, предоставляющий вам информацию об использовании ресурсов в реальном времени. «Учет» позволяет фильтровать и экспортировать данные об использовании ресурсов в CSV файлы для импортирования в Excel и создания отчетов.
WSRM – хороший первый шаг Microsoft в области управления системными ресурсами в реальном времени. Существует несколько вариантов применения его на предприятии. Если у вас, например, работает несколько критичных для бизнеса приложений на IIS 6, вы можете использовать WSRM для распределения процессорных ресурсов и памяти каждому набору приложений на этой машине. По другому сценарию, если у вас развернут сервер терминалов (Terminal Services, TS), то вы можете распределять различные его ресурсы между различными группами пользователей. И разработчики смогут использовать его для диагностики «утечек памяти» в отлаживаемых приложениях.
WSRM работает только под Windows Server 2003 Enterprise Edition и идет в комплекте поставки продукта на отдельном CD, но если у вас есть OEM-лицензия, вы можете также скачать WSRM (http://www.microsoft.com/windowsserver2003/downloads/wsrm.mspx) в форме подготовленного к записи .iso образа. У Microsoft также имеется анимированная симуляция (http://www.microsoft.com/windowsserver2003/evaluation/demos/sims/wsrm/viewer.htm), демонстр- ирующая принцип работы WSRM, которая вполне стоит потраченного на просмотр получаса.
Software Update Services (SUS) 1.0 with Service Pack 1
SUS 1.0 с SP1 – новейшее воплощение Службы Обновления ПО Microsoft (Microsoft Software Update Services), инструмент для установки патчей на машины Windows 2000, Windows XP и Windows Server 2003 (может быть скачан и в варианте для более старых платформ). SUS позволяет вам скачивать критичные для безопасности обновления от Microsoft, а также переправлять их на требующие обновления машины. Клиентская версия SUS – это Automatic Updates 2.2 (AU, Автоматическое Обновление). Оно входит в состав SP1 для Windows XP и Windows Server 2003, но должно быть скачано и установлено для более старых платформ. Сконфигурировав AU таким образом, чтобы оно указывало на ваш SUS-сервер, а не на службу Windows Update, вы можете распланировать процесс загрузки и установки обновлений с вашего SUS-сервера.
Рис. 5. Использование инструмента web-администрирования для SUS
Считайте SUS инструментом для малых и средних предприятий, который предназначен для гарантирования безопасности их сетей путем постоянного «латания» компьютеров. Домашним пользователям обычно хватает «Автоматических Обновлений», встроенных в Windows Update, а для крупных предприятий более подходящим инструментом является Systems Management Server (SMS, Сервер Управления Системами). SMS – это полноценное решение от Microsoft для управления сетями на Windows (у SMS 2.0 имеется собственный набор дополнений SUS, интегрирующий их функциональность в SMS, в то время как SMS 2003 версия имеет встроенные средства поддержки SUS.
SUS 1.0 с SP1 работает на любой версии/редакции Windows 2000 Server и Windows Server 2003. Системные требования умеренные, хотя необходимо убедиться, что у вас есть достаточно места на диске для обновлений, которые будет скачивать SUS. SUS прост в использовании (благодаря своему веб-интерфейсу) и легок в управлении (новые .adm-шаблоны можно импортировать в Групповую Политику). SUS работает поверх IIS и является одной из лучших вещей, вышедших в рамках инициативы Microsoft Trustworthy Computing («Надежные Вычисления»). Вы можете скачать продукт здесь: http://www.microsoft.com/downloads/details.aspx?FamilyID=a7aa96e4-6e41-4f54-972c-ae66a4e4bf6c&DisplayLang=en .
Служба Автоматического Развертывания 1.0
Automated Deployment Services, ADS – инструмент, предназначенный для упрощения массового развертывания Windows на «голом» железе, поддерживающим стандарт Preboot Execution Environment (Среда Дозагрузочного Исполнения, PXE). ADS включает новый набор по созданию образов дисков от Microsoft, систему защиты, основанную на сертификатах и оболочку для удаленного выполнения проскриптованных инсталляций. На рис. 6 показана главная консоль ADS, простая по структуре и в использовании.
Рис. 6. MMC-консоль для Automated Deployment Services
Если вы уже знакомы со Службой Удаленной Установки (Remote Installation Services, RIS), то можете спросить: «А зачем, собственно, нужна ADS?» Во-первых, ADS специально заточена под высокоскоростное развертывание образов серверов, включая все версии и варианты Windows 2000 Server и Windows Server 2003. RIS же можно использовать для развертывания как серверных, так и клиентских ОС, включая Windows 2000 и Windows XP. Во-вторых, установка при помощи RIS обычно последовательна и инициируется пользователем (pull-метод), ADS же предназначена для автоматической, широкомасштабной установки с управлением администратора (push-подход). В-третьих, RIS по большей части использует скриптовые или файловые методы установки, ADS же использует исключительно образы.
В-четвертых, ADS поддерживает «широковещательное» развертывание, а RIS – нет. Скорость развертывания при использовании ADS не зависит от количества серверов, на которых одновременно происходит процесс (RIS же серверы могут быстро «задохнуться» при одновременной установке на множество машин). Среди прочих улучшений ADS – возможность развертывания множества томов на компьютере, инструменты по редактированию образов, хранению образов на SQL-сервере (или с использованием MSDE), программная расширяемость и способность использовать ADS без службы Active Directory.
Для использования ADS вам потребуется лицензионная копия Windows Server 2003 Enterprise Edition и аккаунт .NET Passport для регистрации на сайте Microsoft. Вам также понадобятся носители с лицензированными версиями платформ, образы которых вы хотите создать (нельзя использовать для этих целей архивированные Retail-версии). Узнать больше об ADS можно тут (http://www.microsoft.com/windowsserver2003/technologies/management/ads/default.mspx), а скачать ADS 1.0 – здесь (http://www.microsoft.com/windowsserver2003/techinfo/overview/adsbenefits.mspx)
Миграционные Инструменты
Active Directory Migration Tool (ADMT, Инструмент для Миграции на Active Directory) версии 2.0 (http://www.microsoft.com/downloads/details.aspx?FamilyID=788975b1-5849-4707-9817-8c9773c25c6c&DisplayLang=en) и Domain Rename Tools (Инструменты по Перенаименованию Доменов, http://www.microsoft.com/windowsserver2003/downloads/domainrename.mspx) придутся весьма кстати, если вы планируете переводить WinNT домены на Windows Server 2003. Эти инструменты также пригодятся в случае, если у вас развернута Active Directory, и вы хотите объединить домены или реструктуризировать сеть для упрощения администрирования/повышения производительности.
Эти инструменты достаточно сложны в использовании, и если вы будете неосмотрительны, многое может пойти не так как надо, так что внимательно прочтите документацию, поставляемую с этими инструментами. К счастью, в Базе Знаний Microsoft (Microsoft Knowledge Base) есть несколько полезных статей как по ADMT 2.0 (http://support.microsoft.com/default.aspx?scid=kb;en-us;325851& Product=winsvr2003), так и по перенаименованию доменов (http://support.microsoft.com/default .aspx?scid=kb;EN-US;819145), чтобы вы могли начать двигаться в правильном направлении.
Инструменты для устранения неполадок в FRS
Cлужба репликации файлов (File Replication Service, FRS) – сердце множества важных функций Windows Server 2003, включая репликацию общего ресурса SYSVOL и сообщений контроллера доменов, а также работу Distributed File System (DFS, Распределенной Файловой Системы). В момент, когда репликацию не удается произвести, последствия для пользователей, пытающихся зайти в сеть и получить доступ к ресурсам, могут быть катастрофическими, так что Microsoft создала несколько полезных инструментов для мониторинга и устранения проблем c FRS (http://www.microsoft.com/windowsserver2003/technologies/fileandprint/file/dfs/tshootfrs.mspx) .
Использование этих инструментов позволит вам «заглянуть за кулисы», посмотрев на механизм репликации в действии, и выяснить, что же работает не так, когда репликацию произвести не удается. Тем не менее, перед использованием этих инструментов, взгляните на статью по устранению неполадок в FRS из Базы Знаний Microsoft: http://support.microsoft.com/default.aspx?scid=kb;en-us;327341&Product=winsvr2003. В ней приводятся некоторые простые советы по устранению неполадок, и если они не сработают, переходите к «тяжелой артиллерии».
Инструменты IIS
Microsoft создала огромное количество полезных инструментов для IIS (http://www.microsoft.com/windowsserver2003/iis/downloads/default.mspx), включая инструменты для миграции, стресс-тестирования, обработки логов, регистрации сертификатов, поиска неисправностей и наборы для обеспечения авторизации. Также для скачивания доступно руководство по развертыванию IIS 6.0 (http://www.microsoft.com/downloads/details.aspx?FamilyId=F31A5FD5-03DB-46D2-9F34-596EDD039 EB9&displaylang=en), сценарии развертывания IIS для соответствия его различным бизнес-потребностям.
Доступен для скачивания и Log Parser 2.0 (Обработчик Логов 2.o, http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=8cde4028-e247-45be-bab9-ac851fc166a4), но лучше использовать версию 2.1, которая входит в набор инструментов IIS 6.0 Resource Kit Tools и является частью главного элемента для скачивания. Кстати, для решения вопросов перехода со старых версий IIS на шестую версию, существует продукт Support WebCast (http://support.microsoft.com/default.aspx?scid=kb;en-us;813677&Product=iis60).
Дополнения для Удаленного Управления Рабочим Столом
Remote Desktop Connection (Соединение для Удаленного Управления Рабочим Столом, http://www.microsoft.com/downloads/details.aspx?FamilyID=a8255ffc-4b4a-40e7-a706-cde7e9b57e79&DisplayLang=en) для Windows Server 2003 – это клиент Удаленного Рабочего Стола (Remote Desktop), который вы можете установить на машинах, работающих под более ранними версиями Windows для обеспечения им возможности удаленного подключения к WindowsXP-машине, на которой работает служба Remote Desktop, либо к машине на Windows Server 2003, где которой работает служба Remote Desktop либо Terminal Services (Сервер Терминалов).
Remote Desktop Web Connection (Удаленное Web-Управление Рабочим Столом, http://www.microsoft.com/downloads/details.aspx?FamilyID=e2ff8fb5-97ff-47bc-bacc-92283b52b310&DisplayLang=en) для Windows Server 2003 – элемент управления ActiveX, позволяющий машинам клиентов использовать Internet Explorer для доступа по интернету через IIS 4.0 или более поздние версии к машинам, где запущен Remote Desktop или Terminal Services. Оба этих дополнения добавляют функциональности Remote Desktop/Terminal Services в ранних версиях Windows.
Инструментарий для Администрирования Windows Server 2003
Для управления удаленными (скажем, расположенными в серверной комнате) серверами на базе Windows Server 2003 с обычного Windows XP компьютера (в офисе), вам потребуется установить Windows Server 2003 Administration Tools Pack (Инструментарий для Администрирования Windows Server 2003, http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en), который доступен в качестве архива для Windows Installer-а (adminpak.msi). Установка adminpak.msi на настольный компьютер означает установку всех инструментов для администрирования, но лишь в том случае, если на вашей Windows XP системе будет установлен первый сервис-пак. Набор также можно найти в каталоге I386 вашего CD с Windows Server 2003, но все равно проверьте веб-сайт на предмет наличия более свежей версии этих инструментов.
Windows Server 2003 Resource Kit Tools
Наконец, обязательно скачайте Windows Server 2003 Resource Kit Tools, http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en) и начните знакомиться с ними. Так как в наборе более сотни инструментов, описывать их все я в этой статье не буду. Но уверяю, среди них каждый найдет инструмент себе по вкусу.
Mitch Tulloch, перевод Николая "Nickky" Щетько,me@nickky.com.